지능형 위협 탐지·컨테이너까지 포함하는 고급 EDR 기능 지원
[데이터넷] 위협 탐지와 대응 기술이 XDR로 통합되는 것처럼 보여도, 실제 고객이 원하는 기능이나 현장에서 사용되는 기능은 EDR인 경우가 많다. 그래서 XDR은 EDR에서 시작할 것이 권고되며, MDR을 이용할 것이 제안된다. 클라우드, IoT로 인해 더욱 보호가 어려워진 엔드포인트를 보호하기 위해 EPP·EDR 핵심 기능의 강화가 요구되고 있기도 하다. 엔드포인트 보호 기술의 변화 방향을 살펴본다.<편집자>
국내 환경 최적화된 EDR 제공
가트너는 기업 엔드포인트의 약 42%가 EDR을 보유하고 있으며, 이 수치는 2020년과 2021년 무려 40% 증가했다고 설명했다. 그런데 우리나라 EDR 도입률은 매우 낮은 편이다. 초기 EDR이 엔드포인트 리소스를 많이 사용해 PC 성능을 느리게 했으며, 국내 엔드포인트에 설치되는 수많은 보안 모듈과 충돌해 장애를 일으켰기 때문에 EDR 도입을 주저하게 됐다.
현재 EDR은 국내 엔드포인트 보안 모듈을 화이트리스트에 등록해 충돌 문제는 제거했지만, 그래도 국내 엔드포인트 환경에 맞추기 위해서는 여러 조치가 필요하다. 또 보안 전문성이 높지 않은 조직에서도 EDR을 운영할 수 있도록 쉬운 운영환경을 지원해야 하며, 가격 경쟁력도 갖춰야 한다.
이러한 조건을 충족시키는 토종 EDR 솔루션을 국내 고객들이 선호하고 있다. 지니언스의 ‘지니안 EDR’이 대표적인 EDR 솔루션으로, 국내에서 가장 먼저 개발, 출시돼 국내 최적화된 안정성과 높은 탐지 기술로 가장 높은 점유율을 지키고 있다. 지난해 안티 랜섬웨어 기능을 추가하면서 랜섬웨어 차단과 사전 방역을 강화한다. 정보유출 방지와 비정상 사용자 분석 등 특화된 UEBA 기술이 탑재돼 있으며, 윈도우 디펜더로 처리된 악성코드 파일 유입 경로 등을 EDR에서 추가 분석해 위협 탐지 고도화를 지원할 수 있다.
지니안 EDR은 제 1금융권, 대형 제조사, 공공기관 등 다양한 환경에 40만대 이상 에이전트가 적용돼 안정성과 성능이 검증됐다. 지니안 NAC 사용시 통합 에이전트 제공에 따라 추가 에이전트 부담이 해소된다. PC 리소스 사용율, EDR 리소스 사용율 모니터링을 통한 단말 전체 사용율 분석 기능을 제공한다.
발생된 위협정보, 위협 행위에 대한 근거 및 요약정보, 연관 위협 지표, 연관 행위 지표, 유사도 지표, AI분석 지표 등 한글화 된 탐지정보 제공으로 어떤 위협인지 최대한 쉽게 알 수 있도록 돕는다. 공격 스토리라인을 통해 악성코드와 랜섬웨어 등 사이버 공격 경로를 쉽게 파악할 수 있다. 이상 행위가 어디서 일어났는지 확인할 수 있는 대시보드를 통해 한 눈에 엔드포인트 보안 현황을 체크할 수 있다.
김영덕 지니언스 전략마케팅실 부장은 “고객은 EDR에서 엔드포인트 가시성 극대화와 사이버 위협 신속한 대응·분석 기능을 요구하고 있다. 또한 XDR, SIEM/SOAR 확장·연동을 지원하는 것도 필요하다”며 “지니안 EDR은 이러한 요구를 모두 만족하는 솔루션으로, 글로벌 기업과 대응한 기술력, 국내 환경의 높은 이해를 경쟁력으로 국내 조달시장 점유율 84%, 누적 고객 148곳으로 가장 많은 점유율을 갖고 있다. 국내 성공사례를 적극 홍보하면서 해외 시장으로도 진출할 계획”이라고 밝혔다.
정교한 위협 탐지 성능 인정받은 EDR 솔루션
EDR은 EPP가 탐지하지 못하는 정교한 위협을 찾아내는 것이 가장 중요한 기능이다. EDR 탐지 기술의 성숙도를 평가하는 척도 중 마이터(MITRE)의 엔제뉴이티(Engenuity)와 어택 테스트를 참고할만하다. 마이터 엔제뉴이티는 주요 해킹그룹의 공격모델을 시뮬레이션해 탐지와 차단 능력을 제조사 솔루션별로 평가한다. 어택은 알려진 공격자의 전술, 기법, 절차를 분석한 보안 프레임워크로, 수집한 다량의 이벤트를 프레임워크 기반으로 해석하고 위협을 식별하는 기술을 얼마나 잘 구현했는지 평가한다.
또 컨테이너 지원 기술도 필수다. 컨테이너 이미지의 악성코드나 잘못된 구성으로 인해 사고가 발생하면서 이를 사전에 제거할 수 있는 기능이 요구되고 있다. EDR의 컨테이너 보호 기능은 컨테이너형 응용 프로그램에서 의심스러운 파일을 탐지하고, CI/CD 파이프라인 중 의심스러운 파일이 포함된 컨테이너와 워크로드를 차단한다.
컨테이너 보호 기능을 통합시킨 VM웨어의 엔드포인트 보호 솔루션 ‘카본블랙(Carbon Black)’은 CI/CD 통합으로 런타임·빌드 단계 이미지에서 멀웨어를 스캔, 차단하며, 컨테이너화된 애플리케이션에서 악성파일과 멀웨어를 탐지해 제거할 수 있도록 한다.
카본블랙은 클라우드 워크로드 보호 솔루션인 ‘카본블랙 워크로드’도 제공해 워크로드 위협 탐지와 대응, 프라이빗·하이브리드 클라우드에서 실행되는 워크로드를 보호한다. 브이스피어(vSphere)와 긴밀하게 통합되는 이 솔루션은 에이전트 없이 동작해 클라우드 워크로드 라이프사이클의 모든 단계에서 새로운 워크로드와 기존 워크로드를 보호한다.
클라우드 사용이 제한된 폐쇄망 환경에서도 EDR을 사용할 수 있도록 ‘워크로드 센서 게이트웨이(Workload Sensor Gateway)’ 기능도 통합시켰다. 워크로드 센서 게이트웨이는 추가 프록시 없이 소수의 식별된 어플라이언스만 카본블랙 클라우드와 보호되고 격리된 환경에서 통신할 수 있게 한다.
클라우드를 통해 더 안전하게 관리할 수 있도록 카본블랙 클라우드에 호스트 기반 방화벽(HBFW)을 추가, 기존 방화벽 관리 기능을 엔드포인트와 워크로드 보호 플랫폼에 통합해 더 단순한 보안 스택을 운영할 수 있게 한다.
카본블랙 엔드포인트는 클라우드 네이티브 엔드포인트 보안 기능을 갖춘 솔루션으로, 카본블랙 클라우드 범용 에이전트, 콘솔과 통합해 다양한 종류의 엔드포인트를 처음부터 끝까지 보호한다. 엔드포인트 데이터를 수집, 분석하며, 행위분석으로 사이버 공격 탐지, 예방, 대응을 간소화하고 랜섬웨어 피해를 예방할 수 있는 탐지, 차단 기능도 포함됐다.
VM웨어 보안 제품에 내장된 클라우드 기반 보안 인텔리전스 ‘콘텍사(Contexa)’를 이용해 네트워크, 엔드포인트, 워크로드, 컨테이너의 애플리케이션 보안을 향상시킨다. VM웨어 시큐리티가 취약성을 찾고, 위협을 탐지하며, 측면이동을 최소화해 위협을 차단할 수 있게 한다.
김한기 VM웨어코리아 상무는 “카본블랙은 모든 제어 지점에서 단일 플랫폼으로 기기와 애플리케이션, 데이터를 보호한다. 위협과 상관없이 모든 엔드포인트 행위를 기록, 내·외부 위협 인텔리전스 정보와 통합해 의심스러운 행위를 감지, 리스크를 줄일 수 있다”며 “이 모든 기능은 VM웨어의 다른 솔루션 및 서드파티와 통합돼 유기적으로 동작할 수 있으며, MDR 서비스로도 제공돼 고객 환경을 실시간, 지속적으로 관리할 수 있게 한다”고 설명했다.
성공적인 엔드포인트 보안 구축 전략
기업의 사이버 보안은 고정된 플랫폼이 아니라 ‘살아있는 전략’이다. 따라서 기업 시스템에 설계 단계부터 보안을 염두에 두는 접근 방식을 적용하고, 지속적으로 사용자에게 선제적인 교육을 제공해야 한다.
엔드포인트 보안 솔루션으로 워크스테이션과 모바일 기기까지 보호할 수 있도록 해야 한다. 직원은 보호된 기기에서 이메일을 읽고 금융 문서를 열람하고 서로 의사소통을 할 수 있어야 하며, 모바일 기기 역시 마찬가지다.
협력사, 공급망의 보안 시스템도 업데이트해야 한다. 협력사 시스템을 통해 조직에 침투하는 공급망 공격이 늘고 있다. 정부기관, 금융 및 일반 기업을 막론하고 이러한 보안 위협으로부터 안전하지 않다. 타사 벤더가 자신의 시스템이 얼마나 안전한지 홍보하는 것을 온전히 믿지 말고, 사이버 보안을 남의 손에 맡기지 말며, 스스로 보안 태세를 높여야 한다.
위협 인텔리전스 플랫폼을 사용해 최신 IT 보안 트렌드와 위협 정보를 획득해야 한다. 위협 인텔리전스를 통해 기업은 대응을 위한 통찰력을 확보하고, 비즈니스의 디지털 존재(digital presence)에 대한 큰 그림을 보다 정확하게 그릴 수 있으며, 현재 지속되는 위험과 취약점에 대한 고위급 관계자의 인식을 키울 수 있다.
이로써 정확한 정보에 근거해 잠재적인 위험을 막기 위한 조치를 결정하고, 기존 보안 프로세스를 조정해 알려진 위협을 효율적으로 막을 수 있으며 지속적으로 IT 인프라의 구멍을 메울 수 있다.
(자료: 카스퍼스키)
