[기획] EDR의 미래 어디로…보안업계, 다양한 솔루션 ‘연계’에 주력
오늘날 사이버 공격은 매우 다양한 경로로 이뤄집니다. 바이러스는 물론이고 랜섬웨어나 지능형지속위협(APT) 공격 등 수많은 공격 기법이 시스템을 위협합니다. 무심코 접속한 웹사이트에서 나도 모르는 사이에 악성코드를 심고, 동료가 준 워드파일에서 내 개인정보를 침해할 위험이 도사리고 있습니다. ‘엔드포인트 위협 탐지·대응(EDR)’ 솔루션이 각광받는 것도 이 때문입니다. 사용자 단말에서 일어나는 행위를 분석해 위협을 막고, 대응을 돕는 것이 EDR의 목적. 현재 EDR 솔루션은 어디까지 왔고 어디를 향하고 있을까요. 3회에 걸쳐 알아봅니다. <편집자주>
목차
1회 – 엔드포인트 위협 행위 잡아내는 ‘EDR’의 현재와 미래
2회 – 커져가는 EDR 필요성…시장 인식도 변화
3회 – EDR의 미래 어디로…보안업계, 다양한 솔루션 ‘연계’에 주력
최근 EDR 시장 트렌드는 바로 ‘연계’다. 기존에는 지원하지 않던 기능을 추가하는가 하면, 다른 솔루션들과 묶어 더 촘촘한 엔드포인트 보안 시스템을 구축한다. EDR 제품을 공급하는 보안업체들은 랜섬웨어 모듈을 탑재하거나 ‘엔드포인트 보호 플랫폼(EPP)’과 연계해 다른 보안 솔루션과 더불어 EDR을 위협 탐지와 대응이라는 본래의 기능을 넘어서 폭넓게 활용할 수 있도록 제공하고 있다.
기존에 사용하던 모든 엔드포인트 보안 솔루션을 모두 걷어내고 EDR로 대체하는 모험을 거는 보안 담당자들이 거의 전무하다시한 것이 당연한 현실에서는 자연스러운 움직임이라고 할 수 있다. 예를 들어 EDR과 EPP, 위협 인텔리전스(TI) 서비스 등과 서로 연동, 통합된다면 각 솔루션이 가진 부족한 부분을 서로 메워줄 수 있게 된다. 이는 당연히 위협 탐지와 대응을 보다 빠르고 정확하게 해줘 보안성을 높이는 성과를 얻는데 도움이 된다. 반면에 만일 특정 보안 솔루션 하나에만 전적으로 의존한다면 보안에 한계가 노출돼 위험성이 커질 수 밖에 없다. 보안 분야에서 통합이나 다단계 또는 다계층 방어의 중요성이 강조되는 것도 비슷한 이유라고 할 수 있다.
EDR 업체들이 어떻게 연계 기능을 강화하고 있는지 살펴보면, ‘지니안 EDR 2.0’을 제공하는 지니언스는 최근 ‘EDR 안티랜섬 모듈’을 출시했다. 우선 EDR을 설치한 뒤 추가 구매를 통해 붙이는 모듈이다. 모듈은 전용 엔진이 랜섬웨어를 탐지해 데이터를 암호화하기 전 미리 백업하고 치료를 진행한다. 파일 삭제나 프로세스가 종료되지 않도록 하는 보호 기능도 제공한다. 통상의 EDR은 위협 행위와 경로 등 가시성 확보에 초점을 맞추지만, 이젠 치료 기능까지 연계했다. 지니언스는 “관리자의 별도 개입없이 탐지, 차단에서 복구까지 자동화된 기능을 제공한다”고 강조했다.
IBM의 ‘리액타(ReaQta)’도 별도의 모듈로 백신 기능을 사용할 수 있어 치료 기능이 없는 EDR의 단점을 보완했다. 다른 보안 솔루션과의 에이전트 충돌을 없애 향상된 보안성을 제공한다는 게 IBM의 설명이다.
플랫폼을 기반으로 한 다양한 솔루션과의 연계도 눈에 띈다. 다수의 기업이 EPP와 연계한 EDR 활용을 추천하고 있다. 가트너는 EPP를 ‘악성 프로그램을 방지하고, 악의적인 활동을 탐지 및 차단하며, 보안 사고에 대응하는 데 필요한 조사와 교정 기능 등을 제공하기 위한 엔드포인트 솔루션’이라고 정의한다. EDR을 비롯해 PC 취약점 점검과 최신 패치 관리 등 엔드포인트 보안과 관련한 제품들을 한 곳에 모은 플랫폼으로 생각하면 쉽다.
안랩은 ‘안랩 EPP’와 자사의 EDR 2.0을 연계할 때 엔드포인트 보안을 더 촘촘히 할 수 있다고 강조한다. 안랩 EPP는 백신 V3를 비롯해 개인정보 유출방지 솔루션이나 패치관리 솔루션, 취약 PC 점검 및 조치 솔루션 등을 통합해 제공한다. 이를 통해 여러 경로로 위협을 모니터링하고 더 다양한 대응 정책을 꾸릴 수 있다는 설명이다. 예컨대 V3와 함께 EDR을 사용하면 알려진 악성코드는 V3가 차단하고, EDR은 알려지지 않은 위협이나 의심 행위를 모니터링하는 식이다.
이스트시큐리티도 자사 EDR이 ‘알약’, ‘알약 패치관리(PMS)’, ‘알약 내PC지키미’ 등 EPP 제품군과 하나의 에이전트로 연계할 수 있어 리소스 최소화와 효율적인 보안 정책 운영이 가능하다고 설명한다.
소만사의 ‘프라이버시아이(Privacy-i) EDR’은 데이터유출방지(DLP) 기능을 녹였다. 소만사는 “탐지 엔진이 중요한 개인정보를 사전에 선별해 위협 행위가 포착되면 중요한 정보부터 우선 보호한다”고 설명했다. 예를 들어 PC에 회식 장소 리스트와 제품 도면 파일이 있다고 치면 엔진의 알고리즘으로 제품 도면을 더 중요한 파일로 인식해 보호한다. EDR이 위협 모니터링을 넘어 데이터선별 및 보호라는 추가 기능을 제공하는 셈이다.
VM웨어의 카본블랙(CarbonBlack)은 위협식별 기능을 붙여 가장 먼저 취약점을 패치해야 하는 엔드포인트를 알려주고 위협에 대응할 수 있도록 한다. VM웨어는 이 같은 연계를 통해 카본블랙이 ‘차세대’ EDR ’이라고 강조한다. 김한기 VM웨어코리아 보안사업부 상무는 “카본블랙은 위협식별, 차단, 탐지 및 대응 등을 하나로 통합된 보안 기능을 제공한다”고 말했다.
태니엄은 ‘XEM’ 플랫폼을 통해 위협 헌팅-대응-포렌식으로 이어지는 통합 연계에 집중한다고 밝혔다. 남인우 태니엄코리아 전무는 “XEM 플랫폼이 단순한 EDR로 인식되는 것을 지양한다”면서 “포인트(개별) 솔루션으로는 보안이 정말 잘 지켜지고 있는지 확인하기 어렵다. 다양한 연계를 통해 엔드포인트 보안을 세밀하게 점검해야 한다”고 했다.
특히 범람하는 신·변종 악성코드와 지능형지속위협(APT) 공격을 막기 위해서는 EDR과 여타 솔루션을 묶어 활용할 떄 효과가 배가된다는 조언이다.
정광우 안랩 제품사업기획팀 부장은 “EDR을 비롯한 엔드포인트 보안 솔루션은 그 목적에 따라 적용된 기술과 대응 영역이 각기 다르다”면서 “고도화된 보안 위협에 보다 효과적으로 대응하기 위해서는 상호보완의 관점으로 다양한 보안 솔루션을 운영하는 것이 바람직하다”고 강조했다.
남인우 전무 또한 “시스템의 여러 요소를 식별해 다양한 위협 요소를 확인하고 대응해야 한다“며 “여러 데이터를 연계하는 효율성은 앞으로 EDR 시장의 화두가 될 것”이라고 강조했다.
업계 의견을 종합하면 2023년 국내 EDR 시장은 본격적인 성장 궤도에 오를 것으로 보인다. 주로 대형 금융사에 몰려있던 도입 사례가 핀테크, 게임 등 상대적으로 작은 규모의 기업까지 확대되고 있고, 백신 중심의 보안 대책만으로는 엔드포인트 보안을 지킬 수 없다는 인식이 커지고 있어서다. 설치한 에이전트 수에 따라 특정 기간 단위로 과금하는 구독형 모델의 확산 또한 초기비용 부담을 낮춰 EDR 도입을 늘리는 계기로 작용한다. 또한 다수의 업체가 매니지드 탐지·대응(MDR) 서비스를 제공하며 최종 판단을 하고 조치를 실행해야 하는 보안 담당자의 부담을 줄이는 등 EDR은 다양한 연계를 통해 활용도를 높이는 모습이다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network