EDR 및 EPP 솔루션으로 APT 공격 대응

▲ EDR 솔루션 개요도(출처: 지니언스)

[아이티데일리] 최근 APT 공격에 대응하기 위한 방안 중 하나로 엔드포인트 보안이 주목받고 있다. 관련업계에서는 APT공격에 대해 기존의 네트워크 보안만으로는 100% 방어할 수 없다고 지적하고 있으며, 특히 SSL 등의 암호화를 통해 공격이 진행되면 네트워크 보안 장비로는 대응하기 어려운 실정이다. 이에 따라 엔드포인트에서도 APT 공격에 탐지 및 대응을 해야 한다는 주장에 힘이 실리고 있다.

최영철 SGA솔루션즈 대표는 “최근 2~3년 전부터 엔드포인트 로그 등을 모니터링하고 분석 및 탐지하는 엔드포인트 탐지 및 대응 솔루션(Endpoint Detection & Response, 이하 EDR) 및 엔드포인트 보안 플랫폼(Endpoint Protection Platform, 이하 EPP)으로 APT 공격에 대응하는 경향이 나타나고 있다”고 설명했다.

실제 많은 APT 대응 솔루션 공급업체들이 APT 공격에 대응하기 위해 자사 솔루션에 EDR 기능을 포함하거나 독립된 EDR 솔루션을 출시하고 있다. 글로벌 APT 대응 솔루션 벤더로 손꼽히는 파이어아이를 포함해, 시만텍, 카운터택, 카본블랙 등이 EDR 솔루션을 선보였고, 국내에서도 지니언스, SGA솔루션즈 등이 관련 시장을 형성·진출하고 있다. 안랩도 내년에 EDR 솔루션을 선보일 계획이다.

APT 대응 솔루션에 EDR, EPP가 떠오르면서 기술적인 트렌드로 행위 분석과 머신러닝 방식이 주목받고 있다. 행위 분석의 경우 전통적인 샌드박스 형식으로 가상환경에서 파일을 직접 실행하고 그 경과를 지켜보는 방식이며, 머신러닝 방식은 장비가 파일의 행위를 학습·분석을 통한 가시성을 제공한다.

머신러닝 방식의 경우 오탐률이 높다는 단점을 제기할 수 있다. 이에 공급업체들은 솔루션 자체에서 악성파일을 직접 차단하는 자동화 기능도 제공하지만, 파일의 악성여부를 퍼센트로 표시함으로써 보안 담당자의 판단에 도움을 주는 방식을 우선시 하고 있다.

또한, APT 대응을 위한 한 방법으로 전 영역의 모든 보안 장비의 정보가 통합·공유되는 방향을 지향하고 있다. 보안 플랫폼을 통해 위협 인텔리전스를 공유해 다각도에서 APT 공격에 대응한다는 것이다.

<이하 상세 내용은 컴퓨터월드 2017년 12월호 참조>

저작권자 © 아이티데일리 무단전재 및 재배포 금지