[아이티데일리] 날이 갈수록 지능적이고 위협적으로 변해가는 보안 위협에 대응하기 위해, 많은 전문가들은 “기존과는 다른 ‘혁신’이 필요하다”고 지적하고 있다. 보안에 대한 기본 ‘개념’부터 위협을 다루는 ‘방식’, 예방을 위한 갖가지 ‘기술’ 등 다양한 측면에서 새로운 시도가 이뤄지고 있지만 보안의 기본은 역시 사용자의 단말, 엔드포인트(Endpoint)에서부터 안심할 수 있는 환경을 만드는 것부터 시작한다.

단순히 알려진 공격을 차단하는 것을 넘어, 모든 행위와 이벤트를 기록하고 분석해 침입으로 이어질 수 있는 의심스러운 시도들을 탐지, 대응까지 할 수 있는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response, 이하 EDR)’ 솔루션이 이미 몇 년 전 등장해 주목받기 시작했다. 국내에서도 올해 본격적으로 시장이 확대될 것으로 기대되는 가운데, 적극적으로 국내 비즈니스를 준비하는 기업들로부터 EDR이 무엇인지, 왜 중요한지를 들어본다.

윈스 |
전 세계 1위 EDR 솔루션 크라우드스트라이크 ‘팔콘’ 국내 공급

윈스는 전 세계 1위 제품인 크라우드스트라이크(CrowdStrike)사의 리셀러로서 ‘팔콘(Falcon)’ 플랫폼 제품을 취급하고 있다. 주요 고객층으로 금융과 제조, 게임 등 분야를 타기팅해 사업을 확장해 나가고 있다.

윈스 관계자는 “현재 다수의 기업에서 EDR 솔루션에 대해 필요성을 충분히 느끼며 도입을 검토하고 있다. 이에 윈스는 기존 네트워크 위협 탐지·대응(NDR) 솔루션 고객군을 대상으로 EDR을 제안해 확장하는, 소위 ‘XDR 전략’을 펴고 있다. 이에 크라우드스트라이크와 같은 유명 EDR뿐 아니라, 분야별 경쟁력 있는 주요 EDR 계열의 회사들과도 전략적 제휴를 계획하고 있다”고 밝혔다.

전 세계 가장 많은 고객사 보유한 ‘팔콘’

크라우드스트라이크의 EDR은 ‘팔콘’이라는 이름의 플랫폼으로, 엔진부터 자체 개발해 전 세계에서 가장 많은 고객사 레퍼런스를 보유한 제품이다. 서비스형소프트웨어(SaaS) 기반의 특징을 바탕으로 약 1조 개(일별 이벤트 유입량)의 이벤트를 분석, 가장 많은 위협정보를 제공 및 보유하고 있다는 점이 타사 대비 크게 차별화되는 특징이다.

또한 ‘오버워치(OverWatch)’라는 별도의 유상 옵션을 구매하면 크라우드스트라이크 본사에서 고객사의 위협정보를 분석하는 서비스를 대행해준다. 고객사 보안관제에서도 제품을 검토할 수 있으나, 보안관제를 도입할 여력이 없거나 크라우드스트라이크 본사의 직접적인 서비스를 원할 경우 해당 유상 옵션을 도입하면 24시간 365일 위협정보 분석 서비스를 받을 수 있다.

크라우드스트라이크는 일반 안티 바이러스 솔루션처럼 시그니처 기반이 아닌, 행위 기반으로 분석을 한다는 콘셉트를 갖고 있다. 정형화된 탐지 패턴을 비교하지 않고 행위를 분석하기 때문에 제로데이 공격이나 랜섬웨어 공격 등에 대응할 수 있는 게 장점이다.

제1금융권 고객, 가벼운 에이전트 높이 평가

윈스는 제1금융권의 금융기관을 대표 고객으로 두고 있다고 밝혔다. 2년여에 걸친 제품 기술검증(PoC)를 통해 크라우드스트라이크의 우수성을 실제 검증하고 도입을 결정한 고객사로, 크라우드스트라이크의 안티 바이러스 기능까지 추가로 도입하는 것을 검토 중이라는 게 회사 측 설명이다.

윈스 측에 따르면 해당 고객은 PoC 과정에서 크라우드스트라이크의 제품이 타사 대비 가벼운 에이전트를 보유하고 있어 단말에 부담이 없다는 점을 높이 평가했다. 또한 머신러닝 기반의 엔진으로 수많은 행위 및 동작에 대해 다양한 이벤트 정보를 제공하며, 전체 트래픽에서 이벤트 지점별로 트래픽 흐름을 정리해 시각화된 타임테이블을 제공한다.

윈스 관계자는 “전체 설치하는 데 1개월도 소요되지 않아, 크라우드스트라이크 EDR 솔루션의 배포 우수성까지 검증할 수 있는 사례였다. 현재까지 매우 성공적인 구축사례로 판단하고 있다”고 말했다.