[기획] 엔드포인트 위협 행위 잡아내는 ‘EDR’의 현재와 미래

By이진호

오늘날 사이버 공격은 매우 다양한 경로로 이뤄집니다. 바이러스는 물론이고 랜섬웨어나 지능형지속위협(APT) 공격 등 수많은 공격 기법이 시스템을 위협합니다. 무심코 접속한 웹사이트에서 나도 모르는 사이에 악성코드를 심고, 동료가 준 워드파일에서 내 개인정보를 침해할 위험이 도사리고 있습니다. ‘엔드포인트 위협 탐지·대응(EDR)’ 솔루션이 각광받는 것도 이 때문입니다. 사용자 단말에서 일어나는 행위를 분석해 위협을 막고, 대응을 돕는 것이 EDR의 목적. 현재 EDR 솔루션은 어디까지 왔고 어디를 향하고 있을까요. 3회에 걸쳐 알아봅니다. <편집자주>

엔드포인트(단말)에 가해지는 모든 사이버 위협 행위를 탐지하는 EDR은 2010년대 후반 본격적으로 시장에 모습을 드러냈다. 기업의 IT 환경이 갈수록 복잡해지고, 사용하는 디바이스가 늘어나며 엔드포인트 보안 솔루션에 대한 필요성도 커졌다. 국내에도 다양한 제품이 소개되며 EDR은 보안 솔루션의 한 축으로 자리 잡고 있다.

가트너는 ‘엔드포인트에서 발생하는 행위와 이벤트들을 기록하고, 다양한 데이터 분석 기술로 의심스러운 동작 및 악의적인 공격을 탐지하고 대응하는 솔루션’으로 EDR을 정의한다. 기능 차원에서는 ▲보안 위협 감지 ▲엔드포인트 사고 억제 ▲사고 조사 ▲대응 지침 제공이라는 4가지 요소를 제시한다.

김봉필 이스트시큐리티 전략기획본부장은 “안티바이러스와 같이 알려진 공격에만 집중하던 기존의 보안 솔루션들은 그 역할과 보호 범위의 한계가 드러났다”면서 “알려지지 않은 위협을 탐지하고 제거할 수 있는 보안 체계가 요구되는 상황”이라고 EDR의 등장 배경을 말했다.

안티바이러스는 악성 파일을 탐지해 제거하거나 치료는 할 수 있어도 최근 증가하는 파일리스(Fileless) 공격은 예방하기 어렵다는 게 김봉필 본부장의 말이다. 파일 자체 정보를 보는 정적 기반 탐지를 기반으로 하기 때문에 다양한 신·변종 랜섬웨어 등 악성코드 체크가 어렵다는 것이다. 그는 “이제는 프로세스 행위를 보는 동적 기반 탐지도 이뤄져야 한다”고 강조했다.

EDR도 이같은 문제 의식에서 태동했다. 기본 구조는 이렇다. 엔드포인트에서 발생하는 행위 로그를 수집하고, 어떤 URL 접속이나 디바이스에서 위협 행위가 일어났는지, 최초 위협 경로는 어디인지 가시성을 확보한다. 실제 보안 위협까지 이어질 수 있는지 판단하고, 위험도가 높을 경우 경보를 날려 보안 담당자가 대응할 수 있도록 한다. 안티바이러스가 탐지하지 못하거나, 실제 시스템에 장애를 일으키지 않는 행위라도 이를 파악하고 최종 대응할 수 있도록 지원하는 솔루션으로 보면 쉽다. 엔드포인트 가시성 확보가 목표이기 때문에 사이버 위협에 대한 대응 레벨을 자동으로 분류해주는 ‘보안 오케스트레이션 자동화 대응(SOAR)’ 솔루션이나 통합보안관제 시스템인 ‘보안정보이벤트관리(SIEM)’와는 구별된다.

과도하게 위협을 진단하는 과탐지나, 정상 행위도 위협으로 보는 오탐지를 줄이는 건 업체들의 숙제이자 기술력의 척도다. 이에 보안 솔루션 업체들은 저마다의 기술로 만든 제품으로 시장을 공략하고 있다. 인공지능(AI)을 활용하거나 고객사가 리포트한 위협을 다시 엔진에 반영하는 솔루션이 있는가 하면, 검색 기능을 지원하는 곳도 있다.

솔루션마다 다른 개성, AI 위협 분석과 검색까지…서드파티도 연동

이스트시큐리티의 ‘알약 EDR’은 자체 개발한 딥러닝 기술을 결합했다. 바로 쓰렛 인사이드(Threat Inside)로, 악성코드 정보나 공격 그룹에 대한 정보 등을 딥러닝으로 분석한다. 위협 의심 행위가 발견되면 쓰렛 인사이드와 연계해 실제 위협으로까지 이어질 것인지를 판단하는 식이다. 또한 자체 탐지 엔진인 ‘테라 엔진’을 기반으로 과탐지와 오탐지를 줄이고 평판 분석 정보를 활용해 위협을 빈틈없이 탐지한다는 게 이스트시큐리티의 설명이다.

IBM의 ‘리액타(ReaQta)’는 AI 어드바이저를 통해 단계별 위협 대응 방안을 제시한다. AI가 문제 해결에 필요한 행동 옵션을 제안해 보안 담당자가 위협에 신속히 대응할 수 있도록 돕는다. 자사 엑스포스(X-Force) 연구소가 모은 전세계 사이버 위협 분석 결과도 EDR 엔진에 활용한다. IBM에 따르면 리액타만을 위한 운영체제 ‘나노(Nano) OS’를 적용해 과도하게 메모리를 점유하지 않음으로써 혹시 모를 단말의 속도 저하 이슈도 피했다.

태니엄의 ‘XEM’은 검색 기능을 장점으로 내세운다. XEM은 플랫폼 형태로 엔드포인트 자산 탐지와 취약점 관리, 모니터링 등의 기능을 두루 제공하며 기존의 EDR과 차별화를 꾀한다. 자연어 검색을 통해 엔드포인트 데이터를 가져오거나 위협 의심 지점을 들여다볼 수 있다. 검색창을 통해 ‘From (IP 주소) get (접속 URL)’식으로 검색하면 해당 IP를 가진 PC가 접속한 URL을 대시보드에서 확인할 수 있는 식이다. ‘리니어 체인(Linear Chain)’ 아키텍처를 기반으로 일부 단말만 찍어 정보를 받아오기 때문에 15초 정도면 모든 엔드포인트 정보를 탐지할 수 있는 것도 특장점이다.

지니언스의 ‘지니안 EDR 2.0’은 이미 알려진 악성 파일을 파악하는 침해지표(IOC) 탐지를 비롯해, 에코시스템(ECO-SYSTEM) 기능으로 100여개의 고객사에서 리포트한 의심 행위를 위협 판단에 활용한다. 파일 자체는 정상이지만 자동 실행 등 의심 행위를 찾아내는 XBA(X Behavior Analysis) 기능도 제공한다. 김준형 지니언스 엔드포인트사업본부장은 “사이버 위협 인텔리전스(CTI) 조회 기능을 통해 탐지된 파일의 평판 정보도 추가로 제공해준다”고 설명했다.

미리 세팅한 리스트로 위협을 가려내기도 한다. 소만사의 ‘프라이버시아이(Privacy-i) EDR’은 메모리 변조, 임의 메모리 할당 등 35가지 취약점 패턴을 담은 리스트로 위협 여부를 확인하고, 차단을 진행한다. ‘마이터어택(MITRE ATT&CK)’ 프레임을 반영해  최신 공격 방법에 대한 필터링 또한 진행한다. 김상욱 소만사 위협대응엔진팀장은 “패턴 기반 엔진으로 악성코드나 랜섬웨어를 먼저 필터링하고, 패턴 엔진이 미처 탐지하지 못한 신·변종이나 파일리스 공격은 행위 기반 엔진으로 확인한다”고 말했다.

서드파티나 자사의 보안 인프라가 활용되기도 한다. VM웨어의 ‘카본블랙(CarbonBlack) EDR’은 에일리언볼트(AlienVault), 토르(Tor)를 비롯해 페이스북 쓰렛익스체인지(TE) 등 다양한 서드파티와 연계해 위협을 가려낸다. 온라인상의 해킹 논의나 악성 파일 공유 상황 등을 확인해 보안 담당자가 미리 대응할 수 있다. 마이터어택 프레임 반영을 비롯해 최신 패치 여부나 특정 앱의 악성코드 설치 여부 등을 확인하는 ‘위협 식별’ 기능으로 보안 취약점을 즉각 알려준다. 200명의 연구진이 참여하는 쓰렛애널리시스유닛(TAU) 팀은 위협 리스트를 주기적으로 업데이트한다.

안랩의 ‘EDR 2.0’은 자체 개발한 엔진이 AI 머신러닝으로 위협별 위험도와 악성 확률 등을 추려내는 것이 특징이다. 마이터어택 프레임도 반영한다. 특히 기본으로 제공하는 매니지드 탐지·대응(MDR) 서비스로 고객사는 안랩의 보안 전문가의 분석을 제공 받을 수 있다. 위협의 원천은 어디인지, 실제 위협이 될 행위인지 등을 안랩시큐리티대응센터(ASEC) 연구팀이 분석하고 알려준다. 안랩 측은 “보안 전문가들이 위협을 판단한 보고서나 모니터링 정보를 제공해 판단을 도와준다”고 밝혔다.휴먼 리소스는 도입 막는 장벽…시장 전망은 ‘맑음’

이같이 보안 담당자의 대응 지원에 초점을 맞추는 건 EDR 도입의 장벽으로 작용하는 휴먼 리소스 문제를 해결하기 위함이다. 판단을 돕는 기능이 탑재되긴 해도 SOAR같은 자동화 솔루션이 아닌데다, 치료 기능도 없기 때문에 보안 정책을 최종 결정하는 건 결국 사람의 손이 필요하다. 이 때문에 “돈을 들여 솔루션을 샀는데 왜 자동으로 해결해주지 않느냐”는 지적이 이어진다는 게 업계의 공통된 전언이다.

정광우 안랩 제품서비스기획팀 부장은 “솔루션이 처음 나올 때만 하더라도 안티바이러스 차원의 ‘치료’기능에 대한 기대가 크고, 스스로 판단해야 한다는 부담감이 컸던 게 사실”이라고 말했다.

여기에 경기 불황이나 시장 상황도 솔루션 확산에 브레이크를 걸었다. 김준형 지니언스 본부장은 “주요 시장인 금융권의 투자 한파와 망분리 이슈 등 다른 이슈로 인해 엔드포인트 보안 문제가 뒷전으로 밀린 경향이 있다”고 진단했다. 하지만 솔루션의 효용 자체를 부정하는 고객사는 없어 2022년이 국내 EDR 시장 확대의 실질적인 원년이 될 거라는 게 김 본부장의 기대다.

시장 전망도 이를 뒷받침한다. 글로벌 시장조사 전문업체 얼라이드(Allied Market Research)는 2021년 세계 EDR 시장 규모를 19억달러 규모로 분석했다. 한화로 환산하면 2조4000억원가량이다. 얼라이드는 특히 연평균 25.3% 성장을 거듭해 2031년에는 183억달러 규모가 될 것으로 봤다. EDR이 이제는 필수적인 보안 솔루션으로 자리잡을 것으로 예측되는 대목이다.

<2회에서 계속>

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다