[컴퓨터월드] 보안의 기본은 사용자의 단말, 즉 엔드포인트(Endpoint)에 대한 가시성과 대응 방법을 마련하는 것에서부터 시작한다. 최근 엔드포인트 보안 부문에서는 기존과 같이 단순히 알려진 공격을 차단하는 것을 넘어, 모든 행위와 이벤트를 기록하고 분석해 침입으로 이어질 수 있는 의심스러운 시도들을 탐지, 대응까지 할 수 있는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response, 이하 EDR)’ 솔루션이 주목받고 있다. EDR은 엔드포인트 보안 부문의 여러 솔루션들을 연결하기 위한 중요한 가교 역할을 할 것으로 전망되면서 중요성이 높아지고 있으며, 국내에서도 올해부터 본격적으로 시장이 확대되고 있다. 이에 안랩은 자사의 엔드포인트 보안 기술력을 집약해 개발한 ‘안랩 EDR’ 솔루션을 최근 ‘안랩 EDR 2.0’으로 업그레이드하고 본격적으로 시장 공략에 나서고 있다.

엔드포인트에 대한 탐지와 대응 제공하는 EDR

오늘날 조직의 보안 담당자들은 매 순간 고도화되는 보안 위협에 맞서야 하는 큰 숙제에 직면해 있다. 신·변종 악성코드가 하루에도 수십, 수백 개씩 쏟아지고 있으며, 지능형 지속위협(APT)이나 랜섬웨어 공격과 같이 기업의 정보 자산을 노리는 위협들이 수많은 엔드포인트를 위험에 처하게 만들고 있다. 이러한 상황에서 EDR 솔루션이 주목받고 있다. EDR 솔루션은 기존에 이미 알려진 공격을 차단하는 것을 넘어, 알려지지 않은 위협까지 감지하고 대응하기 위한 솔루션이다.

안랩 제품서비스기획팀 박상희 부장은 “특히 최근 알려지지 않은 위협이 계속해서 출현하고, 신규 취약점 및 신·변종 악성코드가 증가함에 따라 기존 ‘보호(Protect)’ 방식에 대한 보완 필요성이 대두됐다. 이에 따라 엔드포인트에 대한 상시 모니터링을 제공하는 ‘탐지(Detect)’와 사후 조사 체계를 수립할 수 있는 ‘대응(Respond)’을 제공하는 EDR이 주목을 받고 있다”고 말했다.

글로벌 시장 조사 기관 가트너는 EDR을 ‘엔드포인트 단계에서 위협에 대한 지속적인 모니터링과 대응을 제공하는 보안 솔루션’으로 정의하고 있다. 가트너에 따르면, EDR은 △보안 침해 탐지 △엔드포인트에서의 보안 침해 억제 △보안 침해 조사 △감염 이전 상태로의 회복을 위한 치료 등 4가지 기능을 갖춰야 한다.

안랩 제품서비스기획팀 정광우 부장은 “이해를 돕기 위해 안티 바이러스와 비교해보자면, 안티 바이러스는 엔드포인트 상에서 악성코드를 사전에 탐지해 차단 또는 격리하는 반면, EDR은 엔드포인트 상에서 발생하는 ‘행위 정보’를 수집해 분석한다. EDR은 지속적으로 수집한 행위 정보를 바탕으로 고도화된 공격 기법이나 우회·변종 위협 등과 같이 안티 바이러스가 탐지·대응하지 못하는 위협이 발생했을 경우에도 위협에 대한 가시성을 제공하고 대응할 수 있도록 지원하는 솔루션이라고 이해할 수 있다”고 설명하고 “이제는 단일 보안 제품으로 위협에 대응하기 보다는 두 가지 이상의 보안 제품을 이용해 상호보완적 관계를 형성하고, 각 제품의 특성에 맞게 활용해 유기적인 대응 역량을 갖추는 것이 중요하다”고 말했다.

안랩 제품서비스기획팀 박상희 부장은 “특히 안랩의 EDR은 엔드포인트 위협에 대해 적절한 가시성을 제공해 지능형 위협을 발견하고 조사 및 대응하는 엔드포인트 보안의 ‘보완 도구’로서, 안티 바이러스 등 기존 보안 제품과 연계해서 사용할 때 효과적인 대응이 가능하다”고 덧붙였다.

성장세 EDR, 국내도 관심 높아져

가트너는 2015년부터 2020년까지 EDR 시장의 연평균복합성장률(CAGR)을 45.27%로 추산하며, 2021년 기준 약 15억 달러 규모의 시장으로 성장할 것으로 내다본 바 있다. 최근에는 EDR 시장이 2023년까지 약 34억 1천만 달러에 이를 것이라는 글로벌 시장조사기관 MRFR(Market Research Future®)의 예상이 있기도 했다. 글로벌 벤더의 경우 크라우드스트라이크, 카본블랙을 인수한 VM웨어, 센티넬원, 사이버리즌, 시스코, 트렌드마이크로 등이 주요 EDR 업체로 손꼽히고 있다.

한편 국내의 경우 벤더 각자가 보유한 강점을 중심으로 EDR 솔루션을 출시하고 공급하고 있는 ‘얼리 스테이지(Early Stage)’ 단계인 것으로 분석된다.

국내 EDR 시장에 대해 안랩 제품서비스기획팀 정광우 부장은 “과거에는 EDR의 효용성이나 활용도에 대한 공감대 부족 및 운용 전문 인력 부재 등의 이유로 기업의 EDR 도입 속도가 비교적 더뎠다. 그러나 최근에는 EDR의 필요성을 체감하는 조직이 증가하며 EDR 제품 도입뿐만 아니라 효과적인 EDR 운영을 위한 부가 서비스에 대한 관심이 높아지고 있다”고 분위기를 전하면서 “이에 따라 최근 EDR 시장에서는 추가적인 보안 전문가 서비스를 제공하는 벤더들이 등장하고 있으며, MDR(Managed Detection & Response) 등 벤더의 보안 운영 서비스 제공 여부 및 수준이 주요한 평가 요소로 떠오르고 있다”고 덧붙였다.

전통적 보안 솔루션에 EDR 유기적으로 연계해야

최근의 사이버 공격은 날이 갈수록 치밀해지는 타깃형 공격의 양상을 보이고 있다. 이에 통합적인 보안 가시성을 제공하는 EDR 솔루션을 이용해 능동적인 보안 대응 체계를 갖추고 가시성을 확보해야 할 필요성이 커지고 있다.

IT 보안 위협과 대응은 흔히 ‘창과 방패’의 싸움으로 비유되고는 한다. 공격자의 경우 목표 달성을 위해 새로운 기술과 전술을 동원해 공격을 시도한다. 방어자는 기존 보안 솔루션 등으로 방어 및 대응을 하지만, 제로데이 공격이나 알려지지 않은 위협에 대해서는 완벽한 방어가 현실적으로 어렵다는 데 많은 전문가들이 동의하고 있다.

안랩 제품서비스기획팀 박상희 부장은 “APT 공격과 같이 장시간 치밀하게 준비된 공격에 대응하기 위해서는 전통적인 보안 솔루션 외에도 위협 여부를 정확히 판단하고 위협의 맥락을 파악할 수 있는 도구가 필요하다”고 말했다.

전문가들은 결국 정교하고 복합적인 기술을 이용하는 지능형 공격에 대응하기 위해서는 조직의 인프라 전반을 다각도로 고려한 보안이 필요하다고 조언한다. 안랩 제품서비스기획팀 정광우 부장은 “EDR은 특정한 보안 기능을 수행하는 것이 아니라, 엔드포인트에서 발생하는 다양한 이벤트와 보안 위협에 대한 정보를 수집하고 가시성을 제공함으로써 위협 대응을 위한 신속하고 적절한 의사 결정을 지원한다”면서 “따라서 최신 보안 위협에 능동적으로 대응하기 위해서는 백신, 매체 제어 솔루션, 패치관리 솔루션 등 목적에 따라 운용하는 전통적 보안 솔루션과 EDR을 유기적으로 연계해 위협 대응의 킬체인(Cyber Kill-Chain)을 마련해야 한다”고 강조했다.

고객의 목소리에 중점 두고 개발한 ‘안랩 EDR’

안랩은 자사의 ‘안랩 EDR’ 솔루션이 태생부터 ‘고객의 목소리’에 중점을 두고 개발된 제품이라고 소개하고 있다. 안랩의 차세대 엔드포인트 보안 플랫폼인 ‘안랩 EPP’와의 유기적인 연계를 제공하고 있으며 호환성과 안정성, 활용성을 최우선적으로 고려하고 있다는 설명이다.

안랩 제품서비스기획팀 박상희 부장은 “안랩 EDR은 특히 ‘안랩 EPP’와의 연계 정책 기능과 호환성, 그리고 EDR 본연의 고도화된 기능을 제공해 고객이 주도하는(Customer-Driven) ‘실행 가능한 진화형 EDR’로서 포지셔닝하고 있다”면서 “앞으로 엔드포인트 영역에서 EDR이 솔루션 간 중요한 가교 역할을 할 것으로 기대되는 바, 지속적인 제품 고도화와 투자를 이어나갈 계획이다”라고 덧붙였다.

엔드포인트 기술력 집약된 ‘안랩 EDR’

‘안랩 EDR’은 안랩의 엔드포인트 보안 기술력이 집약된 솔루션이다. 국내 최초 독자적으로 개발한 행위 기반 엔진을 바탕으로 엔드포인트 영역에서 발생하는 의심 행위와 관련된 정보를 상시로 수집·분석해 보안 위협에 대한 직관적인 가시성을 제공한다.

안랩 EDR은 직관적인 다이어그램과 공격 흐름도를 기반으로 엔드포인트 위협 이벤트의 타임라인을 제공한다. 보안 관리자는 안랩 EDR을 이용해 보안 위협의 유입 경로, 유형, 위험도, 머신러닝 분석 결과, 목표 및 구체적인 행위, 내부 확산 여부 등 상세한 정보를 한눈에 확인할 수 있다. 보안 관리자는 이를 기반으로 공격 단계별 프로세스, 에이전트 및 파일 등에 대해 프로세스 종료 및 네트워크 차단, 파일 수집·검색·격리·복원 등 적절한 대응 및 조치 방안을 수립할 수 있다. 또한 침해사고지표(IoC), 야라(YARA), 연계규칙 등을 기반으로 고객사에 최적화된 사용자 정의 규칙을 정의해 더욱 능동적인 보안 정책을 수립할 수 있다.

다양한 연동·연계 기능 제공

안랩 EDR은 ‘안랩 EPP’를 기반으로 안랩의 다양한 엔드포인트 보안 솔루션(V3 제품군, 안랩 EPP Security Assessment, 안랩 EPP Patch Management, 안랩 EPP Privacy Management)과 연계 운영이 가능하다. 이외에도 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP(Threat Intelligence Platform)’ 서비스 및 샌드박스 기반의 지능형 위협 대응 솔루션 ‘안랩 MDS’와 연동해 위협 분석 및 대응 시너지를 낼 수 있다. 특히 안랩 EDR을 이용하면 △엔드포인트 보안 솔루션 간 연계 기반의 위협정보 종합분석 △단일 관리 콘솔(Single Management Console)과 단일 에이전트(One Agent)를 이용한 효율적인 통합 관리 △구축 운영의 안정성 및 타 솔루션과의 호환성 확보 등이 가능하다.

안랩은 국내에서 유일하게 2021년부터 2022년까지 2년 연속으로 마이터 앤제뉴이티(MITRE Engenuity)가 실시한 ‘어택 평가(ATT&CK Evaluation)’에 참가해 실력을 검증받고 있다. 올해 4회차 평가에서 ‘안랩 EPP’와 ‘안랩 EDR’은 우수한 위협 탐지 및 대응 역량을 선보였으며, 마이터의 공격 전술 및 ‘어택 프레임워크(ATT&CK Framework)’를 적극 반영해오고 있다. 마이터 앤제뉴이티는 미국의 보안 분야 비영리 조직인 마이터 코퍼레이션(MITRE Corporation)이 창립한 공익 기술 재단으로, 민간 분야와 협업을 바탕으로 사회 인프라 시설의 보안을 강화할 수 있는 기반 기술에 대한 투자 및 연구를 지원하고 있다.

고도화된 ‘안랩 EDR 2.0’과 MDR 서비스로 고객 요구 대응

안랩 제품서비스기획팀 정광우 부장은 “EDR 도입을 고려하는 고객들은 EDR 제품을 활용하고 운영할 전문 보안 운영 인력의 필요성을 절감하고 있다”면서 “또한 제품 도입 후 빠르게 탐지 및 대응 효과를 얻고자 하기에 제품의 고도화도 필요한 시점이다”라고 말했다.

이러한 이슈 포인트를 해결하고 EDR을 더욱 효과적으로 이용하기 위해서는 능동적인 탐지 및 위협 사냥(Threat Hunting)과 함께 자동화된 대응이 필요하다. 이에 대한 대응책으로 해외에서는 MDR(Managed Detection and Response, 매니지드 탐지 및 대응)을 중심으로 EDR 시장이 더욱 확대되고 있고, 나아가 자동 대응 역량 확보를 위해 XDR(eXtended Detection and Response, 확장된 탐지 및 대응)이 채택되는 추세다.

현재 안랩은 대기업, 은행 및 증권 등 금융사, 공공기관, 중견기업 등 다양한 규모와 산업군의 고객사에 ‘안랩 EDR’을 제공하고 있다. EDR 활용도가 높은 고객사는 EDR과 SIEM(Security Information and Event Management) 또는 SOAR(Security Orchestration, Automation and Response)을 이용해 자동화 프로세스를 구현하고, 위협 이벤트에 대한 분류와 대응을 효율화하고 있다. 또한 안랩 EPP 기반으로 연계규칙을 적용해 유기적인 위협 대응을 운영하고 있다.

안랩 제품서비스기획팀 박상희 부장은 “EDR은 고도화된 위협 탐지와 대응에 있어 기본이 되는 요소이며, 안랩은 EDR을 보안성과 편의성을 대폭 강화한 ‘안랩 EDR 2.0’을 선보여 EDR 제품의 주요 기능 업그레이드와 더불어 MDR 서비스를 함께 제공한다”고 강조했다.

솔루션 리뷰

고객 요구 적극 수렴한 ‘안랩 EDR 2.0’ 업그레이드 출시

안랩은 최근 ‘안랩 EDR’ 출시 이후 고객의 요구사항을 적극적으로 수렴한 업그레이드 버전인 ‘안랩 EDR 2.0’을 출시했다. 업그레이드된 ‘안랩 EDR 2.0’은 △전문적인 EDR 운영을 위한 MDR 서비스 지원 △‘안랩 EDR 애널라이저(AhnLab EDR Analyzer)’ 도입으로 운영 편의성 및 가시성 강화 △위협 탐지 및 분류 기능 고도화 △맞춤형 분석 및 능동적인 대응을 위한 기능 확대 등과 같이 보안 기능 및 편의성을 강화한 점이 특징이다.

1) 전문적인 EDR 운영을 위한 MDR 서비스 지원

‘안랩 EDR 2.0’ 이용 고객사는 안랩의 보안 전문가 서비스를 이용할 수 있다. 안랩은 그동안 EDR을 도입하거나 도입을 검토한 고객들이 전문 운영 인력의 부재로 EDR 활용에 어려움을 겪거나 활용도에 대한 고민을 갖고 있었다고 진단하면서, 보안 전문가의 분석/대응 서비스에 대한 고객의 수요를 반영해 안랩 EDR의 운영과 활용을 돕는 ‘MDR(Managed Detection & Response) 서비스’를 함께 제공한다고 밝혔다.

먼저, 안랩 EDR과 V3를 함께 사용하는 고객은 안랩 보안 전문가가 직접 수행하는 모니터링 및 분석·대응 서비스를 받아볼 수 있다. 고객사의 EDR에서 탐지된 이벤트 로그를 안랩으로 전송하면, 안랩 보안 전문가가 위험 가능성이 높은 이벤트를 기준으로 분석을 진행해 분석 보고서를 제공하며 월간 통계 보고서 등도 확인할 수 있다.

맞춤형 MDR 서비스를 원하는 고객은 ‘EDR 프리미엄(EDR Premium)’을 이용할 수 있다. ‘EDR 프리미엄’ 사용 고객에게는 위험 가능성이 높은 이벤트뿐만 아니라 EDR이 탐지한 의심 행위에 대해서도 모니터링 및 분석, 대응 서비스를 제공하며, 분기별로 전문가의 의견이 담긴 리뷰 보고서를 발행한다. 안랩의 보안 전문가가 보안 이슈를 반영해 생성한 맞춤형 탐지 룰을 이용해 조직에 최적화된 위협 헌팅(Threat Hunting)이 가능하다.

이밖에도 EDR 프리미엄과 연계해 침해사고 분석 서비스, 악성코드 전문가 분석 서비스, 의심시스템 진단 서비스 등 다양한 프로페셔널 서비스를 활용할 수 있다.

2) 전용 콘솔 ‘안랩 EDR 애널라이저’로 가시성 및 운영 편의성 강화

‘안랩 EDR 2.0’은 전용 콘솔 ‘AhnLab EDR 애널라이저’를 도입해 이미 발생했거나 추후 발생 가능성이 높은 위협을 사용자가 빠르게 확인하고 정확한 분석 및 대응을 할 수 있도록 지원한다.

먼저 단순 통계 정보 외에도 최근 확인된 위협 현황과 각종 추이 정보를 제공해 위협에 대한 가시성을 높였다. 보안 담당자는 전용 콘솔을 활용해 신속하고 명확하게 위협 상황을 인지할 수 있다.

또한 고객의 목소리를 반영해 확인된 위협의 처리 상태를 직접 관리할 수 있는 ‘위협 상태 관리 기능’을 제공하며, 비슷한 유형의 행위패턴에 대한 원클릭 예외 처리 기능으로 불필요한 탐지 이벤트를 손쉽게 필터링할 수 있다.

3) 위협 탐지 및 분류 기능 고도화

안랩은 국내 유일의 자체 행위 기반 엔진을 고도화한 EDR 전용 엔진을 도입해 시스템, 파일, 프로세스, 네트워크 등의 정보를 행동 중심으로 더욱 상세하게 제공한다. 또한 마이터 어택(MITRE ATT&CK) 프레임워크의 ‘Tactics(전술)’에 기반한 16가지 행위 카테고리와 실질적인 공격 기술이 표현된 ‘Techniques(기술)’와 ‘Sub-techniques(하위 기술)’ 프레임워크에 기반한 위협 정보까지 확인할 수 있어, 담당자는 위협을 직관적으로 이해할 수 있다. 참고로 마이터 어택이란 수백만 건의 공격을 기반으로 분석한 위협 전략과 기법을 서술하는 문서를 말한다. ATT&CK은 적대적 전술, 기법 및 상식(Adversarial Tactics, Techniques, and Common Knowledge)을 의미한다.

이외에도 기존에 제공하던 IoC, YARA 등 정적인 사용자 정의 규칙 외에 40여 개의 정적·동적 조건을 조합해 행위 기반의 사용자 정의 규칙을 만들 수 있으며, 이로써 고객사의 특성에 맞는 다양한 위협에 대한 탐지가 가능하다. 참고로 IoC(Indicator of Compromise, 침해지표)는 침해 사고의 증거 및 흔적들을 의미하는 데이터를 말하며, YARA는 악성코드 시그니처를 이용해 악성코드의 종류를 식별하고 분류하는 목적으로 사용하는 도구를 가리킨다.

4) 맞춤형 분석 및 능동적인 대응을 위한 기능 확대

‘안랩 EDR 2.0’ 고객사는 전용 콘솔인 ‘안랩 EDR 애널라이저’를 이용해 보다 다양하고 체계적인 분석과 대응이 가능하다.

먼저, ‘안랩 EDR 2.0’은 하나의 위협에서 확인되는 다양한 분석정보를 △다이어그램 △타임라인 △프로세스 트리 등 세 가지 방식으로 제공한다. 담당자는 분석 성향에 따라 맞춤형으로 위협 정보를 확인하고, 공격 흐름 전반을 빠르고 쉽게 파악하고 분석할 수 있다.

아울러 치료 및 대응이 완료된 행위 로그에 대해서도 추가로 분석할 수 있는 온디맨드(On-Demand) 검사 기능과 더불어 ‘안랩 TIP(AhnLab TIP)’, ‘안랩 MDS(AhnLab MDS)’ 등 타 제품 연동 기능을 이용해 추가 분석을 수행할 수 있다.

업그레이드된 ‘안랩 EDR 2.0’은 대응 측면에서도 고객의 요구사항을 적극 반영했다. 먼저 사용자 PC 데이터를 피해 이전 상태로 안전하게 복원하는 ‘롤백(Rollback)’ 기능을 도입해 비즈니스 전반의 회복력을 보장한다. 또한 사용자 정의 규칙에 따라 네트워크 차단, 프로세스 차단, 파일 삭제 등 보다 능동적인 대응 방안을 제공해 위협에 효과적으로 대응할 수 있다.