엔드포인트로 향하는 보안, EDR·CDR ‘주목’
상태바
엔드포인트로 향하는 보안, EDR·CDR ‘주목’
  • 김선애 기자
  • 승인 2018.05.18 10:30
  • 댓글 0
이 기사를 공유합니다

복잡한 엔드포인트 환경 지원해야 EDR 운영 가능…문서·악성코드 전문성 갖춘 CDR 필수

보안 시장이 다시 엔드포인트로 향하고 있다. 네트워크를 중심으로 한 선제방어에서, 분석·모니터링을 중심으로 한 침해 탐지 및 대응으로 진화했으며, 최근에는 엔드포인트에서 위협을 제거하는 기술이 선보이고 있다.

엔드포인트에 주목하는 이유는 분명하고 단순하다. 공격은 엔드포인트에서 시작되기 때문이다. 공격자는 타깃 사용자를 속여 엔드포인트에 침투한 후 사용자 계정을 탈취해 중요 시스템으로 접근한다. 관리자 계정을 훔쳐 다른 시스템으로도 확장해나간다. 네트워크에 연결된 다른 엔드포인트로도 이동하면서 더 많은 엔드포인트와 시스템을 감염시키면서 사이버 스파이 활동을 하거나 주요 시스템을 파괴한다.

정교하게 전개되는 침해사고에 대응하기 위해 엔드포인트 침해 탐지 및 대응(EDR) 솔루션이 각광받고 있다. EDR에 대한 정의는 다양하게 있으나, 대체로 엔드포인트에서 침해 흔적을 발견하고 분석하는 포렌식 기술이 핵심이 돼야 한다는데 동의한다.

조남용 한국델EMC RSA 이사는 “침해사고가 발생하면 감염된 PC를 격리시키고 포렌식 솔루션으로 분석하는데 하루 이상, 길게는 일주일 이상까지 시간이 걸렸다. 최근 EDR 솔루션은 실시간으로 엔드포인트의 행위를 감시하기 때문에 감염 징후가 발생하면 수십분, 혹은 수 분 내에 분석을 완료하고 빠르게 대응할 수 있도록 해 피해가 확산되는 것을 막는다”고 말했다.

EDR 솔루션은 국내 복잡한 엔드포인트 환경에 맞추는데 어려움을 겪고 있어 예상처럼 빠르게 확산되고 있지는 못하다. 국내 엔드포인트에는 수많은 비표준 보안 모듈이 설치돼 있어 EDR 에이전트와 충돌하고 장애를 일으킨다.

이 문제를 해결하려면 국내 엔드포인트 환경에 대한 노하우가 있어야 하며, 국내에서 엔드포인트 보안 사업을 오랫동안 수행해 온 국내 보안 솔루션 기업과 전문 파트너를 보유하고 있는 글로벌 기업들이 유리하다. 다시 말해 새롭게 진출한 외산 EDR 솔루션은 경쟁력을 갖는데 어려움을 겪을 수 밖에 없다는 뜻이다.

이상국 안랩 EP사업기획실 상무는 “사용자의 엔드포인트는 많은 장애 요인을 갖고 있으며, 장애가 발생했을 때 그 원인을 규명하는데 많은 시간이 걸린다. 더 빠르게 장애에 대응하기 위해서는 국내 엔드포인트 보안 사업을 오랫동안 진행해 온 노하우가 필요하다. 더불어 보안관제와 연계돼 관제팀에서 네트워크부터 엔드포인트까지 전반의 위협을 볼 수 있어야 한다”고 조언했다.

▲EDR의 필요성(자료: 안랩)

외부 유입 콘텐츠 무해화하는 CDR

엔드포인트 보안 분야에서 최근 주목받고 있는 솔루션 중 하나가 CDR이다. 외부에서 유입되는 파일에서 유해한 콘텐츠를 제거하고 안전한 콘텐츠만을 새롭게 조립해 들여보내는 방식으로, ‘무해화’라고도 불린다.

CDR은 시만텍이 ‘디스암’이라는 모듈로 자사 엔드포인트 보안 솔루션에서 제공하던 기술이며, 체크포인트는 2015년 하이퍼와이즈를 인수한 후 쓰렛 익스트랙션 기술을 적용해 APT 방어 솔루션 ‘샌드블래스트’를 발표하기도 했다.

CDR 전문 솔루션은 이스라엘의 보티로와 우리나라 보안 기업 소프트캠프의 ‘실덱스’가 시장을 열었으며, 인섹이 국내에 공급하는 옵스왓과, 지란지교시큐리티의 ‘새니톡스’도 최근 경쟁을 시작했다.

CDR은 다양한 문서에 대한 구조를 완벽하게 이해하고 있어야 하며, 악성코드에 대한 전문성도 갖고 있어야 완벽해질 수 있다. 문서구조를 이해하지 못하면 수많은 종류의 문서를 다루는 업무환경을 지원하지 못한다. 특히 HWP와 같이 우리나라에서만 사용하는 특수한 문서 환경이나 CAD와 같은 일부 업종에서만 사용하는 문서의 경우 유해 요소를 제거하지 못해 보안 취약점을 남겨놓는 셈이 될 수 있다.

악성코드에 대한 전문성도 필수적으로 요구되는데, 정상 콘텐츠를 추출해 낼 때 악성 액티브 콘텐츠가 제거되지 않고 따라갈 수 있는 가능성도 있기 때문이다.

윤광택 시만텍코리아 상무는 “CDR은 문서와 악성코드에 대한 높은 이해가 있어야 성공할 수 있는 기술이다. 문서 구조를 파악하지 못하면 업무에 지장을 주며, 악성코드에 대한 이해가 없으면 은닉해 있는 유해 콘텐츠를 떼어내지 못한다”며 “또한 악성인지 아닌지 판단하기 어려운 콘텐츠를 격리시켜 의심스러운 행위가 시스템의 다른 요소에 영향을 미치지 않도록 하는 기술도 필수다”라고 설명했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.