완벽한 자동 운영 가능한 EDR 찾으면 ‘실패’
[데이터넷] EDR 도입을 어렵게 만드는 가장 큰 이유는 ‘과도한 이벤트’이다. EDR 업계에서는 이를 ‘오탐’이라고 부르지 않고 ‘노이즈’라고 한다. 개별 이벤트를 분석하면 분명히 위협으로 의심되는 행위가 발생했다. 그러나 단일 이벤트만으로는 위협이 되지 못한다. 이 이벤트가 다음 단계로 넘어가면서 공격 행위가 분명해진다. 따라서 여러 이벤트에서 연관관계를 찾아 실제 공격으로 이어질 수 있는 이벤트가 무엇인지 발견해 낼 수 있는 전문가가 필요하다.
EDR 운영 문제를 해결할 수 있는 전문가는 침해대응, 악성코드 분석, 엔드포인트 위협 헌팅, 포렌식 등의 역량을 갖고 있어야 하는데, 현재 보안관제 인력은 대부분 네트워크 단에서의 위협대응 전문성을 갖췄지만 엔드포인트 보안 역량을 충분히 갖췄다고 보기 어렵다.
또한 보안운영센터(SOC)를 갖출 만큼 대규모 보안 조직을 갖추지 못한 기업·기관은 자체적으로 EDR을 운영하는데 어려움을 겪는다. 이 때문에 매니지드 보안 서비스(MSS)를 이용하게 되는데, EDR 전문성을 갖춘 MSSP 지원을 위한 충분한 예산을 확보하는 것도 쉽지 않은 일이다.
EDR, 보안 운영 프로세스 변화 필요
많은 노이즈로 관리 업무 폭증EDR을 설치하면 관리 업무가 폭증한다는 것도 문제다. EDR은 자동 차단 기능을 갖고 있지 않으며, 관리자가 이벤트를 확인하고 적절한 조치를 취하도록 한다. 탐지된 위협의 우선순위를 매겨 높은 순위의 위협에 먼저 대응할 수 있도록 지원하지만, 높은 우선순위의 이벤트도 너무 많아서 기존의 보안 인력이 모두 다 대응하지 못한다.
EDR 솔루션 벤더들은 여러 탐지·분석 엔진을 추가하면서 자동화된 대응으로 관리 업무를 줄여나가고 있지만, 백신과 같은 수준의 자동화를 기대할 수는 없다. 높은 우선순위의 이벤트라고 해서 자동 차단하게 되면 정상적인 업무를 중단시킬 수도 있기 때문이다. 예를 들어 소프트웨어 보안 패치의 경우 악성코드와 동일한 프로세스로 동작하기 때문에 EDR이 심각한 위협이라고 인지하고 차단시킬 수 있다.
오진석 파이어아이코리아 상무는 “EDR을 성공적으로 도입하려면 보안운영 프로세스를 대거 변화시켜야 하고, 보안 조직의 전문역량이 한 층 높아져야 한다”며 “진화하는 보안 트렌드에 적극적으로 따라가는 보안 조직이 아니라면 EDR 운영에 어려움을 느끼게 될 것”이라고 지적했다.
보안 조직 노력 필요한 EDR
지난 2~3년간 진행된 EDR 도입 사업이 성공하지 못한 근본적인 원인은 EDR을 백신처럼 운영하고자 했기 때문이다.
배성우 아이넷뱅크 상무는 “EDR은 관리자의 개입을 필요로 하는 솔루션이다. 백신처럼 관리자 개입 없이 위협이 제거될 수 있기를 바란다면 EDR을 도입해서는 안 된다. EDR은 기존에 보지 못했던, 알려지지 않은 위협을 찾아 정확하게 대처할 수 있도록 도와주는 솔루션으로, 관리 업무 증가는 피할 수 없는 일”이라며 “보안 조직의 적극적인 노력 없이는 EDR 운영에 성공할 수 없다”고 말했다.
아이넷뱅크는 카본블랙 국내 총판으로 EDR 시장을 앞장서서 개척하고 있다. 카본블랙의 ‘cb 리스폰스’는 글로벌 침해대응(IR) 솔루션의 리더 자리를 지키고 있다. 이 제품은 가볍고 빠르고 정확하게 위협을 찾아내며, 거의 대부분의 보안 솔루션과 연계해 탐지 정확도를 높인다. VDI 등 가상 PC에도 적용 가능하며, 실시간 스트리밍 분석과 전 세계 1만3000명 이상의 보안 전문가와 연계한 최신 위협 정보를 통해 최신 위협에도 대응할 수 있다.
아이넷뱅크는 ‘cb 리스폰스’를 국내 환경에 맞춰 제안하고 있으며, 국내 최대 제조기업, 이커머스 기업, 포털, 게임사, 공공기관 등 다수에 공급했다.
더불어 아이넷뱅크는 디지털가디언 총판 계약을 추가로 체결하며 엔드포인트 데이터 보호 역량을 한층 강화하고 있다. 아이넷뱅크는 국내 대규모 글로벌 제조사의 DLP 표준 솔루션으로 디지털가디언을 공급하는 계약을 체결하며 시장 공략을 시작했다. 디지털가디언은 DLP와 EDR, APT 방어 기능을 단일 플랫폼으로 통합한 엔드포인트 보안 솔루션을 제공한다. 특히 지능적인 컨텍스트 인지 기술과 전체 위협 가시성을 특화된 장점으로 소개한다.
침해대응 전문성 기반 EDR
침해대응 전문성을 강조하는 EDR로 파이어아이의 ‘엔드포인트 시큐리티(HX)’도 주목된다. HX는 맨디언트 침해대응 전문 역량을 기반으로 설계된 EDR로, 모든 엔드포인트의 활동을 조사·분석하고, 전반적인 활동 타임라인 또는 포렌식 분석 정보를 포착하며, 보안 사고에 대한 세부 정보를 수집한다. 비트디펜더 백신 엔진과 머신러닝 기반 보호 엔진 ‘멀웨어가드(MalwareGuard)’를 추가해 탐지 효과를 높였다.
보안 오케스트레이션 플랫폼 ‘힐릭스(Helix)’와 연동해 이기종 보안 솔루션에서 수집된 이벤트와 연계 분석할 수 있어 엔드포인트 뿐 아니라 전사 관점의 위협 탐지와 대응이 가능하다. 이메일, 파일, 네트워크 전반에서 위협을 탐지할 수 있다.
오진석 파이어아이코리아 상무는 “EDR은 침해대응 분야에서 시작된 솔루션으로, 강력한 침해대응 역량이 없으면 완성할 수 없다. HX는 세계적인 침해대응 조직인 맨디언트의 전문가가 사용한 툴을 상용화 한 것으로 EDR 분야에서 최고 수준의 기술을 제공한다고 자신한다”며 “또한 파이어아이의 글로벌 위협 인텔리전스와 결합해 EDR 관리 복잡성을 제거하고 탐지 정확도를 높일 수 있다”고 밝혔다.
‘보안 솔루션의 백화점’이라고 불리는 포티넷은 지능형 엔드포인트 보안 전문기업 ‘엔실로(enSilo)’를 인수하며 EDR 시장에도 뛰어들었다. 엔실로는 리눅스, 윈도우, 맥OS를 포함한 여러 운영체제에서 보호가 가능한 경량 에이전트를 제공하며, 통합 액세스 제어 및 엔드포인트 보안 기능을 통해 IoT에 대한 조율된 보안을 제공한다. PCI, HIPAA, GDPR 준수를 보장하기 위해 공격을 차단하고 유출사고 및 랜섬웨어를 방지하는 특허받은 코드 트레이싱(code-tracing) 기술을 제공한다.
