[컴퓨터월드] 날이 갈수록 지능적이고 위협적으로 변해가는 보안 위협에 대응하기 위해, 많은 전문가들은 “기존과는 다른 ‘혁신’이 필요하다”고 지적하고 있다. 보안에 대한 기본 ‘개념’부터 위협을 다루는 ‘방식’, 예방을 위한 갖가지 ‘기술’ 등 다양한 측면에서 새로운 시도가 이뤄지고 있지만 보안의 기본은 역시 사용자의 단말, 엔드포인트(Endpoint)에서부터 안심할 수 있는 환경을 만드는 것부터 시작한다.

단순히 알려진 공격을 차단하는 것을 넘어, 모든 행위와 이벤트를 기록하고 분석해 침입으로 이어질 수 있는 의심스러운 시도들을 탐지, 대응까지 할 수 있는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response, 이하 EDR)’ 솔루션이 이미 몇 년 전 등장해 주목받기 시작했다. 국내에서도 올해 본격적으로 시장이 확대될 것으로 기대되는 가운데, 적극적으로 국내 비즈니스를 준비하는 기업들로부터 EDR이 무엇인지, 왜 중요한지를 들어본다.

단순 차단 넘어 감지·대응까지

오늘날 보안 위협은 매 순간 고도화되고 있다. 매일같이 신·변종 악성코드가 등장하고, 지능형 지속 위협(APT)과 랜섬웨어 공격 등 기업과 기관의 정보 자산을 노리는 악의적인 시도들이 계속해서 이어진다. 기업과 기관의 보안 담당자들은 기존에 구축해놓은 솔루션만으로는 이러한 공격에 충분히 대응하기가 어렵다고 말한다. 이에 이미 알려진 공격을 단순히 차단하는 것을 넘어, 알려지지 않은 위협까지 감지하고 대응하기 위한 솔루션으로 EDR이 주목받게 됐다.

글로벌 시장 조사 기관 가트너는 EDR을 ‘엔드포인트에서 발생하는 행위와 이벤트들을 기록하고, 다양한 분석 기술을 통해 의심스러운 동작 및 공격을 탐지/대응하는 솔루션’으로 정의하고 있다. 또한 EDR이 △보안 침해 탐지 △엔드포인트에서의 보안 침해 억제 △보안 침해 조사 △감염 이전 상태로의 회복을 위한 치료 등 4가지 기능을 갖춰야 한다고 명시하고 있다.

이스트시큐리티 관계자는 “공항에서의 보안 환경과 빗대 설명하자면, 공항에서는 출입국 심사 과정에서 출입국 금지 대상 목록을 관리하면서 출입국 심사 과정에서 허용/불가 여부를 확인한다. 이는 안티 바이러스 제품들이 이미 알려진 악성코드에 대해 탐지/치료하는 과정과 유사하다. 하지만 이 경우 금지 대상에 있는 인물(위협)은 신속·정확하게 차단할 수 있지만 목록에 없는 인물(위협)에 대해서는 대응하지 못한다”면서, “이를 보완하기 위해 공항에는 보안 강화와 선제 대응을 위해 CCTV를 설치하고 보안 요원을 배치, 공항 내 모든 행위들을 모니터링하고 수집한다. 이처럼 위협이 되는 수상한 행위를 포착해 대응 방법을 제시하는 과정이 엔드포인트 보안에서 EDR의 역할이라고 할 수 있다”고 설명했다.

즉 EDR은 사용자의 PC에서 발생하는 모든 실행 파일과 행위를 실시간으로 수집해 다양한 방법으로 위협을 탐지하며, 탐지한 위협에 대해 추가적인 분석과 대응까지 하는 솔루션이라고 할 수 있다. CCTV처럼 PC 내의 거의 모든 정보를 수집하면서 실시간으로 알려진 것은 물론 알려지지 않은 위협까지 탐지해, 전통적인 백신 솔루션을 보완하고 대체하는 차세대 정보보안 솔루션이 EDR이다.

안랩 관계자는 “EDR은 엔드포인트 위협에 대해 적절한 가시성을 제공함으로써 지능형 위협을 발견하고 조사 및 대응할 수 있는 엔드포인트 보안의 ‘보완 도구’로, 안티 바이러스 등 기존 보안 제품과 연계해 사용할 때 효과적인 대응이 가능하다”면서 “안티 바이러스는 엔드포인트 상에서 악성코드를 사전에 탐지해 차단 또는 격리하는 반면, EDR은 엔드포인트 상에서 발생하는 ‘행위 정보’를 수집해 분석한다. 즉 EDR은 지속적으로 수집한 행위 정보를 바탕으로, 고도화된 공격 기법, 우회·변종 위협 등 안티 바이러스가 탐지·대응하지 못하는 위협이 발생했을 경우 위협에 대한 가시성을 제공하고 대응할 수 있도록 지원하는 솔루션으로 이해할 수 있다”고 설명했다.

지니언스 관계자도 “랜섬웨어로 대표되는 신·변종 악성코드는 전통적인 백신 솔루션으로 대응이 불가능하다. 백신으로 탐지를 했어도 해당 파일이 언제부터 있었는지, 다른 PC에도 해당 파일이 있는지, 어떤 정보가 유출됐는지, 어떤 파일을 생성했는지 알 수 없다”면서 “반면 EDR은 코로나 역학조사관이 이동 경로를 파악하고 밀접 접촉자를 격리시키는 것처럼, PC의 모든 행위를 모니터링하고 이상 행위와 위협에 사전 대응한다. 사고 발생 시 원인 추적 및 분석이 가능하며 비정상, 이상행위 탐지를 통한 신종 공격의 대응이 가능하다”고 말했다.

성장세 속 국내도 관심 고조

2017년 가트너는 글로벌 EDR 시장이 2015년부터 2020년까지 연평균복합성장률(CAGR) 45.27%에 달하는 성장을 구가할 것이며, 2021년에는 약 15억 달러 규모의 시장으로 성장할 것으로 내다본 바 있다. 또 다른 시장조사기관인 디 인사이트 파트너스(The Insight Partners)는 2021년 글로벌 EDR 시장이 2020년 대비 22% 성장한 21억 6,100만 달러 규모에 달할 것으로 예상했다. 최근에는 2023년까지 EDR 시장이 약 34억 1천만 달러 규모에 이를 것이라는 글로벌 시장조사기관 MRFR(Market Research Future®)의 조사도 있었다.

대표적인 글로벌 EDR 솔루션 벤더로는 크라우드스트라이크(CrowdStrike), 카본블랙(Carbon Black)을 인수한 VM웨어(VMware), 센티넬원(SentinelOne), 사이버리즌(Cybereason), 시스코(Cisco), 트렌드마이크로(Trend Micro) 등이 꼽힌다.

국내의 경우 아직 초기 시장으로 정확하게 EDR 시장의 규모가 집계되고 있지는 않다. 하지만 글로벌 시장조사 기관의 예측과 자체 집계 등을 바탕으로, 국내 업계는 2021년에 약 200억 원의 시장을 형성한 것으로 집계했다. 또한 올해인 2022년에는 100% 성장한 약 400억 원 규모로 시장이 커질 것으로 내다보고 있다.

지니언스 관계자는 “국내 EDR 시장은 지난 2019년 NH농협은행, 국세청, 신한금융지주 등이 EDR을 도입하면서 시장이 개화됐으며, 금융과 공공뿐만 아니라 일반 제조 및 유통까지 산업별 대표기관의 관심이 고조됐다. 코로나 이후 시장 성장이 잠시 주춤했지만 전 산업에 걸친 디지털 트랜스포메이션은 원격/재택근무를 촉발시켰고, 언택트 환경 보안 강화의 대안으로도 EDR이 각광을 받았다”고 설명하면서 “올해는 코로나, 마이데이터, 망분리 등의 이슈로 EDR 사업을 연기했던 제1금융권을 필두로 지방자치단체까지 수요가 확장될 전망이다. 특히, 국내 대형 은행이 EDR 도입을 추진함으로써 경쟁사나 제2금융권까지 관심이 고조될 것으로 전망한다”고 밝혔다.

이스트시큐리티 관계자 역시 “지난 2017년 국내 시장에 EDR 솔루션이 등장한 후, 일부 대형 기관과 금융권에 한정해 EDR이 도입됐다. 하지만 코로나19 팬데믹 사태가 터지면서 언제 어디서나 일할 수 있는 디지털 워크플레이스로의 전환이 빠르게 진행됐고, 다양해진 디바이스 및 원격근무 환경의 보안을 강화하기 위해 EDR이 더욱 주목받기 시작했다. 보안 담당자들은 취약한 보안 환경에 노출된 수많은 엔드포인트의 위협을 관리해야 하므로, 공격의 실시간 탐지 및 분석을 위한 가시성 확보와 신속한 대응이 그 어느 때보다 중요한 상황이다”라고 강조했다.

EDR로 모이고, EPP와는 통합

글로벌 EDR 시장은 2014년 이후 폭발적으로 성장하면서 벤더의 시장 진입이 활발해졌으며 M&A 역시 활발하게 진행됐다. 지니언스 관계자는 “2014년 EDR 솔루션이 처음 대두됐을 때는 멀웨어 분석이나 위협 인텔리전스 기술을 보유한 카본블랙(CarbonBlack), 섹두(Secdo), 맨디언트(Mandient), 사일런스(Cylance) 등 미국과 이스라엘 기업이 대부분이었다. 그러다 2020년에는 네트워크 벤더들이 EDR 초기 기업을 인수했다. 대형 기업들이 동시에 EDR 기업을 인수하기는 이 때가 처음이었다. 결국 이들 기업들은 EDR 시장이 전 세계적으로 큰 성장을 구가하고 있어 차세대 성장 동력으로 삼은 것이다. 이러한 인수합병(M&A)을 통해 현재는 IBM, 팔로알토(Paloalto), 파이어아이(FireEye), 시스코(Cisco), 포티넷(Fortinet), 블랙베리(BlackBerry) 등이 EDR 솔루션을 신규로 획득하고 기능을 보강하게 됐다”고 설명했다.

이와 함께 국내의 경우, 기존 보안 벤더들이 EPP(Endpoint Protection Platform, 엔드포인트 보호 플랫폼) 솔루션을 기반으로 EDR을 제공하거나, 네트워크접근제어(NAC) 또는 데이터유출방지(DLP) 솔루션을 기반으로 EDR을 제공하는 등 기존에 보유한 보안 제품에 EDR 기능을 포함하는 형태로 EDR 시장에 진출한 것으로 파악된다.

안랩 관계자는 현재 국내 EDR 시장에 대해 “국내의 경우 벤더 각자가 보유한 강점을 중심으로 EDR 솔루션을 출시하고 공급하고 있는 초기 단계로 볼 수 있다”면서 “과거에는 EDR의 효용성이나 활용도에 대한 공감대가 형성되지 않아 실제 도입까지는 그 속도가 더뎠으나, 최근에는 EDR의 필요성을 체감하는 고객들이 늘고 있어 도입하는 조직이 늘어날 것으로 보인다”고 전망했다.

국내 시장의 또 다른 특징은 글로벌 기업보다 토종 기업이 강세라는 점이다. 지니언스 관계자는 “국내 보안 시장은 영역이 세분화돼 있으며, 각 시장을 지배하는 기업들이 존재한다. 여기에 고객의 요구 수준과 기술지원 이슈 등으로 국내 보안 기업의 점유율이 높은 편이다. 국내에서는 2017년 지니언스가 EDR을 국내 최초로 개발한 이래 안랩, 이스트시큐리티 등이 시장에 진출했다. 여기에 2019년부터 글로벌 벤더들이 국내에 속속 진출했으며, 그 외 국내 보안 벤더들까지 추가로 진입하는 경우가 늘어나면서 경쟁 구도 다각화와 함께 시장 확장이라는 결과로 이어지고 있다”고 설명했다.

한편 EDR과 EPP 솔루션이 통합되는 움직임이 있다는 점도 염두에 둘 만하다. 가트너에서도 한때 EPP와 EDR을 일부 기능이 겹치는 별개 솔루션으로 바라봤지만, 최근에는 2023년까지 EDR의 핵심 기능이 EPP 솔루션에 포함될 것으로 전망하는 등 EDR과 EPP가 현재 통합이 진행 중인 시장이라는 것이다.

이에 대해 이스트시큐리티 관계자는 “실제로 EPP 벤더들은 EDR 기능을 추가해 EDR 시장에 진입했고, EDR로 시작한 벤더들은 인수합병 등을 통해 EPP로 영역을 확대해왔다. EPP의 가트너 매직 쿼드런트(Gartner Magic Quadrant)를 살펴보면, 기존 EPP 벤더들 사이에 EDR 벤더들이 등장하면서 최근에는 리더 그룹에 포함되고 있다”고 말했다.

새로운 보안 패러다임 변화에 적극 대응하는 EDR

IT 보안 위협과 대응은 흔히 ‘창과 방패’의 싸움으로 비유되고는 한다. 공격자의 경우 목표 달성을 위해 새로운 기술과 전술을 동원해 공격을 시도한다. 방어자는 기존 보안 솔루션 등으로 방어 및 대응을 하지만, 제로데이 공격이나 알려지지 않은 위협에 대해서는 완벽한 방어가 현실적으로 어렵다. 특히, APT 공격과 같이 장시간 치밀하게 준비된 공격에 대응하기 위해 전통적인 보안 솔루션 외에도 위협 여부를 정확히 판단하고 위협의 맥락을 파악할 수 있는 도구의 필요성이 대두됐다. EDR은 이러한 요구에 부합한다.

안랩 관계자는 “정교하고 복합적인 기술을 이용하는 지능형 공격에 대응하기 위해서는 조직의 인프라 전반을 다각도로 고려한 보안이 필요하다. EDR은 특정한 보안 기능을 수행하는 것이 아니라, 엔드포인트에서 발생하는 다양한 이벤트와 보안 위협에 대한 정보를 수집하고 가시성을 제공함으로써 위협 대응을 위한 신속하고 적절한 의사 결정을 지원한다”고 설명하면서 “따라서 최신 보안 위협에 능동적으로 대응하기 위해서는 백신, 매체 제어 솔루션, 패치관리 솔루션 등 목적에 따라 운용하는 전통적 보안 솔루션과 EDR을 유기적으로 연계해 위협 대응의 킬체인(Cyber Kill-Chain)을 마련해야 한다”고 덧붙였다.

타깃형 공격이 점차 치밀해지는 등 전 세계적으로 사이버 위협이 진화함에 따라 공격에 대한 사전점검, 그리고 인공지능(AI)에 기반한 악성코드 탐지 및 대응 등에 대한 필요성이 절대적으로 필요한 상황이다. 기존에 알려진 위협정보에 기반해 탐지하는 백신 제품은 한계에 봉착했으며, 전통적인 보안 제품만으로는 신·변종 악성코드나 랜섬웨어에 능동적으로 대응할 수 없다.

결국 네트워크뿐만 아니라 단말에 이르기까지 탐지·대응 시스템을 구축해, 다양한 경로로 유포되는 악성코드와 공격에 대비해야 할 필요가 있다. 즉, 통합적인 보안 가시성을 제공하는 EDR을 이용해 능동적인 보안 대응 체계와 가시성을 확보해야 할 필요성이 커지고 있다는 게 EDR 업계의 공통적인 설명이다.

지니언스 관계자는 “EDR은 언택트 시대에 재택근무가 확산되는 등 보안 환경이 변화하는 데 따른 대안으로서, 또한 인공지능(AI)과 결합해 지능화된 변종 사이버 공격에 대응하기 위한 수단으로서 최근 가장 주목받고 있는 솔루션이다. EDR은 보안의 지능화 및 혁신 전략 수립, 기존 안티바이러스 솔루션의 한계 극복, 다양한 정보 수집을 통한 가시성 확보, 이상 행위 대응 및 확산 방지 등 보안의 새로운 패러다임 변화에 대응하는 솔루션으로 지속적인 시장 성장세를 이어갈 것으로 전망된다”고 말했다.

고객 요구에 부응하며 진화

EDR은 기본적으로 탐지와 대응의 영역이 중요하다. EDR은 평판정보, 침해지표, 행위를 기반으로 하며 안티바이러스(백신)는 시그니처 기반이다. 지니언스 관계자는 “전문 EDR 벤더와 백신 기반 EDR 벤더의 사상적 차이는 있지만 샌드박스, 머신러닝, 인공지능 알고리즘이 결합되면서 중심값으로 모여들고 있다”고 말했다.

이와 더불어 지니언스 측은 EDR을 바라보는 시각이 다양하다는 점도 언급했다. 지니언스 관계자는 “툴의 관점으로 넓은 탐지, 깊은 분석, 상세한 대응이 필요로 한 고객이 있는 반면, 솔루션 관점으로 월 점검 시 문제없이 특정 행위에 대한 분석 요약이나 결과 통보만 필요한 고객도 있다. 백신은 탐지의 결과만 보여주지만 EDR은 탐지된 파일이 어디서 왔는지, 어디와 통신을 했는지 각 흐름과 이벤트를 제공한다. 백신과 EDR 영역이 구분될 필요는 없지만, 통합이 아닌 상호 보완적인 것이 가장 이상적인 방어모델이라는 점에는 이견이 없다”고 설명하고 “선제적으로 EDR을 도입한 산업별 대표 고객은 EDR을 툴의 관점으로 바라보면서 넓은 탐지, 깊은 분석, 상세한 대응을 절대적으로 요구하고 있다”고 덧붙였다.

지니언스는 이러한 요구가 있는 시장을 주도하기 위해 멈추지 않고 진화하는 EDR을 개발하고 있다고 강조했다. 회사는 △탐지기능 강화 △에이전트 지원 OS 확대 △안티랜섬웨어 기능 △MITRE ATT&CK 확대 적용 △서버 설치 환경의 다양화 등 고객과 함께 발전하는 솔루션 개발에 박차를 가한다는 계획이다.

안랩 역시 고객이 가진 고민을 해결하고 제품을 고도화하는 것에 집중한다는 방침이다. 안랩은 EDR이 고도화된 위협 탐지와 대응에 있어 기본이 되는 요소라며, EDR 제품의 주요 기능 업그레이드와 더불어 MDR 서비스를 준비 중이라고 밝혔다. 안랩 관계자는 “현재 EDR 도입을 고려하는 고객들은 EDR 제품을 활용하고 운영할 전문 보안 운영 인력의 필요성을 절감하고 있다. 또한, 제품 도입 후 빠르게 탐지 및 대응 효과를 얻고자 하기에 제품의 고도화도 필요한 시점이다”라고 밝히면서 “이러한 이슈 포인트를 해결하고 EDR을 더욱 효과적으로 이용하기 위해서는 능동적인 탐지 및 위협 사냥(Threat Hunting)과 함께 자동화된 대응이 필요하다. 이에 대한 대응책으로 해외에서는 MDR(Managed Detection and Response, 매니지드 탐지 및 대응)을 중심으로 EDR 시장이 더욱 확대되고 있고, 나아가 자동 대응 역량 확보를 위해 XDR(eXtended Detection and Response, 확장된 탐지 및 대응)이 채택되는 추세다”라고 덧붙였다.

■ 업체별 EDR 관련 전략 및 제품 소개

안랩 | 
고객의 목소리에 맞춰 보안 기술력 집약한 ‘안랩 EDR’

안랩은 ‘안랩 EDR’이 태생부터 ‘고객의 목소리’에 중점을 두고 개발된 제품이라고 소개했다. 또한 차세대 엔드포인트 보안 플랫폼인 ‘안랩 EPP’와의 유기적인 연계를 제공하고 있으며 호환성과 안정성, 활용성을 최우선으로 고려하고 있다고 덧붙였다. 특히 ‘안랩 EPP’와 연계한 정책 기능과 호환성, 그리고 EDR 본연의 고도화된 기능을 제공해 고객이 주도하는(Customer-Driven) ‘실행 가능한 진화형 EDR’로서 포지셔닝하고 있다고 강조했다. 안랩은 앞으로 엔드포인트 영역에서 EDR이 솔루션 간 중요한 가교 역할을 할 것으로 기대하면서, 지속적인 제품 고도화와 투자를 이어나간다는 계획이다.

‘안랩 EDR’은 안랩의 엔드포인트 보안 기술력이 집약된 솔루션이다. 국내 최초 독자적으로 개발한 행위기반 엔진을 바탕으로 엔드포인트 영역에서 발생하는 의심행위와 관련된 정보를 상시로 수집·분석해 보안 위협에 대한 직관적인 가시성을 제공한다.

직관적인 다이어그램과 공격 흐름도를 기반으로 엔드포인트 위협 이벤트의 타임라인을 제공하며, 보안 관리자는 안랩 EDR을 이용해 보안 위협의 유입 경로, 유형, 위험도, 머신러닝 분석 결과, 목표 및 구체적인 행위, 내부 확산 여부 등 상세한 정보를 한눈에 확인할 수 있다. 보안 관리자는 이를 기반으로 공격 단계별 프로세스, 에이전트 및 파일 등에 대해 프로세스 종료 및 네트워크 차단, 파일 수집·검색·격리·복원 등 적절한 대응 및 조치 방안을 수립할 수 있다. 또한 IoC(Indicator Of Compromise), 야라(YARA), 연계규칙 등을 기반으로 고객사에 최적화된 사용자 정의 규칙을 정의해 더욱 능동적인 보안 정책을 수립할 수 있다.

다양한 연동·연계 기능제공

안랩 EDR은 ‘안랩 EPP’를 기반으로 △V3 제품군 △‘안랩 EPP 시큐리티 어세스먼트(AhnLab EPP Security Assessment)’ △‘안랩 EPP 패치 매니지먼트(AhnLab EPP Patch Management)’ △‘안랩 EPP 프라이버시 매니지먼트(AhnLab EPP Privacy Management)’ 등 안랩의 다양한 엔드포인트 보안 솔루션과 연계 운영이 가능하다.

이외에도 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP(Threat Intelligence Platform)’ 서비스 및 샌드박스 기반의 지능형 위협 대응 솔루션 ‘안랩 MDS’와 연동해 위협을 분석하고 대응하는 데 시너지를 낼 수 있다. 특히 안랩 EDR을 이용하면 △엔드포인트 보안 솔루션 간 연계 기반의 위협정보 종합분석 △단일 관리 콘솔(Single Management Console)과 단일 에이전트(One Agent)를 이용한 효율적인 통합 관리 △구축 운영의 안정성 및 타 솔루션과의 호환성 확보 등이 가능하다.

이밖에 안랩은 국내에서 유일하게 2년 연속(2021년, 2022년) 마이터 앤제뉴이티(MITRE Engenuity)가 실시한 ‘어택 평가(ATT&CK Evaluation)’에 참가해 그 실력을 검증받고 있다는 점도 강조했다. 올해 4회차 평가에서 ‘안랩 EPP’와 ‘안랩 EDR’은 우수한 위협 탐지 및 대응 역량을 선보였으며, 마이터의 공격 전술 및 ‘어택 프레임워크(ATT&CK Framework)’를 적극 반영해오고 있다는 설명이다.

다양한 산업군에 제공

안랩은 대기업, 은행 및 증권 등 금융사, 공공기관, 중견기업 등 다양한 규모와 산업군의 고객사에 안랩 EDR을 제공하고 있다. EDR 활용도가 높은 고객사는 EDR과 SIEM(Security Information and Event Management) 또는 SOAR(Security Orchestration, Automation and Response)를 이용해 자동화 프로세스를 구현하고, 위협 이벤트에 대한 분류와 대응을 효율화하고 있다. 또한, 안랩 EPP 기반으로 연계 규칙을 적용해 유기적인 위협 대응을 운영하고 있다.

지니언스 |
국내 EDR 비즈니스 개척한 ‘지니안 EDR’로 퀀텀점프 기대

지니언스는 EDR 비즈니스에 대해 “완전히 새로운 영역을 개척한 것”이라는 자부심을 갖고 있다. 지니언스 관계자는 “클라우드, 운영기술(OT)보안, 제로 트러스트 네트워크 액세스(ZTNA) 등과 같은 신규 솔루션 개발은 기존 네트워크 보안 솔루션의 확장이지만, EDR은 엔드포인트 영역으로의 과감한 도전이며 차세대 성장 동력으로 육성하겠다는 야심찬 계획으로 시작됐다. 지니언스의 제2 도약을 위한 변곡점 돌파를 해 내는 핵심 비즈니스로, 향후 퀀텀 점프에 핵심적인 역할을 할 것으로 기대한다”고 밝혔다.

특히 지니언스는 EDR 사업의 안정적인 매출 구조를 확립하기 위해 구독형 비즈니스 모델을 채택했다는 점에 의미를 두고 있다. 사용한 만큼 지불하는 서비스 모델로, 라이선스와 유지보수를 통합한 선진화된 구조를 갖고 있다는 설명이다. 특히 국내 소프트웨어 비즈니스의 구조상 B2B(기업대기업)에서 구독형 비즈니스의 정착이 쉽지 않지만, 현재 전체 매출의 60% 이상을 구독형으로 공급해 중장기적으로 안정적인 매출을 거둬들일 것으로 기대하고 있다.

고객 요구사항 적극 반영한 ‘지니안 EDR 2.0’

지니언스의 EDR 솔루션 ‘지니안 EDR’은 단말에 대한 지속적인 모니터링 및 정보 수집을 통해 위협의 탐지 및 분석, 대응을 제공하는 솔루션이다. 단말의 가시성을 확보함에 따라 위협이 언제, 어디서, 어떻게 유입됐는지 위협의 정보를 한눈에 볼 수 있어 신속하고 적극적인 대응이 가능하다.

침해사고지표(IOC), 머신러닝(ML), 행위기반 위협탐지(XBA), 야라(YARA) 등의 다양한 기술이 적용돼 알려지지 않은(Unknown) 위협까지 탐지할 수 있다. 다양한 위젯을 제공해 사용자 편리성을 높였으며, 위협 탐지 알람을 통해 내부 보안을 강화할 수 있다.

국내 최초로 메이저 업그레이드된 ‘지니안 EDR’ 2.0 버전은 EDR에 기대하는 고객의 요구사항을 적극적으로 반영했다. 분석을 위한 충분한 가시성 제공, 위협 관리의 편의성 증대, 모니터링의 고도화, 자동화 대응 등 기술 요소와 사용자의 편의성이 대폭 증대됐다는 게 회사 측 설명이다.

통합모니터링 부분은 기존 별도의 화면으로 구성된 악성코드와 이상 행위가 통합돼 모든 위협을 한 화면에서 관리할 수 있다. 통합된 위협 현황, 단말 현황, 이벤트 현황을 체계적이면서도 효과적으로 모니터링해 한눈에 문제점을 파악하고 대응할 수 있다. 위협상세분석 부분은 기본정보, 단말별 탐지 정보, 분석지표, 공격스토리라인 등을 대시보드 형태로 제공하며 기본 정보 탭을 통해 탐지지표를 포함한 기본 분석 정보를 확인할 수 있다.

EDR 누적 고객사 120개로 국내 최다

지니언스는 2017년 국내 최초로 EDR을 개발한 이래 2021년 기준 누적 고객 100곳을 돌파했으며, 올해 상반기에도 다양한 산업군의 신규 고객을 확보해 국대 최다인 누적고객 120개사를 새롭게 돌파했다고 밝혔다.

이와 함께 최근에는 공공 EDR 시장의 바로미터인 조달 시장에서 2021년 기준 79%의 시장점유율로 1위를 기록했다고 발표했다. 지니언스는 기획재정부를 포함하는 정부 중앙부처 공급사례를 다수 확보하는 등 핵심 공공기관에 EDR 솔루션을 공급하고 있다.

지니언스는 글로벌 기업과의 대등한 기술력, 국내 네트워크 및 단말환경의 높은 이해, 고객사와 함께 제품의 발전 방향을 같이 하는 맞춤형 표준 기술 개발로 차세대 보안 환경의 비즈니스 혁신을 견인하고 있다고 자부한다. 회사는 2022년 상반기에 지자체, 공공기관, 기업, 병원, 금융권 등에서 지속적으로 공급사례를 확보, 올해 EDR 사업 실적 전망 역시 밝다고 강조했다.

이스트시큐리티 |
악성코드 빅데이터 및 대응 노하우에 딥러닝 기술 결합한 ‘알약 EDR’

2019년 4월 출시된 ‘알약 EDR’은 국내 최다인 1,600만 이상의 사용자를 통해 수집한 악성코드 빅데이터 및 대응 노하우를 기반으로, 자체 개발한 딥러닝 기술을 결합해 만들어졌다. 알약 EDR은 △알려지지 않은 위협 의심 행위를 먼저 차단하고 △직관적인 위협 흐름도와 보안 정책 적용을 제공하며 △인텔리전스 기반 위협 상세 분석을 통해 위협 행위에 대해 실효적인 대응을 할 수 있도록 지원한다.

알약 EDR은 파일리스(Fileless), 위협 행위자(Threat actor) 등이 알려지지 않은 위협이나 랜섬웨어 의심 행위 등을 즉시 차단하고, 랜섬웨어 감염 파일은 복구까지 진행한다. 특히 행위 기반의 감시 기능의 경우, 10여년 간 알약을 통해 다져진 커널 모드 기술을 통해 구현돼 더욱 강력하고 효율적으로 차단이 가능하다는 설명이다.

가시성 확보에 필요한 파일, 레지스트리, 프로세스, 네트워크 연결 정보 등 위협정보들을 안정적으로 수집·분석해 에이전트가 의심 또는 탐지한 프로세스와 관련된 이벤트들 및 발생 행위 정보를 도식화, 직관적인 위협 흐름도로 제공한다. EDR 전용 대시보드를 제공해 보안 관리자는 사내에서 발생한 주요 보안 이벤트에 대한 통계 모니터링이 가능하다.

인텔리전스 서비스와 유기적으로 연동

특히 다른 솔루션과의 차별화 포인트로 이스트시큐리티의 인텔리전스 서비스 ‘쓰렛 인사이드(Threat Inside)’와의 유기적인 연동을 통해 위협 식별과 상세 분석을 제공하는 점을 꼽을 수 있다. 쓰렛 인사이드의 AI 분석과 다차원 분석 결과를 통해 악성코드를 정확히 식별·분류하고, 마이터어택 매트릭스 전술 및 기술(MITRE ATT&CK Matrix Tactics & Techniques)을 적용한 탐지 결과를 제공한다. 이와 함께 이스트시큐리티의 숙련된 보안 전문가 집단 ‘시큐리티대응센터(ESRC)’의 보안 전문 지식도 함께 제공해, 기업 내부 보안 관리자의 신속하고 정확한 ‘대응’이 가능하게 해준다.

A사, 3단계 엔드포인트 위협 대응 환경 구축

알약을 사용해 온 A사는 스마트 업무 환경 전환을 준비하면서 다양해지는 엔드포인트의 이상 행위 탐지 및 대응을 위해 ‘알약 EDR’을 추가 도입했다. 알약으로 알려진 위협을 막고, 알약EDR로 알려지지 않은 위협을 식별하며, 인텔리전스 서비스 ‘쓰렛 인사이드’의 악성코드 판별·분석·대응 방안이 포함된 리포트가 더해져 엔드포인트 위협에 체계적인 대응이 가능한 ‘3단계 엔드포인트 위협 대응’ 환경을 구축했다. 알약과 ‘알약 EDR’을 단일 에이전트 및 관리 시스템으로 구성해 불필요한 관리 요소를 줄이고 안정적인 통합 운영이 가능해졌다. 백신 하나만으로는 지능화된 위협에 대응하기 어려운 시대에 EDR 솔루션을 도입, 구축 및 운영 리소스를 최소화하고 보안은 극대화할 수 있을 것으로 기대된다.

윈스 |
전 세계 1위 EDR 솔루션 크라우드스트라이크 ‘팔콘’ 국내 공급

윈스는 전 세계 1위 제품인 크라우드스트라이크(CrowdStrike)사의 리셀러로서 ‘팔콘(Falcon)’ 플랫폼 제품을 취급하고 있다. 주요 고객층으로 금융과 제조, 게임 등 분야를 타기팅해 사업을 확장해 나가고 있다.

윈스 관계자는 “현재 다수의 기업에서 EDR 솔루션에 대해 필요성을 충분히 느끼며 도입을 검토하고 있다. 이에 윈스는 기존 네트워크 위협 탐지·대응(NDR) 솔루션 고객군을 대상으로 EDR을 제안해 확장하는, 소위 ‘XDR 전략’을 펴고 있다. 이에 크라우드스트라이크와 같은 유명 EDR뿐 아니라, 분야별 경쟁력 있는 주요 EDR 계열의 회사들과도 전략적 제휴를 계획하고 있다”고 밝혔다.

전 세계 가장 많은 고객사 보유한 ‘팔콘’

크라우드스트라이크의 EDR은 ‘팔콘’이라는 이름의 플랫폼으로, 엔진부터 자체 개발해 전 세계에서 가장 많은 고객사 레퍼런스를 보유한 제품이다. 서비스형소프트웨어(SaaS) 기반의 특징을 바탕으로 약 1조 개(일별 이벤트 유입량)의 이벤트를 분석, 가장 많은 위협정보를 제공 및 보유하고 있다는 점이 타사 대비 크게 차별화되는 특징이다.

또한 ‘오버워치(OverWatch)’라는 별도의 유상 옵션을 구매하면 크라우드스트라이크 본사에서 고객사의 위협정보를 분석하는 서비스를 대행해준다. 고객사 보안관제에서도 제품을 검토할 수 있으나, 보안관제를 도입할 여력이 없거나 크라우드스트라이크 본사의 직접적인 서비스를 원할 경우 해당 유상 옵션을 도입하면 24시간 365일 위협정보 분석 서비스를 받을 수 있다.

크라우드스트라이크는 일반 안티 바이러스 솔루션처럼 시그니처 기반이 아닌, 행위 기반으로 분석을 한다는 콘셉트를 갖고 있다. 정형화된 탐지 패턴을 비교하지 않고 행위를 분석하기 때문에 제로데이 공격이나 랜섬웨어 공격 등에 대응할 수 있는 게 장점이다.

제1금융권 고객, 가벼운 에이전트 높이 평가

윈스는 제1금융권의 금융기관을 대표 고객으로 두고 있다고 밝혔다. 2년여에 걸친 제품 기술검증(PoC)를 통해 크라우드스트라이크의 우수성을 실제 검증하고 도입을 결정한 고객사로, 크라우드스트라이크의 안티 바이러스 기능까지 추가로 도입하는 것을 검토 중이라는 게 회사 측 설명이다.

윈스 측에 따르면 해당 고객은 PoC 과정에서 크라우드스트라이크의 제품이 타사 대비 가벼운 에이전트를 보유하고 있어 단말에 부담이 없다는 점을 높이 평가했다. 또한 머신러닝 기반의 엔진으로 수많은 행위 및 동작에 대해 다양한 이벤트 정보를 제공하며, 전체 트래픽에서 이벤트 지점별로 트래픽 흐름을 정리해 시각화된 타임테이블을 제공한다.

윈스 관계자는 “전체 설치하는 데 1개월도 소요되지 않아, 크라우드스트라이크 EDR 솔루션의 배포 우수성까지 검증할 수 있는 사례였다. 현재까지 매우 성공적인 구축사례로 판단하고 있다”고 말했다.