[데이터넷] 위협 탐지와 대응 기술이 XDR로 통합되는 것처럼 보여도, 실제 고객이 원하는 기능이나 현장에서 사용되는 기능은 EDR인 경우가 많다. 그래서 XDR은 EDR에서 시작할 것이 권고되며, MDR을 이용할 것이 제안된다. 클라우드, IoT로 인해 더욱 보호가 어려워진 엔드포인트를 보호하기 위해 EPP·EDR 핵심 기능의 강화가 요구되고 있기도 하다. 엔드포인트 보호 기술의 변화 방향을 살펴본다.<편집자>

엔드포인트는 거의 대부분의 공격이 시작되는 지점이다. 공격자는 사용자 기기를 감염시켜 기기에 저장된 계정정보, 중요정보를 훔치고, 사용자가 사내 시스템에 접속할 때 침투해 공격을 진행한다. 공격이 복잡해지면서 모든 소스에서 위협정보를 수집해 분석, 대응하는 XDR이 부상하고 있지만, 현재 XDR 구축사업의 대부분은 EPP·EDR 도입 혹은 업그레이드 사업이다.

XDR은 팔로알토 네트웍스가 자사 네트워크 보안 솔루션에 EDR을 결합하면서 “EDR을 넘어서는 XDR이 필요하다”고 주장한 후 2019년 ‘코어텍스 XDR’을 출시하면서 본격적으로 시작됐다. 이후 엔드포인트 보안, 네트워크 보안, SIEM 솔루션 벤더들이 자사 핵심 경쟁력을 중심에 두고 다른 기능을 통합시키는 방향으로 경쟁을 시작했다. XDR을 구성하는 많은 기술이 인수되거나 OEM으로 공급되면서 XDR에 통합되는 보안 영역이 넓어졌다.

경량 에이전트 하나로 EPP·EDR·XDR 운영

XDR 공급 기업들은 다양한 성공사례를 알리면서 플랫폼 경쟁력이 입증됐다고 주장해왔지만, 실제 사용사례를 살펴보면 EDR이나 SIEM 도입 수준에 머물러있으며, XDR이 이야기하는 광범위한 통합을 완성한 사례는 찾기 어렵다. XDR에 통합되지 못하는 보안 솔루션이 많은데다가, 여러 규제 때문에 클라우드로 제공되는 XDR을 도입하지 못하는 경우도 있어 XDR 도입에 어려움이 있다.

그래서 XDR 벤더들은 XDR의 성공사례를 ‘좁은 범위’에서 시작해 차츰 확장할 것을 제안하면서 EPP·EDR 결합을 첫 단계로 시작하라고 권고한다.

윤명익 한국트렌드마이크로 이사는 “많은 데이터와 가시성 정보를 수집할 수 있는 지점이 엔드포인트이기 때문에 엔드포인트 에이전트를 통해 텔레메트리를 수집·분석하는 EDR을 XDR 전략의 시작으로 선택하는 것이 일반적이다. EPP·EDR 통합 에이전트가 엔드포인트 공격표면 관리 역할까지 수행하면서 엔드포인트를 노리는 다양한 위협에 대응할 수 있다”며 “엔드포인트 보안 통합 이후 네트워크, 이메일, 클라우드 워크로드, 공격표면관리(ASM)로 확장하는 것이 위협관리 플랫폼 구축의 모범사례라고 할 수 있다”고 설명했다.

EDR에서 XDR로 확장하는 이상적인 로드맵을 제시하는 트렌드마이크로는 경량 에이전트 하나로 EPP와 EDR, XDR까지 확장할 수 있게 해 복잡한 위협 탐지와 대응 문제를 해결할 수 있도록 돕는다.

트렌드마이크로의 차세대 엔드포인트 보안 솔루션 ‘에이펙스원(Apex One)’은 EPP와 EDR 기능을 원 에이전트로 통합했으며, 트렌드마이크로 클라우드 기반 위협 인텔리전스 서비스 SPN과 실시간 연계해 최신 악성코드 대응 기술과 AI/ML 기반 엔드포인트 보안을 제공한다.

고객의 투자를 보호하기 위해 타사 EPP를 사용하는 경우 XDR 전용 라이트 에이전트를 배포해 쉽게 타사 EPP와 함께 운영할 수 있게 한다.

매니지드 XDR(MXDR) 서비스 ‘비전원(Vision One)’과 연계해 위협 인텔리전스를 이용한 침해 지표 (IoC) 자동 스위핑, 상세한 조사와 대응, 사전 위협 헌팅 기능에 대한 관리형 서비스를 제공받을 수도 있다. XDRTM은 고객의 엔드포인트 환경의 잠재적인 위협에 효과적으로 대응해 일어날 수 있는 침해 사고를 사전에 대응할 수 있도록 지원한다.

효과적인 엔드포인트 보안 통합 방안

EDR은 침해 지표가 존재하고 있거나 존재했던 엔드포인트를 찾아내고, 침해 인시던트에 대한 근본 원인 분석과 적절한 대응을 취하는 엔드포인트 침해 탐지, 분석 및 대응 솔루션이다. 국내에서도 많은 기업·기관에서 EDR을 도입했는데, 아직도 많은 조직에서 자사에 적합한 EDR이 무엇인지 고심하고 있다.

XDR이 부상하면서 EDR이 사라질 것이라는 오해도 받고 있는데, 모든 XDR은 EDR을 포함하고 있으며, XDR의 구성에서 큰 비중을 차지하는 핵심 요소 중 하나가 EDR이기 때문에 XDR을 논하면서 EDR을 떼어 놓을 수는 없다.

EPP는 시그니처와 행동 패턴을 기반으로 실시간 탐지와 조치가 실시간으로 진행되지만, EDR은 탐지된 침해 지표(IOC)를 검증하고, 악성 지표라는 확신을 갖고 대응을 진행하는 일련의 과정이 필요하다. 그래서 EDR의 도입과 운영을 주저하는 조직이 많다.

최근 EDR 솔루션은 이러한 어려움을 해결하는 기능을 지속적으로 추가하고 있다. 다양한 지표의 표현, API 연동, 샌드박스 연동 등을 통해 보안운영센터(SOC)에서 EDR 운영의 부담을 줄이면서 악성 여부를 더 빠르고 명확하게 판단할 수 있도록 돕는다.

EDR을 가장 잘 활용하는 방법은 가능한 빨리, 가능한 한 모든 엔드포인트에 설치해 활동 데이터를 수집하고, 적시에 필요한 침해 지표에 대한 탐지 및 분석과 대응이 이뤄지도록 해야 한다. 이를 위해서는 조직 내 책임자와 운영자의 추진력과 행동력이 필요하다.

 

엔드포인트 관제까지 통합 제공

현재 엔드포인트 보호는 EPP와 EDR이 통합돼 알려진 공격부터 알려지지 않은 위협까지 차단·대응할 수 있는 플랫폼으로 진화하고 있다. 안랩의 경우, 단일 에이전트, 단일 관리콘솔 V3, EPP, 엔드포인트 보안 평가, 패치관리, 개인정보 보호 기능을 통합한 ‘안랩 EPP’에 ‘안랩 EDR’을 연계해 플랫폼 기반 엔드포인트 보안을 지원한다.

안랩 EDR은 행위기반 엔진으로 시스템, 파일, 프로세스, 네트워크 등의 정보를 행동 중심으로 분석한다. 안랩 EDR 전용 분석기를 도입해 사용자가 이미 발생했거나 추후 발생 가능성이 높은 위협을 빠르게 확인하고, 정확한 분석 및 대응을 할 수 있도록 지원한다. 안랩은 EPP, EDR과 위협 인텔리전스 플랫폼(TIP) 서비스, 샌드박스 기반 지능형 위협 대응 솔루션 MDS를 연동해 위협 분석과 대응 시너지를 높인다.

안랩은 APT 방어 솔루션 MDS의 에이전트를 이용해 엔드포인트 보안 관제를 수행할 수 있는 ‘MDS 에이전트 관제 서비스’도 출시하면서 지능적인 엔드포인트 위협 대응 효과를 높인다. 이 서비스는 MDS 전용 에이전트를 이용해 PC 등에서 의심 파일 실행될 때 이를 잠깐 멈추고 악성 유무를 파악해주는 서비스다. ‘MDS 에이전트’는 의심 파일을 탐지해 안랩 MDS에 전송하고 분석 완료 전까지 실행을 멈춰주는 ‘실행보류(Execution Holding)’ 기능 등을 수행하는 경량 에이전트다.

이 서비스를 백신과 함께 이용하면 알려진 악성코드는 백신으로 차단하고, 알려지지 않은 코드는 MDS 에이전트로 분석해 선제대응 효과를 높일 수 있다. 별도 장비 구축 없이 PC에 ‘MDS 에이전트’를 설치하는 것만으로 즉시 서비스를 받을 수 있기 때문에 예산이나 보안전문가가 부족한 중소기업에서도 구축 비용 및 운영 인력 부담없이 손쉽게 엔드포인트 위협 대응 역량을 향상시킬 수 있다.

위협 인텔리전스 결합해 지능적 위협 차단

이스트시큐리티는 ‘알약’과 ‘알약 EDR’, 패치관리(PMS), 내PC지키미를 단일 에이전트, 단일 관리 콘솔로 통합 구축해 엔드포인트 위협. 엔드포인트에서 발생하는 위협 행위에 대해 안정적이고 종합적인 운영·관리·대응을 할 수 있게 한다.

이스트시큐리티는 알약-알약 EDR-쓰렛 인사이드로 이어지는 3단계 엔드포인트 위협 대응 체계를 제공, 알려지지 않은 위협의 차단과 식별, 분석 및 인텔리전스 기반 대응까지 지원한다. 알약 EDR을 통해 위협 의심 행위를 발견하면, 쓰렛 인사이드와 연계해 실제 위협이 되는 악성코드인지 식별·분류하고, 마이터 어택 매트릭스 전술·기술(Tactics & Techniques)을 적용한 탐지 결과와 각 기술에 대한 한글 설명과 연관 탐지 태그, 원문 링크를 제공한다.

이스트시큐리티의 숙련된 보안 전문가 집단 시큐리티대응센터(ESRC)의 보안 전문 지식도 함께 제공해, 기업 내부 보안 관리자의 최종 결정이 없더라도 공격에 대한 정확하고 발 빠른 대응이 가능하게 한다.

김선애 기자 다른기사 보기