[아이티데일리] 날이 갈수록 지능적이고 위협적으로 변해가는 보안 위협에 대응하기 위해, 많은 전문가들은 “기존과는 다른 ‘혁신’이 필요하다”고 지적하고 있다. 보안에 대한 기본 ‘개념’부터 위협을 다루는 ‘방식’, 예방을 위한 갖가지 ‘기술’ 등 다양한 측면에서 새로운 시도가 이뤄지고 있지만 보안의 기본은 역시 사용자의 단말, 엔드포인트(Endpoint)에서부터 안심할 수 있는 환경을 만드는 것부터 시작한다.

단순히 알려진 공격을 차단하는 것을 넘어, 모든 행위와 이벤트를 기록하고 분석해 침입으로 이어질 수 있는 의심스러운 시도들을 탐지, 대응까지 할 수 있는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response, 이하 EDR)’ 솔루션이 이미 몇 년 전 등장해 주목받기 시작했다. 국내에서도 올해 본격적으로 시장이 확대될 것으로 기대되는 가운데, 적극적으로 국내 비즈니스를 준비하는 기업들로부터 EDR이 무엇인지, 왜 중요한지를 들어본다.

이스트시큐리티 |
악성코드 빅데이터 및 대응 노하우에 딥러닝 기술 결합한 ‘알약 EDR’

2019년 4월 출시된 ‘알약 EDR’은 국내 최다인 1,600만 이상의 사용자를 통해 수집한 악성코드 빅데이터 및 대응 노하우를 기반으로, 자체 개발한 딥러닝 기술을 결합해 만들어졌다. 알약 EDR은 △알려지지 않은 위협 의심 행위를 먼저 차단하고 △직관적인 위협 흐름도와 보안 정책 적용을 제공하며 △인텔리전스 기반 위협 상세 분석을 통해 위협 행위에 대해 실효적인 대응을 할 수 있도록 지원한다.

알약 EDR은 파일리스(Fileless), 위협 행위자(Threat actor) 등이 알려지지 않은 위협이나 랜섬웨어 의심 행위 등을 즉시 차단하고, 랜섬웨어 감염 파일은 복구까지 진행한다. 특히 행위 기반의 감시 기능의 경우, 10여년 간 알약을 통해 다져진 커널 모드 기술을 통해 구현돼 더욱 강력하고 효율적으로 차단이 가능하다는 설명이다.

가시성 확보에 필요한 파일, 레지스트리, 프로세스, 네트워크 연결 정보 등 위협정보들을 안정적으로 수집·분석해 에이전트가 의심 또는 탐지한 프로세스와 관련된 이벤트들 및 발생 행위 정보를 도식화, 직관적인 위협 흐름도로 제공한다. EDR 전용 대시보드를 제공해 보안 관리자는 사내에서 발생한 주요 보안 이벤트에 대한 통계 모니터링이 가능하다.

인텔리전스 서비스와 유기적으로 연동

특히 다른 솔루션과의 차별화 포인트로 이스트시큐리티의 인텔리전스 서비스 ‘쓰렛 인사이드(Threat Inside)’와의 유기적인 연동을 통해 위협 식별과 상세 분석을 제공하는 점을 꼽을 수 있다. 쓰렛 인사이드의 AI 분석과 다차원 분석 결과를 통해 악성코드를 정확히 식별·분류하고, 마이터어택 매트릭스 전술 및 기술(MITRE ATT&CK Matrix Tactics & Techniques)을 적용한 탐지 결과를 제공한다. 이와 함께 이스트시큐리티의 숙련된 보안 전문가 집단 ‘시큐리티대응센터(ESRC)’의 보안 전문 지식도 함께 제공해, 기업 내부 보안 관리자의 신속하고 정확한 ‘대응’이 가능하게 해준다.

A사, 3단계 엔드포인트 위협 대응 환경 구축

알약을 사용해 온 A사는 스마트 업무 환경 전환을 준비하면서 다양해지는 엔드포인트의 이상 행위 탐지 및 대응을 위해 ‘알약 EDR’을 추가 도입했다. 알약으로 알려진 위협을 막고, 알약EDR로 알려지지 않은 위협을 식별하며, 인텔리전스 서비스 ‘쓰렛 인사이드’의 악성코드 판별·분석·대응 방안이 포함된 리포트가 더해져 엔드포인트 위협에 체계적인 대응이 가능한 ‘3단계 엔드포인트 위협 대응’ 환경을 구축했다. 알약과 ‘알약 EDR’을 단일 에이전트 및 관리 시스템으로 구성해 불필요한 관리 요소를 줄이고 안정적인 통합 운영이 가능해졌다. 백신 하나만으로는 지능화된 위협에 대응하기 어려운 시대에 EDR 솔루션을 도입, 구축 및 운영 리소스를 최소화하고 보안은 극대화할 수 있을 것으로 기대된다.