오늘날 사이버 공격은 매우 다양한 경로로 이뤄집니다. 바이러스는 물론이고 랜섬웨어나 지능형지속위협(APT) 공격 등 수많은 공격 기법이 시스템을 위협합니다. 무심코 접속한 웹사이트에서 나도 모르는 사이에 악성코드를 심고, 동료가 준 워드파일에서 내 개인정보를 침해할 위험이 도사리고 있습니다. ‘엔드포인트 위협 탐지·대응(EDR)’ 솔루션이 각광받는 것도 이 때문입니다. 사용자 단말에서 일어나는 행위를 분석해 위협을 막고, 대응을 돕는 것이 EDR의 목적. 현재 EDR 솔루션은 어디까지 왔고 어디를 향하고 있을까요. 3회에 걸쳐 알아봅니다. <편집자주>

목차
1회 – 엔드포인트 위협 행위 잡아내는 ‘EDR’의 현재와 미래
2회 – 커져가는 EDR 필요성…시장 인식도 변화
3회 – EDR의 미래 어디로…“연계가 트렌드”

“EDR에 적극적인 관심을 보이고 도입을 검토하는 기업이 늘어나고 있다.”
“기존 보안 솔루션들은 역할과 보호 범위의 한계가 드러났다. 알려지지 않은 위협을 탐지하고 제거할 수 있는 고도화된 보안 체계가 요구된다.”

보안 업계에 따르면 2010년대 후반 본격적으로 시장에 모습을 보인 EDR은 초반 기대보다 널리 확산하지 못한 듯하다. 솔루션 비용과 안정화 기간 등 수고에 비해 효용을 체감하지 못하는 기업이 많았다는 게 업계의 전언이다. 하지만 최근 1~2년을 기점으로 기류가 바뀌는 분위기다. 로그4j(log4j) 사태나 백신으로 잡아내지 못하는 다양한 악성코드의 등장 등 연이은 이슈가 다양한 보안 솔루션 도입을 고려하게 했다. 늘어나는 사물인터넷(IoT) 기기나 재택근무 확산으로 인한 태블릿, 노트북 등 늘어나는 업무 디바이스도 엔드포인트 보안을 더 촘촘히 다져야 할 계기가 됐다.

정광우 안랩 제품사업기획팀 부장은 “알려지지 않은 위협이 계속 출현하고, 새로운 보안 취약점이나 신∙변종 악성코드가 증가함에 따라 ‘보호’에 초점을 맞췄던 솔루션의 보완이 필요했다”고 말했다. 그는 이제 가시성을 바탕으로 한 위협 ‘탐지’와 사후 조사 체계를 수립하는 ‘대응’에 초점을 맞춘 EDR이 주목 받아야 한다고 강조했다. EDR로 위협의 원천부터 경로, 최종 결과까지 통합적인 보안 가시성을 확보해야 능동적인 대응 체계를 꾸릴 수 있다는 것이다.

특히 결과가 금방 드러나지 않는 지능형지속위협(APT) 공격도 EDR의 필요성을 높인다. 남인우 태니엄코리아 전무는 “최근의 사이버 위협 사례를 보면 짧게는 6개월에서 9개월까지 내부 확산을 위한 잠복기를 가진다”며 “악성 바이러스처럼 바로 ‘까꿍’하고 시스템을 파괴하는 것이 아니라 더 많은 감염을 위한 APT 공격이 늘어나는 상황”이라고 말했다.

긴 잠복기를 거치며 관리자 권한을 탈취하거나, 백도어를 심는 등 APT 공격이 늘어나는 상황에서 제대로 엔드포인트 가시성을 확보하지 못하면 올바른 대응이 어려울 수 밖에 없다. 특히 최근의 사이버 위협은 특정 행위가 아니라 여러 행위의 조각을 맞춰야 올바른 보안 정책이 나온다는 게 남 전무의 말이다.

코로나19 사태에 대비해보면 EDR의 역할은 더 부각된다. 김준형 지니언스 엔드포인트사업본부장은 “감염을 예방하는 백신 접종과 함께 역학 조사관이 확진자의 이동 경로를 파악하고 밀접 접촉자를 격리하지 않았느냐”면서 “백신도 돌파감염 사례가 있었다. 사이버 세상도 마찬가지다. 위험 파일이 언제부터 있었는지, 다른 PC에도 해당 파일이 있는지, 어떤 정보가 유출됐는지 등 시스템의 모든 행위를 모니터링해 위협에 사전 대응할 수 있다”며 EDR의 필요성을 역설했다.

김상욱 소만사 위협대응엔진팀장은 특히 “도입을 계속 미룰 수는 없다. EDR이 차세대 보안 방식임은 모두가 인정하는 사실이기 때문”이라고 강조했다. 그는 일각에서 보안 강화 방안으로 꼽는 망분리 또한 만능이 아니라고 지적했다. 망분리 환경에서도 우회 경로를 만들어 외부 네트워크를 이용할 수 있고, 악성코드에 감염될 수 있다는 설명이다. 핀테크 스타트업 등에서는 망분리가 되레 생산성을 저해하는 요인으로 언급된다고도 했다. 김상욱 팀장은 “기존 (보안 솔루션을 위해 설치한) 에이전트를 활용해 EDR 기능을 추가하면서 점진적으로 적용하면 기업도 부담이 적을 것”이고 말했다.

단, 엔드포인트 가시성 확보에 따르는 구성원들의 반감은 넘어야 할 산이다. EDR은 엔드포인트, 즉 단말에서 일어나는 행위를 보는 솔루션인 만큼 접속하는 웹사이트가 어디인지, 메신저 접속 시간은 언제인지, 내려받은 파일 형태는 무엇인지 등 자신이 쓰는 PC나 태블릿에서 일어나는 일을 들여다본다. 이에 일부 기업에서는 개인정보 보호를 요구하며 노동조합을 중심으로 도입을 반대하기도 한다.

하지만 EDR은 보안 강화를 위해 필요한 도구일 뿐, 개인정보를 파헤치는 건 아니라는 설명이다. 남인우 전무는 “기업의 보안 윤리 차원으로 바라봐야 한다“며 “도구를 제공하는 것일 뿐 개인정보를 들여다보는 것은 아니다”라고 강조했다. 실제 EDR은 다운로드나 접속 등 엔드포인트에서 일어나는 행위를 체크하는 것이라 파일 내부 내용이나 메신저 대화 목록 등까지는 확인하지 않는다.

김강정 한국IBM 보안사업부 총괄 상무도 “EDR은 실제 이상 행위를 탐지하는 것이 컨셉”이라면서 “(보안에) 필요한 정보만 확인하는 솔루션으로 봐야 한다. 되레 나도 모르게 보안 이슈가 될 행동을 했을 경우 문제의 소지를 막아주는 장점이 있다”고 강조했다.


글로벌 시장조사 전문업체 얼라이드(Allied Market Research)는 세계 EDR 시장이 연평균 25.3% 성장을 거듭해 2031년에는 183억달러 규모가 될 것으로 예측했다. 우리나라도 금융권 등 엔터프라이즈 고객사가 대다수였지만, 1~2년 전부터 게임이나 핀테크 등 IT 분야를 중심으로 EDR이 보급되고 있다.

보안 업계는 정책적으로도 EDR 도입을 권고해야 한다고 강조한다. 현재 정보보호‧개인정보보호 관리체계 인증(ISMS-P)의 업무용 단말기기 보안 파트를 보면 ‘접속단말 보안(백신, 패치 등) 등 보호대책을 수립·이행하여야 한다’고 명시했다. 백신은 꼭 이러한 권고가 아니더라도 이미 필수 솔루션이나 마찬가지다. 이제는 여기에 더해 EDR도 정책적 권고를 바탕으로 시장 인식을 더욱 키워야 필수 솔루션으로 자리 잡을 거라는 게 업계 의견이다.

김준형 본부장은 “컴플라이언스 차원으로 백신 설치만 강조하는 점이 아쉽다”면서 “이제는 종합적인 판단과 가시성이 필요한 시점이다. 비교적 신규 기술이지만 EDR 도입이 장려됐으면 한다”고 말했다. 사고가 난 뒤 예방에 나설 게 아니라 EDR로 평소 엔드포인트 가시성을 확보해 보안 사고의 가능성을 미리 줄여야 한다는 뜻이다.

<3회에서 계속>

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

Similar Posts

답글 남기기

이메일 주소는 공개되지 않습니다.