“알약 EDR, 딥러닝으로 엔드포인트 위협 탐지하고 대응”
알려진 바이러스 파일을 차단하고 치료하는 안티바이러스(백신)을 넘어 모든 사이버 위협 행위를 분석해 탐지하고 대응하는 ‘엔드포인트 위협 탐지·대응(EDR)’ 솔루션이 몇 년 전 주목받기 시작했다. 하지만 백신과 달리 직접 치료까지는 해 주지 않아 쓰임새가 떨어진다는 평가도 받는 것이 사실. 적극적으로 EDR 사업을 펼치는 기업들은 각자의 기술력을 활용해 EDR 시장을 확대하고 있는 가운데 어떤 특장점으로 사용자의 눈길을 끌고 있을까.
최근 서울 서초동 이스트빌딩에서 만난 김봉필 이스트시큐리티 전략본부장은 “모바일, 노트북, 클라우드 등 디바이스 간 연결이 늘고 사이버 공격 기법이 고도화되며 엔드포인트 보안에 대한 관심이 높아지고 있다”면서 “안티바이러스와 같이 알려진 공격 예방에만 국한돼 있던 기존 보안 솔루션들은 그 역할과 보호 범위에 한계가 있다”고 말했다.
가트너는 EDR의 기능 영역을 ‘예측-방어-탐지-대응’ 4가지로 정의한다. 엔드포인트의 위협 정보를 수집하고, 해당 정보를 분석해 보안 담당자가 효과적인 대응을 할 수 있도록 하는 것이 EDR의 핵심이다. 백신은 바이러스 파일을 패턴으로 탐지하지만 EDR은 엔드포인트에서 실행되는 모든 행위를 기록하고 탐지하기 때문에 대응 범위가 더 넓다.
김봉필 본부장은 파일 자체의 ‘정적 정보’와 프로세스 동작 및 행위 등 ‘동적 정보’를 통합한 것이 EDR이라고 설명했다. 그는 “최근 지속적으로 실행 파일 형태로 악성코드를 메모리로 바로 적재해 동작하는 ‘파일리스(Fileless)’ 공격이 늘어나고 있다”면서 “정적 정보 파악 만으로는 이러한 파일리스 공격 탐지가 어렵기 때문에 기술적으로 한 단계 높인 것”이라고 부연했다.
이스트시큐리티의 ‘알약 EDR’은 자체 개발한 딥러닝 기술을 결합한 것이 특징이다. ‘쓰렛 인사이드(Threat Inside)’ 기술이 그것으로, 딥러닝 인공지능 기술로 분석한 악성코드에 대한 정보나 어택 그룹에 대한 정보 등을 데이터베이스로 담아둔다. 위협 의심 행위가 탐지되면 쓰렛 인사이드와 연계해 실제 위협으로까지 이어질 것인지 판단하는 데 도움을 준다는 설명이다. 김봉필 본부장은 “(실제 위협인지) 판단할 수 있는 정보를 주어 관리자 리소스를 줄여준다”고 말했다..
알약 EDR은 크게 네 가지 특장점이 있다는 게 김 본부장의 말이다. 그는 ▲알려진 위협과 알려지지 않은 위협 모두를 탐지·차단 ▲안정적인 커널 레벨 드라이버 사용 ▲통합 에이전트 및 관리 콘솔 지원 ▲선조치-후보고를 통한 관리 리소스 최소화 등을 타사 EDR과의 차별점으로 제시했다.
김 본부장은 “자체 탐지 엔진인 ‘테라 엔진’을 기반으로 과탐과 오탐을 최소화하고, 평판분석 정보를 제공해 알려진 위협을 빈틈없이 탐지한다”고 밝혔다. 이어 “커널 레벨 드라이버를 통한 행위 기반 감시와 랜섬웨어 차단 기술로 더 강력한 의심행위 차단이 가능하다”면서 “파일, 프로세스, 레지스트리, 네트워크 등의 위협 정보를 안정적으로 수집해 엔드포인트 가시성을 제공한다”고 덧붙였다.
통합 에이전트와 통합 관리 콘솔은 이스트시큐리티의 보안 솔루션 라인업과 시너지를 낸다. 백신인 ‘알약’을 비롯해 ‘알약 패치관리(PMS)’, ‘알약 내PC지키미’ 등 기존 제품군과 통합 관리가 가능해 보안 담당자는 효율적인 운영이 가능하다는 설명이다.
아울러 기존에 알려지지 않았던 위협은 ‘악성-의심-주의’ 단계로 세분화해 차단 및 대응할 수 있다. 김 본부장은 “주의 레벨의 위협은 기업 보안 정책에 따라 차단할지 결정하고, 의심 레벨은 우선 실행을 지연시킨 후 상세 분석 결과를 통해 판단이 가능하게끔 한다”면서 “또한 알약 EDR은 확실한 악성 행위는 우선 차단한 뒤 정보 리포트를 제공해 보다 효율적인 대응이 가능하다”고 말했다.
알약 EDR의 우수성은 유수의 고객사가 증명한다. 신세계그룹의 조선호텔은 외산 제품을 사용하다 국산 EDR 제품으로 전량 교체를 결정하고 알약 EDR을 선택했다. 또한 GS그룹의 계열사인 인천종합에너지 역시 기존에는 외산 백신을 썼지만 ‘알약 백신’과 ‘알약 EDR’을 전사에 도입했다.
이스트시큐리티 대응센터(ESRC)의 노하우도 알약 EDR의 자랑이다. 보안 전문가 20여명이 항상 보안 위협 정보를 모니터링하고 신종 악성코드를 분석하고 있기 때문에 새로운 위협도 빠른 대응이 가능하다.
김 본부장은 다만 EDR 하나만으로는 안심할 수 없다고 조언했다. 백신과 함께 쓸 때 EDR의 효과가 배가된다는 것. 치료 기능과 함께 기존 악성코드 정보(시그니처)를 가진 백신과 함께 써야 효과적이라는 뜻이다. 반대로 백신만 사용하는 것을 넘어 EDR까지 붙여 보안 범위를 넓히는 것도 바람직하다. 나아가 매니지드 탐지·대응(MDR) 서비스를 함께 도입하는 것도 겹겹이 보안을 쌓는 바람직한 방법이 될 수 있다는 게 김 본부장의 생각이다.
김 본부장은 “EDR 도입 시에는 엔드포인트와 관리 서버 양쪽의 성능을 고려하는 것이 중요하다. 모든 프로세스의 행위를 분석해야 하므로 시스템 리소스 점유율이 성능을 가르는 요소”라며 “알약 EDR은 행위 (탐지 및 분석) 엔진 고도화와 안정화를 지속적으로 진행하고 위협에 대한 명확한 가시성을 제공한다”고 강조했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network