PC를 사수하라…국내서도 EDR '바람'

엔드포인트부터 방어…국내외 기업들, 잇단 출사표

컴퓨팅입력 :2017/11/21 14:03    수정: 2017/11/21 16:13

손경호 기자

집요하게 목표를 노리는 지능형(APT) 공격에 더해 한번 감염되면 겉잡을 수 없는 피해를 입게 만드는 랜섬웨어가 등장하면서 국내외 기업들이 보안을 바라보는 관점도 바뀌기 시작했다.

백신이나 방화벽은 물론 암호화 통신을 악용하고 샌드박스까지 우회하는 해킹 시도를 완벽하게 막아내기가 불가능해진 탓이다.

이를 해결하기 위해 나온 대안 중 하나가 엔드포인트 영역에서 위협을 보다 빠르게 탐지해 차단하는 등 대응하는 전략이다. 다시 말해 공격자가 최초로 침입을 시도해 정보를 유출시키는 통로로 악용하는 PC, 노트북 등에서부터 탐지하자는 것이다.

2년 전만 하더라도 의심되는 파일에 대해 미리 가상환경에서 악성여부를 확인하는 샌드박스 기반 보안 솔루션이 주목 받았다. 하지만 우회하는 공격들이 나오기 시작하면서 이런 방식도 만능이 아니라는 인식이 커졌다.

지난해 글로벌 보안 행사인 RSA컨퍼런스2016에서는 여러 보안 기업들이 '엔드포인트 위협 탐지 및 대응(EDR)' 솔루션을 주목하기 시작했다. 이런 흐름을 타고 국내서도 기업들이 EDR에 대한 테스트가 진행하는가하면 내년부터는 관련 시장이 본격적으로 열리게 될 것으로 전망된다.

■ EDR, 공격 탐지-대응-차단 최전선

EDR은 PC나 노트북 등 기업 내에서 쓰이는 단말기에 별도 에이전트를 설치해야한다. 이를 통해 공격으로 의심되는 행위를 탐지, 대응, 차단하는 것을 목표로 한다.

시장조사업체 가트너에 따르면 지난해 EDR 시장은 톱10 기업이 주도하며 전년 대비 2배 가량 성장한 5억달러 규모를 형성했다.

이 중 절반 이상은 태니엄, 파이어아이, 크라우드스트라이크, 카본블랙 등이 가져갔다.

가트너는 EDR이 가져야 하는 기능을 크게 3가지로 정의한다. 먼저 백신을 우회하는 공격을 탐지해 실행되지 못하도록 예방하기 위해 엔드포인트에 숨겨진 취약점 공격(익스플로잇) 프로세스를 탐지/차단할 수 있어야 한다.

두번째로는 글로벌 최신 위협 정보를 파악해 대응할 수 있도록 위협 인텔리전스 정보를 확보하고 있어야 한다. 글로벌 보안 기업들에 더해 국내 SK인포섹, 세인트시큐리티 등이 참여하고 있는 사이버쓰렛얼라이언스(CTA)이 공유하는 정보가 대표적이다. 국내외에서 발생하는 각종 보안위협에 대해 프로파일링 정보를 확보하고 있어야 엔드포인트 단에서 보다 긴밀한 대응이 가능해지기 때문이다.

세번째는 엔드포인트에 대한 가시성 확보다. PC, 노트북, 스마트폰 등에 쓰이는 애플리케이션, 각종 프로세스, 커뮤니케이션 등을 모니터링해 악성행위를 탐지하고 이를 예방하며 필요한 경우 감염된 기기로 인해 다른 기기나 내부 시스템이 영향을 받지 않도록 자동으로 차단조치를 수행해야한다.

■ 국내 시장, 어떤 플레이어들이 등장했나

국내 기업들 사이에도 APT 공격, 랜섬웨어 등에 더해 기존 보안 솔루션을 우회하려는 공격시도로 인해 언제 감염돼 피해가 발생할 지 모른다는 우려가 커지고 있다. 방화벽, 침입방지시스템(IPS), 백신에 더해 심지어 샌드박스를 활용한 APT 공격 대응 솔루션을 도입한다고 하더라도 해킹이 이뤄진다는 불안감이 존재하는 것이다.

때문에 공격자가 처음으로 뚫고 들어가는 통로이자 정보를 유출하거나 시스템을 마비시키는 공격을 수행하는 도구로 악용될 수 있는 엔드포인트 영역을 제대로 보호해야한다는 인식이 확산되기 시작했다.

국내서는 지니언스가 개발, 서비스 중인 '지니안 인사이츠 E'와 파이어아이가 고안한 'HX 시리즈', 내년 안랩이 내놓을 예정인 '안랩 EDR'이 각축전을 벌일 것으로 전망된다.

여기에 더해 최근 CTA에 합류한 세인트시큐리티도 멀웨어즈닷컴을 통해 확보한 악성코드 분석 역량과 머신러닝 기술이 적용된 백신 맥스(MAX), APT 대응 제품인 MNX 등을 조합해 EDR 솔루션을 개발 중이다.

흥미로운 점은 이들 기업이 모두 저마다 다른 주력 제품 혹은 기술을 기반으로 같지만 다른 형태로 EDR 제품을 선보이고 있다는 사실이다.

지니안 인사이츠 E는 지니안NAC와 연동해 엔드포인트 단말기 현황을 파악하고 분석해 위협을 탐지, 차단, 대응하는 역할을 수행한다.

■ 지니언스, NAC 운영 노하우에 EDR 접목

먼저 지니안 인사이츠 E는 이 기업이 앞서 개발, 공급해 온 네트워크접근제어(NAC) 솔루션과 플러그인 형태로 손쉽게 연동된다.

NAC는 기업 내에 쓰이는 여러 단말기를 업데이트 하거나 접근권한을 관리하고, 보안적인 위협이 감지될 경우 이를 차단하는 역할을 한다.

여기에 연동되는 지니안 인사이츠 E는 PC, 노트북 등이 실행하는 프로세스나 다운로드한 파일, 네트워크 접속 정보 등을 수집한 뒤 그동안 확보한 최신 위협 탐지 데이터베이스를 활용해 위협의 정도를 종합적으로 판단한다. 이를 위해 침해지표(IOC)라는 방식이 쓰인다.

지니언스는 "전 세계에서 발생한 의심파일, 소스코드 정보, 오픈소스 및 상업적인 소스코드, C&C 유포지 등을 하루 평균 약 5천건~1만건 가량 수집해 최신 버전을 유지한다고 설명한다.

NAC과 연동된 이 EDR은 위협이 발생하면 보안 관리자에게 알람을 주고, 필요한 경우 프로세스를 강제 종료시키거나 파일을 삭제, 네트워크 차단 정책을 적용한다.

지니안 인사이츠 E가 상황을 판단하는 일종의 두뇌 역할을 한다면 지니안 NAC는 직접 행동을 수행하는 근육과 같은 역할을 맡았다.

최근 지니언스는 SK인포섹이 서비스 중인 위협 인텔리전스 공유 플랫폼인 '시큐디움 인텔리전스'와도 연동해 국내외 최신 위협정보를 반영할 수 있도록 했다.

파이어아이는 전통 백신, 차세대 백신 등을 넘어 그동안 확보한 침해사고 분석 역량, 정적/동적 분석을 제공하는 샌드박스 등을 하나로 통합한 HX 시리즈를 제공한다.

■ 파이어아이, 침해사고 분석 역량에 현지화 전략으로 승부수

자체 개발한 MVX엔진을 활용한 샌드박스 기반 네트워크 보안 솔루션, 침해사고분석/대응 조직인 맨디언트로 유명한 파이어아이는 국내 보안 기업 SGA솔루션즈를 기술 파트너로 삼아 본격적인 EDR 비즈니스에 나선다.

이 기업이 개발한 'HX 시리즈'는 비트디펜더가 제공하는 백신 엔진에 더해 MVX엔진을 활용한 의심 파일에 대한 정적, 동적 분석, 위협 인텔리전스 정보 연동 등을 포함한 자동화된 엔드포인트 보안 솔루션을 내세웠다.

지난 14일 기자간담회 자리에서 파이어아이 아태 총괄 브라이스 볼랜드 최고기술책임자(CTO)는 "공격자들은 악성코드를 사용하는 것 뿐만 아니라 탈취한 인증정보, OS가 가진 취약점 등을 악용하고 있다"며 "공격자가 움직이는 방법에 대한 이해를 바탕으로 공격을 식별해 차단하고 필요한 대응을 해야한다"고 강조했다.

안랩은 자사 엔드포인트 보안 솔루션과 샌드박스 장비인 안랩 MDS 등을 연동시키는 EDR을 내년 4월께 선보일 예정이다.

파이어아이 코리아 전수홍 지사장은 "엔드포인트 고객사 전 직원 단말기에 EDR을 활용하기 위한 에이전트가 깔리는 만큼 장애 등 이슈가 생겼을 때 위험성이 크므로 시스템에 대한 절대적인 안정성 없이는 도입하지 않을 것이라 본다"며 "이 같은 부분을 보완하기 위해 SGA솔루션즈 협업할 생각"이라고 말했다.

■ 안랩, 엔드포인트 보안 종가 역량 녹여낸다

V3로 대표되는 백신과 함께 안랩 패치 매니지먼트(APM), 안랩 프라이버시 매니지먼트(APrM), 지능형 위협 대응 솔루션인 안랩 MDS 등은 이미 국내 수많은 기업, 기관에 공급됐다.

안랩은 이와 연동되는 안랩 EDR을 내년 4월께 출시할 예정이다.

안랩 엔드포인트(EP) 사업기획실 이상국 실장은 "현재 엔드포인트에서 안랩 EDR이 백신, APM과 기본 연동되도록 할 예정"이라며 "현재 프로토타입을 만드는 중"이라고 말했다.

이 실장에 따르면 안랩은 지난해 EDR 콘셉트를 가진 제품을 개발했으나 기존 자사 솔루션들과 연동이 필요하다는 고객사 요청을 받아들여 이들이 서로 손쉽게 연동될 수 있도록 백엔드단에서 오픈API를 도입하고, DB구조 등을 손보는 작업을 거쳤다.

태니엄-카본블랙 등 외산 기업 발들이기 쉽지 않네

외산 솔루션의 경우 기본적으로 고객사마다 다른 맞춤형 대응방안을 제시하기 보다는 메뉴얼을 주고 기능들을 잘 활용할 수 있는 방법을 알려주는 방식을 취한다.

글로벌 시장에서 톱10 대열에 든 EDR을 개발, 공급 중인 태니엄, 카본블랙 등이 국내 시장에서 제대로 힘을 받지 못하는 이유 중 하나다.

더구나 이들은 고객사 임직원들의 PC에 별도로 에이전트를 추가 설치하도록 해야한다는 부담을 져야한다. 카본블랙의 경우 침해, 탐지, 대응 별로 서로 다른 3개 에이전트가 설치돼야하는 경우도 있다.

관련기사

엔드포인트에 쓰이는 보안솔루션은 어떤 식으로든 사용자가 뭔가를 설치해야한다는 불편함과 서로 다른 수많은 엔드포인트 환경에서도 장애가 없이 잘 돌아갈 수 있도록 해야한다는 부담이 있다.

국내외 기업들은 이런 점을 극복하면서 저마다 가진 강점을 내세워 국내 EDR 시장서 경쟁을 예고한다.