“지능형 우회공격, EDR로 대응해야”
상태바
“지능형 우회공격, EDR로 대응해야”
  • 김선애 기자
  • 승인 2019.10.14 10:00
  • 댓글 0
이 기사를 공유합니다

조수아 푸 카본블랙 세일즈 매니저 “가볍고 유연한 대응 능력 탁월”…카본블랙, VM웨어 인수로 클라우드 보안 확장

[데이터넷] #1. 토요일 새벽 랜섬웨어 공격이 발생해 수백대의 서버와 PC가 연달아 파괴되고 있었다. 즉시 침해대응팀을 소집해 대응에 나섰지만 감염이 확산되는 것을 막을 수 없었다. 서버와 PC에 설치된 백신은 악성코드를 차단하지 못했으며, APT 방어 솔루션도 감염을 차단하지 못했 다. 치료된 기기가 반복적으로 재감염되는 상황이 반복됐다.

급히 EDR 솔루션 공급 기업을 찾아 지원을 요청했으며, 카본블랙을 공급하는 아이넷뱅크 전문가들이 투입돼 대응에 나섰다. 200여대 서버에 카본블랙 EDR인 ‘cb 리스폰스’을 설치하고 엔드포인트에서 발생하는 일을 살펴본 결과 AD 서버에서 보트랙 트로이안(Vawtrak Trojan) 악성코드를 유포하고 있다는 사실을 파악했다. 이는 웹서버 파일 업로드 취약점을 이용하는 악성코드로, 백신과 APT 방어 솔루션의 탐지 회피 기능을 탑재하고 있었다.

#2. ‘cb 리스폰스’가 보안관리자에게 다수 직원의 PC에서 이상행위가 발생하고 있다는 사실을 알려왔다. 스팸방지 솔루션, APT 대응 솔루션이 있었지만, 이를 무력화하고 악성코드가 직원 PC까지 감염시킨 것이다. ‘cb 리스폰스’는 PC에서 실시간 이상행위를 감지하고 프로세스를 중단시킨 후 관리자가 대응하도록 해 실제 피해는 발생하지 않도록 했다.

백신 운영하듯 EDR 운영하면 안돼

조수아 푸(Joshua Foo) 카본블랙 아시아태평양 지역 세일즈 매니저는 이 두 사례를 소개하면서 EDR의 필요성에 대해 설명했다. EDR은 엔드포인트 행위를 실시간으로 감시하고 이상행위에 대응하는 솔루션이다. 엔드포인트 CCTV와 같이 모든 행위를 분석하고 악의적인 행위나 평소와 다른 행위를 감지하고, 관리자가 대응할 수 있도록 도와주는 솔루션으로, 백신을 비롯한 기존 보안 솔루션을 보완하는 보안 도구로 사용된다.

EDR은 국내에서도 게임사, 인터넷쇼핑몰, 대형 금융사 등 여러 곳에서 도입하면서 주목받는 솔루션이다. 최근 공격도구는 시그니처 기반 백신 솔루션과 동적 분석 기반 샌드박스 기술을 지능적으로 우회한다. 이러한 지능적인 공격을 막기 위해 침해 탐지와 대응 기술이 소개되고 있다. EDR은 실제로 가장 많은 공격이 발생하는 엔드포인트를 보호하고 침해 탐지와 확산 방지의 역할을 한다.

EDR은 엔드포인트의 다양한 프로세스를 모니터링하고 분석해야 하는데, 엔드포인트 리소스를 과다 사용하면 업무에 지장을 줄 수 있으며, 다른 엔드포인트 솔루션과 충돌이 발생하고 장애가 일어날 수 있다. 그래서 EDR은 실시간 차단보다 분석과 모니터링을 통해 위협 수준을 알려주고 보안 관리자가 적절하게 조치할 수 있도록 지원한다. 이 때문에 EDR을 운영하기 위해서는 일정 수준의 침해대응 및 포렌식 전문성을 요구하게 된다.

조수아 푸 매니저는 “알려진 위협을 즉시 차단하는 백신을 운영하는 관점에서 EDR을 검토하면 EDR 운영이 어렵다고 느낄 수 있다. 백신은 자동으로 위협을 탐지하고 차단하지만 EDR은 관리자의 대응이 필요하기 때문”이라며 “그러나 백신은 많은 공격을 차단하지 못한다. 백신을 우회하는 것은 매우 쉬운 일이며, 대부분의 침해사고는 백신을 갖춘 시스템에서 발생한다. EDR은 백신의 한계를 보완할 수 있는 솔루션”이라고 강조했다.

▲조수아 푸 카본블랙 아시아태평양 지역 세일즈 매니저는 “백신과 같은 관점에서 EDR을 도입하면 실패할 수 밖에 없다. EDR은 지능형 공격을 탐지해 보안 관리 조직, 침해대응 조직의 업무를 지원하는 솔루션이다”라고 설명했다.

모든 클라우드서 모든 기기 보호하는 ‘카본블랙’

카본블랙은 침해대응(IR), 화이트리스트 기반 보안 솔루션, 차세대 백신을 공급하는 기업으로, 10월 VM웨어에 인수됐다. VM웨어는 카본블랙이 네이티브 아키텍처와 AI 기반 데이터 레이크, 스마트한 경량 에이전트를 갖춘 엔드포인트 및 워크로드 보안 플랫폼이라고 평가했다. 이어 카본블랙 인수를 통해 모든 클라우드에서 모든 장치를 보호하는 보안 플랫폼으로 산업을 혁신하겠다고 발표했다.

VM웨어가 평가했듯 카본블랙은 가볍고 빠르게 엔드포인트 침해를 분석한다. CPU 사용률 1% 이하, RAM 40MB 이하로 사용할 수 있는 경량 에이전트를 통해 운영되며, 클라우드를 통해 전 세계 보안 분석가와 보안 커뮤니티의 보안 분석 결과를 공유할 수 있다. 서버 1대당 1만8000개의 엔드포인트를 관리할 수 있는 높은 확장성을 가졌다. 백신, APT 방어 솔루션, SIEM 등 기존 보안 시스템과 연계·활용하기 편리하며, 향상된 가시성으로 보안관리조직의 엔드포인트 침해대응 프로세스를 혁신시킬 수 있다.

조수아 푸 매니저는 “EDR은 지능적이고 진화한 공격 대응을 위한 필수다. 그러나 백신과 같은 자동 탐지·차단 솔루션처럼 운영할 수 있다고 기대하고 도입하면 실패할 수 밖에 없다. EDR은 지능화된 공격을 탐지하고 대응할 수 있도록 도와줘 보안조직, 침해대응팀의 업무를 줄일 수 있도록 지원한다”며 “카본블랙의 EDR은 가볍고 빠르며 지능적으로 동작하며, 클라우드 기반 분석을 통해 글로벌 위협 대응과 운영이 용이하다. 이러한 장점을 인정받아 한국에서도 다양한 기업들이 도입해 성과를 올리고 있다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.