엔드포인트 보안 시장이 격동하고 있다. 엔드포인트 보안 기업들은 일제히 안티바이러스(AV)를 탈피하고 있으며 AI를 이용해 지능적으로 공격을 차단한다고 밝히고 있다.
AV는 엔드포인트 보안의 중요한 기능 중 하나지만 핵심 기능은 아니다. 전체 위협 중 AV가 차단하는 비중은 더 이상 절대적이지 않다. 엔드포인트 보안 솔루션은 AV 외에도 DLP, 코드사인 인증, 애플리케이션 제어, 행위분석, 평판분석 등을 사용하는 통합 엔드포인트 보안 플랫폼(EPP)으로 진화하고 있다. 모바일·IoT 지원을 위한 가볍고 빠른 보안 엔진만을 탑재하기도 하면 전 세계 위협 인텔리전스와 연계해 최신 위협 차단 기능도 제공한다.
최근 엔드포인트 보안 기술 중 ‘디셉션’이 주목받는다. 공격당한 것처럼 속여 공격 기법을 알아내는 것으로 허니팟과 유사하다. 시만텍 ‘SEP 14’에 디셉션 기능이 포함됐다. 시만텍 SEP에는 의심스러운 웹과 애플리케이션을 격리하는 ‘아이솔레이션’과 신뢰할 수 있는 애플리케이션을 보호하는 ‘강화(Hardening)’ 기능도 추가됐으며, AI를 적용해 사이버 공격 그룹을 탐지하는 ‘TAA’와 연동해 사이버 공격 그룹별 대응이 가능하도록 했다.
또한 엔드포인트 침해 탐지 및 대응(EDR)을 통합한 APT 방어 솔루션 ‘ATP 3.’은 FDR(Flight Data Recorder) 기능을 이용해 엔드포인트에서 발생되는 모든 기록을 지속적으로 저장해 가시성을 확보하고, 침해사고 분석 시 저장된 기록을 기반으로 상관관계를 분석함으로써 침해사고 대응에 도움을 준다.
보안관제 연계해 지능형 위협 대응
최근 엔드포인트 보안 시장은 EPP와 EDR을 연계한 엔드포인트 침해 탐지, 보호, 대응(EDPR)으로 발전하고 있다. 안랩은 여기에 보안관제까지 연계한 통합 보안으로 엔드포인트 위협에 지능적으로 대응한다고 주장한다.
안랩 EDR은 V3 에이전트에 통합될 수 있으며, 싱글 매니지먼트를 지원한다. 사용자 편의성을 해치지 않고 엔드포인트에 영향을 주지 않으면서 지능적으로 위협을 차단할 수 있다. 모듈화된 EDR 기능을 V3 플랫폼에 스케일 아웃 방식으로 확장해 나갈 수 있어 설치와 관리가 쉽다.
유럽의 엔드포인트 보안 전문기업 이셋도 EDPR 전략에 뛰어들었다. 이셋은 뛰어난 HIPS 기술을 갖고 있으며, 바이오스 단계에서 시작되는 멀웨어부터 OS, 응용프로그램 전 단계에서 활동하는 악성코드를 차단한다. EDR 솔루션 ‘이셋 엔터프라이즈 인스펙터(EEI)’와 클라우드 기반 전문 분석 서비스 ‘다이내믹 쓰렛 디펜스(DTD)’을 연계해 공격을 지능적으로 차단한다.
카본블랙은 침해대응(IR), 화이트리스트, 차세대 안티바이러스(NGAV)로 이뤄진 제품군으로 통합 엔드포인트 보안을 제공한다. 카본블랙은 2018년 국내 대형 게임사에 대규모 공급 계약을 체결하면서 업계을 주목을 받았으며, 강력한 보안을 요구하는 주요시설 폐쇄망 등에도 일부 공급됐다.
유연성 극대화한 EDPR
트렌드마이크로 역시 EDR을 통합시킨 EDPR 시장 진출을 선언했다. 트렌드마이크로는 타사 백신을 사용하고 있더라도 도입 가능한 엔드포인트 보안 솔루션 ‘에이펙스원’에 강화된 EDR 기능을 탑재하고 엔드포인트 보안 시장을 공략하고 있다.
한국트렌드마이크로를 총괄하는 김진광 상무는 “트렌드마이크로는 엔드포인트 보안 기술에 있어 경쟁사보다 월등히 뛰어난 강점을 갖는다. 전 세계 사용자를 대상으로 축적한 광범위한 인텔리전스와 뛰어난 위협 탐지, 자동화된 대응 시스템으로 엔드포인트 보안의 문제를 해결할 것”이라고 자신했다.
NGAV, 새로운 역사 쓰인다
시그니처 기반 AV는 한계가 명확하기 때문에 대부분의 AV 기업들이 EPP로 확장하고자 한다. 그러나 최근 NGAV를 표방하는 기업들이 등장하면서 AV 시장에 새로운 역사가 쓰이고 있다. NGAV는 AI를 이용해 시그니처 없이 가볍고 빠르게 위협을 차단한다.
사일런스가 그 대표적인 예이다. 사일런스는 엔드포인트 이벤트를 클라우드에서 AI 기술로 분석해 지능적으로 위협을 차단하는 NGAV 솔루션이다. 블랙베리가 사일런스를 무려 14억달러(1조6000억원)을 들여 인수하면서 NGAV의 가치가 새롭게 인정받고 있다. 블랙베리는 통합 엔드포인트 관리(UEM) 솔루션, 커넥티드카 플랫폼 등에 사일런스 보안 기술을 접목하고 엔터프라이즈 환경의 사물인터넷(EoT) 보안을 강화한다는 목표를 밝힌다.
우리나라에서 NGAV라고 할 수 있는 제품은 세인트시큐리티의 ‘맥스’이다. 멀웨어스닷컴을 운영하면서 축적한 위협 인텔리전스를 연동한 맥스 역시 시그니처 없이 위협을 차단할 수 있다. 세인트시큐리티는 글로벌 위협 정보 공유 커뮤니티 사이버 위협 연합(CTA)에 가입하면서 신종 악성코드 분석 능력을 인정받았다.
한편 안티랜섬웨어 솔루션 전문기업 체크멀이 2019년 NGAV 출시를 예고해 주목된다. 체크멀의 NGAV는 AI를 적용한 화이트리스트 솔루션으로 설계된다. 기업에서 허용된 애플리케이션만 사용하도록 하며, 패치관리, 자동업데이트 등 정책 설정 기능도 자동화한다.
