안티바이러스의 한계를 보완하기 위해 등장한 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 시장이 본격적인 개화의 움직임을 보이고 있다. 주목할 만한 대규모 구축 사례가 등장했으며, 금융·엔터프라이즈에서도 적극적으로 검토하고 있다. 더불어 엔드포인트 보안 솔루션 기업들이 잇달아 EDR 솔루션을 출시하며 통합 엔드포인트 보안 플랫폼(EPP)으로 진화하고 있다. 엔드포인트 보안 시장의 현재를 진단하고 미래를 예측해 본다.<편집자>
사망선고 받은 AV, EPP로 부활하다
시만텍의 고위 임원이 ‘안티바이러스는 죽었다’고 말하면서 AV 시장의 종말을 예견한 바 있다. 시만텍 측은 “숨쉬듯, 습관적으로 악성코드를 분석하는 방식의 AV는 종료됐으며, 새로운 보안 기술이 필요하다는 주장을 역설적으로 설명한 것”이라고 해명하며 진화에 나섰다. 그러나 시만텍이 굳이 이 발언을 해명하지 않아도 됐을 것 같다. 현재 AV는 기존의 AV와는 완전히 다르다. 전통적인 AV는 사실상 종말을 고했다 해도 과언이 아니다.
현재 AV에는 시그니처 기반 패턴매칭 방식 뿐 아니라 방화벽, 호스트 IPS, 애플리케이션· 매체 제어, 메모리 익스플로잇 공격 차단, 평판 분석, 머신러닝, 에뮬레이션, 행동 모니터링, 글로벌 위협 인텔리전스 등 많은 분석·탐지 엔진이 통합돼 있다. 중요정보 유출 방지(DLP), 개인정보 암호화 및 보호, 문서에 숨겨진 악성 액티브 콘텐츠 제거 등의 기술까지 제공하는 AV도 있다. 사일런스와 같은 차세대 AV는 오로지 머신러닝만으로 위협을 탐지하고 차단한다.
윤광택 시만텍코리아 상무는 “패턴매칭, 화이트리스트, 머신러닝 등 단 하나의 기술만으로 모든 위협을 탐지할 수 있다고 주장하는 것은 잘못된 것이다. 패턴매칭 방식은 우회가 쉽고, 화이트리스트는 예외처리가 어렵고 운영이 복잡해지며, 머신러닝은 오탐이 많아 관리가 어렵다”며 “각각의 기술이 가진 장점을 살리고 단점을 보완하는 여러 분석 엔진을 통해 위협을 완화하는 과정이 필요하다”고 말했다.
EDR이 대세로 떠오른다고 해서 AV가 사라질리 없다. 오히려 엔드포인트 보안 기업들은 AV와 EDR을 함께 제안하면서 통합 엔드포인트 보안 플랫폼(EPP)을 지향하고 있다. 선제방어는 AV가, 침해 탐지와 대응은 EDR이 수행하면서 엔드포인트를 향한 모든 위협을 방어한다는 전략이다.
권영목 파고네트웍스 대표이사는 “보안은 멀웨어를 차단했다고 해서 끝나는 것이 아니다. 멀웨어가 어떻게 들어와서 시스템에 어떤 흔적을 남겼으며, 어떤 피해를 입혔는지, 다른 시스템을 추가 감염시키지는 않았는지, 유사한 멀웨어가 다른 추가 공격을 진행하고 있는지 살펴봐야 한다”며 “EDR과 AV를 통합한 EPP가 앞으로 대세를 이루고 있다”고 설명했다.
EDR 고도화하는 디셉션·공격그룹 탐지
엔드포인트 보안 시장에 가장 최근 등장해 파란을 예고하는 기술이 있다. 공격당한 것처럼 속여 공격 기법을 알아내는 ‘디셉션(Deception)’ 기술이다. 4월 미국 샌프란시스코에서 열린 RSA컨퍼런스에서도 복수의 디셉션 솔루션이 참여해 주목을 받았다.
디셉션은 허니팟과도 유사하다. 실제와 동일한 환경을 구축해 공격자를 유인한 후 공격자가 그 안에서 어떤 행위를 하는지 지켜봄으로써 공격기법과 도구를 알아내고 이와 동일하거나 유사한 공격을 사전에 차단할 수 있다.
래피드7의 인사이트IDR에 디셉션 기능이 포함돼 있으며, 시만텍의 최근 EPP 솔루션 ‘SEP 14’에서도 중요한 기능 업데이트 항목으로 내세운다. 또한 SEP에는 의심스러운 애플리케이션과 웹을 격리하고 신뢰할 수 있는 애플리케이션을 보호하는 ‘강화(Hardening)’ 기능도 추가됐다. 의심스러운 웹이나 애플리케이션을 래핑해 웹·애플리케이션에서 일어나는 행위가 시스템의 다른 영역에 영향을 미치지 못하도록 하는 기술이다. 업무의 유연성을 보장하면서 보안을 강화하는 기술로 주목받는다.
시만텍은 인공지능을 적용해 사이버 공격 그룹을 탐지하는 ‘TAA(Targeted Attack Analytics)’도 공개했다. 시만텍 표적공격 전문 분석팀이 역대 주요 사이버 공격을 분석할 때 사용한 위협 탐지 기술과 머신러닝을 결합해 사이버 공격 그룹의 공격기법을 집중적으로 학습시켜 탁월한 대응력을 제공한다.
시만텍 ATP 솔루션을 통해 제공하는 TAA는 EDR 대응 능력을 획기적으로 향상시킬 수 있다. EDR에서 파일의 해시, 악성코드 유포 도메인, 레지스트리 값, 프로세스 이름 등 IOC 정보를 통해 기업 내부의 침해사실을 파악할 수 있었다. 시만텍 TAA는 IOC 기반 공격 탐지는 물론, 공격자들이 사용하는 침투 방법, 측면 이동 시 사용하는 명령어 등 시만텍 표적공격 전문 분석팀이 수년간 다수의 공격 그룹을 추적해 확보한 인텔리전스 정보를 머신러닝과 결합해 자동으로 해당 공격 그룹의 공격을 탐지할 수 있다.
윤광택 상무는 “시만텍은 EPP에 많은 기술을 추가하면서 진화하는 공격에 대응하고 있다. 업계에서 가장 먼저 머신러닝 기술을 보안 솔루션에 적용해 완성도를 높여왔으며, 여러 분석 엔진을 하나의 엔진에 통합하면서도 가볍고 빠르게 해 엔드포인트 영향을 최소화했다”며 “EDR을 통합시킨 EPP 전략으로 엔드포인트의 모든 위협에 대응할 수 있다”고 말했다.