[엔드포인트 보안①] ‘제로 트러스트’ 관점의 엔드포인트 보안
상태바
[엔드포인트 보안①] ‘제로 트러스트’ 관점의 엔드포인트 보안
  • 김선애 기자
  • 승인 2018.06.16 09:31
  • 댓글 0
이 기사를 공유합니다

AV 한계 부각되며 EDR 솔루션 시장 본격 점화…토종 보안 기업 EDR 잇달아 출시

안티바이러스의 한계를 보완하기 위해 등장한 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 시장이 본격적인 개화의 움직임을 보이고 있다. 주목할 만한 대규모 구축 사례가 등장했으며, 금융·엔터프라이즈에서도 적극적으로 검토하고 있다. 더불어 엔드포인트 보안 솔루션 기업들이 잇달아 EDR 솔루션을 출시하며 통합 엔드포인트 보안 플랫폼(EPP)으로 진화하고 있다. 엔드포인트 보안 시장의 현재를 진단하고 미래를 예측해 본다.<편집자>

“모든 엔드포인트는 이미 침해당했다”

최근 보안에 대한 관점은 ‘제로 트러스트(Zero Trust)’로 바뀌고 있다. ‘모든 시스템은 이미 침해당했으며, 시스템에서 일어나는 모든 행위는 의심해 봐야 한다’는 철학으로 접근하는 제로 트러스트는 시스템에서 일어나는 모든 프로세스를 의심하고 점검할 것을 요구한다. 그래서 시스템 내에서 침해 증거를 찾고, 이상행위를 감시해 분석하는 침해 탐지 및 대응 시스템이 주목받고 있다.

엔드포인트에서도 이러한 흐름이 이어지고 있으며, 엔드포인트 침해 탐지 및 대응(EDR) 시스템이 높은 관심을 받고 있으며, 보안 기업들이 잇달아 EDR 제품을 출시하면서 시장에 뛰어들고 있다. 국

내에서도 EDR 시장은 본격적인 성장 궤도에 올랐다. 이미 시장에서 경쟁을 벌여오던 EDR 솔루션들은 산업별로 주목할 만한 성공사례를 발표하기 시작했으며, 글로벌 EDR 제품들이 유통사들과 파트너십을 맺고 국내 시장에 진출했다. 토종 보안 기업들도 잇달아 EDR 제품을 출시하면서 경쟁을 가속화하고 있다.

강석균 안랩 부사장은 “글로벌 보안 시장에서 EDR은 연평균 45.2%을 기록하면서 EPP 시장 성장을 견인하고 있다. 우리나라에서도 지능형 위협 대응에 대한 고객의 요구가 높아지면서 새로운 위협 탐지와 대응 기술 수요가 많아지고 있다”며 본격적인 EDR 시대가 열릴 것이라고 전망했다.

▲EDR의 기능과 효과(자료: 안랩)

“AV, 공격 탐지율 절반 가량에 불과”

EDR이 뜨거운 관심을 받는 이유는 기존 보안 기술로는 고도화되는 공격을 막을 수 없기 때문이다. 2018년 5월 18일을 기준으로 한 달 동안 AV테스트에 새로 등록된 멀웨어는 1100만여개로 집계됐다. 지난해 10월 한 달간 발견된 멀웨어는 1800만개에 육박한다. 옵스왓에 따르면 2018년 5월 현재 기업에 위협적인 악성코드는 약 7억개이며, 매일 30만개 이상 발생하고 있다.

멀웨어를 탐지하는 가장 전통적인 방식은 안티바이러스(AV)이다. 전 세계에서 가장 많은 시그니처를 업데이트하는 보안 기업이 하루에 업데이트하는 시그니처는 300개 정도이다. 공격자는 무려 30만개의 새로운 공격도구를 쏟아내는데, 방어하는 쪽에서는 아무리 많아도 300개 이상을 업데이트하지 못한다.

AV 기업들이 더 많은 시그니처를 업데이트 하지 못하는 이유는 시간과 인력 부족의 문제도 있지만, 시그니처가 너무 많으면 오탐이 발생해 사용자를 불편하게 하고 백신 엔진이 무거워져 엔드포인트 리소스를 과다하게 사용한다.

시그니처에 없는 악의적인 행위를 탐지·차단하기 위해 AV에는 평판분석, 행위분석, 휴리스틱 분석, 머신러닝, 디스암, 코드서명 인증 등의 여러 보안 엔진을 추가하고 있지만, 여전히 AV가 탐지하지 못하는 공격이 많다. 정확한 통계를 내기 어렵지만, 대체로 AV가 탐지하는 위협은 전체의 절반 정도일 것으로 분석하고 있다.

AV가 찾아내지 못한 위협을 탐지하는 방법 중 하나로 EDR이 제안된다. EDR이 확실하게 정의된 것은 아니지만, 조직 전체의 엔드포인트 자산을 식별하고, 포렌식 분석을 수행하며, 행위분석, 연계분석 등의 기술을 갖춰 엔드포인트 전반의 위협 가시성을 높여주는 솔루션이라고 이해되고 있다.

김종광 인섹시큐리 대표는 “차세대 엔드포인트 보안의 필수 요소는 모든 행위를 모니터링하고, 다른 솔루션과 연동하며, 공격 체인을 분석하고, 자동화·통합하는 것이다. 엔드포인트 보안을 고도화해 공격에 성공하기 어렵게 하고 모든 공격을 예측해 대응하는 것이 필요하며, 위협 정보를 공유해야 한다. 이러한 요소의 한 부분을 EDR이 만족시켜주고 있다”고 설명했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.