안티바이러스의 한계를 보완하기 위해 등장한 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 시장이 본격적인 개화의 움직임을 보이고 있다. 주목할 만한 대규모 구축 사례가 등장했으며, 금융·엔터프라이즈에서도 적극적으로 검토하고 있다. 더불어 엔드포인트 보안 솔루션 기업들이 잇달아 EDR 솔루션을 출시하며 통합 엔드포인트 보안 플랫폼(EPP)으로 진화하고 있다. 엔드포인트 보안 시장의 현재를 진단하고 미래를 예측해 본다.<편집자>
매니지드 서비스 모델 ‘주목’
보안 관제 서비스는 최근 ‘MDR(Managed Detection & Response)’로 고도화되고 있다. 복잡한 보안 분석을 전문가에게 맡기고 고객은 핵심 비즈니스에 집중하도록 한다는 개념이다. 파고네트웍스는 엔드포인트의 MDR 서비스를 제공하기 위해 카운터택, 사일런스와 MSSP 파트너 계약을 맺었다. 현재 국내 주요 제조기업, 반도체 회사, IDC, 공공기관 등 다수에 MSP 서비스를 제공하고 있으며, SMB 시장으로도 확장해나가고 있다.
권영목 파고네트웍스 대표이사는 “보안 솔루션을 고객사에 구축해 운영하는 전통적인 방법으로 EDR을 운영하기 위해 고객사는 전문조직을 확대하는 등의 투자를 해야 한다. 이러한 투자 부담을 줄이면서 EDR을 제대로 운영해 진화하는 위협에 대응하는데 매니지드 서비스가 최적”이라며 “파고네트웍스는 설립 당시부터 매니지드 서비스를 위해 이 분야의 전문가들을 영입해 조직을 꾸렸으며, 카운터택, 사일런스와 MSSP 파트너 계약을 맺었다. 우리의 전문성을 인정해 준 다수의 고객들이 서비스를 사용하고 있으며, 높은 만족도를 보이고 있다”고 말했다.
카운터택은 EDR 솔루션의 1세대로 꼽히는 제품으로, 하둡 기반 빅데이터 아키텍처를 기반으로 엔드포인트 위협을 실시간에 가깝게 상세 분석한다. 단일 커널에서 위협과 이상행위를 모니터링하고, 서로 다른 성격의 이벤트를 조합해 검색하고 분석할 수 있다.
사일런스는 머신러닝 기반 AV로, 시그니처 없이 알려진/알려지지 않은 위협을 차단한다. 고급 머신러닝 알고리즘을 적용하고 있으며, 연 3~4회 가량 탐지 패턴을 업데이트하면서도 수시로 시그니처를 업데이트하는 기존 AV보다 높은 탐지율을 자랑한다.
파고네트웍스가 EDR과 AV 솔루션을 함께 제공하는 이유는 EDR, AV 개별적으로는 완벽하지 못하며, 함께 사용했을 때 위협 탐지·차단 효과가 크기 때문이다. EDR은 정밀한 공격을 탐지하는데 탁월하지만 차단은 하지 않는다. AV는 알려진 공격이나 유사한 공격 패턴을 차단할 수 있지만, 파일 없는 공격을 탐지하는데 한계가 있다. 특히 머신러닝 기반 AV는 오탐이 많고, EDR은 장애와 충돌이 잦아 관리업무가 증가한다는 문제가 있다.
권영목 대표는 “차세대 엔드포인트 시큐리티(NGES)는 선제방어, 탐지, 대응을 통합하고 있어야 하며, EDR과 AV를 통합했을 때 NGES의 이상이 실현 된다”며 “그러나 두 제품을 동시에 구입해 운영하는 것은 기업에 많은 부담이 된다. 이 문제를 해결할 수 있는 것이 매니지드 서비스로, 발생한 이벤트를 파고네트웍스가 분석해 실제 공격이 발생했는지 여부와 대응을 지원해준다”고 설명했다.
클라우드 분석 방식, 국내서는 ‘부정적’
전 세계적으로 IT는 클라우드를 기반으로 운영되는 추세를 보이고 있다. 엔드포인트 보안 솔루션도 여러 분석 엔진을 추가하면서 엔드포인트 부담을 줄이기 위해 엔드포인트에서는 이벤트만 수집하고 분석은 클라우드에서 하는 방법을 택한다. 클라우드 인프라를 사용해 방대한 이벤트도 빠르게 분석할 수 있으며, 전 세계에서 수집한 위협 정보와 비교해 분석하기 때문에 새롭게 등장하는 신종 공격에도 신속하게 대응할 수 있다.
그러나 국내에서는 클라우드 기반 시스템에 대한 저항감이 크다. 국내 주요 기관과 기업들은 업무망과 인터넷망을 분리해 운영하고 있으며, 업무망에 설치된 보안 솔루션은 함부로 인터넷에 연결할 수 없다. 클라우드 분석을 원칙으로 하는 엔드포인트 보안 솔루션은 도입하기 어려우며, 온프레미스 설치 모델만 지원하기 때문에 차세대 엔드포인트 보호 기능을 온전히 운영하기 어렵다.
카본블랙은 인터넷에 연결되지 않은 완벽한 폐쇄망에서도 고도의 보안을 유지할 수 있는 ‘Cb 프로텍션’으로 이러한 문제를 해결한다고 주장한다. 미리 정의된 프로세스만을 허용하는 화이트리스트 정책을 기반으로, 등록된 자산의 행위를 확인할 수 있으며, AV와 연계해 분석할 수 있다.
카본블랙의 EDR 솔루션 ‘Cb 리스폰스’는 다양한 글로벌 보안업체와 위협정보 공유 체계를 구축하고 있어 정확한 탐지를 보장한다. 악성 프로세스를 탐지하면 클릭 한 번으로 감염된 호스트 네트워크를 차단하며, 침해흔적을 분석해 악성코드 침입 경로를 시각화해 침해대응을 용이하게 도와준다. 머신러닝 학습과 정적·동적분석, 소프트웨어 신뢰도 분석 등의 기능을 갖췄다.
