[엔드포인트 보안③] 침해 조사로 AV 우회한 공격 탐지
상태바
[엔드포인트 보안③] 침해 조사로 AV 우회한 공격 탐지
  • 김선애 기자
  • 승인 2016.12.12 09:46
  • 댓글 0
이 기사를 공유합니다

EDR, AV 보완 솔루션으로 자리 잡아…익스플로잇 제거해 보안위협 원천 차단

‘안티바이러스 무용론’은 완전히 틀린 말이다. 안티바이러스가 완전한 기술은 아니지만 없어도 될 기술은 결코 아니다. 엔드포인트를 보호하기 위해서도 다단계 방어 전략이 필요하며, 공격을 인지하고 차단하며 보호해야 할 데이터를 안전하게 보호하는 방법이 필요하다. 엔드포인트에 대한 멀티벡터 방어 전략을 살펴본다.<편집자>

엔드포인트 행위 모니터링하는 EDR

최근 주목을 받고 있는 EDR은 엔드포인트에 남은 침입흔적과 비정상 행위를 찾아 조사하는 기술을 기본으로 하고 있다. 가트너는 2015년 12월 발간한 백서 ‘EDR 솔루션 시장 가이드’를 통해 EDR이 갖춰야 할 기능을 다음과 같이 정의했다.

- 엔드포인트 행위 모니터링과 분석, 그리고 IOC를 참고해 보안 사고 탐지

- 네트워크 트래픽이나 프로세스 실행을 원격으로 제어

- 엔드포인트의 평소 행위 패턴을 기반으로 이상행위 조사. 파일, 레지스트리, 네트워크, 드라이버 및 실행활동 등 엔드포인트 변경사항과 C&C 통신, 파일 이동, 권한상승, 확산, 정보 유출 등의 이상행위 탐지

- 엔드포인트 감염 치료. 악의적인 파일 제거, 불법 변경사항 복구. 직무가 엄격하게 분리돼 있고, 적용 가능한 다른 도구를 사용해 치료 지침을 작성할 수 있는 솔루션 제공

▲엔드포인트 보안 기술(자료: ESG 2016)

가트너는 EDR이 EPP를 대체할 수는 없지만 결국은 EPP와 EDR이 통합될 것으로 예측했으며, 보안 서비스 제공업체(MSSP)를 이용해 보안 수준을 높이면서 EDR·EPP의 예방과 치료, 차단 능력을 요구하게 될 것이라고 전망했다.

EDR 솔루션으로 카본블랙, 카운터택, 사일런스, 사이버리즌 등이 대표적이다. DLP 성격이 강한 디지털가디언, 자산관리 기능을 주력으로 하는 태니엄과 IBM 빅픽스, 엔드포인트 포렌식 솔루션 가이던스 소프트웨어, 메모리 기반 행위분석 기술이 특화된 델EMC RSA 넷위트니스 엔드포인트(구 이캣), 익스플로잇 차단 기능을 탑재한 팔로알토네트웍스 ‘트랩스’, 샌드박스 기반 APT 방어 솔루션 파이어아이 ‘HX’와 시스코 ‘AMP’ 등도 주목되는 EDR 솔루션으로 꼽힌다.

리소스 줄이고 분석 시간 단축한 EDR

EDR은 엔드포인트에서 일어나는 모든 행위에 대한 가시성을 부여해 침해사고 인지와 대응 시간을 단축시킬 수 있다. 그러나 엔드포인트 리소스를 과다하게 사용한다는 점과 분석에 시간이 걸려 실시간 분석이 어렵다는 점 등이 한계로 꼽히기도 한다.

또한 EDR은 침해사고 분석과 모니터링에 중점을 두고 있기 때문에 악성행위를 자동으로 차단하지 않고 격리하기 때문에 실시간 차단은 어렵다. 대신 침해사고 대응이나 관제 시스템에서 관리자가 놓칠 수 있는 이상행위를 정밀하게 알려주는 용도로 사용된다.

엔드포인트 분석 결과와 네트워크·웹 보안 시스템과 결합해 악성행위를 보다 정확하게 파악할 수 있도록 할 수 있으며, 보안이벤트관리(SIEM) 솔루션과 연동해 보다 정확한 보안 가시성을 확보하고 대응할 수 있다.

이준희 델EMC RSA 부장은 “EDR 단독 솔루션만으로는 위협에 효과적으로 대응할 수 없으며, EPP, SIEM, 네트워크 보안 시스템 등과 연계해 단계별로 대응해야 한다. 특히 EDR과 EPP는 통합되는 추세에 있으며, EDR로 탐지하고 EPP로 차단하는 등의 방어 전략을 세울 수 있을 것”이라고 말했다.

EDR, EPP 모두 위협 탐지를 위한 여러개의 엔진을 포함하고 있으며, 이들을 하나의 에이전트로 통합하는 것도 중요한 문제로 떠오른다. 에이전트가 너무 많으면 관리가 어렵고 충돌이 잦아 업무에 불편을 초래한다.

그러나 하나의 에이전트로 통합하면 에이전트가 무겁고 분석에 많은 시간이 걸린다는 문제가 있다. 가볍고 빠르면서도 다양한 보안 기능을 하나 혹은 소수의 에이전트를 통해 제공하는 것이 엔드포인트 보안의 선결과제로 지목된다.

공격 행위 탐지해 오탐없이 정확한 대응

델EMC RSA의 넷위트니스 엔드포인트는 메모리 전체를 분석 서버로 가져와 분석하기 때문에 엔드포인트 부하를 일으키지 않으며, 원격지의 단말도 분석이 가능해 중앙에서 침해조사를 실시할 수 있다. 커널레벨 분석으로 후킹 등 사용자 단에서 볼 수 없는 악성행위를 조사할 수 있다.

메모리 데이터만을 분석해 서버 사용량이 적어 한 대의 서버로 지원할 수 있는 엔드포인트의 숫자가 많아 비용절감과 운영 효율성이 높다. 윈도우, 리눅스, 맥 등 다양한 OS를 지원하며, 커널레벨 분석으로 엔드포인트 OS와 애플리케이션 충돌 우려가 없다.

이준희 RSA 부장은 “경쟁사 제품은 많은 서버를 사용해야 하거나 사용자 레벨 분석으로 커널 레벨에서 일어나는 악성행위를 볼 수 없는 등 제한이 있다. 넷위트니스 엔드포인트는 가트너가 정의한 EDR의 요건에 가장 부합하는 제품”이라며 “EDR 시장의 중요한 트렌드는 넷위트니스 엔드포인트가 주도하고 있다”고 말했다.

팔로알토네트웍스가 소개하는 ‘트랩스’는 익스플로잇 제거에 초점을 맞춰 효율적인 엔드포인트 보안을 제공한다. 악성코드가 익스플로잇을 악용해 애플리케이션에 침투하는 순간 이를 격리해 공격 확산을 차단한다. 20개의 익스플로잇 원천기술에 대한 차단기능이 있어 제로데이 익스플로잇 차단이 가능하다.

패치가 적용되지 않은 시스템을 보호하며 데스크톱, 서버, 산업용 제어 시스템, 가상 데스크톱 인프라(VDI) 구성 요소, 가상 컴퓨터(VM), 임베디드 시스템 등 윈도우를 실행하는 모든 플랫폼에서 지원된다.

트랩스는 APT 방어 솔루션 ‘와일드파이어’와 연동해 신규 공격 정보를 공유하며, 머신러닝을 이용한 정적분석, 그레이웨어 탐지 기능 등 멀웨어 탐지 기능을 함께 적용하는 다중방어 기법을 사용한다. 이를 통해 개별 기술을 우회하는 공격을 차단할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.