“지니안 EDR, ‘공격 스토리라인’으로 위협 확인해 엔드포인트 보안↑”

지난 2017년 처음 ‘엔드포인트 위협 탐지·대응(EDR)’ 솔루션을 내놓은 지니언스는 이제 엔드포인트 보안 솔루션 업계의 강자로 자리잡았다. EDR의 개념조차 생소하던 시절 ‘지니안(Genian) EDR(이하 지니안)’을 내놓은 뒤 2020년 메이저 업그레이드를 통해 2.0 버전을 내놓은 것이 큰 역할을 했다.

최근 경기도 안양의 지니언스 사옥에서 만난 김준형 엔드포인트사업본부장은 “EDR 솔루션 가운데 메이저 업그레이드 버전을 내놓은 건 지니언스가 처음”이라고 말했다. 단순히 새로운 솔루션을 제공하는 ‘맛보기’ 성격이 아니라 EDR의 필요성과 시장 가능성을 제대로 인식하고 지속적인 연구개발로 시장을 선도하고 있다는 게 김준형 본부장의 말이다.

그는 “2.0 버전이 나왔느냐가 솔루션의 지속가능성을 가르는 지표가 된다”며 “지니안 2.0은 엔드포인트 보안을 위한 충분한 가시성을 제공하고, 모니터링 고도화 등 기능은 물론 사용자 편의성까지 높인 솔루션”이라고 강조했다.

김준형 지니언스 엔드포인트사업본부장은 코로나19 역학조사처럼 사이버 위협도 경로 추적과 그에 대한 대응이 중요하다고 강조했다. (사진=지니언스)

엔드포인트의 위협 정보를 수집하고 분석해 보안 담당자가 효과적인 대응을 할 수 있도록 돕는게 EDR의 핵심 역할이다. 이를 위해선 엔드포인트 가시성 확보가 대응을 위한 선제 조건이다. 회사 측에 따르면, 지니언 2.0은 ‘공격 스토리라인’을 통해 악성코드나 랜섬웨어 등의 사이버 공격 경로를 쉽게 파악할 수 있다. 파일과 프로세스의 연관성에 대한 정보를 도식도 형태로 표시하는 기능이다. 이상 행위가 어디서 일어났는지 확인할 수 있는 대시보드를 통해서도 한 눈에 엔드포인트 보안 현황을 체크할 수 있다고 김 본부장은 설명했다. 위젯 형태로 단말 설치 이력이나 사내 메신저 로그인 기록, 파일 공유 현황, 접속한 웹사이트 로그 등 원하는 항목을 설정해 대시보드에 구현하는 것도 가능하다.

파일 패턴을 매칭해 이미 알려진 악성 파일을 파악하는 침해지표(IOC) 탐지를 비롯해, 머신러닝(ML)으로 악성 파일과 정상 파일의 특징을 학습해 의심 파일을 가려낸다. 또한 파일 자체는 정상이지만 자동 실행 등 의심 행위를 찾아내는 XBA(X Behavior Analysis) 탐지 기능도 제공한다. 최종 탐지 시간이나 악성코드명 등 사이버 위협 인텔리전스(CTI) 조회 기능은 탐지된 파일의 평판정보를 추가로 제공해 오탐을 방지해준다.

이 밖에 지니안 ‘에코 시스템(ECO-SYSTEM)’은 다양한 고객사를 보유했기 때문에 제공할 수 있는 기능이다. 100여개의 고객사에서 리포트한 의심 행위나, 파일 설명 등 샘플을 모아 위협으로 판단하거나 예외 처리하는 등 오탐 및 과탐을 줄일 수 있어 효용이 높다는 게 지니언스의 설명이다.

지니안은 일종의 도식도 형태인 ‘공격 스토리라인’으로 악성코드의 유입 경로와 전파 방향, 영향 등을 시각화해 보여준다. (출처=지니언스)

김 본부장은 “EDR은 시스템 보안과 관련한 거의 모든 정보를 수집하고, (백신으로 잡을 수 없는) 알려지지 않은 위협까지 탐지해 전통적인 백신 솔루션의 단점을 보완한다”고 말했다. 그는 국내 EDR 시장이 도입기를 넘어 성장기로 진입하는 단계라고 했다. 2020년 코로나19 팬데믹으로 인한 기업들의 IT 투자 축소와 원격 근무의 확산 등 다른 이슈가 엔드포인트 보안에 대한 관심을 덮은 측면이 있지만, 다시 시장이 주목할 것으로 바라봤다.

김 본부장은 “현재 보안 위협은 기하급수적으로 확산되고 있다”며 “날로 지능화되는 지능형 지속 위협(APT), 랜섬웨어 등은 전통적인 보안 솔루션을 통해서는 탐지하고 대응하기 어려운 것이 현실”이라며 앞으로 EDR 시장이 지속 성장할 것으로 전망했다.

지니안 뿐만 아니라 타사 EDR도 솔루션 자체에는 악성코드 치료를 위한 안티바이러스(백신) 기능이 없다. 단말을 모니터링해 위협을 탐지·분석하고 대응을 돕는 솔루션이지만, 치료 기능이 없다는 건 도입을 꺼리는 걸림돌로 작용하기도 한다.

이에 대해 김 본부장은 코로나19 역학조사를 예로 들며 반박했다. 코로나19 백신이 나오기 전에도 질병관리본부는 확진자의 경로를 추적해 확산을 막았다는 것이다. 사이버 세상도 마찬가지다. 악성 파일이 언제 어떻게 시스템이 들어왔는지, 어떤 정보가 유출됐는지 알아내는 데는 EDR이 필요하다는 게 김 본부장의 말이다.

그는 “코로나19 역학조사관이 확진자 경로를 파악하고 밀접 접촉자를 격리한 것처럼, EDR은 시스템의 모든 행위를 모니터링해 이상 행위와 위협에 사전 대응한다”면서 “원인 추적과 분석이 가능할뿐더러 이상행위 탐지를 통해 신종 공격에도 대응할 수 있다”고 강조했다.

지니언스에 따르면 KB 국민은행을 비롯해 NH농협은행, 한국도로공사, 광주은행 등이 지니안을 적용해 통해 엔드포인트 보안을 강화했다. 김 본부장은 “2021년 기준으로 공공 EDR 시장의 바로미터인 조달 시장에서 79%의 시장점유율로 1위를 기록했다”면서 “기획재정부 등 공공 레퍼런스도 다수 확보했다”고 말했다. 또 지난 9월에는 보안기능확인서를 획득해 시장에서의 입지가 더욱더 확대될 것으로 기대한다.

그는 EDR이 일종의 보안 컴플라이언스가 돼야 한다고 강조했다. 백신은 이미 보안의 필수요소로 꼽히고 있지만, EDR은 기업이나 기관의 보안 관련 규정의 필수 요소가 아니라 필요성에 비해 확산이 늦는다는 주장이다. 그는 정책적으로 EDR 도입이 장려돼야 알려지지 않은 신종 공격이나 사고 원인 추적까지 제대로 이뤄지는 보안 환경을 갖출 수 있을 거라고 했다.

김 본부장은 “파도는 막아도 조류는 막을 수 없다”며 “현재 EDR의 미래를 의심하는 이는 없다. 보다 적극적으로 엔드포인트 보안에 투자해야 한다”고 목소리를 높였다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network