VM웨어 ‘카본블랙 EDR’ “위협 식별부터 차단, 탐지, 대응으로 엔드포인트 보안↑”
VM웨어(VMware)가 2019년 인수한 카본블랙(CarbonBlack)의 엔드포인트 보안 기술력을 결합해 만든 ‘엔드포인트 위협 탐지·대응(EDR)’ 솔루션 ‘카본블랙 EDR’을 선보이며 시장을 공략하고 있다. 다양한 타사(서드파티) 위협정보를 연동해 위협 식별 기능을 제공하고 완화해 공격 표면을 줄여 엔드포인트 보안을 지킬 수 있다는 설명이다.
조성윤 VM웨어코리아 보안사업부 이사는 바이라인네트워크와 인터뷰에서 “카본블랙 EDR은 20개 이상의 서드파티와 연계해 엔드포인트 보안성을 높일 수 있는 솔루션”이라고 말했다.
그의 말처럼 카본블랙의 다양한 파트너 에코시스템은 비단 위협 경로를 확인하는 것을 넘어 다각도로 엔드포인트 위협을 탐지하는 데 도움을 준다. 에일리언볼트(AlienVault), 토르(Tor)를 비롯해 페이스북 쓰렛익스체인지(TE) 등 다양한 서드파티를 통해 온라인 상의 위협 정보를 가져와 실제 위협을 가려낼 수 있다는 설명이다.
또한 바이러스토털(VirusTotal) 데이터를 연동해 안티바이러스(백신)가 잡아내는 악성코드들이 엔드포인트에 위협이 될 수 있는지 확인시켜주거나, 마이터어택(MITRE ATT&CK) 프레임을 적용해 최신 공격 기법을 막아내고 대응할 수 있도록 도와준다.
조성윤 이사는 “페이스북 TE의 경우 페이스북에서 해커들이 악성 URL이나 해킹정보, 타깃 등을 공유하면 이를 애플리케이션프로그래밍인터페이스(API) 연동으로 확인할 수 있는 기능”이라며 “이를 비롯해 다양한 위협 인텔리전스를 번들링해 고객들이 쉽게 활용할 수 있다”고 말했다.
VM웨어는 카본블랙을 ‘차세대’ EDR로 지칭한다. 단순히 위협을 보는 것을 넘어 미리 잡아내고 대응할 수 있는 솔루션이라서다.
김한기 VM웨어코리아 보안사업부 상무는 “카본블랙은 위협 식별, 차단, 탐지와 대응을 통합한 솔루션”이라면서 “특히 위협 식별은 타 EDR과 차별화된 기능으로 취약점을 즉각 알려주고 조치할 수 있도록 한다”고 강조했다.
예컨대 오피스나 업무용 프로그램을 깔 경우 최신 패치가 깔려있는지, 특정 애플리케이션이 악성코드를 담고 있지는 않은지 확인하고 알려주는 식이다. 꼭 해킹이 아니더라도 미리 위협 요소를 진단해 혹시 모를 허점을 막을 수 있다는 게 김한기 상무의 설명이다.
위협 행위와 경로를 보여주고, 이를 확인한 보안 담당자가 최종 판단을 내려 대응할 수 있도록 하는 게 EDR의 역할이다. 그만큼 위협 가시성을 제대로 제공하는 게 기술력의 핵심이다. 꼭 확인해야 하는 위협 리스트는 VM웨어의 쓰렛애널리시스유닛(TAU)팀이 주기적으로 업데이트한다. 200여명의 연구진이 매일 신규 위협을 찾아내고 이를 데이터베이스로 만들어 카본블랙과 연동한다.
이를 토대로 보안 위협 수준을 1~10으로 나눠 5 이상의 고위험 위협은 차단하고 5 이하는 얼럿을 날린다. 대시보드를 통해서는 진한 레드와 오렌지, 옐로우, 그레이색 순으로 위협을 시각화해주기 때문에 보안 담당자는 빠른 확인과 대응에 나설 수 있다.
경로 확인도 편리하다. 엔드포인트의 모든 시스템 파일이나 레지스트리 및 네트워크 연결 변경사항을 도식 형태로 제공한다. 엔터프라이즈급 고객사의 경우 엔드포인트도 수천, 수만개에 달한다. 이에 카본블랙은 다양한 조건의 필터 옵션으로 위협이 의심되는 엔드포인트나 이상행위가 발생한 지점을 쉽게 검색할 수 있다.
의심스러운 애플리케이션은 격리하고 위협 행위를 차단하는 ‘하드닝(Hardening)’ 기능도 주목할 점이다. 위협이 들어올 수 있는 공격 표면을 차단하는 개념이다. 악성 프로그램이나 에이전트를 체크해 해커가 노릴 취약점을 감소시킨다. 조 이사는 “전체 공격이 100개라고 치면 70개는 공격 표면을 제거해 막아낼 수 있다”며 “미리 표면을 제거하게 되면 해커가 타고 들어올 루트도 줄어들 수밖에 없다”고 말했다.
시스템 리소스를 많이 잡아먹지 않는 점도 카본블랙의 자랑 중 하나다. 조 이사는 “성능 테스트를 통해 CPU 점유율이 1%를 넘지 않고 메모리 점유도 40메가바이트를 넘지 않도록 설계했다”고 말했다. 이를 통해 엔드포인트에 깔리는 에이전트로 인한 성능 저하 이슈를 피할 수 있다.
EDR 도입을 고려하는 고객사 입장에서는 쉬운 도입 절차와 사용법이 중요하다. 글로벌 기업인 VM웨어는 이와 관련해 어떤 장점과 서비스를 제공하고 있을까. 김 상무는 “전문 보안 조직이 없더라도 위협을 찾고 대응할 수 있는 매니지드 탐지·대응(MDR) 서비스도 제공하고 있다”며 “워크숍 프로그램을 통해서도 직접 EDR을 사용해보고 위협 대응 상황을 미리 시뮬레이션할 수 있다”고 말했다.
지난달 카본블랙 EDR 도입을 고려하는 기업 2곳을 대상으로 연 워크숍도 성공적이었다. 단 90분이었지만, 처음 카본블랙을 만져본 엔지니어들은 사용법을 익히고 실제 위협 대응까지 해냈다. 조 이사는 “2023년에는 더 많은 고객사를 초청해 교육을 진행할 계획”이라고 말했다.
아직까지 백신만으로도 시스템 보안은 충분하다는 인식을 가진 기업이 적지 않다. EDR을 바라보는 시장의 반응은 어떨까. 김 상무는 “백신 무용론을 뜻하는 것은 아니지만, 지속적인 랜섬웨어 피해 사례나 전문 해킹 조직의 공격 등으로 알 수 있듯 백신으로만 위협을 막는 것은 분명 한계가 있고 고객사들도 이를 인지하고 있다”며 “갈수록 늘어나는 시스템 취약점을 노린 공격을 빨리 확인하고 대응해야 한다. 이를 위해서 필요한 솔루션이 EDR”이라고 강조했다.
그러면서 “VM웨어는 카본블랙 인수 후 EDR 비즈니스를 본격적으로 확산하고 있다”며 “우리나라에서도 제조, 플랫폼, 게임, 핀테크 등 다양한 분야의 고객사가 카본블랙 솔루션을 도입해 운용하고 있다”고 덧붙였다.
카본블랙 EDR은 온프레미스를 비롯해 클라우드 환경의 서비스형소프트웨어(SaaS) 형태 모두 제공된다. 제품 브랜딩도 나눠 SaaS 제품의 제품명은 ‘카본블랙 클라우드’로 부른다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network