단말에 가해지는 위협 행위를 분석해 탐지하는 ‘엔드포인트 위협 탐지·대응(EDR)’ 솔루션은 보안 담당자의 최종 판단과 대응까지 이뤄져야 능력이 십분 발휘된다. 솔루션 자체는 어떤 단말이 보안에 위협이 되는지, 어떤 위협 의심 행위가 이뤄지는지 확인하는 데 활용되고, 이를 차단할지 유지할지 등 최종 대응에는 보안 담당자의 손이 필요하다. 비싼 돈을 들여 솔루션을 적용하더라도 결국 담당자의 수고가 들어가는 부담이 여전했고, 이는 솔루션 보급을 막는 걸림돌이 되기도 했다.

소만사의 EDR 솔루션 ‘프라이버시아이(Privacy-i) EDR’은 자체 탐지엔진과 머신러닝 등을 통해 선제적으로 사이버위협 행위를 판단하고 차단해주는 제품이다. 위협을 확인하는 EDR 본연의 기능에 더해 취약점 보호 기능을 넣어 보안 담당자의 수고를 덜어준다.

소만사에서 위협대응엔진팀을 이끄는 김상욱 수석연구원은 바이라인네트워크와 인터뷰에서 “패턴 기반 엔진과 행위 기반 엔진을 모두 보유하고 있어 2단계 분석으로 정교하게 위협을 탐지해낸다”며 “백신으로 식별하기 힘든 위협을 탐지하고 실시간으로 대응할 수 있는 차세대 솔루션”이라고 말했다.

김상욱 수석연구원(소만사 위협대응엔진팀장)은 프라이버시아이 EDR이 보안담당자의 부담을 덜어주는 솔루션이라고 강조했다. (사진=소만사)

EDR은 솔루션이 위협을 탐지해내면, 이를 보안 담당자가 확인하고 대응 전략을 짜는 데 활용하는 것이 일반적이다. 프라이버시아이 EDR은 패턴 기반 엔진으로 악성코드나 랜섬웨어를 먼저 필터링하고, 패턴 기반 엔진이 미처 탐지하지 못한 신변종이나 파일리스 공격은 행위 기반 엔진으로 확인하는 방식이다. 1차로 위협 패턴을 걸러내기 때문에 엔드포인트단의 위협도 줄어든다는 설명이다.

김 수석연구원은 “보통의 EDR은 솔루션이 탐지한 정보를 토대로 보안 전문가의 판단에 따라 (대응 방향이) 결정되는 형태”라며 “프라이버시아이 EDR은 리소스 투입을 최소화하는 자동화 대응체계를 구축해 편의성과 보안성을 모두 높인 제품”이라고 강조했다.

‘마이터어택(MITRE ATT&CK)’ 프레임을 반영한 것도 소만사는 강점으로 내세운다. 마이터어택은 권한 상승이나 자격 증명, 내부 확산 등 12가지 사이버 공격 전술을 바탕으로 컨테이너 배포, 이미지 캡처, 리소스 하이재킹 등 185개의 구체적인 공격법을 담은 프레임워크다. 이를 통해 최신 공격 방법에 대한 필터링 기술을 업데이트 하고, 효과적인 대응에 나설 수 있다는 설명이다.

고객사를 통해 수집·공유된 악성행위 정보를 모은 ‘위협 인텔리전스(TI)’ 플랫폼도 더 촘촘하게 위협 여부를 판단할 수 있도록 돕는다. 또한 취약점 공격 방지 기능은 메모리 변조, 임의 메모리 할당 등 35가지 취약점 패턴을 담은 일종의 리스트로,  해당 상황이 감지되면 자동으로 차단을 진행한다. 반대로 리스트에는 들어있지만 기업 정책에 따라 허용하는 것도 가능해 과탐을 줄여준다.

예를 들어 엔드포인트에 고객의 집주소와  내부 직원들의 회식 장소 리스트가 저장됐다고 치자. 둘 중 어떤 것부터 지켜야 할까. 프라이버시아이 EDR은 데이터 유출방지(DLP) 기능을 탑재해 데이터 중요도에 따라 보호 수준을 차별화하고, 주기적으로 엔드포인트에 보관한 주요 기밀이나 개인정보를 식별한다. 위협이 감지되면 이미 기밀과 개인정보 등 정보의 중요도를 식별해 놓았으니 해당 데이터부터 우선 보호할 수 있다.

반대로 소만사의 DLP 솔루션을 썼던 고객사라면 설치된 DLP 에이전트에 EDR 기능을 추가만 하면 된다. 에이전트를 별도로 깔아야 하는 부담이 없을 뿐더러 DLP와 EDR 에이전트가 각각 메모리 리소스를 잡아먹으면서 성능이 떨어질 수 있는 문제도 해결한다. 김 수석연구원은 “에이전트 업그레이드 하나만으로 악성코드 차단부터 유출통제까지 시스템 전반의 데이터 보호를 수행할 수 있다”고 말했다.

프라이버시아이 EDR의 대시보드 화면 일부. (자료=소만사)

1997년 설립한 소만사는 25년의 노하우를 담은 자사 솔루션과의 원활한 연동도 프라이버시 EDR의 장점으로 바라봤다. 김 수석연구원은 특히 소만사의 악성코드 배포·유해사이트 차단 솔루션 등과 연동할 때 EDR도 효과가 배가될 것이라고 조언했다. 그는 “데이터 보안 전문기업이라 다양한 관련 솔루션을 가지고 있어 서로 연동이 쉽다 ”면서 “네트워크부터 서버까지 정교한 데이터 보호가 가능한 것이 소만사의 장점”이라고 말했다.


김 수석연구원은 촘촘한 그물의 중요성을 재차 강조했다. 특히 ‘망분리’로 사이버 위협을 막을 수 있다는 일각의 의견을 반박하며 이 또한 EDR이 해결책이 된다고 했다.

그는 “망분리 환경에서도 일부 직원이 우회경로를 만들어 외부 네트워크를 이용할 수도 있고, 외부 디바이스로 인해 악성코드에 감염될 수도 있다”면서 “클라우드와 모바일 컴퓨팅으로 인해 ‘안전한 내부망’ 개념이 점점 약화되고 있다. 이에 엔드포인트의 보안을 강화해 정보자산을 보호하는 EDR이 데이터 보호의 최우선 해결책이 될 것”이라고 강조했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

Similar Posts

답글 남기기

이메일 주소는 공개되지 않습니다.