글로벌 기업 한국 시장 진출 러시…침해대응 전문성 강조
[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>
통합 엔드포인트 보안으로 진화
기업·기관의 EDR 수요는 확실하다. 엔드포인트는 공격이 시작되는 지점이며, 기존의 보안 솔루션으로는 효과적으로 차단할 수 없기 때문이다. 엔드포인트는 사용 환경을 고려해야 하기 때문에 지나치게 높은 수준의 보안을 적용할 수 없다.
편의성을 높인다며 보안 수준을 낮추는 것은 위험하다. 알려진·알려지지 않은 위협에 포괄적으로 대응할 수 있으면서도 사용자를 불편하게 하지 않고 관리의 복잡성도 제거해야 한다.
EDR 솔루션 벤더들은 수년간 국내 복잡한 엔드포인트 환경에 최적화된 기술을 제공하기 위해 많은 투자를 전개했다. 경량 에이전트를 사용해 장애·충돌을 줄이고, 백신과 위협 인텔리전스, 평판분석, 행위분석 기술 등을 이용해 알려진 위협을 제거하고 의심스러운 이벤트만 분석해 노이즈를 줄이고 있다.
엔드포인트 위협 대응을 위해 여러 분석 엔진을 연동하는 통합보안 전략이 주를 이루고 있다. 특히 전통적인 백신 솔루션 기업들이 이 차세대 분석·탐지 엔진을 통합·연계하면서 엔드포인트에 대한 포괄적인 보호를 제공하는 ‘엔드포인트 통합 보안 플랫폼(EPP)’으로 발전하고 있다.
IoT가 확산되면서 통합보안 전략이 더욱 힘을 얻고 있다. 인터넷에 연결되는 엔드포인트의 숫자와 종류가 많아지면서 다양한 전략·전술로 무장한 공격이 발생하고 있다. 다종다양한 엔드포인트에서 발생하는 무수히 많은 위협에 대응하기 위해 가볍고 빠르며 안정적으로 작동하는 통합 보안 플랫폼이 필요하다.
위협 인텔리전스 연동해 최신 위협에도 대응
EPP는 백신, EDR, 보안 평가, 중요정보·개인정보 보호, 패치관리 시스템 등을 통합하면서 진화한다. 안랩의 EPP 전략이 그 대표적인 예다. 안랩은 보안관제 서비스 및 자사의 위협 인텔리전스와 연동해 더 전문적인 위협 대응을 제공한다.
이스트시큐리티는 백신과 EDR, 그리고 위협 인텔리전스를 연동하는 방식으로 엔드포인트 위협을 제거한다. 1600만 이상 실 사용자를 확보한 엔드포인트 보안솔루션 ‘알약’으로 알려진 위협을 차단한 후 이스트시큐리티의 악성코드 분석 역량을 집약한 EDR, 그리고 최신 위협 정보를 분석하는 ‘쓰렛 인사이드(TI)’를 단일 플랫폼으로 통합했다.
지니언스는 NAC와 연동될 수 있는 EDR을 제안한다. NAC는 다양한 단말에서 많은 종류의 이벤트를 수집·분석할 수 있다.
글로벌 위협 인텔리전스와 행위분석 기술을 통합한 지니언스 EDR은 그 자체로 단말에서 정교하게 진행되는 위협을 막을 수 있으며, 위협대응 전문기업 엔키와의 협력으로 발견된 위협에 즉시 대응할 수 있게 한다. NAC와 연동하면 EDR에서 위협을 탐지한 후 NAC 서버에서 차단·격리 및 분석 등의 추가 조치를 취할 수 있다.
중요정보 유출 방지(DLP) 솔루션 기업 소만사는 ‘프라이버시 아이(Privacy-i)’와 EDR을 하나의 에이전트로 통합하면서 시장에 뛰어들었다. 소만사의 DLP 전문 역량을 살려 데이터 중요도에 따라 적합한 보호 수준을 결정하며, 기밀정보·중요정보 유출에 즉시 대응할 수 있다. 마이터 어택(MITRE ATT&CK) 프레임워크를 반영해 위협 탐지 역량을 한층 높였다.
EDR 전문성 강조하는 글로벌 기업
DLP와 EDR을 결합하면 기업·기관이 궁극적으로 지켜야 할 ‘데이터’를 보호할 수 있게 된다. 이 점을 강조하는 디지털가디언도 국내 EDR 시장에 뛰어들었다. 디지털가디언은 전사 데이터 가시성을 확보하며, 맥락(Context)에 맞는 데이터 보호 정책을 적용할 수 있다. DLP와 EDR, APT 방어 모듈을 단일 플랫폼에서 제공하며 거의 대부분의 OS를 지원할 수 있다.
디지털가디언의 한국총판인 아이넷뱅크는 ‘EDR의 원조’라 할 수 있는 카본블랙의 총판이기도 하다. 국내 대형 포털, 게임사, 공공기관, 이커머스 기업 등에 카본블랙을 공급하며 시장을 열어왔다.
카본블랙의 ‘cb 리스폰스’는 글로벌 침해대응(IR) 솔루션의 리더 자리를 지키고 있다. 이 제품은 가볍고 빠르고 정확하게 위협을 찾아내며, 거의 대부분의 보안 솔루션과 연계해 탐지 정확도를 높인다. VDI 등 가상 PC에도 적용 가능하며, 실시간 스트리밍 분석과 전 세계 1만3000명 이상의 보안 전문가와 연계한 최신 위협 정보를 통해 최신 위협에도 대응할 수 있다.
파이어아이도 침해대응 전문성을 강조하며 EDR 시장의 강자 자리를 넘보고 있다. 파이어아이 맨디언트 침해대응 전문 역량을 기반으로 설계된 ‘엔드포인트 시큐리티(HX)’는 모든 엔드포인트의 활동을 조사·분석하고, 전반적인 활동 타임라인 또는 포렌식 분석 정보를 포착하며, 보안 사고에 대한 세부 정보를 수집한다. 비트디펜더 백신 엔진과 머신러닝 기반 보호 엔진 ‘멀웨어가드(MalwareGuard)’를 추가해 탐지 효과를 높였다.
