지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>
침해 탐지 및 대응 시장을 가장 앞장서서 이끌어가고 있는 것은 엔드포인트 침해 탐지 및 대응(EDR) 시장이다. EDR은 지난해 말부터 시장에서 주목받기 시작했으며, 올해 실제 고객사에 공급, 시장을 열어가고 있다. EDR은 외산 솔루션이 시장을 열었으며, 국내 기업들도 EDR 제품을 선보이면서 경쟁에 동참하고 있다.
메모리 포렌식·취약점 공격 탐지로 방어 효과 높여
EMC RSA의 ‘넷위트니스 엔드포인트’는 메모리 기반 포렌식 솔루션으로, EDR 솔루션 ‘이캣(ECAT)’의 새로운 이름이다. 이 제품은 메모리에서 발생하는 행위를 분석해 비정상적인 행위를 차단하며, 엔드포인트 사용자 모드에서 분석하는 기존 엔드포인트 보안 솔루션과 달리 이캣은 커널까지 분석할 수 있으며, 메모리 행위만을 분석해 빠르고 가볍게 칠시간 침해·대응이 가능하다.
손영진 한국EMC RSA 보안사업부 차장은 “EMC RSA 보안사업부는 엔드포인트부터 네트워크까지 침입을 탐지하고 대응할 수 있도록 하며, 보안운영센터(SOC)를 통한 글로벌 위협 정보 분석, 침해사고 대응 서비스(IR) 등을 종합적으로 제공한다”며 “이캣은 그 중 엔드포인트 침해에 대응할 수 있는 제품으로, 실시간 이상행위 분석이 가능하다”고 말했다.
팔로알토네트웍스가 제공하는 ‘트랩스(Traps)’는 EDR 분야에서 주목할 만한 솔루션으로 꼽히는데, 익스플로잇만을 탐지해 시그니처 기반 탐지에 비해 가볍고 정확하게 공격을 탐지하고 대응할 수 있다.
오랫동안 엔드포인트 보안 솔루션을 공급해 온 백신 기업은 EDR 분야에서 경쟁우위를 지키고 있다고 강조한다. 백신을 개발하면서 쌓은 엔드포인트 보안 기술 역량에 EDR 기능을 탑재해 가벼우면서 정확하게 엔드포인트 위협을 차단한다고 강조한다.
예를 들어 중요하지 않은 악성코드를 대량으로 전송하면서 중요한 악성코드를 끼워넣어 탐지를 회피하는 공격의 경우, 오랜 시간 엔드포인트 보안 솔루션을 개발하면서 쌓은 노하우를 기반으로 위협 우선순위를 매겨 중요한 이벤트를 먼저 차단할 수 있도록 도와준다.
시만텍의 통합대응형 ATP 솔루션은 엔드포인트, 네트워크, 이메일 게이트웨이에서 대응한 보안 기술을 통합해 대응할 수 있도록 하며, 상관관계 분석 기술을 이용해 전체 컨트롤 포인트에서 발생하는 보안 이벤트 중 즉시 대응해야 할 위협 우선순위를 알려준다. 또한 단일 콘솔에서 클릭 한번으로 엔드포인트를 통제하고, 전체 영역의 새로운 위협을 차단함으로써 보안 위협을 신속하게 조치한다.
인텔시큐리티의 EDR 솔루션 ‘맥아피 액티브 리스폰스’는 맥아피 엔드포인트 보안 솔루션과 위협 인텔리전스를 연게해 사이버 위협 방어 라이프사이클 전략을 완성한다. 액티브 리스폰스는 이벤트, 파일, 호스트플로우, 프로세스 개체, 컨텍스트 및 시스템의 변경을 캡처·모니터링분석하며, 보안위협을 운영팀과 포렌식팀에 보내 처리할 수 있도록 한다.
IBM의 엔드포인트 보안 플랫폼 ‘빅픽스’는 모든 종류의 PC는 물론, 맥, POS, ATM 등 온오프라인 단말을 관리하며, 물리·가상 시스템도 통합관리가 가능하다.
나병준 IBM 보안사업부 실장은 “빅픽스는 자산정보를 수집과 패치관리, 운영, 폐기까지 완전한 라이프사이클을 관리하는 제품으로, GS25 등 대형 고객에게 공급됐다”며 “엔드포인트를 보호하기 위해 여러가지 솔루션을 구축할 필요가 없어 편리하다”고 말했다.
국내 NAC 솔루션 전문기업 지니네트웍스는 EDR 기술을 NAC에 적용해 NAC 플랫폼 보안을 강화하고 있다. NAC 통합관리 솔루션 ‘지니안 인사이츠’는 엔드포인트에서 발생하는 다양한 보안 정보 및 이벤트를 ‘지니안 NAC’를 통해 수집해 모니터링 할 수 있도록 구현한 빅데이터 엔진 기반 인텔리전스 위협관리 플랫폼이다.
이 제품은 SIEM 아키텍처를 기반으로 자산 및 감사로그를 수집·저장·검색·분석·시각화 해 확장된 네트워크 가시성을 제공한다. 국내외 최신 침해지표(IOC) 기반 위협대응을 통해 인텔리전스 기능을 확보한다.
