[데이터넷] 엔드포인트 위협 탐지 및 대응(EDR) 시장이 드디어 개화의 움직임을 시작했다. 국내 대형 금융기관이 대규모 도입을 개시했으며, 공공기관도 EDR 검토에 적극적으로 나섰다. 장애와 충돌이 잦고 악성코드 및 포렌식 전문가가 있어야 운영할 수 있었던 EDR 솔루션의 한계도 해결되고 있어 EDR 도입 장벽은 서서히 무너지고 있다.
나아가 백신과 EDR, 위협 인텔리전스를 결합한 모델을 통해 신·변종 위협 탐지와 대응을 자동화하고 관리자 개입을 최소화해 통합 엔드포인트 보안 모델의 이상이 완성되고 있다.
김준섭 이스트시큐리티 부사장은 “시그니처 기반 엔드포인트 보안 솔루션을 보완하기 위해 EDR이 부상했지만, EDR은 수많은 노이즈로 인해 관리 업무가 증가한다는 결정적인 문제가 있었다. 위협 인텔리전스를 통해 기 탐지된 위협을 제거하고 발견된 위협의 성격을 자동으로 파악해 대응을 자동화해 EDR의 한계를 해결할 수 있다”며 “이스트시큐리티는 ‘알약’과 ‘알약 EDR’, 위협 인텔리전스 서비스인 ‘쓰렛 인사이드(TI)’를 결합해 차세대 엔드포인트 보안 이상을 완성한다”고 말했다.
EDR, 백신처럼 운영해선 안돼
우리나라에 EDR이 소개된 것은 꽤 오래 됐지만 국내 환경에 맞지 않는 솔루션 운영 방식으로 인해 확장 속도는 매우 더뎠다. 설치하면 자동으로 위협을 탐지·차단하는 기존 엔드포인트 보안 솔루션처럼 운영하려다보니 탐지된 위협에 대한 추가 분석과 대응이 필요한 EDR은 운영이 어려운 솔루션으로 인식됐다.
김준섭 부사장은 “EDR은 기존 보안 솔루션이 탐지하지 못한 지능형 공격을 방어하기 위한 것으로, 보안조직의 리소스가 추가로 투입되어야 하는 솔루션이다. 자동 탐지·차단이 가능한 백신처럼 운영해서는 EDR 도입에 성공할 수 없다”고 지적했다.
그는 “백신이나 EDR, 어느 하나의 솔루션만으로 진화하는 위협에 대응할 수 없다. 알려진 공격은 백신으로 차단하고, 알려지지 않은 공격은 행위기반 분석 기술을 탑재한 EDR을 통해 탐지하며, 위협 인텔리전스와 비교해 빠르게 대응한 후, 솔루션이 판단하지 못한 고도화된 위협은 전문 조직이 직접 대응하면서 엔드포인트 보안 위협을 낮춰야 한다”고 강조했다.
더불어 김 부사장은 EDR은 악성코드 분석 전문성이 반드시 필요하다고 역설했다. EDR은 엔드포인트에서 발생하는 행위를 모니터링해 공격 정황이 발견되거나 평소와 다른 이상행위가 발생했을 때 이벤트를 발생시킨다. 이 점을 강조하며 지능적인 행위분석 기술로 EDR을 완성할 수 있다는 주장이 있다.
그러나 악성코드 분석 전문성이 없으면 엔드포인트에서 발생하는 위협 행위를 판단하기 어렵다. 예를 들어 프로세스를 후킹하는 행위는 악성코드 뿐 아니라 보안 솔루션도 발생시키는데, 이를 모두 비정상 행위라고 이벤트를 발생시키면 오탐이 많아 관리가 어려워진다.
김준섭 부사장은 “공격은 지속적으로 변하고 있어 행위분석 기술을 우회하는 공격도 쉽게 개발할 수 있다. 공격자의 특성, 공격 도구에 대한 전문적인 기술이 없으면 엔드포인트에서 발생하는 수 많은 위협 행위를 제대로 파악하지 못한다”며 “악성코드 분석 기술을 이용해 이상정황을 분류하고 전문가 분석을 통해 대응하지 못하면 피해가 확산되는 것을 막을 수 없다”고 설명했다.
“EDR, 대규모 성공사례 완성되면 급성장 할 것”
이스트시큐리티는 악성코드 분석에 있어 국내 최고 수준의 전문성을 보유하고 있으며, 국내 최대 사용자로부터 수집한 위협을 분석한 TI를 통해 발견된 위협의 성격과 패턴, 공격 조직의 특징 등을 파악할 수 있어 발견된 공격에 대한 최적의 대응 방안을 제공할 수 있다.
이스트시큐리티 차세대 엔드포인트 보안 솔루션의 경쟁력은 신세계조선호텔 전 사업장에 공급되면서 입증됐다. 특히 외산 EDR 솔루션을 윈백하면서 주목받았다.
김 부사장은 “외산 솔루션이 국산 솔루션에 비해 탐지기술이 뛰어나다고 생각했던 고정관념을 깬 것이 신세계조선호텔 사례”라며 “국산 솔루션이라도 높은 정확도와 고도의 전문성을 기반으로 제공되는 보안 솔루션이 있다는 사실을 고객이 인정해 주기를 바란다”고 말했다.
그는 이어 “EDR 시장은 아직 시작 단계에 있으며, 대규모 성공사례가 완성되기까지 많은 시행착오를 겪게 될 것이다. 그러나 누구나 인정하는 성공사례가 만들어지면 엔드포인트 보안 시장의 질서를 재편하게 될 것”이라며 “EDR 솔루션만으로는 시장의 발전을 이루지 못하며 백신과 위협 인텔리전스, 전문 대응조직의 결합을 통해 성공적인 차세대 엔드포인트 보안을 완성할 수 있다”고 말했다.
덧붙어 그는 “EDR 시장 초기임에도 불구하고 시장 선점 경쟁이 치열해져, 일부 대형 프로젝트에는 출혈경쟁이 나타나고 있다. 가격이 무너지면 시장 규모를 키울 수 없다. 가격이 아닌 기술로 승부하는 시장 질서를 만들어가야 엔드포인트 보안 시장을 성장시킬 수 있다”고 역설했다.
