엔드포인트 침해 탐지 및 대응(EDR) 솔루션은 보안 업계에서 가장 높은 관심을 보이고 있지만, 쉽게 확산되지 못했다. 엔드포인트 보안 관제와 침해대응(IR) 분야의 높은 전문성이 있어야 효과적으로 운영할 수 있는 솔루션으로 인식되면서 기업에서 도입을 주저해왔다.
데이비드 크룹(David Kloop) 크롤(Kroll) 디렉터는 “보안 담당자가 생각하는 것 보다 EDR 운영이 어렵지 않다. 또한 전문성이 확보돼 있지 않다 해도 EDR이 필요하다. 공격이 발생하기 전에 탐지하고, 공격 발생 후 사고조사에 소요되는 시간을 크게 줄일 수 있기 때문”이라고 설명했다.
데이비드 크룹 디렉터는 디지털 포렌식 전문가로, 크롤에서 아시아태평양지역 사이버 보안 사업을 진행하고 있다. 크롤은 기업 정보 분석 전문기업으로, 7년 전 사이버 보안 사업부를 마련하고 보안 시장을 공략한다. 크롤 보안 사업은 사이버 위협 사전 방어와 사후대응을 지원하며, 크룹 디렉터는 디지털 포렌식 등 IR 업무를 총괄한다.
디지털 포렌식 전문가인 크룹 디렉터는 기업·기관이 최근 지능형 사이버 위협에 대응하는데 EDR이 필수라고 강조한다. 모든 공격은 엔드포인트를 통해 일어나며 엔드포인트에서 일어나는 위협 행위를 모니터링하면 많은 공격을 막을 수 있다. 사고 발생을 인지한 후 침해 확산 차단, 피해 범위 파악, 공격 방법 분석, 공격 추적 등의 활동을 위해 엔드포인트 이벤트를 사용해야 한다. 이와 같은 기능을 하는 솔루션이 EDR이라고 크룹 디렉터는 강조한다.
그는 “전문가가 없어도 EDR은 필요하다. 사고를 당한 후 조사 전문가가 현장에 파견됐을 때, 사고와 관련된 정보를 수집하고 침해 범위를 확인하는 기본 조사만으로도 많은 시간이 필요하다. EDR은 침해사고 분석을 위한 정보를 수집해 저장하고 상세 분석할 수 있도록 관련 이벤트를 검출하기 때문에 침해사고 조사에 소요되는 시간을 크게 단축시킬 수 있다”고 강조했다.
그는 “침해사고 발생 후 대응하기까지 시간이 오래 걸리면 피해는 눈덩이처럼 커진다. 공격자에게 시간을 주면 증거를 삭제하고 조작한 후 도망가기 때문에 사고조사에 어려움을 겪게 된다. 침해사고 조사와 대응 시간을 단축시키는 것이 사고조사에 매우 중요하다”고 역설했다.
EDR, 조직 전반 보안 수준 높여
크롤은 카본블랙과 긴밀히 협력하면서 선제방어와 사후대응 서비스 역량을 높이고 있다. 카본블랙은 전 세계에서 가장 많이 사용하는 IR 솔루션 ‘Cb 리스폰스’와 화이트리스트 기반 강력한 보안 솔루션 ‘Cb 프로텍션’, 차세대백신(NGAV) ‘Cb 디펜스’를 제공한다. Cb 리스폰스는 EDR 기능을 제공하는 엔드포인트 보안 솔루션으로, 국내 여러 기업에 공급돼있다. Cb 프로텍션은 산업제어시설에 주로 공급되고 있으며, 국내 발전소 등에서 사용되고 있다.
크룹 디렉터는 “카본블랙은 전 세계 IR 전문가가 가장 많이 사용하는 도구이면서, 사후대응은 물론 사전 방어 기능도 탁월하다. 복잡하고 어려운 포렌식 분석을 거치지 않고도 침해사고의 가시성을 확보할 수 있도록 지원하고, 사고가 일어나기 전 이상행위를 탐지해 관리자가 대응할 수 있도록 한다. 사고 탐지와 대응 시간을 단축시고, 보안관리자와 분석가의 업무를 크게 줄여 보안 수준을 높일 수 있다”고 밝혔다.
그는 “카본블랙 EDR은 CCTV와 같이 엔드포인트에서 일어나는 행위를 저장하고 감시하며, 공격 시도 및 침해 분석 결과를 정책으로 업데이트 해 조직 전반의 보안 수준을 지속적으로 높여갈 수 있다”고 덧붙였다.
모든 엔드포인트 보호할 기술 필수
크룹 매니저는 EDR이 모든 산업군에 필요하며 특히 금융, 유틸리티·에너지, 국방·방산, 스마트팩토리 등 강력한 보안이 필요한 시설에 반드시 도입돼야 한다고 강조했다. 이 산업에서는 많은 보안 투자를 단행하고 있지만, 지속적으로 침해사고를 당하고 있다. 완벽한 폐쇄망으로 운영되는 시설이라 해도 직원이나 외주직원이 허가받지 않은 USB를 이용해 사고를 일으킬 수 있다.
또한 최근 산업제어시스템도 외부 네트워크와 연결하거나 클라우드 적용 시도가 확대되면서 엔드포인트 보안은 더욱 중요하다. 네트워크에 연결되는 모든 종류의 엔드포인트를 보호할 방법이 필요하며 EDR이 그 역할을 한다고 크룹 매니저는 강조한다.
그는 “윈도우, 맥은 물론이고 리눅스 기반 기기까지 지원하는 EDR을 통해 다종다양한 엔드포인트를 모니터링해 중요 시스템과 클라우드를 보호할 수 있다”고 설명했다.
한편 크룹 매니저는 아이넷뱅크와 에스컴이 주최한 ‘2019 금융·엔터프라이즈 EDR 전략 세미나’ 연사로 초청돼 방한했다. 이 세미나는 카본블랙 총판인 아이넷뱅크와 주요 유통 파트너인 에스컴이 국내 주요 금융기관, 엔터프라이즈, 통신사 고객을 초청해 EDR 솔루션의 필요성과 성공사례, 카본블랙 솔루션 소개 등을 전하기 위해 마련한 것이다.
이 행사에서는 카본블랙의 조슈아 푸(Joshua Foo) 아태지역 세일즈 매니저와 버니 픙(Bernie Png) 세일즈 엔지니어가 카본블랙 EDR에 대해 소개하는 세션도 마련됐다.
최대영 에스컴 대표이사는 “현재 기업·기관에서 가장 관심을 높은 관심을 보는 솔루션이 EDR이다. 국내에도 20여 EDR 솔루션이 경쟁하고 있으며, 카본블랙은 대규모 조직과 주요 기관 등에 공급되면서 시장 선두주자로 앞서나가고 있다”며 “에스컴은 카본블랙 EDR로 고객이 직면한 엔드포인트 보안 문제를 해결할 것”이라고 말했다.
