“확실한 대규모 성공사례 입증돼야 시장 성장 시작할 것”
[데이터넷] 최근 발표된 NH농협은행의 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 도입 사업에 국내 보안 및 금융보안 업계가 주목하고 있다. 이는 국내 최대 규모의 엔드포인트에 적용되는 사업이며, NH농협은행이 장기간에 걸쳐 검토한 끝에 토종 솔루션인 지니언스의 ‘지니안 인사이츠 E’를 선택했다는 점이 주목된다. NH농협은행은 복잡한 대규모 엔드포인트 환경에 유연하게 맞춰야 한다는 점을 깊이 고려한 것으로 알려진다.
이민상 지니언스 상무는 “지니언스는 국내 NAC 시장에서 쌓은 경험을 바탕으로 EDR을 개발했다. 국내 엔드포인트 환경에 최적화 할 수 있으며, 국내 업무 환경, 보안 조직의 문화를 가장 잘 이해하고 맞출 수 있으며, 국내 특수한 보안 솔루션과의 연동도 용이해 솔루션 구축 초기에 자주 발생하는 장애·충돌 문제를 최소화 할 수 있다”고 말했다.
‘지니안 인사이츠 E’는 단말 이상행위 분석 기술을 가진 레드스톤소프트를 인수하면서 행위분석 기술을 한층 고도화시킨 EDR 솔루션이다. 단말의 악성코드와 이상행위를 침해사고지표(IOC), 머신러닝(ML), 행위기반엔진(XBA) 기술로 분석·탐지한다. 탐지된 악성 파일에 대한 프로세스 중지, 격리, 사용자 알람, 네트워크 격리 등 자동 대응을 지원한다.
백신 한계 보완 위해 등장한 EDR
EDR은 기존 보안 솔루션의 한계를 보완하기 위해 제안되는 솔루션이다. 시그니처 기반 백신이나 동적 행위 분석 기반 샌드박스는 쉽게 우회할 수 있다. 최근 유행하는 파일리스 공격은 기존 솔루션으로 대응하지 못한다. 백신과 샌드박스에서 탐지하지 못한 공격에 대응할 수 있는 차세대 보안 기술이 시급히 필요하게 됐으며, 그 대안 중 하나로 EDR이 선택된 것이다.
오진석 파이어아이코리아 상무는 “EDR을 검토하는 보안 조직은 크게 세 가지 특징을 갖는다. 기존 보안 솔루션으로 탐지하지 못한 위협을 찾아내기를 원하며, 수많은 엔드포인트를 가시화하고 실시간 탐지하려는 의지가 강하다. 또한 전사 컴플라이언스를 위해 엔드포인트 보안 현황을 확인하고 관리하려고 한다”고 설명했다.
그는 이어 “이러한 이유로 EDR을 검토하는 기업이 늘어나고 있지만, 시장이 성장가도에 오르기까지는 시간이 걸릴 것으로 보인다. ‘누가 봐도 의미 있는’ 성공사례가 완성돼야 도입 속도가 빨라질 것”이라며 “대형 금융기관들이 본격적인 솔루션 도입에 나섰으므로 시장 성장은 긍정적으로 전망할 수 있을 것”이라고 밝혔다.
“의미 있는 성공 사례 있어야 성장 시작”
제 1 금융권은 최신 보안 기술을 도입하는데 소극적인 편이다. 다른 산업군에서 충분히 안정성과 효과가 검증된 후 검토를 시작하는 것이 제 1 금융권이다. 그런데 EDR 솔루션은 시장 초기임에도 제 1 금융권이 적극적으로 도입을 추진하고 있다. 기존 솔루션으로 해결하지 못하는 엔드포인트 보안 위협이 심각하다는 사실을 방증하는 셈이다.
카본블랙에 따르면 공격에 사용된 멀웨어 중 파일리스 형태가 53%로 절반 이상에 달한다. 파일리스 공격은 시그니처에 없으므로 백신으로 차단할 수 없으며, 실행파일이 아니기 때문에 샌드박스 분석 되지 않는다. 정상 문서 프로그램, 윈도우의 정상 프로세스를 이용하기 때문에 행위분석 기술로도 탐지되지 않는다.
EDR은 전체 엔드포인트에서 일어나는 행위를 조사하고 연계 분석해 현재 진행 중이거나 진행된 공격 정황을 찾아 보안 분석가들이 추가 대응할 수 있도록 지원한다. 실시간 차단보다 모니터링에 초점을 맞춘 솔루션으로, 휘발성 데이터를 수집하고 의심되는 행위를 모니터링한다. 침해대응 전문 기술을 기반으로 하고 있어 위협을 탐지하고 대응하는데 탁월하다.
EDR 솔루션을 이용한 실제 침해사고 대응 사례를 소개하면, 국내 이커머스 기업의 서버 수백대가 랜섬웨어 공격으로 중단되는 사고가 발생했다. 침해대응 조직이 나서서 사고를 수습하고자 했는데, 감염 속도가 매우 빠른데다가 치료된 서버가 다시 감염되는 일이 반복해서 발생했다.
카본블랙 국내 총판인 아이넷뱅크는 카본블랙 ‘cb 리스폰스’를 공격 대상이 된 200여대 서버에 설치하고 감염 원인을 추적했다. 2시간여에 걸친 조사 끝에 AD 서버가 보트랙 트로이안(Vawtrak Trojan) 악성코드를 유포해 치료된 서버까지도 재감염시키고 있다는 사실을 발견했다. 이 악성코드는 웹서버 파일 업로드 취약점을 이용하는 악성코드로, 백신과 APT 방어 솔루션의 탐지 회피 기능을 탑재하고 있었다.
배성우 아이넷뱅크 상무는 “이 기업은 이미 여러 보안 솔루션을 사용하고 있었으며, 전문 기관의 IT 관리 및 침해대응 서비스를 받고 있었는데, 꽤 긴 시간 동안 침해 원인을 찾지 못해 상당한 피해를 입었다. 비슷한 시기에 유사한 공격을 받은 또 다른 이커머스 기업은 카본블랙 ‘cb 리스폰스’에서 공격이 발생하기 전 PC의 이상행위를 탐지해 피해를 막을 수 있었다”며 “EDR은 백신, 샌드박스, 스팸차단 등 다른 보안 솔루션이 막지 못한 공격을 위한 필수 솔루션”이라고 설명했다.
