[2020 ICT 분야별 전망] EDR·XDR①
상태바
[2020 ICT 분야별 전망] EDR·XDR①
  • 김선애 기자
  • 승인 2019.12.13 09:09
  • 댓글 0
이 기사를 공유합니다

시장 문 활짝 열린 EDR…대규모 공급사례 시작되며 경쟁 ‘활활’
매니지드 서비스로 EDR 운영 어려움 해결

[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>

엔드포인트 침해 탐지 및 대응(EDR) 솔루션이 국내 대규모 공급사례를 발표하면서 성장의 문을 활짝 열었다. NH농협은행은 농협중앙회와 단위농협을 포함해 전국 10만여대 규모 엔드포인트에 EDR을 구축키로 하고, 파일럿 성격의 1차 사업을 시작했다. 5000대 규모로 공급되는 1차 사업에는 지니언스의 ‘지니안 인사이츠 E’가 선정됐다.

이스트시큐리티는 외산 EDR 솔루션을 잇달아 윈백하면서 성장가도를 달리고 있다. 신세계조선호텔, GS그룹 계열사 인천종합에너지는 외산 EDR 솔루션의 잦은 장애와 운영관리의 어려움을 겪었으며 이스트시큐리티 ‘알약EDR’로 대체했다.

의미 있는 대규모 구축 성공 사례가 발표되면서 EDR 시장이 본격적으로 열렸다는 전망이 우세하다. 2019년 많은 공공·금융기관에서 EDR 솔루션을 다양하게 검토했으며, 시범운영 성공 사례를 통해 효과를 검증한 바 있다.

랜섬웨어, 데이터 유출 등 사고를 겪어본 기업들은 매우 적극적으로 EDR을 도입하고 있다. EDR이 전체 엔드포인트를 가시화해 위협이 시작된 지점과 어떤 경로로 확산되는지 파악하고 대응할 수 있다는 것을 확인하면서 EDR 적용 범위를 넓혀가고 있다.

▲엔드포인트 위협 탐지와 대응 프로세스
▲엔드포인트 위협 탐지와 대응 프로세스(자료: RSA)

국내 환경에 적합하지 않은 EDR

EDR은 백신을 보완하는 솔루션으로, 엔드포인트에서 일어나는 행위를 조사하고 다른 이벤트와 연계 분석해 진행 중인 공격을 찾아 적절한 조치 방안을 관리자에게 알려준다. 백신이 차단하지 못한 위협을 탐지해 보안 수준을 높일 수 있다. 그러나 EDR은 우리나라의 까다로운 엔드포인트 환경을 지원하는데 한계가 있었으며, 관리자의 업무를 폭증시켰고, 전문지식이 없으면 운영하기에 까다로워 확장에 한계가 있었다.

EDR이 국내 환경에 적용되기 어려웠던 가장 큰 원인은 기업·기관이 EDR을 백신처럼 운영하고자 했기 때문이다. 백신은 한 번 설치하면 관리자 개입 없이 자동으로 시그니처를 업데이트하고, 알려진 위협을 차단한다. EDR은 관리자의 적극적인 개입이 필요하다. 발견된 이벤트의 위협 수준에 따라 적절하게 대응해야 하며, 이분야에서 수준 높은 전문성이 있어야 한다.

신·변종 악성코드와 랜섬웨어 위협이 고조되었던 2016년부터 “백신과 샌드박스를 보완할 수 있는 EDR이 성장할 것”이라는 전망이 쏟아졌지만, 초기에 의욕적으로 EDR을 도입했던 기업들이 잇달아 운영 실패를 선언했으며, EDR을 공급하던 보안 기업과 기술 지원 조직들이 쏟아지는 장애 처리 요구로 인해 어려움을 겪었다.

그러나 2019년에는 이러한 문제가 해결되면서 EDR이 성장의 문을 활짝 열었다고 평가받는다. 신기술 도입에 소극적인 금융권에서 운영 성공사례가 발표되고 있으며, EDR 적용 범위을 넓히고 있다.

매니지드 서비스로 EDR 운영 복잡성 해소

그러나 해결되지 않은 난제가 있다. 관리 복잡성의 문제다. 위협 탐지·대응 시스템이 안고 있는 근본적인 문제인 ‘과도한 이벤트’를 해결하기 어렵다. 이벤트를 하나하나 살펴보면 분명히 의심스러운 정황이 있으며, 이 이벤트가 다른 이벤트와 연결되어서 위협으로 진화할 수 있다. 이를 모두 분석하기 위해서는 고급 보안 전문가의 역량이 필요하며, 많은 기업·기관은 전문가를 충분히 충원할 수 있는 여건이 되지 않는다.

그래서 EDR 운영을 위한 매니지드 탐지·대응(MDR) 서비스가 주목받는다. 침해대응, 악성코드 분석 전문가의 지원을 받을 수 있는 MDR을 이용하면 기업·기관 보안인력의 업무를 증가시키지 않고 EDR 도입 효과를 누릴 수 있다.

블랙베리 사일런스의 국내 총판 파고네트웍스의 MDR 모델이 이러한 이상에 적합하다. 사일런스는 AI만으로 위협을 탐지하고 대응하는 기술을 제공한다. 차세대 백신(NGAV) ‘사일런스 프로텍트(CylancePROTECT)’와 EDR ‘사일런스 옵틱스(CylanceOPTICS)’를 통합해 배포할 수 있으며, 백신이 탐지·차단한 위협을 EDR로 추적·분석해 사후 대응까지 강화할 수 있다.

사일런스는 AI만으로 위협을 탐지하기 때문에 노이즈가 많아 일반 보안 조직에서 운영하기 쉽지 않다. 파고네트웍스는 전문가 대응 서비스를 결합한 MDR을 사일런스와 함께 제공해 보안조직의 업무를 효율화한다.

사일런스는 엔드포인트 뿐 아니라 서버까지 지원할 수 있으며, 서버 에디션은 다른 서버 백신 솔루션과 비교해 가격 경쟁력이 높은 편이다. 파고네트웍스 MDR 서비스와 함께 제공한다 해도 비용 효율적으로 운영할 수 있다. 파고네트웍스는 서버까지 확장 지원하는 사일런스와 MDR 서비스로 차별적인 경쟁력을 입증하면서 공격적인 영업을 전개한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.