[데이터넷] 콜로니얼 파이프라인 랜섬웨어, 솔라윈즈와 카세야 공급망 공격, 원자력연구원·한국항공우주산업(KAI) 등 최근 발생한 대규모 사이버 공격은 악성코드가 아닌 정상적인 보안 기술과 솔루션을 이용했다.

정상 VPN과 윈도우에서 기본적으로 제공하는 RDP·GPO, 모의해킹 툴 코발트스트라이크 등을 사용했다. 소프트웨어 코드사인을 훔쳐 악성 백도어가 삽입된 업데이트 파일이 배포되도록 했다. 알려지지 않은 파일을 샌드박스 행위기반 분석으로 악성여부를 확인하는 APT 방어를 우회하기 위한 것이다.

재택근무 환경서 더 어려워지는 위협 탐지·대응

지능적인 우회공격을 막기 위해 보안은 다계층 방어 전략을 통해 공격을 어렵게 만들고자 했다. 그러나 너무 많은 보안 솔루션으로 인해 보안조직의 업무가 폭증하고, 이벤트 피로도가 쌓여 높은 수준의 위협에 제대로 대응하지 못했다.

이 같은 보안 복잡성을 제거하기 위해 보안 솔루션을 통합하고자 했으나, API를 지원하지 않는 제품이 많고, 지원한다 해도 이벤트 포맷과 위협 분석 방법이 달라 통합이 쉽지 않았으며, 단순히 이벤트를 나열하는 수준에 그치고 말했다.

파이어아이 조사에 따르면 마이크로소프트 365와 구글 워크스페이스를 가장한 피싱메일이 2020년 한 해 동안 100만개 이상 감지됐다. 공격이 증가하면서 선제적으로 차단되지 못한 공격이 늘어났고, 이를 분 석하고 대응해야 할 분석가의 업무가 폭증했다. 과도한 보안 이벤트로 인한 피로감이 쌓여 보안 분석가의 평균 오탐률은 45%에 달하게 됐다.

NDR, 연평균 19% 성장

선제방어와 모니터링을 통한 위협 방어가 어려워지면서 네트워크 풀 패킷을 정밀하게 분석해 위협을 찾아내는 NDR 기술이 주목받기 시작했다. 가트너의 ‘신흥기술: 네트워크 탐지 및 대응을 위한 채택 성장 통찰력 2021’ 보고서에서는 NDR 솔루션 벤더의 수익이 지난해 23% 성장했으며, 2025년까지 연평균 19% 성장할 것으로 예상된다. 가트너는 솔라윈즈 공급망 공격 으로 NDR에 더 많은 관심이 쏟아졌다고 설명했다.

NDR은 네트워크 트래픽을 지속적으로 분석해 비정상 행위를 탐지한다. 머신러닝과 고급분석, 포렌식 분석을 사용해 비정상 이벤트를 탐지하고, 대응조직에 조치사항을 제안한다. NDR은 최근 기업·기관 뿐 아니라 OT 산업 네트워크 이상행위 탐지와 차단을 위해서도 사용된다.

이 보고서의 대표 벤더에 우리나라 보안 스타트업인 쿼드마이너가 2년 연속 등재돼 눈길을 끈다. 쿼드마이너는 고속 풀 패킷 분석으로 빠르게 위협을 탐지하며, 다양한 탐지 기능으로 트래픽을 여러 방식으로 분류해 고객이 직접 시나리오 기반 행위 분류와 분석할 수 있게 한다. 인스턴트의 행위를 학습해 위협지표를 각 시나리오에 맞게 추가 분석할 수 있다.

쿼드마이너는 기존 네트워크 환경을 위한 ‘네트워 크 블랙박스’와 클라우드 환경을 위한 ‘클라우드 블랙박스’를 제공하며, IBM 큐레이더와 연동해 로그와 패킷을 모두 분석해 더 정확한 위협 탐지와 대응을 제공하는 ‘쿼드엑스(QUADX)’도 소개한다.

쿼드마이너의 솔루션은 금융사와 서비스 기업에 공급되면서 높은 성장을 이어가고 있으며, 일본 지역에서 가시적인 성과를 거둘 것으로 기대된다. 또한 미주, 아시아 등 글로벌 시장 공략에 적극 나선다.

NDR 대표 솔루션으로 선정된 기업 중 다크트레이스, 벡트라도 있다. AI를 이용해 네트워크 패킷을 조사하는 이 솔루션은 탐지 룰 없이 지능적으로 위협을 탐지할 수 있다. 다크트레이스는 고급 머신러닝을 이용해 별도 학습 없이 네트워크 위협을 분석·탐지할 수 있으며, 네트워 크와 클라우드, 호스트, OT 등 모든 환경에서 이상행 위를 분석하고 탐지한다. 벡트라는 지도학습·비지도 학습 기술을 모두 사용해 탐지 정확도를 높이고 보안 운영센터(SOC) 업무 증가를 최소화한다.

“2023년 EPP·EDR 통합”

엔드포인트에서는 알려지지 않은 위협 탐지와 대응 기술인 ‘EDR’이 폭넓게 받아들여지고 있다. EDR은 엔드포인트에서 일어나는 행위를 정밀하게 분석해 현재 진행 중이거나 진행된 위협 정황을 찾아내고, 공격 전반의 스토리라인을 확인해 감염된 시스템을 차단·격리하며, 추가 공격을 방어할 수 있도록 한다.

EDR은 EPP의 보완기술이나 대체기술이 아니다. EPP는 악성행위를 하는 도구를 선제적으로 차단하는 자동화된 보안 솔루션이며, EDR은 분석가, 대응조직의 추가 대응이 필요한 SOC 영역의 솔루션이다. EDR은 EPP처럼 자동으로 차단하는 솔루션이 아니며, 기존에 보지 못했던 위협을 추가로 찾아내기 때문에 보안조직의 업무가 급증한다.

그래서 EDR을 매니지드 보안 서비스(MDR)로 제공 하는 사례가 늘어나고 있으며, 가트너는 EDR을 사용 하는 조직의 50%가 관리형 탐지 및 대응 기능을 사용 할 것이라고 내다봤다. 또 2025년까지 EDR의 60%에 ID, CASB, DLP 등 보안 기술의 데이터 분석까지 포 함될 것으로 전망했다.

주목할 점은 EDR과 EPP가 통합되는 추세를 보인 다는 점이다. 가트너는 2023년까지 EDR 핵심기능이 별도 라이선스가 아니라 모든 EPP에 포함될 것이라고 내다봤다. 가트너는 EDR의 핵심 기능으로 ▲보안 사고 감지 ▲엔드포인트 사건 조사 ▲보안 사고 조사 ▲교정 지침 제공 등을 들었다.

단일 에이전트서 통합 보안 제공

크라우드스트라이크는 EDR 전문기업으로 시작해 현재 EPP 분야에서 타사 대비 월등히 앞선 경쟁력을 입증하면서 시장을 이끌고 있다. 크라우드스트라이크 ‘팔콘’ 플랫폼은 단일 에이전트에서 EPP·EDR을 통합 제공하며, 엔드포인트 리소스를 최소화해 장애를 미연에 방지한다.

EDR·EPP와 위협헌팅 서비스가 포함된 ‘팔콘 오버 워치’, SOC 서비스를 제공하는 ‘팔콘 컴플리트’가 보안조직과 예산이 충분하지 않거나 SOC를 운영하고 있지만 너무 많은 위협으로 어려움을 겪고 있는 기업 모두에 긍정적인 반응을 얻고 있다. 또 크라우드스트라이크는 휴미오를 인수하고 XDR로 확장해나가고 있다.

센티넬원은 AI 기반 EPP로, EDR을 통합하며 ‘EDPR’이라는 새로운 시장을 개척하고 있다. 평판분석, 정적·동적 AI 분석, 딥 비저빌리티 엔진을 갖고 있으며, 엔드포인트의 모든 행위를 저장해 공격이 탐지 됐을때 어떤 과정으로 유입되고 활동해왔는지 파악할수 있게 한다. 가벼운 통합 에이전트와 쉬운 관리환경으로 좋은 평가를 받고 있으며, AIOPS 플랫폼 회사 스케일러(Scalyr)를 인수하고 단일 에이전트에 통합, XDR 플랫폼 ‘싱귤래러티’의 완성도를 높이고 있다.

EDR 전문기업 사이버리즌도 국내 EDR 초기 시장 부터 적극적으로 사업을 전개하고 있다. 사이버리즌은 실시간에 가까운 스트림 수집과 분석, 뛰어난 탐지 기술을 제공하며, EPP·EDR 기술을 통합 제공한다. SOC 활동의 자동화와 AI 위협헌팅 기술이 뛰어난 편으로 인정받는다.

국내 환경 지원하는 토종 EDR

국내 시장에서는 토종 EDR 솔루션이 경쟁력을 얻고 있다. 국내 특수한 엔드포인트 문화를 이해하고 지원하는 능력이 뛰어나기 때문이다. 가장 앞선 시장 점유율을 가진 지니언스의 ‘지니안 인사이츠 E’는 단말플 랫폼 인텔리전스(DPI)를 적용해 모든 종류의 엔드포인트를 식별하고 지원한다. 침해사고지표(IOC), 머신 러닝(ML), 행위기반 위협탐지(XBA), 야라(YARA) 등의 다양한 기술을 적용해 위협을 탐지해 백신으로 막지 못한 지능적인 위협에 대응한다.

이스트시큐리티는 ‘알약’과 ‘알약EDR’, 위협 인텔리전스 ‘쓰렛 인사이드’를 연동해 공격 전반에 대한 위협 대응에 나선다. 알약으로 알려진 위협을 막고, 알약EDR로 알려지지 않은 정교한 위협을 식별하며, 쓰렛 인사이드의 위협 인텔리전스를 활용해 오탐없이 정확하게 위협을 판단하고 대응한다.

알약, 알약 패치관리(PMS), 알약 내PC지키미 등 엔드포인트 보안 솔루션을 1개의 통합 에이전트로 통합 관리하여 엔드포 인트에서 발생하는 위협 행위에 대한 안정적이고 효율적인 정보 수집과 분석으로 조직 내 엔드포인트 보안 가시성을 확보하도록 돕는다.

이스트시큐리티는 2022년 하반기 엔드포인트 관리 플랫폼을 SaaS로 출시할 계획이며, 쓰렛 인사이드를 연동해 고객들이 악성코드 이상행위에 대해 빠르게 대응 할 수 있도록 플랫폼 기반 서비스를 제공할 계획이다.

이 외에도 안랩, 소만사 등이 기존 자사 제품과 통합되는 EDR 솔루션을 제공한다. 안랩은 EPP·EDR 통합 솔루션과 보안관제를 연계한 서비스를 제안하고 있으며, 소만사는 엔드포인트 DLP 솔루션 ‘프라이버시아이’ 에이전트에 통합되는 ‘프라이버시아이 EDR’을 제 공해 엔드포인트에 대한 다양한 위협을 차단한다.