[엔드포인트 보안⑤] EDR 솔루션 국내 장악력 높여
상태바
[엔드포인트 보안⑤] EDR 솔루션 국내 장악력 높여
  • 김선애 기자
  • 승인 2016.12.20 09:30
  • 댓글 0
이 기사를 공유합니다

강력한 화이트리스트 정책으로 제어…자산관리 결합해 보안 및 관리 기능 강화

‘안티바이러스 무용론’은 완전히 틀린 말이다. 안티바이러스가 완전한 기술은 아니지만 없어도 될 기술은 결코 아니다. 엔드포인트를 보호하기 위해서도 다단계 방어 전략이 필요하며, 공격을 인지하고 차단하며 보호해야 할 데이터를 안전하게 보호하는 방법이 필요하다. 엔드포인트에 대한 멀티벡터 방어 전략을 살펴본다.<편집자>

EDR 전문 솔루션 각광

엔드포인트·네트워크 보안 기업들이 기존에 갖고 있던 보안 기술에 EDR 기술을 적용해 출시하면서 이 시장을 확장하고 있는 가운데, EDR 전문 솔루션 기업들의 국내 시장 장악력도 높아지고 있다.

특히 사일런스는 아직 국내에 진출하지 않았음에도 보안 업계에서 많은 관심을 보이고 있다. 사일런스는 인공지능(AI) 기술을 활용하고 있으며, 파일의 특성을 정교하게 분석하면서 알려지지 않은 공격위협을 지능적으로 탐지한다.

카본블랙은 네트워크·보안 솔루션과 다각도의 협력을 체결하면서 시장을 확장해나가고 있으며, 국내에서는 아이넷뱅크가 총판을 맡아 시장 확장에 나서고 있다. 카본블랙은 엔드포인트 침해·대응 전문 기업이며, 화이트리스트 기반 보안 솔루션 기업 비트나인을 인수한 후 화이트리스트 기반 보안 역량을 강화해다. 또한 올해 차세대 안티바이러스 제품을 추가하면서 차세대 엔드포인트 보안 플랫폼으로 제품을 공급하고 있다.

케인 라이타울러(Kane Lightowler) 카본블랙 아태지역 사장은 “전 세계 침해사고 대응(IR) 서비스 기업의 68%가 카본블랙 솔루션을 이용할 만큼, 카본블랙의 침해사고 조사 역량이 매우 뛰어나다”며 “기존 EDR은 진행된 침해사고를 탐지하는데 그쳤지만 카본블랙은 공격을 지능적으로 탐지하고 대응하는 능력을 훨씬 더 강화했다. 또한 SIEM, 샌드박스, 방화벽 등 다양한 파트너와 생태계를 조성해 공격에 민첩하게 대응할 수 있도록 한다”고 설명했다.

카본블랙 엔터프라이즈 제품은 신뢰기반 보안(화이트리스트) 기술을 제공하는 ‘프로텍션(Protection)’, 침해 탐지·대응 기술을 제공하는 ‘리스폰스(Response)’, 차세대 안티바이러스인 ‘디펜스(Defence)’ 등 3 제품으로 나뉘며, 단일 플랫폼에서 엔진을 추가하는 방식으로 이용할 수 있다.

▲카본블랙 특징

자산관리·모바일 관리 결합한 엔드포인트 보안

카본블랙의 글로벌 유통 파트너 중 하나인 IBM은 자사의 자산관리 솔루션 ‘빅픽스’와 클라우드 기반 모바일 관리 솔루션 ‘마스360(Maas360)’을 결합해 PC와 모바일을 아우르는 엔드포인트 관리·보안 전략을 드라이브한다. 3개 솔루션을 통합 콘솔을 통해 관리할 수 있도록 해 모든 엔드포인트에 대한 위협대응·자산관리를 동시에 지원한다.

빅픽스는 PC, 서버, POS 등 다양한 엔드포인트를 지원하며, 패치관리, 라이프사이클 관리, 컴플라이언스 등의 기능을 단일 에이전트에서 제공한다. 일반적으로 EPP 솔루션에 패치관리가 포함돼 있지만, 빅픽스는 대규모의 다양한 단말과 OS를 지원하고 있어 EPP가 제공하는 기본 기능과 구분된다. 빅픽스는 GS25 점포의 POS 관리 솔루션으로 공급됐으며, 또 다른 한 기업에는 서버에서 소프트웨어 사용량을 모니터링해 소프트웨어 비용 절감과 컴플라이언스 대응을 위해 활용되고 있다.

윤영훈 한국IBM 보안사업부 팀장은 “이미 공개된 취약점이라도 패치를 하지 않아 공격을 당하는 경우가 매우 많다. 빅픽스는 중앙에서 일괄적으로 패치를 배포하며, 90% 이상 패치 설치 성공률을 보인다. 65% 내외에 그치는 경쟁사 제품에 비해 월등히 높은 편의성”이라며 “빅픽스는 리소스 사용을 최소화하고 원격지 엔드포인트에 대해서도 중앙관리가 가능해 수많은 지점·지사를 운영해야 하는 분산환경과 리소스가 충분하지 않은 POS 등 엔드포인트에도 적합하다”고 말했다.

분산환경 엔드포인트 쉽게 관리하는 솔루션 주목

빅픽스 출신 인사들이 설립한 ‘태니엄’도 탁월한 자산관리와 침해대응 역량을 강점으로 내세우면서 시장 공략을 강화하고 있다. 우리나라에서는 효성ITX가 총판을 맡아 엔터프라이즈 시장을 중심으로 고객을 확보해나가고 있다.

태니엄은 수십만대의 엔드포인트가 운영되는 환경에서도 15초 내에 엔드포인트 정보를 수집해 자산을 파악하고, 보안 취약점을 탐색하며, 위협 가시성을 제공해 줄 수 있다. 윈도우, 리눅스, 맥, AIX, 솔라리스 등 다양한 OS를 지원한다.

태니엄은 ▲사고 대응(Incident Response) ▲탐지(Discover) ▲IOC 기반 침해 탐지(IOC Detect) ▲보호(Protect) ▲엔드포인트 활동 추적(Trace) ▲패치관리(Patch) 등 6개 모듈로 구성돼 있으며, 단일 플랫폼에서 구동돼 관리 용이성이 뛰어나다. 또한 방화벽, SIEM, 샌드박스 등 써드파티 보안 솔루션과 연동돼 전사 위협정보를 공유한다.

태니엄은 침해사고를 탐지하면 해당 사고가 어떻게 진행됐는지 추적해 분석하고 확실한 위협에 대해서는 차단·격리해 사고의 확산을 막을 수 있다. 스케줄링을 통해 정기적인 위협 대응이 가능하며, 정확한 위협 정보만을 수집해 분석하기 때문에 분석 시간이 짧고 정확하게 대응할 수 있다.

태니엄의 일본 지사장이면서 한국 시장도 담당하고 있는 더그 뉴먼(Doug Neuman)은 “기업에서 사용하는 수많은 엔드포인트의 수량과 종류, OS 타입, 구동되는 애플리케이션을 파악하고, 개별 기기와 애플리케이션에 존재하는 취약점을 찾아 제거해야 한다. 이 작업을 태니엄이 자동화된 프로세스로 제공할 수 있다. 현재 운영하고 있는 프로세스를 확인하고 위협 여부를 찾아볼 수 있어 현재 진행되는 공격도 차단할 수 있다”며 “태니엄의 활용 범위는 무한하다”고 설명했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.