안티바이러스의 한계를 보완하기 위해 등장한 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 시장이 본격적인 개화의 움직임을 보이고 있다. 주목할 만한 대규모 구축 사례가 등장했으며, 금융·엔터프라이즈에서도 적극적으로 검토하고 있다. 더불어 엔드포인트 보안 솔루션 기업들이 잇달아 EDR 솔루션을 출시하며 통합 엔드포인트 보안 플랫폼(EPP)으로 진화하고 있다. 엔드포인트 보안 시장의 현재를 진단하고 미래를 예측해 본다.<편집자>
EDR, 고도화된 위협 대응에 필수
EDR 시장 경쟁이 불붙으면서 EDR이 알려지지 않은 모든 공격을 차단할 수 있는 것처럼 인식되고 있지만, EDR은 차단 기능을 갖고 있지 않다. EDR은 침해를 탐지하고 대응해 보안조직과 침해사고 대응 업무를 지원하는 역할을 한다. EDR은 포렌식 전문성이 있어야 하며, 변종이 많은 악성 위협에 즉각적으로 대응할 수 있는 조직을 갖추고 있어야 하기 때문에 벤더는 물론 고객에게도 진입장벽이 높은 편이다.
박진성 래피드7코리아 지사장은 “EDR은 엔드포인트 가시성을 높이는 것이 핵심 기술이다. 사내에서 사용하는 엔드포인트는 물론이고, 클라우드, 원격지에서 사용되는 자산까지 정확하게 파악하고 사용자의 행위를 분석하며, 위협을 탐지하고 알려야 한다. EDR은 엔드포인트와 지능형 공격에 대한 특화된 전문성을 갖고 있어야 하는 솔루션으로, 고도화된 위협에 대응하는데 필수”라고 소개했다.
EDR 운용 위해 고급 포렌식 전문가 필요
EDR이 국내에 처음 소개된 것은 인포섹이 카운터택과 파트너십을 맺은 2013년부터며, 본격적으로 소개되기 시작한 것은 2015년이었다. 그러나 아직도 EDR에 대한 이해도는 낮은 편이고, 대규모 구축 성공사례로 꼽을 수 있는 것도 없는 형편이다.
많은 EDR 벤더들이 공공, 금융, 엔터프라이즈 등에서 의미 있는 사례를 확보하고 있다고 주장하지만, 대부분은 초기 시범 구축 사업이거나 연구소, 제조공장 등 제한된 조직에서만 사용하고 있을 뿐, 전사 적용한 예는 아직 없다.
EDR의 확산 속도가 더딘 이유는 EDR을 운영할 때 전문가가 필요하고, 우리나라의 복잡한 엔드포인트 환경을 맞추기 어렵다는 이유 때문이다. EDR은 침해를 발견했을 때 포렌식 분석으로 위협수치를 알려주는데, 포렌식 지식이 없으면 이 수치가 갖는 의미를 정확하게 파악하기 어렵다. 대부분의 EDR 솔루션은 관리 편의성을 높이기 위해 관리자들이 직관적으로 알 수 있도록 위협 점수와 보고서를 제공해주지만, 그럼에도 불구하고 보안 조직은 운영의 어려움을 토로한다.
김종광 인섹시큐리티 대표는 “EDR은 보안 전문 인력을 충분히 갖추고 있는 조직에게는 매우 훌륭한 보안 솔루션이다. 수많은 엔드포인트에서 발견되는 방대한 이벤트 중 가장 먼저 대응해야 할 것을 알려주기 때문에 보안조직의 대응 효율성을 크게 높일 수 있다”며 “그러나 보안 전문가를 갖추지 못한 조직은 EDR이 쏟아내는 이벤트에 대응하는데 많은 어려움을 겪게 된다. EDR을 잘 운영하는 기업은 자체 SOC를 운영하는 정도로 보안이 잘 갖춰진 곳”이라고 설명했다.
복잡한 국내 엔드포인트 환경 지원 ‘난제’
국내 복잡한 엔드포인트 환경을 맞추는 것은 난제 중의 난제다. 우리나라에서만 사용하는 엔드포인트 보안 모듈은 비표준 방식으로 제작돼 있어 장애와 충돌이 잦다. 표준 방식의 보안모듈이라도 너무 많은 모듈이 커널에서 운영되기 때문에 모듈간 리소스 점유 경쟁이 일어나고, 서로를 이상행위로 인식하고 프로세스를 차단해버리는 문제가 생긴다.
이 문제를 해결하기 위해서는 엔드포인트에 설치되는 모듈들을 화이트리스트로 등록하고 커널 리소스 경합을 피할 수 있도록 우선순위를 정하는 등의 설정이 필요하다. 국내 기업들은 오랜 기간 엔드포인트에서 발생하는 문제를 해결하기 위해 벤더간 협력을 진행해 왔기 때문에 상당부분의 장애는 해결할 수 있다. 그러나 글로벌 벤더들은 국내기업과의 협력을 진행하는데 어려움을 겪는다. 모듈의 소스코드를 변경해야 하는 경우가 있는데, 정식 릴리즈 된 패키지 소프트웨어의 소스코드를 변경하는 것이 쉬운 일은 아니다.
이러한 현실적인 문제 때문에 국내에서 베스트 프랙티스라고 할만한 EDR 구축·운영 성공사례를 찾아보기 어렵다. 장애를 해결하지 못하고 시범사업 단계에서 종료되거나 강력한 보안이 요구되는 일부 업무에서만 사용하고 있다.
조남용 RSA 이사는 “우리나라에서 엔드포인트 보안 솔루션을 운영하는 것은 극히 어려운 일이다. 비표준 보안 모듈도 문제이지만, 엔드포인트에 설치되는 에이전트가 너무 많다. 이 에이전트들이 경합 없이 정상적으로 운영될 수 있도록 하기 위해서는 다양한 환경에서 오랫동안 보안 솔루션을 구축·운영해 본 경험이 필수”라고 강조했다.
델EMC RSA의 EDR 솔루션 ‘넷위트니스 엔드포인트(구 이캣)’은 가볍고 빠른 에이전트를 통해 엔드포인트 장애 문제를 해결한다. 서버, 데스크톱, 가상머신 등 모든 엔드포인트의 전체 프로세스와 실행파일, 이벤트, 동작에 대한 가시성을 제공한다. 지능화된 머신러닝 알고리즘이 내장돼 있어 새로운 보안위협 요소, 파일리스 공격까지 찾아낼 수 있으며, 서버에서 분석 작업이 이뤄져 엔드포인트에서 미치는 영향이 거의 없다.
넷위트니스 엔드포인트는 국내 대표적인 대기업 여러 곳에서 수년간 사용돼왔으며, 세계적인 컨설팅 펌에서 전 세계에 서비스하는 엔드포인트 솔루션으로 제공하고 있다.
