[아이티데일리] 날이 갈수록 지능적이고 위협적으로 변해가는 보안 위협에 대응하기 위해, 많은 전문가들은 “기존과는 다른 ‘혁신’이 필요하다”고 지적하고 있다. 보안에 대한 기본 ‘개념’부터 위협을 다루는 ‘방식’, 예방을 위한 갖가지 ‘기술’ 등 다양한 측면에서 새로운 시도가 이뤄지고 있지만 보안의 기본은 역시 사용자의 단말, 엔드포인트(Endpoint)에서부터 안심할 수 있는 환경을 만드는 것부터 시작한다.

단순히 알려진 공격을 차단하는 것을 넘어, 모든 행위와 이벤트를 기록하고 분석해 침입으로 이어질 수 있는 의심스러운 시도들을 탐지, 대응까지 할 수 있는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response, 이하 EDR)’ 솔루션이 이미 몇 년 전 등장해 주목받기 시작했다. 국내에서도 올해 본격적으로 시장이 확대될 것으로 기대되는 가운데, 적극적으로 국내 비즈니스를 준비하는 기업들로부터 EDR이 무엇인지, 왜 중요한지를 들어본다.

EDR로 모이고, EPP와는 통합

글로벌 EDR 시장은 2014년 이후 폭발적으로 성장하면서 벤더의 시장 진입이 활발해졌으며 M&A 역시 활발하게 진행됐다. 지니언스 관계자는 “2014년 EDR 솔루션이 처음 대두됐을 때는 멀웨어 분석이나 위협 인텔리전스 기술을 보유한 카본블랙(CarbonBlack), 섹두(Secdo), 맨디언트(Mandient), 사일런스(Cylance) 등 미국과 이스라엘 기업이 대부분이었다. 그러다 2020년에는 네트워크 벤더들이 EDR 초기 기업을 인수했다. 대형 기업들이 동시에 EDR 기업을 인수하기는 이 때가 처음이었다. 결국 이들 기업들은 EDR 시장이 전 세계적으로 큰 성장을 구가하고 있어 차세대 성장 동력으로 삼은 것이다. 이러한 인수합병(M&A)을 통해 현재는 IBM, 팔로알토(Paloalto), 파이어아이(FireEye), 시스코(Cisco), 포티넷(Fortinet), 블랙베리(BlackBerry) 등이 EDR 솔루션을 신규로 획득하고 기능을 보강하게 됐다”고 설명했다.

이와 함께 국내의 경우, 기존 보안 벤더들이 EPP(Endpoint Protection Platform, 엔드포인트 보호 플랫폼) 솔루션을 기반으로 EDR을 제공하거나, 네트워크접근제어(NAC) 또는 데이터유출방지(DLP) 솔루션을 기반으로 EDR을 제공하는 등 기존에 보유한 보안 제품에 EDR 기능을 포함하는 형태로 EDR 시장에 진출한 것으로 파악된다.

안랩 관계자는 현재 국내 EDR 시장에 대해 “국내의 경우 벤더 각자가 보유한 강점을 중심으로 EDR 솔루션을 출시하고 공급하고 있는 초기 단계로 볼 수 있다”면서 “과거에는 EDR의 효용성이나 활용도에 대한 공감대가 형성되지 않아 실제 도입까지는 그 속도가 더뎠으나, 최근에는 EDR의 필요성을 체감하는 고객들이 늘고 있어 도입하는 조직이 늘어날 것으로 보인다”고 전망했다.

국내 시장의 또 다른 특징은 글로벌 기업보다 토종 기업이 강세라는 점이다. 지니언스 관계자는 “국내 보안 시장은 영역이 세분화돼 있으며, 각 시장을 지배하는 기업들이 존재한다. 여기에 고객의 요구 수준과 기술지원 이슈 등으로 국내 보안 기업의 점유율이 높은 편이다. 국내에서는 2017년 지니언스가 EDR을 국내 최초로 개발한 이래 안랩, 이스트시큐리티 등이 시장에 진출했다. 여기에 2019년부터 글로벌 벤더들이 국내에 속속 진출했으며, 그 외 국내 보안 벤더들까지 추가로 진입하는 경우가 늘어나면서 경쟁 구도 다각화와 함께 시장 확장이라는 결과로 이어지고 있다”고 설명했다.

한편 EDR과 EPP 솔루션이 통합되는 움직임이 있다는 점도 염두에 둘 만하다. 가트너에서도 한때 EPP와 EDR을 일부 기능이 겹치는 별개 솔루션으로 바라봤지만, 최근에는 2023년까지 EDR의 핵심 기능이 EPP 솔루션에 포함될 것으로 전망하는 등 EDR과 EPP가 현재 통합이 진행 중인 시장이라는 것이다.

이에 대해 이스트시큐리티 관계자는 “실제로 EPP 벤더들은 EDR 기능을 추가해 EDR 시장에 진입했고, EDR로 시작한 벤더들은 인수합병 등을 통해 EPP로 영역을 확대해왔다. EPP의 가트너 매직 쿼드런트(Gartner Magic Quadrant)를 살펴보면, 기존 EPP 벤더들 사이에 EDR 벤더들이 등장하면서 최근에는 리더 그룹에 포함되고 있다”고 말했다.

새로운 보안 패러다임 변화에 적극 대응하는 EDR

IT 보안 위협과 대응은 흔히 ‘창과 방패’의 싸움으로 비유되고는 한다. 공격자의 경우 목표 달성을 위해 새로운 기술과 전술을 동원해 공격을 시도한다. 방어자는 기존 보안 솔루션 등으로 방어 및 대응을 하지만, 제로데이 공격이나 알려지지 않은 위협에 대해서는 완벽한 방어가 현실적으로 어렵다. 특히, APT 공격과 같이 장시간 치밀하게 준비된 공격에 대응하기 위해 전통적인 보안 솔루션 외에도 위협 여부를 정확히 판단하고 위협의 맥락을 파악할 수 있는 도구의 필요성이 대두됐다. EDR은 이러한 요구에 부합한다.

안랩 관계자는 “정교하고 복합적인 기술을 이용하는 지능형 공격에 대응하기 위해서는 조직의 인프라 전반을 다각도로 고려한 보안이 필요하다. EDR은 특정한 보안 기능을 수행하는 것이 아니라, 엔드포인트에서 발생하는 다양한 이벤트와 보안 위협에 대한 정보를 수집하고 가시성을 제공함으로써 위협 대응을 위한 신속하고 적절한 의사 결정을 지원한다”고 설명하면서 “따라서 최신 보안 위협에 능동적으로 대응하기 위해서는 백신, 매체 제어 솔루션, 패치관리 솔루션 등 목적에 따라 운용하는 전통적 보안 솔루션과 EDR을 유기적으로 연계해 위협 대응의 킬체인(Cyber Kill-Chain)을 마련해야 한다”고 덧붙였다.

타깃형 공격이 점차 치밀해지는 등 전 세계적으로 사이버 위협이 진화함에 따라 공격에 대한 사전점검, 그리고 인공지능(AI)에 기반한 악성코드 탐지 및 대응 등에 대한 필요성이 절대적으로 필요한 상황이다. 기존에 알려진 위협정보에 기반해 탐지하는 백신 제품은 한계에 봉착했으며, 전통적인 보안 제품만으로는 신·변종 악성코드나 랜섬웨어에 능동적으로 대응할 수 없다.

결국 네트워크뿐만 아니라 단말에 이르기까지 탐지·대응 시스템을 구축해, 다양한 경로로 유포되는 악성코드와 공격에 대비해야 할 필요가 있다. 즉, 통합적인 보안 가시성을 제공하는 EDR을 이용해 능동적인 보안 대응 체계와 가시성을 확보해야 할 필요성이 커지고 있다는 게 EDR 업계의 공통적인 설명이다.

지니언스 관계자는 “EDR은 언택트 시대에 재택근무가 확산되는 등 보안 환경이 변화하는 데 따른 대안으로서, 또한 인공지능(AI)과 결합해 지능화된 변종 사이버 공격에 대응하기 위한 수단으로서 최근 가장 주목받고 있는 솔루션이다. EDR은 보안의 지능화 및 혁신 전략 수립, 기존 안티바이러스 솔루션의 한계 극복, 다양한 정보 수집을 통한 가시성 확보, 이상 행위 대응 및 확산 방지 등 보안의 새로운 패러다임 변화에 대응하는 솔루션으로 지속적인 시장 성장세를 이어갈 것으로 전망된다”고 말했다.

고객 요구에 부응하며 진화

EDR은 기본적으로 탐지와 대응의 영역이 중요하다. EDR은 평판정보, 침해지표, 행위를 기반으로 하며 안티바이러스(백신)는 시그니처 기반이다. 지니언스 관계자는 “전문 EDR 벤더와 백신 기반 EDR 벤더의 사상적 차이는 있지만 샌드박스, 머신러닝, 인공지능 알고리즘이 결합되면서 중심값으로 모여들고 있다”고 말했다.

이와 더불어 지니언스 측은 EDR을 바라보는 시각이 다양하다는 점도 언급했다. 지니언스 관계자는 “툴의 관점으로 넓은 탐지, 깊은 분석, 상세한 대응이 필요로 한 고객이 있는 반면, 솔루션 관점으로 월 점검 시 문제없이 특정 행위에 대한 분석 요약이나 결과 통보만 필요한 고객도 있다. 백신은 탐지의 결과만 보여주지만 EDR은 탐지된 파일이 어디서 왔는지, 어디와 통신을 했는지 각 흐름과 이벤트를 제공한다. 백신과 EDR 영역이 구분될 필요는 없지만, 통합이 아닌 상호 보완적인 것이 가장 이상적인 방어모델이라는 점에는 이견이 없다”고 설명하고 “선제적으로 EDR을 도입한 산업별 대표 고객은 EDR을 툴의 관점으로 바라보면서 넓은 탐지, 깊은 분석, 상세한 대응을 절대적으로 요구하고 있다”고 덧붙였다.

지니언스는 이러한 요구가 있는 시장을 주도하기 위해 멈추지 않고 진화하는 EDR을 개발하고 있다고 강조했다. 회사는 △탐지기능 강화 △에이전트 지원 OS 확대 △안티랜섬웨어 기능 △MITRE ATT&CK 확대 적용 △서버 설치 환경의 다양화 등 고객과 함께 발전하는 솔루션 개발에 박차를 가한다는 계획이다.

안랩 역시 고객이 가진 고민을 해결하고 제품을 고도화하는 것에 집중한다는 방침이다. 안랩은 EDR이 고도화된 위협 탐지와 대응에 있어 기본이 되는 요소라며, EDR 제품의 주요 기능 업그레이드와 더불어 MDR 서비스를 준비 중이라고 밝혔다. 안랩 관계자는 “현재 EDR 도입을 고려하는 고객들은 EDR 제품을 활용하고 운영할 전문 보안 운영 인력의 필요성을 절감하고 있다. 또한, 제품 도입 후 빠르게 탐지 및 대응 효과를 얻고자 하기에 제품의 고도화도 필요한 시점이다”라고 밝히면서 “이러한 이슈 포인트를 해결하고 EDR을 더욱 효과적으로 이용하기 위해서는 능동적인 탐지 및 위협 사냥(Threat Hunting)과 함께 자동화된 대응이 필요하다. 이에 대한 대응책으로 해외에서는 MDR(Managed Detection and Response, 매니지드 탐지 및 대응)을 중심으로 EDR 시장이 더욱 확대되고 있고, 나아가 자동 대응 역량 확보를 위해 XDR(eXtended Detection and Response, 확장된 탐지 및 대응)이 채택되는 추세다”라고 덧붙였다.