[데이터넷] 올해 상반기까지만 해도 EDR 시장의 성장 전망은 밝지 않았다. 국내 환경에 맞지 않으며, 비싼 가격, 고급 보안 전문가가 필요하다는 점 등 때문에 EDR 도입 속도는 매우 느리게 진행될 것이라고 전망했다. 그러나 하반기 들어 시장이 조금씩 변하기 시작했다. ‘탐지와 대응’ 전략에 대한 이해가 높아졌으며, EDR 솔루션이 진화해 관리 편의성이 높아진 것도 원인이 된다.

특히 미국 비영리 연구개발 단체 MITRE가 올해 초 새롭게 ATT&CK 프로파일을 공개하면서 이를 적용한 위협 인텔리전스가 개선돼 EDR의 탐지 역량도 강화됐다. ATT&CK은 공격 전술과 기법, 공격그룹, 악성 소프트웨어 등을 정리해 위협 탐지와 대응에 활용할 수 있도록 한 것으로, 이 프로파일을 이용해 침해 증거를 찾아내고 공격을 추적·분석하는데 도움을 받을 수 있다.

무리한 출형경쟁 지양해야

기술 진화에 힘입어 EDR 솔루션의 도입 장벽이 낮아지면서 EDR 솔루션 시장이 꿈틀대기 시작했다. 초기 EDR 시장을 만들기 위해 적극 나섰던 지니언스, 카본블랙, 파이어아이가 여러 산업군의 고객을 확보하며 성장하고 있으며, 안랩, 이스트시큐리티가 EDR 솔루션을 엔드포인트 보안 포트폴리오에 추가하면서 통합 보안 전략을 적극 드라이브하고 있다.

이 처럼 EDR이 높은 기대를 받으면서 성장을 시작할 준비를 하고 있지만, 시장이 열리기도 전에 경쟁사가 늘어나면서 기술보다 가격으로 승부하려는 조짐도 보이고 있어 주의가 필요하다. 초기 EDR은 매우 비싼 가격으로 인해 도입 장벽이 높았지만, 경쟁이 치열해지면서 백신 수준의 대폭 낮은 수준의 비용이 제안됐다. 최근에는 이 가격 장벽도 무너졌으며, 우려할 만큼 낮은 가격까지 제안되고 있다. 초기 시장에서 주도권을 잡기 위해 무리한 출혈경쟁을 벌이다보면 전체 시장의 규모를 축소시켜 성장 기회를 놓칠 수도 있다.

김준섭 이스트시큐리티 부사장은 “최근 여러 산업군에서 EDR 도입 성공사례가 발표되고 있지만, 대부분의 경우 중요 산업군의 고객을 확보했다는 수준일 뿐, ‘유의미한’ 레퍼런스라고 할 수 있는 것은 많지 않다”며 “대규모 환경에서 문제없이 운영되고 있으며, 이로 인해 위협이 줄어들었다는 사실이 입증돼야 ‘성장가도에 올랐다’고 할 수 있다. 무리한 출혈경쟁은 지양하고 실제 고객의 위협을 낮추면서 벤더의 수익을 보장할 수 있어야 한다”고 지적했다.

여러 분석 엔진 통합해 EDR 복잡성 제거

많은 EDR 솔루션이 AI를 이용해 이상행위를 정확하게 탐지해낼 수 있다고 주장한다. 그러나 AI만으로 위협을 제거할 수는 없다. AI는 노이즈가 많아 분석가가 일일이 대응할 수 없다. 악성코드가 어떻게 동작하는지 알아야 악성코드가 일으키는 이상행위를 찾아낼 수 있으므로 악성코드 분석 전문성도 갖춰야 한다.

EDR을 효과적으로 운영하기 위해서는 악성코드 시그니처, 평판 분석, 위협 인텔리전스를 통해 이미 알려진 위협을 제거해 머신러닝 분석 리소스를 줄여야 한다. AV테스트의 조사에 따르면 2018년 발견된 악성코드 중 알려진 것이 84%에 이른다. EDR이 조사하기 전, 84%의 알려진 악성코드를 먼저 제거한 후 알려지지 않은 16%의 위협을 분석하는 것이 효과적이다. 이 때문에 독립 EDR 솔루션도 백신 엔진과 IOC, 위협 인텔리전스, 취약점 정보 등을 통합하고 있다.

유동훈 시큐리온 대표는 “최신 공격은 기존 대응 기술보다 한 발 앞서 있기 때문에 여러 탐지 기술을 집약해 대응해야 한다. 이 때문에 EDR도 여러 분석 기술을 적용해야 하는데, 내부에서 동작하는 핵심 기술이 안정화 돼 있는지 반드시 확인해야 한다”며 “실제 업무 현장에서 사용할 수 있도록 안정적이고 효과적인 위협 탐지 기술을 제공해야 시장에서 받아들여질 것”이라고 지적했다.

김선애 기자 다른기사 보기