운영·관리 까다로워 확장성 떨어져…국내 적용 제약 사항 많아
[데이터넷] EDR에 대한 고객의 수요는 확실하다. 공격은 늘 변하며, 기존의 보안 기술로는 막을 수 없다. 안티바이러스는 알려진 공격 대응에 가장 적합한 솔루션이지만, 알려지지 않은 최신 공격은 막을 수 없다.
IoT로 확장되면서 엔드포인트는 보호해야 할 기기의 물리적인 숫자가 많아지고, 기기의 종류, 운영체제가 다양해 복잡성이 매우 높다. 사용자 습관, 업무 특성 등을 고려해야 해 보안 정책을 강력하게 유지할 수도 없다. 쉽게 사용자를 속이고 보안 솔루션을 우회할 수 있기 때문에 공격자들은 엔드포인트를 타깃으로 한 공격을 이어가고 있다.
EDR은 이러한 문제를 해결할 수 있는 대안으로 주목받고 있다. 기존 보안 시스템을 유지하면서 보안성을 향상시킬 수 있는 기술로, 지능적인 보안위협에 지능적으로 대응할 수 있도록 도와주기 때문에 까다로운 엔드포인트 보안 이슈를 해결할 수 있다고 인정받고 있다.
김준섭 이스트시큐리티 부사장은 “EDR은 침체된 엔드포인트 보안 시장의 돌파구다. 이 시장이 성공하지 못하면 국내 보안 시장은 상당한 어려움을 겪게 될 것이다. EDR의 한계를 해결하며 도입 효과를 극대화 할 수 있는 운영 방안을 제안해야 EDR이 성공할 수 있다. 대규모 성공사례가 완성되고 발표되면 그 때 부터 빠른 속도로 성장을 시작할 것”이라고 밝혔다.
운영 까다로운 EDR
보안 업계에서는 “내년에 EDR이 폭발적으로 성장할 것”이라고 기대한다. 그러나 2017년, 2018년 하반기에도 똑같은 전망을 내놓았다. 그리고 그 다음해 초 “EDR은 국내에서 시기상조”라는 진단이 나왔다. 백신의 한계는 명확하지만, EDR이 그 문제를 해결하지 못한다는 한계 때문이다.
초기 EDR은 장애와 충돌이 잦았다. 엔드포인트에 EDR이 추가 설치되면서 기존에 설치된 에이전트와 리소스 경합을 벌이면서 시스템 과부하를 발생시켰다. 엔드포인트에서 일어나는 행위를 CCTV처럼 감시하고 모니터링하는 EDR은 DRM, DLP, 키보드 보안, PC 방화벽 등을 공격행위로 인지하고 프로세스를 차단하거나 과다하게 이벤트를 발생시켜 업무에 지장을 주고 관리를 복잡하게 만들었다.
기 설치된 백신과의 충돌도 문제였다. 백신과 EDR이 서로 차단하거나 삭제를 시도하면서 장애를 발생시켰다. 백신을 제거하면 국내 관련 규제를 준수하지 못한다. 백신으로 알려진 위협을 제거한 후 알려지지 않은 위협을 EDR로 대응해야 하는데, 백신 없이 EDR만 운영하면 이벤트 과다 발생으로 관리가 어려워지고, 보안 홀이 더 늘어나게 됐다.
EDR은 엔드포인트에서 발생하는 모든 데이터를 수집해 연계 분석한다. 백신, 평판정보, 위협 인텔리전스, SIEM, 행위분석 기술, 보안관제 솔루션, 네트워크 트래픽 분석(NTA) 등 여러 보안 솔루션과 연계해야 한다. 그러나 국내 보안 솔루션과의 연동이 원활하지 않다. 글로벌 제품은 API를 통해 쉽게 연동될 수 있지만, 국내 보안 솔루션 중에서는 API를 제공하지 않는 것이 상당수기 때문이다.
“백신처럼 관리해선 안 돼”
EDR은 ‘실시간 차단’이 아니라 ‘탐지와 대응’을 위한 솔루션이다. 백신이 보지 못한 이벤트를 더 많이 보고 대응하기 위해 제공되는 솔루션이기 때문에 관리자의 업무가 늘어날 수밖에 없다. 또한 악성코드 탐지·분석 외에 엔드포인트에서 발생하는 행위를 분석하는 일이기 때문에 악성코드 분석 전문 역량과 함께 침해대응 역량도 필요하다. 커널 기반 보안 기술과 사용자 기반 보안 기술이 필요한 것이 EDR이다.
이민상 지니언스 상무는는 “악성코드 탐지는 EDR이 갖춰야 할 기능 중 일부일 뿐이다. 악성코드 자체를 탐지하는 것 보다 중요한 것이 악성코드가 어떻게 감염되고 동작하며 내부 시스템을 감염시켰는지 과정을 추적해 분석하고 가시화하는 것이 EDR”이라며 “EDR은 엔드포인트의 다종다양한 대규모 데이터를 수집해 정확한 분석 결과를 도출하는 것이 핵심 기술이다. 또한 대규모 데이터를 장기간 효율적으로 보관하며 비용을 줄일 수 있는 방법을 제안하는 것도 필요하다”고 설명했다.
데이터를 수집·분석하는 과정도 순탄치 않다. 엔드포인트 이벤트를 모으면 PC 한 대 당 수십 TB에 이르는 데이터가 쌓인다. 대규모의 엔드포인트를 관리하려면 데이터 수집과 분석에 사용되어야 하는 인프라 비용이 만만치 않다. 금융권에 구축된 VDI 환경에서는 가상PC가 동작되는 서버에서 데이터를 수집해야 하는데, EDR 솔루션이 VDI를 지원하지 않는 경우도 있다.
망분리 환경에서는 EDR을 구축하기가 쉽지 않다. EDR은 엔드포인트가 아니라 중앙 서버에서 분석한다. 중앙 서버에는 여러 탐지엔진과 평판정보, 위협 인텔리전스 등이 있어 분석 정확도를 높인다. 특히 평판정보와 위협 인텔리전스는 클라우드에 연결되어 전 세계에서 수집되는 실시간 정보를 반영하게 된다. 망분리된 업무망에서는 클라우드 연결이 불가능하다는 문제가 있다.
클라우드 연결 없이 행위분석만으로도 EDR을 운영할 수 있지만, 정확도가 떨어지고 오탐이 많다. 정확도를 높이기 위해 위협 인텔리전스 DB를 정기적으로 중앙관리서버에 넣는 방법도 고려할 수 있지만 이를 위해서는 고성능·대용량 시스템이 필요해 비용이 크게 증가하게 된다.
