[데이터넷] 크라우드스트라이크는 엔드포인트 보안 시장에서 가장 빠르게 성장하는 기업이다. 2011년 설립이래 단 한번도 성장 속도가 꺾이지 않았을 뿐 아니라 매년 70~90% 성장이라는 놀라운 실적을 기록하고 있다.

크라우드스트라이크의 경이로운 성장세는 ‘뛰어난 기술’ 덕분이다. 크라우드스트라이크는 여러 시장조 사기관에서 경쟁사를 월등히 앞지르는 평가를 받고 있다.

가트너의 ‘2021년 매직쿼드런트 엔드포인트 보호 플랫폼(EPP)’에서 마이크로소프트와 함께 경쟁사를 한참 따돌리고 선두자리를 차지했다. 가트너의 또 다른 보고서인 ‘엔드포인트 보호 플랫폼이 갖춰야 할 필 수 기능’ 보고서는 ▲최고의 기술을 도입하려는 조직 ▲검증된 기술을 도입하려는 조직 ▲비용효율성을 중 요시하는 조직 모든 분야에서 1~2위를 차지했다.

가트너는 크라우드스트라이크가 단일 에이전트에서 핵심 EPP·EDR 기능을 제공하며, 엔드포인트 리소스를 가장 적게 사용하고, 클라우드 기반 위협 인텔리 전스와 위협 헌팅, 고급 위협 감지를 위한 데이터 분석 기능이 뛰어나다고 평가했다. 위협헌팅 서비스가 포함된 ‘오버워치(OverWatch)’, 매니지드 보안 서비스가 통합된 ‘컴플리트(Complete)’를 통해 보안조직이 충 분하지 않은 조직에서도 쉽게 차세대 엔드포인트 보안 을 구현할 수 있게 한다.

이러한 강점을 인정받아 포춘 100개 기업 중 44개, 글로벌 기업 100개 중 37개에 공급돼 있으며, 지난해 6월 한국 영업조직을 설립한지 1년도 안돼 국내 대표적인 게임사와 이커머스 회사, 제조사 등 대규모 레퍼런스를 잇달아 확보하고 있다.

뛰어난 EDR 기능 인정 받아

인성디지탈이 국내에 공급하는 크라우드스트라이크는 엔드포인트 보안 시장의 전통적인 강자들이 다소 주춤한 틈을 타 더욱 공격적으로 시장에 접근하고 있다. 재택근무로 인해 엔드포인트 보안위협이 증가하고 랜섬웨어 피해가 잇따르면서 더 높은 관심을 받고 있다. 윈도우, 맥OS, 리눅스, 클라우드, 모든 모바일 기기 등 다양한 OS를 지원하며, 클라우드 워크로드 보호 및 컨테이너 보호 기능까지 갖추면서 모든 환경의 엔드포인트를 보호한다.

크라우드스트라이크의 통합 플랫폼인 ‘팔콘 (FALCON)’은 클라우드 네이티브 아키텍처로 설계 돼 빠르고 가볍게 지능형 위협을 탐지할 수 있다. 특히 EDR 기능이 뛰어난 것으로 평가받고 있으며, 성능저 하 없이 모든 엔드포인트와 워크로드를 보호해 호평받는다.

크라우드스트라이크는 세계적인 보안 분석가와 위협헌팅 전문가를 통해 전 세계에서 발생하는 위협을 분석하면서 자사 탐지·대응 능력을 향상시키고 있다. 150여개의 APT 공격그룹을 추적하면서 그들의 전술· 전략·프로세스(TTP)를 파악하고 최적의 대응 방안을 고객에게 제안한다.

복잡한 엔드포인트 위협 탐지, 클라우드가 대안

크라우드스트라이크는 클라우드를 통해 운영되기 때문에 클라우드에 소극적인 조직에서는 도입을 주저 하는 면이 있다. 그러나 이미 거의 대부분의 엔드포인 트 보안 솔루션이 클라우드를 기반으로 운영된다.

국내 대표적인 안티바이러스 제품 역시 클라우드를 기반으로 한 구독형 모델을 채택하고 있다. 다만 크라우드스트라이크는 관리서버까지 클라우드에 둬야 한다는 점 때문에 컴플라이언스가 강한 일부 산업에는 도입에 제약이 있지만, 클라우드 사용 환경이 빠르게 확산되고 있기 때문에 산업별 특수한 제약도 곧 해결될 것으로 기대된다.

크라우드스트라이크는 엔드포인트 보안은 클라우드를 기반으로 운영돼야 한다고 주장한다. 기존 엔드 포인트 보안은 안티바이러스, HIPS, 애플리케이션 화이트리스팅, 샌드박스, 취약점 완화 등 여러 탐지 엔진이 결합돼 있어 무겁고 관리가 어렵다. 타깃 맞춤화된 공격이 일상적으로 일어나는 현재 상황에 기존 방식으 로는 위협을 방어할 수 없다.

공격의 51%는 멀웨어를 사용하지 않으며 취약점과 설정오류, 사용자 실수 등을 이용하기 때문에 시그니처 기반 보안 솔루션은 해답을 주지 못한다. 모든 위협을 100% 막을 수 없기 때문에 AI·행위분석 등 고급 분석 기술이 반드시 필요한데, 이 모든 기능을 로컬 서 버와 기기의 성능으로 지원할 수 없으며, 클라우드만 이 대안이라고 할 수 있다.

가트너 역시 엔드포인트 보안은 클라우드 기반 기술로 전환될 것이라고 예상하고 있으며, 현재 전체 EPP 배포 모델 중 클라우드 기반 배포모델이 90%, 2023년 말까지 95% 이상이 클라우드를 택할 것이라고 내다봤다.

엔드포인트 모든 행위 저장·분석

크라우드스트라이크의 또 다른 강점은 경량 에이전 트에 엔드포인트에 필요한 모든 기능을 통합했다는 점이다. ‘팔콘’에는 EPP와 EDR이 통합돼 있으며, 시그니처와 스캔 없이 AI/머신러닝 엔진으로 분석하며, 제로데이 취약점 방어, IOA(Indicators of Attack) 행위 기반 탐지·대응으로 알려지거나 알려지지 않은 공격을 방어할 수 있다. CPU 사용률 1% 이하, 40MB 이하 메 모리 사용으로 엔드포인트에 영향을 주지 않는다.

단일 에이전트에 모든 보안 기능을 통합하는 것 역시 세계적인 추세로, 가트너는 2023년까지 핵심 EDR 기 능은 별도 라이선스가 아니라 모든 EPP 솔루션에 포함 될 것이라고 예측했다.

크라우드스트라이크 팔콘 플랫폼에 포함된 제품 중 차세대 백신(NGAV) ‘프리벤트(Prevent)’는 머신러닝과 IOA, 행위분석 기능을 이용해 실시간으로 위협을 차단한다. 제로데이 공격 방어와 랜섬웨어 차단 기능이 뛰어나며 온라인에 연결돼 있지 않은 기기도 보 호한다.

EDR 솔루션 ‘인사이트(Insight)’는 엔드포인트 행 위를 모두 다 저장하고 실시간 위협을 탐지해 격리·대 응한다. 탁월한 위협 헌팅 기능을 제공해 보안을 우회 하는 정교한 위협 행위까지 찾아낼 수 있으며, 커스텀 스크립트를 제공해 조직의 대응 역량을 강화할 수 있도록 한다.

클라우드 보호 기능 지속 확대

크라우드스트라이크는 클라우드 환경을 위한 솔루션도 지속적으로 발표하고 있다. ‘팔콘 클라우드 워크로드 보호(CWP)’는 컨테이너 런타임 보안을 폭넓게 지원하며, 아마존 EKS, 파게이트(Fargate), 애저 쿠버 네티스 서비스(AKS), 구글 쿠버네티스 엔진(GKE), 랜처, IBM 레드햇 오픈시프트 등의 기술 프리뷰를 사 용할 수 있다. 프로덕션 환경에서 컨테이너를 실행하기 전 보안위협을 식별하고 숨겨진 위협을 차단한다.

클라우드 보안 형상관리(CSPM) 솔루션인 ‘팔콘 호라이즌(Horizon)’은 멀티 클라우드 전반에 대한 컴플 라이언스 위배, 설정오류, 취약점 관리 등을 제공해 클 라우드 보안을 한층 강화한다. 호라이즌은 AWS와 애 저 리소스에 숨겨진 보안위협을 예방하고 보호·수정하며 쿠버네티스와 서버리스 서비스까지 평가한다.

권한 최소화를 위한 클라우드 ID 모니터링으로 정상 사용자 계정이 비정상적으로 서비스에 접근하는 것도 차단한다. 미리 구축된 대시보드를 통해 세계 주요 국 가와 지역의 규제준수 요건을 비교, 컴플라이언스 위 배 내용을 찾아낸다.

매니지드 서비스로 보안 조직 효율화

EPP와 EDR 통합 솔루션은 정교하게 위협을 탐지할 수 있다는 장점이 있지만, 엔드포인트 보안에 대한 충분한 전문성이 없으면 운영의 어려움을 겪을 수 있다. 그래서 매니지드 서비스를 제안하는데, 가트너는 2025년까지 EDR 사용 조직의 50%가 관리형 탐지·대응 기능을 사용할 것이라고 분석하기도 했다.

크라우드스트라이크는 매니지드 보안 서비스인 ‘오버워치’와 ‘컴플리트’를 팔콘 플랫폼에 통합시켜 보안 전문가를 충분히 확보하지 못한 조직에서도 지능화된 위협 대응에 성공할 수 있도록 한다. 또 이 모델을 전문으로 하는 국내 보안관제서비스 기업 및 매니지드 보안 서비스 기업과 함께 제공해 국내 고객에 최적화된 보안 서비스를 제공할 계획도 갖고 있다.

오버워치는 매니지드 위협 헌팅 서비스로, 24*7 중단없는 서비스를 제공하며, 숨겨진 정교한 위협을 추적하고 신속한 조사와 대응을 지원한다. 보안조직의 대응 우선순위와 조치 가이드를 제공해 보안조직의 업 무를 도와준다. 컴플리트는 엔드포인트 보안운영센터 (SOC)의 매니지드 서비스로, 대응까지 직접 해 주기 때문에 보안조직이 없거나 약한 조직에 적합하다.

간편한 써드파티 연동으로 통합 이점 극대화

크라우드스트라이크는 클라우드 SIEM 기업 휴미오(Humio)를 인수하며 ‘팔콘 시큐리티 클라우드 XDR(Falcon Security Cloud XDR)’을 강화하고 있다.

크라우드스트라이크는 호스트뿐 아니라 프로세스 수준까지 상관관계가 있는 센서의 네트워크 데이터를 사용해 일주일에 5조개의 텔레메트리를 조사한다. 이를 통해 위협 이벤트에 대한 컨텍스트를 확보하고 정확하게 공격 가시성을 제공할 수 있다.

다양한 클라우드와 워크로드에서 다양한 위협 데이터를 수집·분석하는데 있어 클라우드 기반 차세대 SIEM이 절대적이다. 크라우드스트라이크는 휴미오가 이러한 요건을 갖춘 최적의 기술을 제공한다고 판단해 인수를 결정했다. 크라우드스트라이크와 휴미오의 결 합으로 실제 진행되는 위협을 정확하게 파악하고 대응 하는 이상적인 XDR 모델을 제안한다.

또 크라우드스트라이크는 애플리케이션 마켓인 ‘크라우드스트라이크 스토어(CrowdStrike Store)’를 운 영해 고객들이 필요로 하는 애플리케이션을 쉽게 선택 하고 통합할 수 있게 한다. 클릭 몇 번 만으로 타사 앱 과 통합돼 위협 가시성을 한층 높일 수 있어 XDR의 진 정한 가치를 누릴 수 있게 한다.

엔드포인트, ID, 애플리케이션, 네트워크 엣지, 클 라우드를 아우르는 플랫폼을 통해 차세대 엔터프라이 즈 보안 및 IT 플랫폼을 강화할 수 있는 통합 데이터 계층을 구축한다.

더불어 크라우드스트라이크는 SOC를 효율화하는 ‘퓨전(Fusion)’을 팔콘 플랫폼에 추가하면서 보안 오케스트레이션·자동화(SOA) 영역에도 진출한다.

퓨전은 사용하기 쉬운 워크플로우 자동화를 제공해 다른 보안도구로 전환하지 않고 단일 콘솔에서 보안관 리를 가능하게 한다. 워크로드와 엔드포인트 상황별 인사이트를 기반으로 사용자 지정 조치와 알림을 제공 하고 사고 분류와 대응속도를 높인다.