엔드포인트 보안 시장의 파란을 일으킬 것으로 기대됐던 EDR 시장은 ‘요란한 빈수레’로 2018년을 마무리하고 있다. 2017년 하반기부터 글로벌 EDR 솔루션 기업들이 잇달아 한국에 진출했으며, 기존 글로벌 기업들과 지니언스, 안랩, 잉카인터넷, 바이오닉스진 등 토종기업이 시장에 뛰어들었지만, 성과는 미미한 상황이다.
EDR은 포렌식 기술을 비롯한 차세대 분석 기술을 이용해 엔드포인트 이벤트를 정밀하게 분석하고 AV가 탐지하지 못하는 신종 위협을 차단할 수 있다. 그러나 국내 복잡한 엔드포인트 환경을 맞추지 못했으며, 높은 가격으로 인한 진입장벽을 넘지 못했다. 더불어 EDR 운영을 위해 포렌식 전문성이 요구되기 때문에 자체 SOC를 운영하는 기업이 아니면 도입이 어려웠다.
EDR 운영의 어려움을 해결할 방법으로 매니지드 서비스(MDR) 모델이 제안된다. EDR 전문가 역량을 자동화해 대응하도록 해주는 MDR 서비스는 파고네트웍스가 카운터택, 사일런스와 함께 국내 대기업 고객에게 제공하고 있다.
SIEM과 EDR을 연동하는 모델도 주목된다. 델EMC RSA ‘넷위트니스 엔드포인트’는 차세대 SIEM 솔루션 ‘넷위트니스’와 연동돼 네트워크 패킷, 로그, 엔드포인트 이벤트를 연계 분석하고 지능적으로 차단할 수 있도록 한다. ‘넷위트니스 엔드포인트’는 현재 국내 대기업, 금융기관 등에서 사용하고 있다.
엔드포인트 경험 많은 토종기업 경쟁력 ↑
EDR은 엔드포인트에서 동작해야 하기 때문에 엔드포인트 보안 기술을 공급해 온 토종 기업들이 경쟁력을 가질 것으로 기대된다. 그래서 토종 기업들이 일제히 EDR을 출시하고 시장 확산에 나섰다.
가장 먼저 EDR을 출시한 지니언스는 자사 NAC 솔루션을 사용하고 있는 고객을 중심으로 영업을 전개하고 있다. NAC의 엔드포인트 에이전트에 EDR 기능을 축가하고 엔드포인트 이벤트를 수집·분석해 NAC 통제서버에서 차단/허용 정책을 수행하도록 하는 방식을 택했다. 지니언스는 IOC 기반 차단을 제공하는 ‘지니안 인사이츠E’ 제품을 고도화하기 위해 행위분석 기술을 개발하는 레드스톤소프트를 인수하고 차기 버전 개발에 나섰다.
바이오닉스진은 머신러닝 기술 기업 시큐플러스를 인수하고 이를 엔드포인트 보안 솔루션으로 패키지 한 ‘ADS 플러스’를 출시했으며, 2019년 안정성과 기능·성능을 개선한 신제품을 공개하고 본격적인 영업에 나설 계획을 밝혔다.
한편 바이오닉스진의 기업용 보안 솔루션은 AV를 제외한 엔드포인트 보안 플랫폼으로 사용될 수 있다. NAC, DLP, 개인정보 보호, EDR, 매체제어 등의 기술을 원 에이전트로 공급할 수 있다. 바이오닉스진은 이를 IoT에도 적용할 수 있도록 개발을 진행하고 있다.
외산 솔루션, 해외 진출 국내 기업 집중 공략
글로벌 기업의 국내 엔드포인트 보안 점유율이 높은 편은 아니지만, 게임, 포털, 인터넷 서비스 기업 등 인터넷 기반 글로벌 서비스를 하는 국내 기업에서 기회가 있을 것으로 기대하고 있다. 이 기업들은 전 세계를 대상으로 비즈니스를 하고 있는 만큼, 전 세계에서 발생하는 위협을 차단해야 하는 요구를 받고 있다. 그래서 글로벌 보안 솔루션을 도입하는데 저항이 없으며, 클라우드를 기반으로 동작하는 차세대 보안 솔루션을 도입하는 데에도 적극적이다.
모의해킹, 취약점 진단 솔루션 전문기업 래피드7은 이러한 기업을 집중 공략하면서 클라우드 기반 보안 솔루션의 공격적 영업에 나섰다. 래피드7의 침해 대응 솔루션 ‘인사이트IDR’은 EDR과 SIEM, 사용자 행위 분석(UBA)을 통합했으며, 모의해킹 툴 ‘메타스플로잇’과 취약점 진단도구 ‘넥스포즈’를 개발하면서 축적한 노하우를 기반으로 빠르고 정확한 위협 대응 기술을 제공한다.
파이어아이, 팔로알토네트웍스 등도 국내 EDR 시장 공략에 적극 나서고 있다. 포티넷은 EDR과 사용자 및 계정 행위 분석(UEBA) 기술 기업 존폭스를 인수하면서 엔드포인트 보안 역량을 높여나가고 있다
시스코는 지능형 위협 탐지 엔진 ‘AMP’를 엔드포인트 보안 솔루션에 탑재해 의심스러운 프로세스를 추적할 수 있게 한다. AMP는 회귀분석 기술을 갖고 있어 위협이 탐지됐을 때 해당 악성코드가 어떤 경로를 통해 유입됐는지 확인할 수 있어 침해 대응을 수월하게 해준다. 이를 DNS보안 솔루션 ‘엄브렐라’와 연계해 DNS를 통한 위협을 차단할 수 있도록 한다. 또한 글로벌 위협 대응 조직 ‘탈로스’를 통해 수집된 인텔리전스를 활용해 지능형 위협으로부터 엔드포인트를 안전하게 보호한다.
“2019년 EDR 시장 개화될 것”
아직 EDR 시장이 개화됐다고 말하기는 어려운 상황이지만, 2019년에는 서서히 도입 사례가 등장하면서 시장 움직임이 활발해 질 것으로 예상된다. EDR의 장애 문제는 상당부분 해결됐으며, 국내 기업들도 국제표준에 맞는 엔드포인트 환경을 만들기 위해 노력하고 있어 EDR 성공사례가 정식 공개될 수 있을 것으로 기대된다.
이스트시큐리티는 2019년 EDR 시장이 본격 개화될 것으로 전망하고 1분기 EDR 솔루션을 정식 출시하고 시장 공략에 나설 계획이다. 이스트시큐리티는 10여년간 알약 제품을 국내에 공급해 온 강력한 경쟁력과 시큐리티대응센터(ESRC)를 통해 축적한 악성코드 인텔리전스 ‘인사이더 쓰렛’을 연계한 EDR 신제품을 출시하겠다고 밝혔다.
