취약점·파일없는악성코드 등 EPP 탐지 못하는 위협도 대응
[데이터넷] 위협 탐지와 대응 기술이 XDR로 통합되는 것처럼 보여도, 실제 고객이 원하는 기능이나 현장에서 사용되는 기능은 EDR인 경우가 많다. 그래서 XDR은 EDR에서 시작할 것이 권고되며, MDR을 이용할 것이 제안된다. 클라우드, IoT로 인해 더욱 보호가 어려워진 엔드포인트를 보호하기 위해 EPP·EDR 핵심 기능의 강화가 요구되고 있기도 하다. 엔드포인트 보호 기술의 변화 방향을 살펴본다.<편집자>
지능형 공격까지 탐지·차단하는 EPP
2014년 브라이언 다이 시만텍 수석 부사장이 “백신은 죽었다”고 말해 큰 논란이 일었다. 다이 부사장이 차세대 백신의 필요성을 강조하기 위해 한 말이지만, 당시 샌드박스 방식의 APT 방어 솔루션이 주가를 올리면서 ‘백신 무용론’을 설파하고 있을 때여서 파장이 더 컸다.
백신이 실제로 ‘사망’한 것은 아니지만, 이후 안티 바이러스만을 강조하는 백신은 힘을 잃었고 다양한 고급 탐지와 분석 기능을 추가한 엔드포인트 보호 플랫폼(EPP)이 부상하게 됐다. EPP는 전통적인 안티바이러스 기술과 AI 기반 탐지, 샌드박스, 행위분석, 중요정보 유출 방지, 애플리케이션 제어, 매체제어, 호스트 IPS, 알려진 취약점 점검과 패치, 가상 패치 등 다양한 기술을 사용하고 있으며, 랜섬웨어 변종, 코인마이너, 파일 없는 악성코드 등 백신을 우회하는 공격을 차단하고 있다.
엔드포인트 보안 요구 사항
- 효율적인 엔드포인트 통합 관리
보안 솔루션은 점점 더 늘어나고 있지만 이를 관리하는 보안 담당자는 한정적이다. 때문에 보안 솔루션마다 개별적으로 설치하고 관리하는 것은 담당자에게 큰 부담이 될 수 있다. 다양한 엔드포인트 보안 솔루션의 통합 운영·관리를 활용한 실제적이고 효율적인 엔드포인트 관리 방안을 만들어야 한다.
- 최적화된 위협 관리·대응을 위한 연계·연동 방안
고객은 각각의 보안 솔루션이 각자의 역할만을 수행하는 것이 아니라, 실제 보안 업무에서 ‘상호 보완적인 역할’을 하면서 보안을 위한 시너지 효과를 낼 수 있는 연계·연동 방안을 요구하고 있다.
솔루션 도입에 앞서
▲보안 제품 간 연계 규칙과 규칙에 맞는 대응 설정으로 조직에 최적화된 고객 주도적 보안 운영 방안 제공
▲시스로그, API 연동으로 다양한 로그와 데이터를 외부 솔루션과 연계·연동할 수 있는 확장 기능 제공
▲위협 인텔리전스 플랫폼이나 네트워크 샌드박스 연동으로 위협 분석 및 대응에 있어 보다 상세한 정보와 효과적인 접근 방안 제공 등 통합 운영 시너지를 극대화해야 한다.
(자료: 안랩)
가트너는 ‘2023 EPP 분야 매직쿼드런트’에서 “EPP는 PC, 서버, 모바일 기기를 보호하며, 알려져 있거나 알려지지 않은 악의적인 공격을 방지하도록 설계됐다. 보안 탐지를 회피하는 사고를 조사하고 해결하는 기능을 제공한다”고 소개하며 필수 기능으로 다음을 갖춰야 한다고 설명했다.
- 파일 기반, 파일 없는 공격을 사용하는 멀웨어 탐지, 보안 위협 방지와 보호
- 악성 스크립트, 프로세스를 제어
- 기기 활동, 애플리케이션, ID, 사용자 데이터 동작 분석
- 우회공격 탐지, 제어
이어 EPP에 추가될 수 있는 기능으로 다음을 들었다.
- 엔드포인트 장치의 인벤토리, 구성, 정책 관리를 기반으로 한 위험 보고서
- 디스크 암호화, 로컬 방화벽 설정 등 OS 보안 제어 상태 관리·보고
- 시스템에서 취약성을 검색하고 보안 패치 설치를 보고하거나 관리
- EDR, XDR
- 매니지드 서비스
- 모바일, 컨테이너, 가상 인스턴스 지원, 다양한 OS 지원
현재 대부분이 엔드포인트 보안 기업들은 엔드포인트에 고급 위협 탐지·분석을 포함한 다양한 기능을 추가하면서 진화하고 있다. 엔드포인트 보안 전문기업 이셋의 경우, EPP와 EDR, MDR, XDR로 이어지는 종합적인 보안 전략을 제공한다.
이셋은 뛰어난 위협 탐지 기능을 인정받고 있으며, 머신러닝 기술을 이용해 향상된 보안 탐지와 대응 기능을 제공한다. 이셋은 메일보안, 셰어포인트 보안, 엔드포인트 보안, 파일 서버 보안 기능을 가진 EPP ‘이셋 프로텍트’, 확장된 위협 방어 기능과 탐지 및 대응 기능을 제공하는 ‘이셋 인스펙트’, ‘이셋 MDR’, ‘이셋 XDR’, 위협 인텔리전스 피드 등을 통합 제공한다.
공격 모든 단계서 탐지·대응 지원
EPP만으로는 엔드포인트 위협을 모두 제거하지 못한다. EPP는 그레이 영역의 위협을 선제적으로 차단하지 못한다. 위협인지 여부가 확실하지 않은데 무조건 차단했다가는 업무가 정상적으로 진행되지 못한다. 확실하게 알려진 위협을 자동 차단한 EPP는 우회공격에 당하기 쉽다. 그래서 EPP와 EDR을 함께 사용해 확실한 위협은 EPP로 자동 차단, 그레이 영역의 위협과 EPP를 우회하는 공격, 정교하게 진행되는 위협 의심 정황은 EDR로 탐지, 분석할 수 있게 한다.
가트너는 EDR을 ‘엔드포인트 행위와 이벤트를 기록하고, 다양한 분석 기술을 통해 의심스러운 동작 및 공격을 탐지·대응하는 솔루션’이라고 정의했다. 엔드포인트 영역의 위협 정보를 수집하고, 분석된 위협 정보를 가시화해 제공함으로써 보안 조직이 효과적인 대응을 취할 수 있도록 제공하는 것이 EDR의 핵심 기능이다. 지속적인 취약성 평가(VA), 엔드포인트 보안 조정, 탐지·대응을 위한 도구 등을 EDR에서 제공한다.
EPP, EDR 통합솔루션 마이크로소프트 ‘디펜더 포 엔드포인트’는 윈도우, 리눅스, 맥, 모바일OS를 보호하며, 다양한 IoT 기기까지 보호 기능을 확장하며, UEM 솔루션 인튠을 통합해 엔드포인트 관리와 보안을 위한 모든 요구를 만족시킨다. ID 위협 탐지와 대응(ITDR) 기능을 지원하는 애저 액티브 디렉토리와 긴밀하게 통합되며, 외부 공격표면 관리 기능도 지원된다.
카스퍼스키의 경우, EPP·EDR 필수 기능과 카스퍼스키가 축적한 풍부한 위협 데이터, 고급 머신러닝 기술, 글로벌 전문가 네트워크를 통해 최신 사이버 공격을 차단, 엔드포인트에 대한 지능적인 공격에 효과적으로 대응한다.
박성수 연구원은 “카스퍼스키의 적응형 보안 프레임워크는 ‘진정한 사이버 보안’을 위해 공격의 모든 단계에서 대처할 수 있도록 예측, 예방, 방어를 진행한다. 심층 보안 분석, 실시간 위협 인텔리전스, 빅데이터 기반 위협 사냥, 직원용 보안 인식 교육까지 지원한다. 또한 페타바이트 규모의 풍부한 위협 데이터와 고급 머신러닝 기술, 독보적인 글로벌 전문가 네트워크를 갖춘 카스퍼스키는 전 세계에서 수집된 최신 위협 인텔리전스를 통해 완전히 새로운 사이버 공격이 나타나도 고객이 안전할 수 있도록 돕는다”고 밝혔다.
