[엔드포인트 보안②] EDR, 현재·미래 위협 가시성 제공
상태바
[엔드포인트 보안②] EDR, 현재·미래 위협 가시성 제공
  • 김선애 기자
  • 승인 2018.06.19 08:31
  • 댓글 0
이 기사를 공유합니다

엔드포인트 행위 모니터링해 위협 수준 알려줘…EDR 시장 진출 경쟁 불 붙어

안티바이러스의 한계를 보완하기 위해 등장한 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 시장이 본격적인 개화의 움직임을 보이고 있다. 주목할 만한 대규모 구축 사례가 등장했으며, 금융·엔터프라이즈에서도 적극적으로 검토하고 있다. 더불어 엔드포인트 보안 솔루션 기업들이 잇달아 EDR 솔루션을 출시하며 통합 엔드포인트 보안 플랫폼(EPP)으로 진화하고 있다. 엔드포인트 보안 시장의 현재를 진단하고 미래를 예측해 본다.<편집자>

위협 가시성 제공해 대응 능력 향상

EDR이 AV의 한계를 지목하면서 등장했기 때문에 AV를 대체하는 솔루션이라는 오해를 받고 있지만 정확히 말해 EDR은 AV를 보완하는 기술이다. EDR이 모든 공격에 대응하고 모든 엔드포인트를 보호할 수 있는 것도 아니다. EDR은 엔드포인트에서 발생하는 행위를 모니터링해 특정 행위가 얼마나 위험한지 수치화해서 보안팀의 위협대응 시 우선순위를 참고할 수 있도록 해 준다.

EDR은 조직의 모든 네트워크 안팎에 있는 엔드포인트의 가시성을 제공해주며, 다른 보안 솔루션이 놓친 위협이나 새로운 보안 위협 요소를 찾아낸다. 악성파일을 발견했을 때 블랙리스트를 작성하고 전체 IT 자산에서 감염된 엔드포인트를 빠르게 찾아서 격리해 보안팀이 분석할 수 있도록 도와준다. 공격이 발생했을 때 감염된 엔드포인트를 즉시 격리하고 빠르게 스캔해 포렌식 분석 속도를 향상시켜주며, 의심스러운 모듈과 엔드포인트를 분류하고 위험 수준을 명확하게 표시해주는 기능을 한다.

EDR은 미래에 발생할 수 있는 위협도 예방할 수 있도록 한다. 만일 퇴사의사를 밝힌 사람이 갑자기 중요한 파일을 모아서 이동식 저장매체로 옮기거나, 평소보다 자주 중요한 시스템에 접속하거나, 외부 메일로 전송하는 등의 행위를 한다면, 내부정보를 유출할 가능성이 높다. 이러한 행위까지 감시해서 향후 일어날 가능성이 있는 위협까지 대응할 수 있다.

조남용 한국델EMC RSA 이사는 “EDR은 고도화된 악성코드가 사용하는 메모리 해킹, 권한 인증체계 무력화 시도, 은닉기술 등을 탐지하고 위험 정도를 수치화해 보안조직의 대응을 도와주는 역할을 하는 기술이다. 각 엔드포인트 보안 위협 수준을 명확하게 표시해 ‘번거롭고 잦은 알림’을 줄이며, 보안 기술을 우회해 진행하는 공격을 찾아 알릴 수 있다”고 말했다.

▲‘카운터택 ETP’ 아키텍처

EDR 경쟁 불붙이는 보안 기업

사이버 공격은 갈수록 교묘하게 진화하고 있으며, 기존의 보안 기술을 우회하도록 고도화되고 있어 EDR의 도입 속도에 불을 붙이고 있다. 그래서 보안 기업들이 경쟁적으로 EDR 제품을 출시하고 시장 활성화를 촉진하고 있다.

EDR 솔루션의 대표주자로 카운터택, 사이버리즌, 크라우드스트라이크, 센티넬원 등이 꼽히며, 이 중 카운터택은 EDR 제품 중 가장 먼저 국내에 진출해 SK인포섹이 판매하고 있다. 사일런스는 삼성SDS가 총판을 맡고 있으며, 파고네트웍스가 사일런스와 카운터택의 MSSP 파트너 계약을 체결하고 주요 고객들에게 서비스를 제공하고 있다.

기존 보안 기업들도 잇달아 EDR을 출시하고 있다. 파이어아이는 맨디언트를 인수한 후 맨디언트의 침해대응 기술을 엔드포인트에 적용한 ‘HX’를 출시했으며, 한국에서 SGA솔루션즈와 기술지원 파트너십을 맺고 고객을 지원하고 있다.

팔로알토네트웍스는 사이베라를 인수하고 익스플로잇 탐지 특화 역량을 갖춘 EDR 솔루션 ‘트랩스(Traps)’를 출시했으며, 우리나라 엔드포인트 환경에 최적화하는 과정을 거쳐 지난해 국내에 정식 출시했다.

전통적인 침해대응(IR) 솔루션 전문기업 카본블랙은 화이트리스트 기반 엔드포인트 보안 솔루션 기업 비트나인(Bit9)을 인수한 후 기존 IR 솔루션인 ‘Cb 리스폰스(Cb Response)’와 화이트리스트 기반 애플리케이션 제어 솔루션 ‘Cb 프로텍션(Cb Protection)’으로 라인업을 업그레이드했다. 여기에 차세대 AV ‘Cb 디펜스(Defense)’를 추가하면서 엔드포인트 보안 포트폴리오를 완성했다. 우리나라에서는 아이넷뱅크가 총판을 맡고 있으며, 초기 카본블랙을 국내에 공급해 온 인섹시큐리티도 파트너십을 유지하면서 영업을 전개하고 있다.

영국의 종합보안기업 소포스는 인빈시아를 인수하고 EDR 제품을 출시했으며, 머신러닝 기반 차세대 안티바이러스 기업을 표방하고 있는 사일런스는 작년 ‘옵틱스(OPTICS)’라는 EDR을 출시하고 AV와 EDR을 통합한 차세대 엔드포인트로 발전하고 있다. 소닉월은 머신러닝 기반 안티바이러스 기업 센티넬원과 협력해 엔드포인트 보안을 강화하고 있다.

국내 기업들도 EDR 대열에 대거 뛰어들었다. 지니언스가 가장 먼저 ‘지니안 인사이츠 E(Genian Insights E)’를 출시하고 국내 EDR 시장에 군불을 때기 시작했으며, 올해 잉카인터넷과 안랩이 연이어 EDR 신제품을 발표하고 경쟁을 심화시켰다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.