[아이티데일리] 날이 갈수록 지능적이고 위협적으로 변해가는 보안 위협에 대응하기 위해, 많은 전문가들은 “기존과는 다른 ‘혁신’이 필요하다”고 지적하고 있다. 보안에 대한 기본 ‘개념’부터 위협을 다루는 ‘방식’, 예방을 위한 갖가지 ‘기술’ 등 다양한 측면에서 새로운 시도가 이뤄지고 있지만 보안의 기본은 역시 사용자의 단말, 엔드포인트(Endpoint)에서부터 안심할 수 있는 환경을 만드는 것부터 시작한다.

단순히 알려진 공격을 차단하는 것을 넘어, 모든 행위와 이벤트를 기록하고 분석해 침입으로 이어질 수 있는 의심스러운 시도들을 탐지, 대응까지 할 수 있는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response, 이하 EDR)’ 솔루션이 이미 몇 년 전 등장해 주목받기 시작했다. 국내에서도 올해 본격적으로 시장이 확대될 것으로 기대되는 가운데, 적극적으로 국내 비즈니스를 준비하는 기업들로부터 EDR이 무엇인지, 왜 중요한지를 들어본다.

안랩 | 
고객의 목소리에 맞춰 보안 기술력 집약한 ‘안랩 EDR’

안랩은 ‘안랩 EDR’이 태생부터 ‘고객의 목소리’에 중점을 두고 개발된 제품이라고 소개했다. 또한 차세대 엔드포인트 보안 플랫폼인 ‘안랩 EPP’와의 유기적인 연계를 제공하고 있으며 호환성과 안정성, 활용성을 최우선으로 고려하고 있다고 덧붙였다. 특히 ‘안랩 EEP’와 연계한 정책 기능과 호환성, 그리고 EDR 본연의 고도화된 기능을 제공해 고객이 주도하는(Customer-Driven) ‘실행 가능한 진화형 EDR’로서 포지셔닝하고 있다고 강조했다. 안랩은 앞으로 엔드포인트 영역에서 EDR이 솔루션 간 중요한 가교 역할을 할 것으로 기대하면서, 지속적인 제품 고도화와 투자를 이어나간다는 계획이다.

‘안랩 EDR’은 안랩의 엔드포인트 보안 기술력이 집약된 솔루션이다. 국내 최초 독자적으로 개발한 행위기반 엔진을 바탕으로 엔드포인트 영역에서 발생하는 의심행위와 관련된 정보를 상시로 수집·분석해 보안 위협에 대한 직관적인 가시성을 제공한다.

직관적인 다이어그램과 공격 흐름도를 기반으로 엔드포인트 위협 이벤트의 타임라인을 제공하며, 보안 관리자는 안랩 EDR을 이용해 보안 위협의 유입 경로, 유형, 위험도, 머신러닝 분석 결과, 목표 및 구체적인 행위, 내부 확산 여부 등 상세한 정보를 한눈에 확인할 수 있다. 보안 관리자는 이를 기반으로 공격 단계별 프로세스, 에이전트 및 파일 등에 대해 프로세스 종료 및 네트워크 차단, 파일 수집·검색·격리·복원 등 적절한 대응 및 조치 방안을 수립할 수 있다. 또한 IoC(Indicator Of Compromise), 야라(YARA), 연계규칙 등을 기반으로 고객사에 최적화된 사용자 정의 규칙을 정의해 더욱 능동적인 보안 정책을 수립할 수 있다.

다양한 연동·연계 기능제공

안랩 EDR은 ‘안랩 EPP’를 기반으로 △V3 제품군 △‘안랩 EPP 시큐리티 어세스먼트(AhnLab EPP Security Assessment)’ △‘안랩 EPP 패치 매니지먼트(AhnLab EPP Patch Management)’ △‘안랩 EPP 프라이버시 매니지먼트(AhnLab EPP Privacy Management)’ 등 안랩의 다양한 엔드포인트 보안 솔루션과 연계 운영이 가능하다.

이외에도 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP(Threat Intelligence Platform)’ 서비스 및 샌드박스 기반의 지능형 위협 대응 솔루션 ‘안랩 MDS’와 연동해 위협을 분석하고 대응하는 데 시너지를 낼 수 있다. 특히 안랩 EDR을 이용하면 △엔드포인트 보안 솔루션 간 연계 기반의 위협정보 종합분석 △단일 관리 콘솔(Single Management Console)과 단일 에이전트(One Agent)를 이용한 효율적인 통합 관리 △구축 운영의 안정성 및 타 솔루션과의 호환성 확보 등이 가능하다.

이밖에 안랩은 국내에서 유일하게 2년 연속(2021년, 2022년) 마이터 앤제뉴이티(MITRE Engenuity)가 실시한 ‘어택 평가(ATT&CK Evaluation)’에 참가해 그 실력을 검증받고 있다는 점도 강조했다. 올해 4회차 평가에서 ‘안랩 EPP’와 ‘안랩 EDR’은 우수한 위협 탐지 및 대응 역량을 선보였으며, 마이터의 공격 전술 및 ‘어택 프레임워크(ATT&CK Framework)’를 적극 반영해오고 있다는 설명이다.

다양한 산업군에 제공

안랩은 대기업, 은행 및 증권 등 금융사, 공공기관, 중견기업 등 다양한 규모와 산업군의 고객사에 안랩 EDR을 제공하고 있다. EDR 활용도가 높은 고객사는 EDR과 SIEM(Security Information and Event Management) 또는 SOAR(Security Orchestration, Automation and Response)를 이용해 자동화 프로세스를 구현하고, 위협 이벤트에 대한 분류와 대응을 효율화하고 있다. 또한, 안랩 EPP 기반으로 연계 규칙을 적용해 유기적인 위협 대응을 운영하고 있다.