|

“안랩 EDR 2.0, 어려운 엔드포인트 위협 판단…MDR 기본 제공”

By이진호

국내 IT 보안 하면 가장 먼저 떠오르는 기업은 어디일까. 바로 ‘안랩’이다. ‘컴퓨터 바이러스 백신’이라는 용어를 만들어냈을만큼 국내 대표 엔드포인트 보안 솔루션 기업인 안랩은 ‘엔드포인트 위협 탐지·대응(EDR)’ 솔루션에도 업계 선구자의 경험을 담아 보안 담당자들의 고충 해소를 지원하고 있다.

지난 2018년 첫 출시 이후 지난달 새로 선보인 ‘안랩 EDR 2.0’은 쉬운 활용을 돕는 관리 서비스와 더 정교해진 탐지 기능으로 엔드포인트 보안을 지킬 수 있도록 개발했다.

최근 바이라인네트워크와 만난 박상희 안랩 제품서비스기획팀 부장은 “EDR 2.0은 안랩의 보안 전문가가 솔루션 활용을 도와주는 서비스를 제공한다”며 “자사 보안 솔루션과 시너지를 내는 융합에 초점을 맞췄다”고 말했다.

EDR은 단말에 가해지는 위협과 위협이 들어온 경로, 위협의 레벨 등 엔드포인트 가시성을 제공하는 기능이 기본이다. 이를 바탕으로 보안 담당자가 위협 대응 전략을 짜는 게 순서다. 하지만 가시성을 확보했더라도 올바른 보안 정책 마련에 어려움을 겪거나, 아예 전문인력이 없어 대응조치가 어려운 기업이 적지 않다. 바로 이 점이 EDR의 필요성은 느끼지만, 도입까지는 이어지지 않는 장벽이 됐다. 안랩은 이러한 고충에 주목했다.

박상희 부장(사진 좌측)과 정광우 부장은 바이라인네트워크와의 인터뷰에서 “안랩 EDR 2.0은 올바른 엔드포인트 위협 분석과 대응 등 고객의 어려움을 해소하는 데 초점을 맞췄다”고 입을 모았다. (사진=안랩)

EDR 2.0은 매니지드 탐지·대응(MDR) 서비스를 기본으로 제공한다. 박상희 부장은 “보안 담당자는 엔드포인트에서 발견된 위협 행위를 확인해 대응 방법론을 꾸리게 되지만, 위협인지 판단하는 기준을 세우는 것 자체가 어려운 부분”이라면서 “‘각자 알아서 판단하라’가 아니라 안랩의 보안 전문가들이 위협을 판단한 보고서나 모니터링 정보를 제공해 판단을 도와준다”고 말했다.

예컨대 어떤 위협 행위가 한 번 발견됐으면 해당 행위까지는 여러 해킹 시도와 기법이 엮여 있기 마련이다. 이에 위협의 원천은 어디인지, 쓰인 해킹 기술은 무엇인지, 실제 큰 위협이 될 행위인지 등을 안랩시큐리티대응센터(ASEC) 연구팀이 분석하고 알려준다.

정광우 안랩 제품서비스기획팀 부장은 “단적인 행위만 바라봐서는 실제 위협 여부를 판단하기 힘들다. 악성 URL이지만 단순히 테스트로 접속했을 수도 있다”면서 “ MDR 서비스를 통해 보안 담당자의 정확한 판단과 대응을 돕는 것이 EDR 2.0의 콘셉트”이라고 말했다.

더 범위가 넓은 로그 분석이나 기업 환경에 맞춘 보안 정책 생성을 원하는 고객은 추가 비용을 내고  ‘EDR 프리미엄’ 서비스를 받으면 된다. 위협 전체에 대한 모니터링과 로그 분석, 최신 보안 이슈 등을 반영한 맞춤형 탐지룰 생성 등 심화 서비스를 제공한다.

반드시 MDR의 힘을 빌려야 하는 건 아니다. 당연히 보안 담당자 스스로도 판단과 대응에 나설 수 있다. EDR 2.0은 전용 콘솔인 ‘EDR 애널라이저’를 탑재해 ▲다이어그램 ▲프로세스 트리 ▲타임라인 등 세가지 방식으로 엔드포인트에 가해지는 위협 행위를 보여준다. 도식 형태의 다이어그램이나 경로 확인이 편한 프로세스 트리, 시간 별 로그를 기록한 타임라인 방식 등 원하는 형태를 조합해 대시보드로 볼 수 있다.

EDR 애널라이저에서 다이어그램 형태로 엔드포인트 위협을 확인하는 모습 예시. (자료=안랩)

안랩에 따르면, 자체 개발한 EDR 전용 엔진은 머신러닝으로 위협별 위험도와 악성 확률 등의 정보를 제공한다. 마이터어택(MITRE ATT&CK) 프레임워크를 반영해 위협을 16가지 카테고리로 분류해준다. 또한 EDR이 탐지해 냈지만 보안 정책이 이미 꾸려져 있어 불필요한 얼럿은 예외 필터링으로 제외할 수 있다. 보안 담당자가 조직에 필요한 별도의 행동 룰을 만드는 기능도 제공한다.

단, 안랩은 EDR만을 맹신하는 건 경계했다. EDR뿐 아니라 각각의 보안 솔루션의 담당 영역이 다르기 때문에 효과적인 대응을 위해 함께 운용할 것을 권했다. 정 부장은 “다크웹에서 나오는 위협 정보들을 플랫폼에서 보여주는 ‘안랩 TIP’나 샌드박스 방식으로 악성코드 행위 분석 등을 제공하는 지능형지속위협(APT) 대응 솔루션 ‘안랩 MDS ’와도 연동할 수 있다”고 말했다.

EDR로 확인한 위협의 실체를 안랩 TIP로 확인하거나, 발견된 악성코드를 MDS로 체크하면 더 다각적인 대응이 가능할 거라는 뜻이다. 더 넓게는 안랩의 엔드포인트 보안 플랫폼(EPP) 제품군에 속한 V3나 패치 관리 솔루션과 연계하는 것도 추천했다.

안랩은 EDR 시장이 확실히 팽창하고 있는 것으로 바라본다. 예전에는 대기업이나 금융사들이 EDR 도입을 검토했지만, 이제는 분야를 가리지 않고 기업들의 관심이 커졌다는 전언이다. 특히 올해는 EDR에 대한 관심이 가장 컸던 해였다는 게 정 부장의 말이다.

그는 “솔루션이 처음 나올 때만 하더라도 안티바이러스 차원의 ‘치료’기능에 대한 기대가 크고, 스스로 판단해야 한다는 부담감이 컸던 게 사실”이라며 “현재 EDR의 필요성은 점점 더 커지고 있는 상황이다. 적극적인 관심을 보이고 도입을 검토하는 기업이 늘어나고 있다”고 전했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다