정보보호제품 성능평가 제품으로 선정, 필수 솔루션으로 ‘급부상’
[인터뷰] 김선미 한국인터넷진흥원(KISA) 물리보안성능인증팀 팀장
[설문조사] EDR 솔루션 인식 및 선택기준, “보안 위협, 메일 등 시스템 노린 공격 증가”
EDR 대표 솔루션 7종 분석 : 센티넬원, 소만사, 시만텍, 안랩, 엔피코어, 지니언스, 트렌드마이크로
[보안뉴스 김경애 기자] 지난해 하반기 한국인터넷진흥원이 공공기관, 민간기업, 솔루션 개발기업을 대상으로 수요조사를 진행해 정보보호제품 성능평가 제품으로 EDR 솔루션을 선정했다. 신규 성능평가 제품군으로 선정한 후, 2022년 사업계획에 포함돼 현재 성능평가 기준 등 평가항목을 구성 중이다. 이와 관련해 지난 6월 정보보호제품 성능평가 제도 설명회가 개최된 바 있으며, 최종 EDR 솔루션의 성능평가 기준은 2022년 12월 말까지 적용돼 발표될 예정이다. 이에 따라 내년부터는 EDR 솔루션에 성능평가 기준이 적용될 방침이다.
[이미지=utoimage]
평가점수에 따라 기업은 EDR의 기능과 성능을 구분하고 구체화할 수 있어 사용자 입맛에 맞게 다양한 선택이 가능하다. 솔루션 개발기업 역시 소비자의 선택을 받기 위해 EDR의 기능과 성능을 강화할 수 있어 소비자 만족도는 더욱 높아질 것으로 보인다. 이에 따라 시장도 한층 성숙될 것으로 기대되고 있다.
이에 <보안뉴스>에서는 EDR 솔루션의 트렌드를 비롯해 EDR 솔루션이 정보보호제품 성능평가 대상 제품군으로 선정된 배경과 현재 진행 상황을 한국인터넷진흥원 물리보안성능인증팀 김선미 팀장과의 인터뷰를 통해 들어봤다. 또한, ‘EDR 솔루션 인식 및 선택기준에 대한 설문조사 결과’와 A공공기관 EDR 솔루션 구축사례를 비롯해 센티넬원(에스케어), 소만사, 시만텍(이테크시스템), 안랩, 엔피코어, 이스트시큐리티, 지니언스, 트렌드마이크로(기업명 : 가나다순) 등 총 8개 기업의 EDR 솔루션의 특장점에 대해 살펴보고자 한다.
EDR, 태동기 지나 성장기 진입 필수 솔루션으로 ‘주목’
‘Endpoint Detection Response’의 약자인 EDR은 실시간으로 보안위협 탐지, 분석, 대응이 가능한 엔드포인트 보안 솔루션이다. 2014년까지만 해도 EDR 솔루션 시장은 멀웨어 분석, 위협 인텔리전스 기술을 보유한 맨디언트, 사일런스, 섹두, 카본블랙 등 미국과 이스라엘 기업이 대부분이었다.
이후 2018년 시만텍, 시스코 등 글로벌 기업을 중심으로 시장이 확대됐다. 2020년에는 네트워크 기업이 EDR 기업을 인수하면서 글로벌 기업 중심으로 M&A가 활발해졌고, M&A를 통해 블랙베리, 시스코, IBM, 파이어아이, 팔로알토 네트웍스, 포티넷 등이 EDR 솔루션을 신규로 획득하며 기능을 보강하게 됐다.
국내에는 2015년경 EDR 솔루션이 처음 도입됐다. 이후 RSA 2016 컨퍼런스에서 소개되며 주목받기 시작했고 2017년 지니언스, 2018년 안랩과 엔피코어, 이스트시큐리티, 2019년 소만사 등 국내 보안기업이 솔루션을 개발해 시장에 진출했다. 이처럼 2018년까지만 해도 태동기였던 국내 EDR 솔루션 시장은 랜섬웨어, 제로데이 취약점, 자동화 공격 도구를 활용한 고도화된 공격에 대응하는 차세대 보안 솔루션으로 부각되기 시작했다. 2019년 은행과 공공기관에서 EDR 솔루션을 도입하며 시장이 개화됐고, 글로벌 기업의 EDR 솔루션이 기술적 가치가 높게 평가되며 차세대 솔루션으로 기대를 모았다.
2018년부터는 글로벌 기업과 국내 보안기업이 본격적으로 시장에 뛰어들며 활기를 띠다가 2019년 코로나19 영향으로 클라우드와 재택근무 솔루션에 관심이 집중되며 시장은 잠시 주춤해졌다. 대형 시장으로 손꼽혔던 금융권 등에서 IT 투자를 연기하며 성장 속도가 더뎌지기도 했다.
하지만 2021년 하반기부터 랜섬웨어, APT 공격 등 고도화된 공격이 심화되고 기업의 피해가 늘면서 EDR 솔루션은 다시 주목받았다. 지니언스는 “코로나19 악재로 EDR 사업을 연기했던 공공기관과 기업의 수요가 서서히 증가하고 있다”라고 말했다. 국내는 소만사와 안랩, 엔피코어, 이스트시큐리티, 지니언스, 글로벌 기업으로는 사이버리즌과 센티넬원, 시만텍, IBM, 카본블랙(VM웨어), 크라우드스트라이크, 트렐릭스(Trellix : 파이어아이+맥아피), 트렌드마이크로 등 약 20여개 기업(2022년 기준)이 EDR 시장에서 경쟁하고 있다.
EDR 솔루션은 매출 측면에서도 전망이 밝다. 지니언스는 “2022년 7월 KB국민은행을 비롯해 제1, 2 금융권과 증권사, 보험사 등이 EDR 솔루션 도입을 검토하며 관심이 고조되고 있다”라며 “국내의 경우 2021년 200억원, 2022년에는 100% 성장한 400억원 규모를 형성할 것으로 내다보고 있다”라고 밝혔다.
디 인사이트 파트너스에 따르면 2021년 글로벌 EDR 시장이 2020년 대비 22% 성장한 21억 6,100만달러 규모라고 밝혔다. 센티넬원은 “2022년 2월 발간된 ‘CYBERSECURITY PRIMER’ 시장 전망 보고서에 따르면 네트워크 보안(Network Security), 엔드포인트 보안(Endpoint Security), 클라우드 워크로드(Cloud Workload) 관련 분야에 지속적인 투자가 발생할 것으로 예측하고 있다. 특히 엔드포인트 보안 분야는 지속적인 성장세를 유지하고 있으며, 과거 EPP에서 EDR 시장으로의 전개가 빠르다”며 “엔드포인트 보안 분야는 네트워크 보안 분야 다음으로 시장규모가 크고 20% 이상의 시장 성장률을 유지하고 있다. 2021년부터는 글로벌 EDR 전문기업들이 국내 보안 시장에서 두각을 나타내고 있으며 성능 및 탐지, 복구 기능의 만족도가 높아 2023년부터는 필수 솔루션으로 자리매김 할 것”이라고 전망했다.
최근 EDR 솔루션 트렌드는 MDR과 XDR로 기능을 확대하며 발전 중이다. 안랩은 “EDR에 MDR(Managed Detection & Response)을 접목시킨 보안 서비스 형태가 활용되는 추세다. 또한, 엔드포인트 외에도 네트워크, 클라우드 등 다양한 환경에서 발생하는 위협을 종합적으로 모니터링하고 분석할 수 있는 XDR(eXtended Detection & Response) 서비스로 발전하며 변화하고 있다”고 분석했다.
=================================================================
[인터뷰] 김선미 한국인터넷진흥원(KISA) 물리보안성능인증팀 팀장
“EDR 제품이 가장 수요가 많아 성능평가 제품군으로 선정”
이처럼 EDR 솔루션의 기능과 성능이 발전하고 있는 가운데 지난해 정보보호제품 성능평가 대상 제품으로 EDR 솔루션이 선정됐다. 이에 본지는 김선미 한국인터넷진흥원(KISA) 물리보안성능인증팀 팀장과의 인터뷰를 통해 EDR 솔루션이 성능평가 대상 제품군으로 선정된 배경과 이유, 그리고 성능평가 기준과 현재 진행 상황에 대해 들어봤다.
EDR 솔루션이 정보보호제품 성능평가 대상 품목으로 선정된 배경과 현재 진행 상황
2021년도 하반기에 공공기관, 민간기업, 개발기업을 대상으로 성능평가 제품유형 조사를 실시한 결과 EDR 제품이 가장 수요가 많아 성능평가 제품군으로 선정했습니다. 성능평가 항목은 EDR 제품이 단말 단에서 얼마나 이상행위를 신속하게 수집, 탐지, 대응하는지에 대한 기능으로 구성 중입니다. 현재 초안은 마련된 상태이며, 의견수렴 및 검증 단계에 있습니다. 늦어도 12월 말까지 평가 기준을 적용해 발표할 예정입니다.
EDR 솔루션 기능 및 성능 강화를 위해 보안 솔루션 개발기업에서 준비해야 할 사항
솔루션 개발기업은 미국의 연구개발업체 마이터(MITRE)에서 제공하는 최신 공격방법과 대응방법 등을 정의한 MITRE ATT&CK 프레임워크를 참고해 개발한다면 제품 성능 강화에 도움이 될 것입니다.
향후 정보보호제품 성능평가 제품 확대 여부와 제도운영에 관한 한국인터넷진흥원의 계획
한국인터넷진흥원은 앞으로 수요기관, 산업계의 의견수렴을 통해 성능이 필요한 제품군을 확대해 나갈 예정입니다. 공격 패턴, 악성코드 등 성능시험 시료를 고도화하기 위해 원내 부서와 협업해 내실 있게 제도를 운영해 나갈 계획입니다.
=================================================================
[설문조사] EDR 솔루션 인식 및 선택기준
“보안 위협, 메일·취약점·다크웹 이용 등 시스템 노린 공격 증가”
EDR 솔루션이 성능평가 제품으로 수요가 높았던 배경에는 고도화된 사이버공격으로 인한 기업의 피해가 늘었기 때문이다. 이에 본지는 2022년 11월 7일부터 17일까지 ‘EDR 솔루션 인식 및 선택기준에 대한 설문조사’를 실시해 공격 유형과 엔드포인트 관리 등에 대해 알아봤다.
▲‘EDR 솔루션 인식 및 선택기준에 대한 설문조사’[자료=보안뉴스]
그 가운데 ‘보안사고 발생 시 공격 유형’으로는 ‘악성파일 및 악성 URL을 첨부한 사회공학적 기법의 이메일 공격’이 34.9%로 가장 높게 나타났다. 이어 ‘랜섬웨어 감염 등으로 인한 금전 요구 및 협박’이 32%로 2위를 차지했다.
이처럼 최근 보안위협에 대해 센티넬원은 “최근 세계 1위인 네트워크 인프라 제조 및 보안 전문기업이 해킹공격으로 내부 정보 유출이 발생한 바 있다. 기밀 자료 공개로 인한 2차 가해의 피해를 받았다”며 “최근 공격방법은 과거의 전통적인 메일 공격, 유출된 내부 계정정보 활용 및 알려지지 않은 취약점을 활용한다.
특히, VPN 취약점 등 3rd Party 취약점을 활용한 공격 방식을 사용해 기업이 구성한 악성코드 유입 및 침입 탐지의 경로를 우회하는 공격이 발생하고 있다. 해커는 다크웹 또는 오픈 포럼 등 공개된 취약점을 이용해 기업의 침해시도를 지속하고 있다. 다양하고 정교한 방법으로 공격해 기업의 인프라 침해사고가 발생하고 있고, 임직원 단말보다는 중요 서버 및 서비스 시스템을 노린 공격이 증가하고 있다”라고 분석했다.
▲‘EDR 솔루션 인식 및 선택기준에 대한 설문조사’[자료=보안뉴스]
반면, 보안 위협에 대응하는 인력 투자와 보안 위협 관리는 쉽지 않은 상황이다. ‘엔드포인트 관리 업무를 하면서 가장 큰 고충은 무엇인가요?’라는 질문에 ‘보안 예산 부족으로 인한 보안솔루션과 인력 투자 부족’이라는 답변이 20%로 가장 높았다. 이어 ‘출처가 불분명한 이메일 클릭 등 보안의식 부족으로 인한 직원 관리’ 18.2%, ‘악성파일이 첨부된 이메일 클릭을 유도하는 사회공학적 기법 공격’ 17.4%, ‘사내 보안 전문인력 부재로 인한 이벤트 대응의 어려움’ 16.7%, ‘제로데이 취약점, 자동화 공격 도구 활용 등 고도화된 보안위협’ 16%, ‘사내 도입되는 스마트 기기 증가로 업무과중으로 인한 보안 관리의 어려움’ 8.9% 순으로 집계됐다.
최근 보안위협과 기업에서의 어려움에 대해 안랩은 “최근 알려지지 않은 위협이 계속 출현하고, 신규 취약점 및 신·변종 악성코드가 증가하고 있다. 공격자는 목표 달성을 위해 새로운 기술과 전술을 동원해 공격을 시도한다”라고 답했다. 이어 “하지만 기업은 전문 운영 인력의 부족에 대한 고민, 엔드포인트 위협에 대한 전문 분석 능력의 부재, 조직에 특화된 탐지와 예외 처리 방안 부재의 어려움이 있다. 기존 ‘보호(Protect)’ 방식에 대한 보완이 필요하다. 엔드포인트에 대한 상시 모니터링을 제공하는 ‘탐지(Detect)’와 사후 조사 체계를 수립해야 한다”라고 덧붙였다.
엔피코어는 “최근 국내외 기업과 공공기관을 대상으로 한 랜섬웨어 공격이 증가했고, 신종 랜섬웨어 발견 시 백신 업데이트까지 대응시간이 발생해 랜섬웨어 행위 탐지 및 차단을 위한 전용 솔루션의 필요성으로 EDR 솔루션 도입이 검토됐다”라고 밝혔다.
다음으로 ‘사내 엔드포인트를 어떻게 관리하고 있는지’에 대해 ‘백신, 방화벽 등 다른 솔루션을 도입해 관리한다’는 응답이 35.2%로 가장 높았다. 이어 ‘보안담당부서 또는 직원이 직접 관리한다’ 20.6%, EDR 솔루션을 도입해서 관리한다 20.3% 순으로 집계됐다.
EDR 솔루션에서 가장 기대하는 점에 대해서는 ‘알려지지 않은 악성코드, 랜섬웨어 등 신종 위협과 고도화된 탐지, 분석, 대응 기능’이 46.3%로 가장 높은 수치를 기록했다. 그만큼 탐지·분석·대응 기능이 중요하며, EDR 솔루션의 효율성에 대한 기대가 크다는 뜻이다.
=============================================================
[Case Study] EDR 솔루션 A공공기관 구축사례
그렇다면 기업에선 EDR 솔루션을 어떻게 도입해 활용하고 있을까. 이에 대해 A공공기관의 구축사례에 대해 들어봤다.
EDR 솔루션 도입 검토 계기
공공기관에서의 주요 보안업무는 악성코드와 악성 이메일 등 사이버 침해 위협 등에 대한 포괄적인 대응이다. 보안위협이 탐지 및 보고되면 대응을 어떻게 할지, 추가로 무엇을 찾아볼지, 수집된 정보를 어떻게 판단해야 하는지 등을 고민하고 결정한다. APT 등 지능형 공격이 지속해서 발생하고 있어 지금보다 능동적인 대응이 필요했다. 또한, 많은 지사(Branch)를 보유하고 있어 지사에서 운용되는 인터넷 PC의 정보보안 강화 목적으로 도입이 검토됐다.
EDR 제품 선정 시 가장 중요한 기준
의심스러운 행위나 어떠한 위협이 탐지되면 관련된 조사와 분석 등이 필요했다. 특히, PC 조사에서 다수의 사용자는 보안부서의 요청사항이나 보안점검을 어렵고 귀찮게 생각한다. 그래서 PC의 보안점검을 위해 PC에 직접 접속하지 않고 관련 기능을 수행할 수 있어야 하고, 다양한 형태나 방법을 지원하는 통합 검색이 가능한지 등을 기준으로 삼았다. 마지막으로 이러한 작업이 업무에 영향을 주면 안 되기 때문에 검색 속도나 낮은 자원점유율(CPU, MEM 등) 등을 검토했다.
도입한 EDR 사용 현황
목적을 명확하게 하는 게 중요하기 때문에 단말에서 발생하는 이벤트를 검사하고 타 보안 솔루션과의 교차조사를 통해 위협 탐지와 대응 목적으로 EDR을 도입해 사용 중이다. 가장 주된 용도는 PC에서 악성 행위 발생 여부 등 관제 목적으로 사용 중이다. 로그를 보거나 대시보드의 위젯을 본다. 업무와 관련된 특정한 이벤트 탐지를 위해 다양한 위젯을 만들 수 있다. 위젯을 보면 한눈에 전체를 파악할 수 있어 유용하다.
둘째, 악성 이벤트가 탐지되면 조사 및 분석 툴로 사용한다. EDR 자체의 탐지 기능을 활용하기도 하지만 방화벽이나 IPS 등 타 보안 제품에서 탐지된 이벤트를 바탕으로 EDR에서 추가 또는 교차로 의미 있는 정보를 찾는다. 이를 통해 종전 대비 분석 및 대응 능력이 향상됐다.
마지막으로 전체 PC를 대상으로 악성코드 감염 및 보유 여부 등 확인을 위해 사용 중이다. 사용자 정보나 부서, 위치 등을 확인할 수 있는데 이를 통해 피해 확산 여부를 가늠할 수 있다. C&C로 추정되는 서버에 접속하는 PC를 탐지해 차단하거나 관계 기관에서 악성 URL을 받았는데 EDR에서 전체 PC를 대상으로 접속 여부를 검색해 몇 대의 PC를 찾아 조치했다.
===================================================================
EDR 솔루션, 강화된 성능과 특장점으로 시장에서 활약
이처럼 고도화된 보안위협에 효율적인 대응 방안으로 EDR 솔루션이 떠오르고 있다. 솔루션 개발기업은 XDR 구성 지원, 정적분석과 동적분석을 통한 정교한 탐지, MDR 서비스 제공, ‘보안기능 확인서’ 획득, 혁신제품으로 인정받으며 우수한 성능과 기능을 앞세워 치열한 경쟁을 펼치고 있다.
센티넬원, 고도화 기능 제공 + XDR 구성 지원
센티넬원(SentinelOne)의 EDR 솔루션은 6가지의 고도화된 기능을 제공한다. 첫째, EDR 침해 관련 지표 이벤트를 연결해 스토리라인 구성을 지원한다. △네트워크 트래픽 패턴 △유입, 변경된 파일 해시 △프로세스 정보 △사용자 활동 △네트워크 활동 △파일 작업 △지속성 활동 △시스템 및 이벤트 로그 △연결 거부 △주변 장치 활동 같은 정보를 포함한다.
둘째, 행위 분석 AI 엔진을 제공한다. 엔진은 시스템에 정상적인 작업과 실제 위협 이벤트 간의 차이점을 학습시키는 게 특징이다.
셋째, 공격자 입장의 가설 수립이다. “이 환경을 공격한다면 어떤 방법을 사용할 것인가?”의 질문에 대해 MITRE ATT&CK 프레임워크와 오픈소스 인텔리전스(OSINT) 도구 및 다양한 위협 인텔리전스를 기반으로 특허받은 Deep Visibility(검증 강화) 기술을 활용해 위협의 근본 원인과 관계를 알 수 있고, 공격 가시성을 확보할 수 있다.
넷째, 잠재적 위협 조사 및 분석 기능 강화다. 스토리라인을 통해 위협 진행 조사 과정에서 한 번의 검색으로 모든 컨텍스트(Context), 관계 및 활동을 조사해 위협의 근본 원인을 신속히 분석한다.
다섯째, 신속한 위협 대응이다. △위협과 관련된 프로세스 중지 △위협의 확산 및 측면 이동을 방어하기 위한 격리 △위협 행위로 인해 발생된 파일 또는 시스템 구성 변경 요소를 삭제 △위협 행위로 인해 변경된 파일 또는 시스템 구성 변경 복구가 가능하다.
여섯째, 내·외부 인텔리전스와 연계된 EDR 시스템 강화로 보안 소프트웨어 스택 전반에 걸쳐 통합이 가능하고, 기본 API 세트가 포함돼 XDR 구성을 지원한다.
소만사, 정적·동적 2단계 분석 통한 정교한 탐지로 ‘차별화’
소만사의 ‘Privacy-i EDR’은 분석중심의 전통적 EDR 솔루션 한계를 극복하고 악성코드 선제적 차단에 집중했다. 안티바이러스 엔진(정적분석)과 EDR 행위기반 엔진(동적분석)을 모두 보유하고 있어 2단계 분석을 통한 정교한 탐지가 가능하다. 기존에 사용 중인 안티바이러스 솔루션 대체도 가능하다.
‘Privacy-i EDR’은 미국 보안 지원기관 ‘마이터(MITRE)’의 사이버 킬체인 보고서 ‘ATT&CK’ 프레임워크를 적용해 악성코드를 분류·분석한다. 전 세계적으로 공통 적용되는 전술, 전략 코드를 통해 빠르게 보안 위협을 식별, 적용, 배포할 수 있다.
마지막으로, 소만사는 단 하나의 에이전트로 엔드포인트를 보안하는 ‘싱글 에이전트’ 전략을 지향한다. 1997년 창립 이후 25년간 지속해서 개발해 온 보안 기술력을 기반으로 AV, EDR, 취약점 점검, DLP, 개인정보보호 기능을 단 하나의 에이전트로 수행한다. 악성코드, 랜섬웨어 배포사이트 차단 솔루션도 자체 보유하고 있어, 향후 네트워크와 엔드포인트 단에서 체계적으로 방어하는 XDR로 확대할 예정이다.
시만텍, 5가지 고도화된 보안위협 탐지 대응으로 ‘중무장’
‘시만텍 EDR’은 5가지 특징을 내세우며 시장에서 활약하고 있다. 첫째, 위험별로 사고의 우선순위를 지정해 조사자의 생산성을 높인다. 표적 공격 분석(Targeted Attack Analytics) 및 동적 적대 인텔리전스(Dynamic Adversary Intelligence, 공격자의 자세한 정보 제공)를 통해 식별된 표적 공격을 사건별로 자동으로 생성하고 분석할 수 있다.
둘째, MITRE ATT&CK 프레임워크를 기반으로 공격 라이프 사이클을 탐지하고 시각화하는 도구를 제공한다. EDR 도구는 ATT&CK 매트릭스의 표준 전술 및 기술을 기반으로 공격방법을 설명한다.
셋째, 보호 설정을 자동화해 기업의 고유 환경을 보호하는 적응형 보호 기능을 제공하며, 적응형 보호는 머신 러닝 및 글로벌 위협 인텔리전스를 통해 정교한 지능형 공격을 효과적으로 방어할 수 있다.
넷째, 보안 분석가의 복잡한 다단계 조사 워크플로우를 자동화하는 플레이북을 지원한다. ‘Living Off The Land(LOTL : 내부 시스템의 정상기능을 이용한 랜섬웨어 공격)’ 전술을 식별하기 위한 광범위한 플레이북 세트가 포함돼 있다.
마지막으로 위협 사례와 이상 행동 탐지 정보를 포함하는 고도화된 보안 위협 헌팅(Advanced Threat Hunting) 도구가 제공된다. 도구 사용 시 사고 대응자는 침해표지(IOC)를 통해 분석할 수 있다.
안랩, 전문적인 분석·대응과 정교한 위협 탐지 및 분석
안랩 EDR의 주요 특징은 첫째, 전문적인 분석·대응 서비스다. ‘안랩 EDR 2.0’ 사용 기업은 보안 전문가의 분석·대응 서비스인 ‘MDR(Managed Detection & Response) 서비스’를 안랩 EDR과 함께 기본으로 제공한다. 최신 버전의 안랩 EDR과 V3를 함께 사용하는 기업이라면 안랩 보안 전문가가 직접 수행하는 모니터링 및 분석·대응 서비스를 받아볼 수 있다. 보다 전문적인 맞춤형 MDR 서비스를 원하는 기업은 추가 비용을 통해 ‘EDR Premium’을 이용할 수 있다. ‘EDR Premium’은 위협 전체에 대한 모니터링 및 분석, 대응 서비스를 제공하며 분기별로 전문가의 의견이 담긴 리뷰 보고서를 발행한다.
둘째, 정교한 위협 탐지 및 분석이다. 안랩은 자체 행위기반 엔진을 고도화한 EDR 전용 엔진을 도입해 시스템, 파일, 프로세스, 네트워크 등의 정보를 행동 중심으로 상세하게 제공한다. 또한, MITRE ATT&CK 프레임워크의 ‘Tactics(전술)’에 기반한 16가지 행위 카테고리와 실질적인 공격 기술이 표현된 ‘Techniques(기술)’와 ‘Sub-Techniques(하위 기술)’ 프레임워크에 기반한 위협 정보까지 확인할 수 있어 담당자는 위협을 직관적으로 이해할 수 있다. 또한 EDR Analyzer 전용 콘솔을 통해 하나의 위협에서 파생되는 다양한 분석 정보를 △다이어그램 △프로세스 트리 △타임라인 등 세 가지 방식으로 확인할 수 있다.
셋째, 기업의 주도적 운영 최적화다. ‘안랩 EDR’은 전용 콘솔 ‘AhnLab EDR Analyzer’를 도입해 사용자가 이미 발생했거나 추후 발생 가능성이 높은 위협을 빠르게 확인하고, 정확한 분석 및 대응을 할 수 있도록 지원한다.
엔피코어, 실시간 랜섬웨어 탐지·차단 & 실행보류 기능으로 ‘눈도장’
엔피코어의 ‘ZombieZERO’ EDR 솔루션은 첫째, 실시간 랜섬웨어 행위에 대한 탐지·차단 기능을 제공한다. 이를 통해 실제 랜섬웨어 행위 발생 시 해당 프로세스를 즉각 차단하고 격리하는 기능을 지원한다.
둘째, 실행보류 기능으로 제로트러스트 보안체계를 구축할 수 있다. 실행보류 기능과 실시간 순간백업 기능으로 중요 파일에 대해 이중 보호 기능을 제공하고, 빠른 업무 복구가 가능한 게 장점이다. 또한 IOC 기반의 침해지표 탐지와 MITRE ATT&CK 분류를 통해 악성 행위 흐름도를 제공해 공격 방법에 대한 상세 정보 및 모니터링 기능을 제공한다. 침해사고 발생 시 원인 파악 및 향후 공격에 대비한 보안 강화 정책 설정에 효과적으로 대응할 수 있는 게 특징이다.
‘ZombieZERO’ EDR 솔루션은 CC인증 및 GS인증(1등급)을 보유하고 있다. 9건의 관련 기술인증 특허를 보유한 성능이 검증된 보안 솔루션이다. 최근에는 제품의 혁신성과 공공성을 인정받아 우수연구개발 시범구매 제품과 혁신제품 우수조달에 선정돼 소비자들의 관심을 받고 있다.
이스트시큐리티, Threat Inside와 결합해 위협 식별과 상세 분석 제공
‘알약 EDR’은 백신 ‘알약(ALYac)’과 악성코드 위협 대응 솔루션 ‘쓰렛인사이드(Threat Inside)’를 연동한 제품으로, 현재 증가하고 있는 글로벌 보안위협에 대응해 확장된 개념의 차세대 엔드포인트 보안체계를 제공한다. 지속적인 모니터링을 통해 알려지지 않은 △위협 의심행위의 선차단 △직관적인 위협 흐름도 제공 △인텔리전스 기반 위협 상세 분석 △네트워크 차단, 프로세스 종료 등의 즉각적인 보안 정책 적용으로, 보안 관리자가 위협 행위에 대해 실효적인 대응을 할 수 있도록 지원한다.
‘알약 EDR’은 자사의 인텔리전스 서비스 쓰렛인사이드(이하 Threat Inside)와의 유기적인 연동을 통해, 위협 식별과 상세 분석을 제공하며 기존 EDR 제품들이 가진 한계를 보완한 차별화된 강점이 있다.
‘알약 EDR’은 행위엔진 고도화 및 안정화를 지속해서 진행하고 있고, 성능평가 대응을 위한 기능 및 성능 안정화를 지속해서 준비 중이다. 수월한 대응을 위해 인공지능(AI)을 활용한 Threat Inside와의 결합을 통해 위협에 대한 명확하고 가시적인 증거 기반 지식 제공은 물론 자동화까지 가능한 솔루션으로 발전하고 있다.
지니언스, 국내외 EDR 제품 최초 ‘보안기능 확인서’ 획득
지니언스는 지난 2017년 국내에서 EDR 솔루션을 개발해 많은 고객사를 보유하고 있으며, 2019년에는 업그레이드된 ‘지니안 EDR 2.0’ 버전을 출시했다. 무엇보다도 기업의 요구사항을 적극적으로 반영하고 악성코드와 이상행위 분석을 통합해 위협 탐지 정확도를 높였다.
특히, 분석을 위한 충분한 가시성 제공, 위협 관리의 편의성 증대, 모니터링의 고도화, 자동화 대응 등 기술요소와 사용자의 편의성을 증대했다. 그 결과 지니언스는 2021년 조달청 기준 공공 EDR 시장에서 79% 점유율로 1위를 기록했다. 2022년 상반기 현재 누적고객 수도 120곳을 돌파했으며 지자체, 공공기관, 기업, 병원, 금융권 등 레퍼런스를 지속해서 확보했다.
지니언스의 EDR 사업은 안정적인 매출 구조를 확립하기 위해 서브스크립션(Subscription : 구독형) 비즈니스 모델을 채택했다. 사용한 만큼 지불하는 서비스 모델로 라이선스와 유지보수를 통합한 선진화된 구조다. 국내 소프트웨어 비즈니스의 구조상 B2B에서 구독형 비즈니스의 정착이 쉽지 않지만, 전체 매출의 60% 이상을 구독형으로 공급해 중장기적으로 안정적인 매출을 거둬들일 것으로 기대하고 있다.
지난 9월에는 앞선 기술 경쟁력 근간으로 국내외 EDR 제품 중 최초로 국가정보원 보안적합성 검증제도를 통과해 ‘보안기능 확인서’를 획득했다. 국가 및 공공기관의 보안 요구사항을 충족한 최초의 제품이라는 타이틀을 기록했으며, 경쟁 제품보다 한층 더 높은 보안 수준과 기술을 제공한다.
트렌드마이크로, 전 방위로 데이터 수집 및 상관 분석해 XDR 기능 제공
트렌드마이크로(Trend Micro) ‘Vision One’은 엔드포인트, 서버, 모바일, 이메일, 클라우드 워크로드와 네트워크 계층에서 데이터를 수집하고 상관 분석해 고급 XDR 기능을 제공한다. 모든 계층에서 위협 활동을 XDR 기능과 연계해 표적형 우회 공격과 난독화된 공격을 신속하게 탐지할 수 있다. 이를 통해 SOC 팀과 IR팀이 공격 진행 과정을 정확하게 파악하고 신속하게 대응할 수 있도록 도와준다.
특허받은 빅데이터 인공지능 위협 탐지 기술과 위협 분석 전문가를 통해 정확한 위협과 공격을 탐지한다. 근본 원인 분석(Root Cause Analysis)을 통해 공격의 범위와 확산을 파악하고 선제적인 대응방법을 제공한다.
▲안랩 ‘AhnLab EDR’[이미지=안랩]
[EDR 대표 솔루션 집중분석-1]
안랩, 정교한 탐지, 전문적인 분석 & 대응, 능동적인 사냥
‘AhnLab EDR’의 끊임없는 진화
엔드포인트를 향한 공격은 고도화와 다양화를 거듭하고 있다. 매일 수많은 신종 악성코드가 나타나는 현재, 모든 위협을 사전 차단하는 것은 불가능에 가깝다. 이제, 위협을 상시 감시하고 신속한 침해 사고 인지를 통한 대응으로 위협을 최소화하는 보안 체계 수립이 필요하다.
2022년 10월, 메이저 업그레이드 버전으로 돌아온 ‘AhnLab EDR’은 엔드포인트 위협을 정교하게 탐지해 원인과 배경을 분석하고 최적의 대응 방안을 제시한다. 뿐만 아니라, 위협을 능동적으로 추적해 기업이 사전 예방 및 재발 방지 체계를 구축할 수 있도록 한다. 30년 이상 축적해온 안랩의 기술력이 응축된 ‘AhnLab EDR’은 MITRE ATT&CK Evaluation Round 4에서 우수한 성적을 기록하며, 뛰어난 위협 탐지 & 대응 역량을 인정받았다.
편리하게 운영 가능한 최적화된 탐지 & 대응
‘AhnLab EDR’은 직관적인 운영과 안랩의 기술력 및 전문성을 갖춘 전용 콘솔 ‘EDR Analyzer’를 제공한다. ‘EDR Analyzer’를 활용하면, 위협의 유입 경로, 주요행위, 연관 관계 등 다양한 정보와 공격 흐름을 빠르고 쉽게 파악할 수 있다. MITRE ATT&CK 프레임워크를 바탕으로 보안관리자가 위협 정보를 직관적으로 파악할 수 있도록 돕는다.
또, ‘AhnLab EDR’은 행위 기반 엔진을 통해 자체적으로 국내외 공격 그룹을 분석하고, 탐지 패턴과 규칙을 만들어 위협을 정교하게 탐지한다. MITRE ATT&CK 프레임워크에 따라 위협을 16가지 행위 카테고리로 분류해 사용자가 위협을 직관적으로 식별하도록 한다. 이 외에 머신러닝 기술을 활용해 위협별 위험도와 악성 위험 확률에 관한 정보도 제공한다.
탐지한 위협에 대해서는 MITRE ATT&CK 프레임워크 기반 위협 정보와 유입 경로, 주요 행위, 연관 관계, 위험도, 위협 정보 링크 등에 대해 상세한 분석 내용을 제공한다. 분석정보를 △다이어그램 △타임라인 △프로세스 트리 형태로 표시해 사용자가 전반적인 공격 흐름을 쉽게 파악하도록 한다. 정교한 탐지룰과 수집 로그의 범위설정 기능으로, 과도하게 뜨는 얼럿(Alert)을 줄였으며, 행위기반 규칙 등 다양한 사용자 정의 규칙과 자동대응 설정 기능도 제공한다. 추가로, 주요 행위에 대한 온디맨드(On-Demand) 검사와 ‘AhnLab TIP’ 및 ‘AhnLab MDS’ 연동을 통한 분석도 가능하다.
MDR 서비스
‘AhnLab EDR’은 솔루션 운영과 활용을 돕는 ‘MDR(Managed Detection & Response) 서비스’를 기본으로 제공한다. ‘AhnLab EDR’ 고객은 안랩 보안 전문가의 실시간 모니터링, 중요도가 높은 위협에 대한 분석·대응, 분석보고서와 월간 통계 보고서 등 서비스를 이용할 수 있다. 더욱 전문적인 서비스를 원하는 고객은 프리미엄 MDR 서비스가 포함된 EDR Premium을 활용할 수 있다. 이 서비스를 이용하면 더 광범위한 범위의 로그분석, 조직 환경과 보안 이슈를 반영한 맞춤형 탐지룰 생성 등 심화 서비스를 받을 수 있다. EDR Premium은 별도 서비스 비용이 발생한다.
▲지니언스 ‘지니안 EDR(Genian EDR)’[이미지=지니언스]
[EDR 대표 솔루션 집중분석-2]
지니언스, 악성코드·이상행위의 통합 분석 및 관리로 위협 탐지 정확도 배가
‘지니안 EDR’, EDR 제품 최초로 국정원 ‘보안기능 확인서’ 획득
지니언스는 2017년 국내 최초로 EDR을 개발한 이래 2020년 국내 최초로 악성코드와 이상행위의 통합 관리가 가능한 메이저 업그레이드 버전 ‘지니안 EDR 2.0’을 출시했다. 2021년 조달청기준 79%의 시장점유율 1위로 초기 시장을 발빠르게 선점하고 있다. 2022년 상반기까지 누적 고객 120곳을 돌파해 국내 최다 고객을 보유하고 있다.
지난 9월에는 EDR 제품 최초로 국가정보원 보안기능 확인서를 획득하는 등 EDR 시장의 프론티어 역할을 톡톡히 하고 있다.
엔드포인트 가시성 극대화
‘지니안 EDR(Genian EDR)’은 단말의 지속적인 모니터링 및 정보 수집을 통해 위협의 탐지, 분석, 대응하는 솔루션이다. 단말에서 발생하는 주요 행위를 모니터링하고 실시간 저장 후 분석함에 따라 지능형 위협 등을 사전에 탐지·예방하고, 사후 감사 증적이 가능하다.
‘지니안 EDR’은 △이벤트 정보 수집 및 연동 △수집정보 검색 △분석정보 가시화 △최신 위협 인텔리전스 활용 △엔드포인트위협 분석 △엔드포인트 추적관리가 가능하다. 지속 확장 가능한 가시성을 제공한다. 단말 부하를 최소화한 에이전트, 수집된 데이터 기반 관리자 정의, 대시보드 제공 등이 주요 특징이다.
‘지니안 EDR’은 멀티 레이어(Multi-Layer)로 구성돼 파일(File)과 이상행위(File-Less) 탐지와 함께 분석에 필요한 상세정보를 제공한다. 악성코드 및 이상 행위를 최신 침해 사고 지표(IOC)와 머신러닝(ML) 행위 기반 엔진(XBA)을 활용해 신속하게 탐지하고 APT, 랜섬웨어 등의 공격을 실행단계에서 차단한다.
위협에 대한 신속한 대응 및 분석
‘지니안 EDR’은 단말에서 위협이 탐지되는 경우 위협의 ‘심각성, 확산성, 위험성’ 등을 고려해 에이전트에서 네트워크 격리, 파일 삭제, 프로세스 종료, 사용자 알림 등의 대응을 한다. 정책(Policy) 기반으로 관리자 개입 없이 즉시 자동으로 확산 방지 등 초동 대응이 가능하다.
위협의 탐지와 동시에 조치의 대상이 누구인지 사용자, 부서, ID 등을 정확하게 알 수 있다. 또한 Reversing Labs, Virus Total 등의 외부 인텔리전스(CTI) 조회를 통해 탐지된 위협의 상세정보 확인이 가능하다. 위협 탐지를 위해 실시간으로 수집한 로그는 다시 활용해 기존에 알 수 없었던 단말에서 행해지는 상황, 예를 들어 문서 유출(업로드), 네트워크 접속 현황, AP접속 현황, 외장저장장치 사용, 메신저, 클라우드 서비스 사용자, DNS 변경 등을 상세히 파악할 수 있다.
‘지니안 EDR’은 악성코드와 이상 행위 등 전체 위협에 대한 정보를 보여주는 위협 모니터링 화면을 제공한다. 탐지된 위협 목록에서의 요약정보와 상세 분석이 가능한 기능을 제공한다. 위협 상세 분석에서는 탐지된 파일의 위협 정보와 이상행위(File-Less) 탐지 시 연관된 MITRE ATT&CK 링크를 제공한다.
또한, 단말별 탐지정보, 연관지표, 행위, 유사도 등 분석에 도움이 되는 다양한 정보를 제공하며 공격 스토리 라인에서는 파일·프로세스의 실행 관계를 표시해 프로세스 제어, 파일 수집 등의 제어 기능을 제공한다.
▲시만텍 EDR, 조사자의 생산성을 향상시키기 위해 스마트 인시던트 알림 제공 화면[이미지=시만텍(이테크시스템)]
[EDR 대표 솔루션 집중분석-3]
시만텍 EDR, ‘One-Size-Fits-One’ 전략을 위한 최고의 선택
EDR 기술과 시만텍만의 적응형 보호기능으로 정교한 지능형 공격 효율적 방어
엔드포인트에 대한 보안 위협이 기하급수적으로 증가하며 고도화됨에 따라 정교하고 지능적인 공격을 사전에 차단하기는 매우 어렵다. 시만텍은 EDR(엔드포인트 보안 위협 탐지 및 대응) 기술과 탁월한 SOC(보안 운영 센터) 분석가 전문 지식을 결합해 엔드포인트 사건을 신속하게 종결한다. 공격 영향을 최소화하는데 필요한 도구를 제공해 정교한 지능형 공격을 정확하게 탐지하고 실시간 분석을 제공한다. 즉 위협을 적극적으로 추적하고 포렌식 조사 및 대응할 수 있도록 한다.
가시성 및 생산성 향상
시만텍 EDR은 위험별로 사고의 우선순위를 지정해 조사자의 생산성을 높인다. 또한 시만텍 EDR은 시만텍의 표적 공격 분석(Targeted Attack Analytics) 및 동적 적대 인텔리전스(Dynamic Adversary Intelligence : 공격자의 자세한 정보제공)를 통해 식별된 지능형 공격에 대한 사건을 자동으로 생성한다. 조사자는 엔드포인트 활동 기록을 활용해 공격 지표를 찾고 엔드포인트 분석을 수행할 수 있다.
시만텍 EDR에는 사람의 행동을 모방하고 필요한 경우 물리적 서버를 사용해 VM 인식 위협을 탐지할 수 있는 샌드박싱이 포함돼 있다. 시만텍 EDR은 분석을 위해 의심스러운 파일을 샌드박스로 자동 제출하는 기능을 지원한다.
MITRE ATT&CK 이벤트 강화 및 사이버 분석
시만텍 EDR은 MITRE ATT&CK 프레임워크를 기반으로 공격 라이프 사이클을 탐지하고 시각화하는 도구를 제공한다. EDR 도구는 ATT&CK 매트릭스의 표준 전술 및 기술을 기반으로 공격 방법을 설명한다. 또한 빠른 필터를 사용하면 조사자가 초기 액세스, 지속성, 측면 이동 및 명령 및 제어를 포함해 MITRE ATT&CK 수명 주기의 하나 이상의 단계로 결과를 쉽게 좁힐 수 있다.
Adaptive Protection
시만텍 EDR은 보호 설정을 자동화해 기업의 고유 환경을 보호하는 적응형 보호 기능을 제공한다. 오늘날 엔드포인트 보안에 대한 많은 투자를 하고 있지만 오히려 보안 담당자의 부담이 커지게 되면서 오탐을 최소화하기 위한 수준 낮은 보안을 적용하고 이로 인해 보안사고가 더 많이 발생하는 역효과가 나타나고 있다. 적응형 보호는 기업의 고유 환경에 적합한 ‘One-Size-Fits-One’ 전략을 수행한다. 파일 및 고급 어플리케이션에 대해 세부적으로 통제하고 정교한 지능형 공격을 효과적으로 방어할 수 있다.
숙련된 조사관 업무 자동화
시만텍 EDR은 보안 분석가의 복잡한 다단계 조사 워크플로우를 자동화하는 플레이북을 지원한다. 내장된 플레이북은 의심스러운 행동, 알려지지 않은 위협, 내부 확산 및 정책 위반을 신속하게 노출한다. 시만텍 EDR에는 정상적인 활동에서 공격을 숨기기 위한 합법적인 도구의 사용을 포함해 ‘Living Off The Land(LOTL : 내부 시스템의 정상기능을 이용한 랜섬웨어 공격)’ 전술을 식별하기 위한 광범위한 플레이북 세트가 포함돼 있다.
Advanced Threat Hunting
시만텍 EDR에는 위협 사례와 이상 행동 탐지 정보를 포함하는 Advanced Threat Hunting 도구가 제공되며, 도구 사용시 사고 대응자는 IOC(침해지표)를 통해 분석이 가능하다. 고급 머신러닝과 전문SOC 분석가의 의견을 결합해 공격자들의 공격 패턴과 유사성을 분석한다. 또한 시만텍의 글로벌 보안 데이터에 대한 직관적인 액세스를 제공해 위협 추적을 강화한다.
▲소만사 ‘Privacy-i EDR’[이미지=소만사]
[EDR 대표 솔루션 집중분석-4]
소만사, 차세대 안티바이러스 EDR 솔루션 ‘Privacy-i EDR’
분석 중심의 전통적 EDR 한계를 극복, 악성코드 선제적 차단에 집중
최근 보안위협은 메일서버·웹서버·PC·SWG 등 침투경로를 다양화하고, 타깃을 장기간 관찰하며 허점을 노리는 사회공학적 방식으로 진화했다. 기존 네트워크 및 안티바이러스 솔루션 중심으로는 정보자산을 보호하는데 한계가 있음을 실감했다.
엔드포인트 보안 1위 기업 소만사는 창립 이후 25년간 악성코드 분석기술을 자체적으로 개발, 축적해왔다. 이를 토대로 위협탐지대응 솔루션 ‘Privacy-i EDR’을 출시해 기존 네트워크·안티바이러스 솔루션 위주 보안을 넘어선 자동화 대응체계를 고객에게 제시하고 있다.
패턴 및 행위기반 엔진을 통한 2단계 분석, 악성코드·랜섬웨어 선제적 차단
‘Privacy-i EDR’은 안티바이러스 솔루션의 ‘패턴기반 엔진’과 EDR의 ‘행위기반 엔진’을 탑재해 2단계 분석을 통해 정교하게 보안위협을 탐지해낸다. 먼저 패턴 기반 엔진을 통해 악성코드·랜섬웨어를 필터링하고, 패턴 기반 엔진이 탐지하지 못한 신변종·파일리스 공격은 ‘행위기반 엔진’이 탐지한다. 이후 선제적으로 위협행위를 자동 차단한다.
과거 EDR은 탐지정보를 토대로 ‘보안전문가 판단’에 따라 결정되는 솔루션이었다. 전문인력 부담에 도입 자체가 망설여지기도 했다. 소만사는 TI, MITRE ATT&CK, 딥러닝, 머신러닝 등 자동화 기술력 향상에 집중했다. 리소스 투입을 최소화한 악성코드·랜섬웨어 자동화 대응체계를 구축해, 편의성과 보안성을 모두 높였다.
단 하나의 에이전트로 EDR부터 DLP까지 수행, 엔드포인트 싱글에이전트
소만사는 개인정보 검출, 내부정보유출방지(DLP), 엔드포인트 보안플랫폼(EPP), 취약점 점검, EDR까지 순차적으로 기능을 확장해 온 엔드포인트 보안전문기업이다. 기획단계부터 ‘싱글에이전트’ 전략을 지속적으로 취해왔다. 이를 통해 PC 에이전트 개수 축소, 성능저하, 후킹 장애 문제를 해결했다.
소만사 김태완 연구소장은 “소만사는 패턴 및 행위기반 엔진이 통합된 ‘EDR’과 보안 에이전트를 통합한 ‘싱글에이전트’로 차별화 하고자 한다”며 “데이터 분석기술과 악성코드 차단기술을 통해 데이터 유출과 변조위험으로 부터 정보자산을 보호하고자 한다”고 말했다.
▲엔피코어 ‘좀비제로 EDR’[이미지=엔피코어]
[EDR 대표 솔루션 집중분석-5]
엔피코어 ‘좀비제로 EDR’, 귀사의 평판 보호
사이버공격 예방과 사후 처리 모두 고려한 서비스 제공
‘좀비제로 EDR’은 광범위한 악성코드 샘플 모델링, 가중 스코어링 탐지모델 적용, 정상 소프트웨어 동작 연구, 중장기 데이터 분석, 정적·동적 분석 동시 사용, 위협 인텔리전스 적극 활용, 분석 데이터 수집, 메모리 분석, 최적화된 머신러닝 알고리즘 적용 등의 기본적인 기능을 더욱 고도화하고 있다.
특히, 지능형 보안위협 대응, 즉 APT·랜섬웨어 등 엔드포인트 대상의 고도화된 지능형 보안위협을 실시간 탐지, 분석, 차단이 가능하다. 다차원 악성코드 분석을 통해 정밀한 탐지 및 분석 다중분석 체계(정적·동적 분석, 안티바이러스 분석 그리고 평판분석)를 도입해 더욱 신뢰도 높은 서비스를 제공하고 있다.
국내외 150여개 이상의 공공기관, 기업, 대학, 금융기관에 구축해 성공적으로 사이버보안 방어를 해오고 있으며 보안과 인공지능의 결합 개념조차 생소했던 2011년에 이미 앞선 기술력으로 성능을 인정받아 왔다.
행위기반 엔진, 엔드포인트에 적용한 엔피코어 ‘좀비제로 EDR’
엔피코어의 ‘좀비제로 EDR’은 PC, 서버 등 사용자 구간에서 발생하는 랜섬웨어 및 신변종 악성코드 공격을 탐지·분석·차단하는 에이전트 형태의 보안 솔루션이다. 사전 차단 및 악성코드 탐지율이 매우 뛰어나다.
악성코드의 실행을 보류시키고 샌드박스에서 행위기반 엔진을 통해 탐지한다. 블랙리스트 뿐만 아니라 효율적인 화이트리스트 정책으로 강력한 통제 관리를 제공하며 지속적인 모니터링으로 잠복형 악성코드에 효과적으로 대응한다. 맞춤 샌드박스 환경 구성 및 조직별 정책 수립이 가능하다. 각 지역·기관에서 주로 사용하는 애플리케이션으로 샌드박스 구성이 가능하며 조직별 또는 환경별 차등 정책 설정으로 탄력적인 제품 운영이 가능하다. 부하 및 충돌 이슈 최소화도 매우 뛰어나다. 설치용량 및 CPU 점유율 최소화로 PC성능에 거의 영향을 주지 않는 가벼운 설치환경과 타 에이전트와의 충돌이 일어날 수 있는 분석 기능은 모두 샌드박스에서 수행돼 충돌 가능성이 낮다.
전세계적으로 급증하고 있는 랜섬웨어, 순간백업 기능으로 효과적 대처
랜섬웨어가 들어와 잠복기에 있는 동안 이를 탐지해 미리 사전에 제거하기란 쉽지 않은 일이다. ‘좀비제로 EDR’은 인공지능 및 행위기반 탐지율과 고도화된 인공지능을 활용해 사이버공격 예방에 탁월하다. 이미 감염된 경우 대처와 피해 최소화를 모두 고려해 제품을 제공한다.
일정 기간 잠복기에 있던 랜섬웨어가 악성행위를 시작하는 순간을 탐지해 곧바로 고객의 엔드포인트에 있는 모든 주요 문서들을 순간 백업하고 저장한다. 파일 변조 직전의 순간, 일반 프로세스가 접근할 수 없는 보안 폴더에 파일을 백업하는데 커널 드라이버단에서 백업 실행을 하기에 애플리케이션 간 충돌 이슈와 성능 저하를 막을 수 있다.
▲센티넬원 ‘Singularity XDR’[이미지=센티넬원(에스케어)]
[EDR 대표 솔루션 집중분석-6]
센티넬원, 진화된 XDR로 EDR의 신기원을 열다
능동적 XDR을 통해 고도화된 위협에 선제 대응 방안 제시
클라우드, 비대면 원격 근무 등 비즈니스 환경의 확대로 기업 정부·기관 구분없이 주요 정보 자산을 겨냥한 공격이 증가하고 있다. 최근 고도화된 공격으로부터 내부의 중요 정보자산 및 서비스를 지키기 위한 새로운 위협 대응 체계 확립이 필수요소로 부각되고 있다. 글로벌 EDR 전문기업인 센티넬원은 최근 진화된 XDR인 ‘Singularity XDR’을 출시했다. 최근 전세계적으로 XDR 플랫폼 구축이 활성화되었고, 센티넬원 역시 ‘Singularity XDR’을 통해 기업의 보안환경을 강화하는 방안을 제시하고 있다.
침해 시 시스템 복원을 지원하는 유일한 EDR 솔루션
센티넬원은 단일 에이전트로 위협 탐지, 차단, 조치, 피해 복원을 모두 지원한다. ‘센티넬원 EDR’의 평판 분석 기능, 정적 AI 엔진, 행위 AI 엔진을 통해 대부분의 위협은 탐지되고 차단된다. 추가로 문제 유입을 파악하기 위한 위협 이벤트들을 하나의 연결된 이벤트로 조합하는 ‘스토리라인’ 기능을 통해 컨텍스트가 포함된 유의미한 분석결과를 제공한다.
잠재된 악성행위 단계의 위협을 찾아내기 위해 EDR 기능을 통해 알려지지 않은 위협 이벤트까지 탐지, 저장하는 기능을 제공하고 있다. 위협에 관련된 모든 정보는 저장되어 관리되며 위협 헌팅 기능인 ‘검증 강화(Deep Visibility)’ 기능을 통해 내부의 위협을 추가로 조사하는 기능을 제공한다.
센티넬원은 가트너가 제시한 EDR이 갖추어야 할 4가지 조건인 보안 침해 탐지, 보안 침해 억제, 보안 침해 조사, 침해 이전 상태로 시스템 복원을 모두 제공하고 있으며, 완벽한 복원을 위해 ‘스토리라인’ 기능을 통해 침해행위로 영향을 받은 모든 파일과 환경 설정을 한 번에 복원하는 기능을 제공하고 있다.
악성행위가 탐지되고, 차단되었다는 것은 어떤 이유로든 대상 시스템에 악성요소가 유입된 것이고 이는 완벽하게 찾아서 제거, 복구돼야 한다. 센티넬원은 최근 침해대상인 중요 서비스 시스템으로써 악성 행위의 모니터링과 비즈니스 연속성을 보장하기 위해 시스템 복원을 별도의 명령어 수행 및 구성 변경 없이 지원하는 단일 에이전트의 EDR 솔루션을 제공한다.
한국형 XDR 체계에 가장 적합한 글로벌 XDR 솔루션
센티넬원은 차별화된 능동적 EDR로 XDR의 플랫폼 분야 중, 엔드포인트 보안(Endpoint Security) 영역을 지원하고 있다. 최근 디셉션 기술의 선도업체인 Attivo Networks를 인수해 XDR 지원 분야를 넓힌 상태다. 센티넬원은 이미 ‘Singularity XDR’을 통해 이미 50여개 벤더사의 솔루션과 연동되어 있다. 이는 콘솔에서 간단한 설정만으로 50여개 벤더사의 솔루션과 연동되어 강화된 XDR 보호체계를 구현 가능하다는 의미이다.
국내에서 사용하고 있는 다양한 보안 솔루션과의 연동을 위해서는 국내에서 연동을 위한 XDR 인터페이스 연계를 지원할 수 있는 전문 조직이 존재해야 한다.
에스케어는 센티넬원의 총판사이자 IR 전문파트너이다. 자체 연구소를 비롯한 자사 솔루션도 보유하고 있으며, 최근 XDR 플랫폼을 고도화하기 위해 다양한 국내외 벤더와 통합 플랫폼을 구성하고 있다. 국내 고객사가 보유한 다양한 보안솔루션과 통합해 XDR 플랫폼으로 컨설팅 및 구축할 수 있는 역량을 갖추고 있다.
최근 보안인력 부재와 늘어나는 위협으로 인해 보안관리자의 근심이 커지고 있다. 센티넬원이 제시하는 능동적 XDR ‘Singularity XDR’을 통해 보다 효율적이고 안전한 보안환경 구축이 가능하다.
▲트렌드마이크로 XDR ‘Vision One’[이미지=트렌드마이크로]
[EDR 대표 솔루션 집중분석-7]
트렌드마이크로, EDR·XDR & 위험관리 보안플랫폼 ‘Vision One’
EDR과 함께 다계층 레이어에서 탐지 및 대응하는 통합 보안 플랫폼
트렌드마이크로의 ‘Vision One’은 EDR과 함께 엔드포인트 외에도 네트워크, 이메일, 서버 워크로드, 모바일 등 다계층 레이어에서 탐지 및 대응을 구현할 수 있는 확장된 개념의 XDR이다. 또한 ‘Vision One’은 EDR·XDR에 더해 공격 표면 탐지와 더불어 취약점을 포함한 조직의 위험상태를 한 눈에 파악할 수 있는 Risk Insight, 제로 트러스트까지 포함한 통합 보안 플랫폼으로서 새로운 트렌드에서 요구하는 보안 기능들을 계속해서 추가하며 진화하고 있다.
EDR의 기능이 충실하게 녹아 있는 XDR ‘Vision One’
XDR은 EDR을 포함한 확장된 탐지 및 대응을 입증하듯 ‘Vision One’은 EDR의 모든 기능이 충실히 반영돼 있다. 윈도우와 Mac OS, 리눅스를 지원하는 트렌드마이크로의 EPP제품인 ‘Cloud One Endpoint Security’ 에이전트에는 EDR기능이 내장돼 있어 추가적으로 EDR에이전트를 설치할 필요없이 EDR기능을 활성화해 사용할 수 있다. 기존의 타사 EPP를 사용해야 한다면, ‘Vision One’ 전용 에이전트를 설치해 EDR 기능만 별도로 사용할 수 있다.
‘Vision One’ 전용 에이전트는 원클릭 설치가 가능하며, 매우 가벼운(Light Weight) 에이전트로 EPP, DRM, DLP 등의 다른 보안 솔루션과의 충돌이나 호환성 문제를 걱정할 필요 없다.
탐지 모델링을 이용한 인시던트 탐지(Detection)와 객체 간 상관관계
‘Vision One’은 MITRE TTPs에 기반하는 500여 가지의 탐지 모델링이 탑재돼 있으며, 탐지 모델링은 지속적으로 추가되고 있다. AI와 머신러닝, 빅데이터가 반영된 탐지 모델링은 계정 정보 탈취, 권한 상승, 수평 이동(Lateral Movement), 랜섬웨어 행위 등 시그너쳐가 아닌 행위에 기반해 발생하는 인시던트를 실시간으로 수집되는 활동데이터로부터 발견하고, 이를 SOC에서 분석할 수 있는 객체 간 상관관계 형태의 데이터로 즉각 제공한다.
다양하고 자동화된 대응(Response, PlayBook)
‘Vision One’은 의심객체의 특성에 따라 강력하고 다양한 대응 방법을 제공한다. 엔드포인트를 네트워크로부터 격리, 의심 파일의 실행 차단, 의심 URL의 접속 차단, 의심 파일의 수집, 프로세스 덤프 수집, 커스텀 스크립트의 배포 및 실행, 원격셀을 통한 다양한 명령어 수행 등의 입체적인 조치를 통해 악성행위의 확산을 조기에 차단할 수 있다.
특히, 의심파일과 URL을 샌드박스로 전송해 단시간 내에 심층 행위 분석 결과 레포트를 확인할 수 있다. 이러한 대응은 인시던트 보고서 내에서 SOC팀이 직접 수행할 수 있지만, PlayBook기능을 이용하면 인시던트에 대한 대응을 자동화할 수 있다. PlayBook은 인시던트의 위험레벨에 따라 의심 객체의 특성별로 적절한 대응을 선택적으로 일부 자동화하거나 완전 자동화해 조치하는 시나리오기반 방식이며, 자동 대응 시나리오를 SOC에서 조직의 요구사항에 맞게 커스터마이즈(Customize) 할 수 있다.
다계층 레이어에 대한 탐지 및 대응(XDR)과 위험관리 기능 통합
‘Vision One’은 엔드포인트 뿐만 아니라, 네트워크, 이메일, 서버 워크로드, 모바일 등의 다계층 레이어에 대한 탐지 및 대응으로서의 XDR을 구현할 수 있다. 네트워크 APT 솔루션인 Deep Discovery Inspector(DDI)가 네트워크 센서 역할을 하고, Microsoft 365와 구글 지메일 보안제품인 Cloud App Security를 이메일 센서로 활용해 엔드포인트 센서에서 수집된 정보와 함께 인시던트에서 계층간의 입체적인 상관관계를 파악할 수 있다. 예를 들어서, 스피어 피싱 이메일을 통한 최초 위협 유입과 엔드포인트에서의 C&C통신을 통한 백도어 다운로드, 수평 이동(래트럴 무브먼트 : Lateral Movement)을 이용한 확산 시도 과정 전체가 가시화돼 분석 가능하다.
‘Vision One’은 XDR과 함께 공격표면 위험 관리(Attack Surface Risk Management)와 Zero Trust Security도 포함된 통합 보안플랫폼이다. 공격표면 위험 관리에서는 조직의 엔드포인트의 보안 정책 적용 현황과 CVE 등의 취약점 현황을 파악하며, 인터넷에 연결된 자산, 계정의 취약성 또는 유출시도 현황, Microsoft 365나 구글워크스페이스 등의 클라우드 앱, AWS, GCP, Azure 등에 구성한 클라우드 자산의 위험 현황을 대시보드 방식으로 한눈에 파악할 수 있다.
[김경애 기자(boan3@boannews.com)]
[인터뷰] 김선미 한국인터넷진흥원(KISA) 물리보안성능인증팀 팀장
[설문조사] EDR 솔루션 인식 및 선택기준, “보안 위협, 메일 등 시스템 노린 공격 증가”
EDR 대표 솔루션 7종 분석 : 센티넬원, 소만사, 시만텍, 안랩, 엔피코어, 지니언스, 트렌드마이크로
[보안뉴스 김경애 기자] 지난해 하반기 한국인터넷진흥원이 공공기관, 민간기업, 솔루션 개발기업을 대상으로 수요조사를 진행해 정보보호제품 성능평가 제품으로 EDR 솔루션을 선정했다. 신규 성능평가 제품군으로 선정한 후, 2022년 사업계획에 포함돼 현재 성능평가 기준 등 평가항목을 구성 중이다. 이와 관련해 지난 6월 정보보호제품 성능평가 제도 설명회가 개최된 바 있으며, 최종 EDR 솔루션의 성능평가 기준은 2022년 12월 말까지 적용돼 발표될 예정이다. 이에 따라 내년부터는 EDR 솔루션에 성능평가 기준이 적용될 방침이다.
[이미지=utoimage]
평가점수에 따라 기업은 EDR의 기능과 성능을 구분하고 구체화할 수 있어 사용자 입맛에 맞게 다양한 선택이 가능하다. 솔루션 개발기업 역시 소비자의 선택을 받기 위해 EDR의 기능과 성능을 강화할 수 있어 소비자 만족도는 더욱 높아질 것으로 보인다. 이에 따라 시장도 한층 성숙될 것으로 기대되고 있다.
이에 <보안뉴스>에서는 EDR 솔루션의 트렌드를 비롯해 EDR 솔루션이 정보보호제품 성능평가 대상 제품군으로 선정된 배경과 현재 진행 상황을 한국인터넷진흥원 물리보안성능인증팀 김선미 팀장과의 인터뷰를 통해 들어봤다. 또한, ‘EDR 솔루션 인식 및 선택기준에 대한 설문조사 결과’와 A공공기관 EDR 솔루션 구축사례를 비롯해 센티넬원(에스케어), 소만사, 시만텍(이테크시스템), 안랩, 엔피코어, 이스트시큐리티, 지니언스, 트렌드마이크로(기업명 : 가나다순) 등 총 8개 기업의 EDR 솔루션의 특장점에 대해 살펴보고자 한다.
EDR, 태동기 지나 성장기 진입 필수 솔루션으로 ‘주목’
‘Endpoint Detection Response’의 약자인 EDR은 실시간으로 보안위협 탐지, 분석, 대응이 가능한 엔드포인트 보안 솔루션이다. 2014년까지만 해도 EDR 솔루션 시장은 멀웨어 분석, 위협 인텔리전스 기술을 보유한 맨디언트, 사일런스, 섹두, 카본블랙 등 미국과 이스라엘 기업이 대부분이었다.
이후 2018년 시만텍, 시스코 등 글로벌 기업을 중심으로 시장이 확대됐다. 2020년에는 네트워크 기업이 EDR 기업을 인수하면서 글로벌 기업 중심으로 M&A가 활발해졌고, M&A를 통해 블랙베리, 시스코, IBM, 파이어아이, 팔로알토 네트웍스, 포티넷 등이 EDR 솔루션을 신규로 획득하며 기능을 보강하게 됐다.
국내에는 2015년경 EDR 솔루션이 처음 도입됐다. 이후 RSA 2016 컨퍼런스에서 소개되며 주목받기 시작했고 2017년 지니언스, 2018년 안랩과 엔피코어, 이스트시큐리티, 2019년 소만사 등 국내 보안기업이 솔루션을 개발해 시장에 진출했다. 이처럼 2018년까지만 해도 태동기였던 국내 EDR 솔루션 시장은 랜섬웨어, 제로데이 취약점, 자동화 공격 도구를 활용한 고도화된 공격에 대응하는 차세대 보안 솔루션으로 부각되기 시작했다. 2019년 은행과 공공기관에서 EDR 솔루션을 도입하며 시장이 개화됐고, 글로벌 기업의 EDR 솔루션이 기술적 가치가 높게 평가되며 차세대 솔루션으로 기대를 모았다.
2018년부터는 글로벌 기업과 국내 보안기업이 본격적으로 시장에 뛰어들며 활기를 띠다가 2019년 코로나19 영향으로 클라우드와 재택근무 솔루션에 관심이 집중되며 시장은 잠시 주춤해졌다. 대형 시장으로 손꼽혔던 금융권 등에서 IT 투자를 연기하며 성장 속도가 더뎌지기도 했다.
하지만 2021년 하반기부터 랜섬웨어, APT 공격 등 고도화된 공격이 심화되고 기업의 피해가 늘면서 EDR 솔루션은 다시 주목받았다. 지니언스는 “코로나19 악재로 EDR 사업을 연기했던 공공기관과 기업의 수요가 서서히 증가하고 있다”라고 말했다. 국내는 소만사와 안랩, 엔피코어, 이스트시큐리티, 지니언스, 글로벌 기업으로는 사이버리즌과 센티넬원, 시만텍, IBM, 카본블랙(VM웨어), 크라우드스트라이크, 트렐릭스(Trellix : 파이어아이+맥아피), 트렌드마이크로 등 약 20여개 기업(2022년 기준)이 EDR 시장에서 경쟁하고 있다.
EDR 솔루션은 매출 측면에서도 전망이 밝다. 지니언스는 “2022년 7월 KB국민은행을 비롯해 제1, 2 금융권과 증권사, 보험사 등이 EDR 솔루션 도입을 검토하며 관심이 고조되고 있다”라며 “국내의 경우 2021년 200억원, 2022년에는 100% 성장한 400억원 규모를 형성할 것으로 내다보고 있다”라고 밝혔다.
디 인사이트 파트너스에 따르면 2021년 글로벌 EDR 시장이 2020년 대비 22% 성장한 21억 6,100만달러 규모라고 밝혔다. 센티넬원은 “2022년 2월 발간된 ‘CYBERSECURITY PRIMER’ 시장 전망 보고서에 따르면 네트워크 보안(Network Security), 엔드포인트 보안(Endpoint Security), 클라우드 워크로드(Cloud Workload) 관련 분야에 지속적인 투자가 발생할 것으로 예측하고 있다. 특히 엔드포인트 보안 분야는 지속적인 성장세를 유지하고 있으며, 과거 EPP에서 EDR 시장으로의 전개가 빠르다”며 “엔드포인트 보안 분야는 네트워크 보안 분야 다음으로 시장규모가 크고 20% 이상의 시장 성장률을 유지하고 있다. 2021년부터는 글로벌 EDR 전문기업들이 국내 보안 시장에서 두각을 나타내고 있으며 성능 및 탐지, 복구 기능의 만족도가 높아 2023년부터는 필수 솔루션으로 자리매김 할 것”이라고 전망했다.
최근 EDR 솔루션 트렌드는 MDR과 XDR로 기능을 확대하며 발전 중이다. 안랩은 “EDR에 MDR(Managed Detection & Response)을 접목시킨 보안 서비스 형태가 활용되는 추세다. 또한, 엔드포인트 외에도 네트워크, 클라우드 등 다양한 환경에서 발생하는 위협을 종합적으로 모니터링하고 분석할 수 있는 XDR(eXtended Detection & Response) 서비스로 발전하며 변화하고 있다”고 분석했다.
=================================================================
[인터뷰] 김선미 한국인터넷진흥원(KISA) 물리보안성능인증팀 팀장
“EDR 제품이 가장 수요가 많아 성능평가 제품군으로 선정”
이처럼 EDR 솔루션의 기능과 성능이 발전하고 있는 가운데 지난해 정보보호제품 성능평가 대상 제품으로 EDR 솔루션이 선정됐다. 이에 본지는 김선미 한국인터넷진흥원(KISA) 물리보안성능인증팀 팀장과의 인터뷰를 통해 EDR 솔루션이 성능평가 대상 제품군으로 선정된 배경과 이유, 그리고 성능평가 기준과 현재 진행 상황에 대해 들어봤다.
EDR 솔루션이 정보보호제품 성능평가 대상 품목으로 선정된 배경과 현재 진행 상황
2021년도 하반기에 공공기관, 민간기업, 개발기업을 대상으로 성능평가 제품유형 조사를 실시한 결과 EDR 제품이 가장 수요가 많아 성능평가 제품군으로 선정했습니다. 성능평가 항목은 EDR 제품이 단말 단에서 얼마나 이상행위를 신속하게 수집, 탐지, 대응하는지에 대한 기능으로 구성 중입니다. 현재 초안은 마련된 상태이며, 의견수렴 및 검증 단계에 있습니다. 늦어도 12월 말까지 평가 기준을 적용해 발표할 예정입니다.
EDR 솔루션 기능 및 성능 강화를 위해 보안 솔루션 개발기업에서 준비해야 할 사항
솔루션 개발기업은 미국의 연구개발업체 마이터(MITRE)에서 제공하는 최신 공격방법과 대응방법 등을 정의한 MITRE ATT&CK 프레임워크를 참고해 개발한다면 제품 성능 강화에 도움이 될 것입니다.
향후 정보보호제품 성능평가 제품 확대 여부와 제도운영에 관한 한국인터넷진흥원의 계획
한국인터넷진흥원은 앞으로 수요기관, 산업계의 의견수렴을 통해 성능이 필요한 제품군을 확대해 나갈 예정입니다. 공격 패턴, 악성코드 등 성능시험 시료를 고도화하기 위해 원내 부서와 협업해 내실 있게 제도를 운영해 나갈 계획입니다.
=================================================================
[설문조사] EDR 솔루션 인식 및 선택기준
“보안 위협, 메일·취약점·다크웹 이용 등 시스템 노린 공격 증가”
EDR 솔루션이 성능평가 제품으로 수요가 높았던 배경에는 고도화된 사이버공격으로 인한 기업의 피해가 늘었기 때문이다. 이에 본지는 2022년 11월 7일부터 17일까지 ‘EDR 솔루션 인식 및 선택기준에 대한 설문조사’를 실시해 공격 유형과 엔드포인트 관리 등에 대해 알아봤다.
▲‘EDR 솔루션 인식 및 선택기준에 대한 설문조사’[자료=보안뉴스]
그 가운데 ‘보안사고 발생 시 공격 유형’으로는 ‘악성파일 및 악성 URL을 첨부한 사회공학적 기법의 이메일 공격’이 34.9%로 가장 높게 나타났다. 이어 ‘랜섬웨어 감염 등으로 인한 금전 요구 및 협박’이 32%로 2위를 차지했다.
이처럼 최근 보안위협에 대해 센티넬원은 “최근 세계 1위인 네트워크 인프라 제조 및 보안 전문기업이 해킹공격으로 내부 정보 유출이 발생한 바 있다. 기밀 자료 공개로 인한 2차 가해의 피해를 받았다”며 “최근 공격방법은 과거의 전통적인 메일 공격, 유출된 내부 계정정보 활용 및 알려지지 않은 취약점을 활용한다.
특히, VPN 취약점 등 3rd Party 취약점을 활용한 공격 방식을 사용해 기업이 구성한 악성코드 유입 및 침입 탐지의 경로를 우회하는 공격이 발생하고 있다. 해커는 다크웹 또는 오픈 포럼 등 공개된 취약점을 이용해 기업의 침해시도를 지속하고 있다. 다양하고 정교한 방법으로 공격해 기업의 인프라 침해사고가 발생하고 있고, 임직원 단말보다는 중요 서버 및 서비스 시스템을 노린 공격이 증가하고 있다”라고 분석했다.
▲‘EDR 솔루션 인식 및 선택기준에 대한 설문조사’[자료=보안뉴스]
반면, 보안 위협에 대응하는 인력 투자와 보안 위협 관리는 쉽지 않은 상황이다. ‘엔드포인트 관리 업무를 하면서 가장 큰 고충은 무엇인가요?’라는 질문에 ‘보안 예산 부족으로 인한 보안솔루션과 인력 투자 부족’이라는 답변이 20%로 가장 높았다. 이어 ‘출처가 불분명한 이메일 클릭 등 보안의식 부족으로 인한 직원 관리’ 18.2%, ‘악성파일이 첨부된 이메일 클릭을 유도하는 사회공학적 기법 공격’ 17.4%, ‘사내 보안 전문인력 부재로 인한 이벤트 대응의 어려움’ 16.7%, ‘제로데이 취약점, 자동화 공격 도구 활용 등 고도화된 보안위협’ 16%, ‘사내 도입되는 스마트 기기 증가로 업무과중으로 인한 보안 관리의 어려움’ 8.9% 순으로 집계됐다.
최근 보안위협과 기업에서의 어려움에 대해 안랩은 “최근 알려지지 않은 위협이 계속 출현하고, 신규 취약점 및 신·변종 악성코드가 증가하고 있다. 공격자는 목표 달성을 위해 새로운 기술과 전술을 동원해 공격을 시도한다”라고 답했다. 이어 “하지만 기업은 전문 운영 인력의 부족에 대한 고민, 엔드포인트 위협에 대한 전문 분석 능력의 부재, 조직에 특화된 탐지와 예외 처리 방안 부재의 어려움이 있다. 기존 ‘보호(Protect)’ 방식에 대한 보완이 필요하다. 엔드포인트에 대한 상시 모니터링을 제공하는 ‘탐지(Detect)’와 사후 조사 체계를 수립해야 한다”라고 덧붙였다.
엔피코어는 “최근 국내외 기업과 공공기관을 대상으로 한 랜섬웨어 공격이 증가했고, 신종 랜섬웨어 발견 시 백신 업데이트까지 대응시간이 발생해 랜섬웨어 행위 탐지 및 차단을 위한 전용 솔루션의 필요성으로 EDR 솔루션 도입이 검토됐다”라고 밝혔다.
다음으로 ‘사내 엔드포인트를 어떻게 관리하고 있는지’에 대해 ‘백신, 방화벽 등 다른 솔루션을 도입해 관리한다’는 응답이 35.2%로 가장 높았다. 이어 ‘보안담당부서 또는 직원이 직접 관리한다’ 20.6%, EDR 솔루션을 도입해서 관리한다 20.3% 순으로 집계됐다.
EDR 솔루션에서 가장 기대하는 점에 대해서는 ‘알려지지 않은 악성코드, 랜섬웨어 등 신종 위협과 고도화된 탐지, 분석, 대응 기능’이 46.3%로 가장 높은 수치를 기록했다. 그만큼 탐지·분석·대응 기능이 중요하며, EDR 솔루션의 효율성에 대한 기대가 크다는 뜻이다.
=============================================================
[Case Study] EDR 솔루션 A공공기관 구축사례
그렇다면 기업에선 EDR 솔루션을 어떻게 도입해 활용하고 있을까. 이에 대해 A공공기관의 구축사례에 대해 들어봤다.
EDR 솔루션 도입 검토 계기
공공기관에서의 주요 보안업무는 악성코드와 악성 이메일 등 사이버 침해 위협 등에 대한 포괄적인 대응이다. 보안위협이 탐지 및 보고되면 대응을 어떻게 할지, 추가로 무엇을 찾아볼지, 수집된 정보를 어떻게 판단해야 하는지 등을 고민하고 결정한다. APT 등 지능형 공격이 지속해서 발생하고 있어 지금보다 능동적인 대응이 필요했다. 또한, 많은 지사(Branch)를 보유하고 있어 지사에서 운용되는 인터넷 PC의 정보보안 강화 목적으로 도입이 검토됐다.
EDR 제품 선정 시 가장 중요한 기준
의심스러운 행위나 어떠한 위협이 탐지되면 관련된 조사와 분석 등이 필요했다. 특히, PC 조사에서 다수의 사용자는 보안부서의 요청사항이나 보안점검을 어렵고 귀찮게 생각한다. 그래서 PC의 보안점검을 위해 PC에 직접 접속하지 않고 관련 기능을 수행할 수 있어야 하고, 다양한 형태나 방법을 지원하는 통합 검색이 가능한지 등을 기준으로 삼았다. 마지막으로 이러한 작업이 업무에 영향을 주면 안 되기 때문에 검색 속도나 낮은 자원점유율(CPU, MEM 등) 등을 검토했다.
도입한 EDR 사용 현황
목적을 명확하게 하는 게 중요하기 때문에 단말에서 발생하는 이벤트를 검사하고 타 보안 솔루션과의 교차조사를 통해 위협 탐지와 대응 목적으로 EDR을 도입해 사용 중이다. 가장 주된 용도는 PC에서 악성 행위 발생 여부 등 관제 목적으로 사용 중이다. 로그를 보거나 대시보드의 위젯을 본다. 업무와 관련된 특정한 이벤트 탐지를 위해 다양한 위젯을 만들 수 있다. 위젯을 보면 한눈에 전체를 파악할 수 있어 유용하다.
둘째, 악성 이벤트가 탐지되면 조사 및 분석 툴로 사용한다. EDR 자체의 탐지 기능을 활용하기도 하지만 방화벽이나 IPS 등 타 보안 제품에서 탐지된 이벤트를 바탕으로 EDR에서 추가 또는 교차로 의미 있는 정보를 찾는다. 이를 통해 종전 대비 분석 및 대응 능력이 향상됐다.
마지막으로 전체 PC를 대상으로 악성코드 감염 및 보유 여부 등 확인을 위해 사용 중이다. 사용자 정보나 부서, 위치 등을 확인할 수 있는데 이를 통해 피해 확산 여부를 가늠할 수 있다. C&C로 추정되는 서버에 접속하는 PC를 탐지해 차단하거나 관계 기관에서 악성 URL을 받았는데 EDR에서 전체 PC를 대상으로 접속 여부를 검색해 몇 대의 PC를 찾아 조치했다.
===================================================================
EDR 솔루션, 강화된 성능과 특장점으로 시장에서 활약
이처럼 고도화된 보안위협에 효율적인 대응 방안으로 EDR 솔루션이 떠오르고 있다. 솔루션 개발기업은 XDR 구성 지원, 정적분석과 동적분석을 통한 정교한 탐지, MDR 서비스 제공, ‘보안기능 확인서’ 획득, 혁신제품으로 인정받으며 우수한 성능과 기능을 앞세워 치열한 경쟁을 펼치고 있다.
센티넬원, 고도화 기능 제공 + XDR 구성 지원
센티넬원(SentinelOne)의 EDR 솔루션은 6가지의 고도화된 기능을 제공한다. 첫째, EDR 침해 관련 지표 이벤트를 연결해 스토리라인 구성을 지원한다. △네트워크 트래픽 패턴 △유입, 변경된 파일 해시 △프로세스 정보 △사용자 활동 △네트워크 활동 △파일 작업 △지속성 활동 △시스템 및 이벤트 로그 △연결 거부 △주변 장치 활동 같은 정보를 포함한다.
둘째, 행위 분석 AI 엔진을 제공한다. 엔진은 시스템에 정상적인 작업과 실제 위협 이벤트 간의 차이점을 학습시키는 게 특징이다.
셋째, 공격자 입장의 가설 수립이다. “이 환경을 공격한다면 어떤 방법을 사용할 것인가?”의 질문에 대해 MITRE ATT&CK 프레임워크와 오픈소스 인텔리전스(OSINT) 도구 및 다양한 위협 인텔리전스를 기반으로 특허받은 Deep Visibility(검증 강화) 기술을 활용해 위협의 근본 원인과 관계를 알 수 있고, 공격 가시성을 확보할 수 있다.
넷째, 잠재적 위협 조사 및 분석 기능 강화다. 스토리라인을 통해 위협 진행 조사 과정에서 한 번의 검색으로 모든 컨텍스트(Context), 관계 및 활동을 조사해 위협의 근본 원인을 신속히 분석한다.
다섯째, 신속한 위협 대응이다. △위협과 관련된 프로세스 중지 △위협의 확산 및 측면 이동을 방어하기 위한 격리 △위협 행위로 인해 발생된 파일 또는 시스템 구성 변경 요소를 삭제 △위협 행위로 인해 변경된 파일 또는 시스템 구성 변경 복구가 가능하다.
여섯째, 내·외부 인텔리전스와 연계된 EDR 시스템 강화로 보안 소프트웨어 스택 전반에 걸쳐 통합이 가능하고, 기본 API 세트가 포함돼 XDR 구성을 지원한다.
소만사, 정적·동적 2단계 분석 통한 정교한 탐지로 ‘차별화’
소만사의 ‘Privacy-i EDR’은 분석중심의 전통적 EDR 솔루션 한계를 극복하고 악성코드 선제적 차단에 집중했다. 안티바이러스 엔진(정적분석)과 EDR 행위기반 엔진(동적분석)을 모두 보유하고 있어 2단계 분석을 통한 정교한 탐지가 가능하다. 기존에 사용 중인 안티바이러스 솔루션 대체도 가능하다.
‘Privacy-i EDR’은 미국 보안 지원기관 ‘마이터(MITRE)’의 사이버 킬체인 보고서 ‘ATT&CK’ 프레임워크를 적용해 악성코드를 분류·분석한다. 전 세계적으로 공통 적용되는 전술, 전략 코드를 통해 빠르게 보안 위협을 식별, 적용, 배포할 수 있다.
마지막으로, 소만사는 단 하나의 에이전트로 엔드포인트를 보안하는 ‘싱글 에이전트’ 전략을 지향한다. 1997년 창립 이후 25년간 지속해서 개발해 온 보안 기술력을 기반으로 AV, EDR, 취약점 점검, DLP, 개인정보보호 기능을 단 하나의 에이전트로 수행한다. 악성코드, 랜섬웨어 배포사이트 차단 솔루션도 자체 보유하고 있어, 향후 네트워크와 엔드포인트 단에서 체계적으로 방어하는 XDR로 확대할 예정이다.
시만텍, 5가지 고도화된 보안위협 탐지 대응으로 ‘중무장’
‘시만텍 EDR’은 5가지 특징을 내세우며 시장에서 활약하고 있다. 첫째, 위험별로 사고의 우선순위를 지정해 조사자의 생산성을 높인다. 표적 공격 분석(Targeted Attack Analytics) 및 동적 적대 인텔리전스(Dynamic Adversary Intelligence, 공격자의 자세한 정보 제공)를 통해 식별된 표적 공격을 사건별로 자동으로 생성하고 분석할 수 있다.
둘째, MITRE ATT&CK 프레임워크를 기반으로 공격 라이프 사이클을 탐지하고 시각화하는 도구를 제공한다. EDR 도구는 ATT&CK 매트릭스의 표준 전술 및 기술을 기반으로 공격방법을 설명한다.
셋째, 보호 설정을 자동화해 기업의 고유 환경을 보호하는 적응형 보호 기능을 제공하며, 적응형 보호는 머신 러닝 및 글로벌 위협 인텔리전스를 통해 정교한 지능형 공격을 효과적으로 방어할 수 있다.
넷째, 보안 분석가의 복잡한 다단계 조사 워크플로우를 자동화하는 플레이북을 지원한다. ‘Living Off The Land(LOTL : 내부 시스템의 정상기능을 이용한 랜섬웨어 공격)’ 전술을 식별하기 위한 광범위한 플레이북 세트가 포함돼 있다.
마지막으로 위협 사례와 이상 행동 탐지 정보를 포함하는 고도화된 보안 위협 헌팅(Advanced Threat Hunting) 도구가 제공된다. 도구 사용 시 사고 대응자는 침해표지(IOC)를 통해 분석할 수 있다.
안랩, 전문적인 분석·대응과 정교한 위협 탐지 및 분석
안랩 EDR의 주요 특징은 첫째, 전문적인 분석·대응 서비스다. ‘안랩 EDR 2.0’ 사용 기업은 보안 전문가의 분석·대응 서비스인 ‘MDR(Managed Detection & Response) 서비스’를 안랩 EDR과 함께 기본으로 제공한다. 최신 버전의 안랩 EDR과 V3를 함께 사용하는 기업이라면 안랩 보안 전문가가 직접 수행하는 모니터링 및 분석·대응 서비스를 받아볼 수 있다. 보다 전문적인 맞춤형 MDR 서비스를 원하는 기업은 추가 비용을 통해 ‘EDR Premium’을 이용할 수 있다. ‘EDR Premium’은 위협 전체에 대한 모니터링 및 분석, 대응 서비스를 제공하며 분기별로 전문가의 의견이 담긴 리뷰 보고서를 발행한다.
둘째, 정교한 위협 탐지 및 분석이다. 안랩은 자체 행위기반 엔진을 고도화한 EDR 전용 엔진을 도입해 시스템, 파일, 프로세스, 네트워크 등의 정보를 행동 중심으로 상세하게 제공한다. 또한, MITRE ATT&CK 프레임워크의 ‘Tactics(전술)’에 기반한 16가지 행위 카테고리와 실질적인 공격 기술이 표현된 ‘Techniques(기술)’와 ‘Sub-Techniques(하위 기술)’ 프레임워크에 기반한 위협 정보까지 확인할 수 있어 담당자는 위협을 직관적으로 이해할 수 있다. 또한 EDR Analyzer 전용 콘솔을 통해 하나의 위협에서 파생되는 다양한 분석 정보를 △다이어그램 △프로세스 트리 △타임라인 등 세 가지 방식으로 확인할 수 있다.
셋째, 기업의 주도적 운영 최적화다. ‘안랩 EDR’은 전용 콘솔 ‘AhnLab EDR Analyzer’를 도입해 사용자가 이미 발생했거나 추후 발생 가능성이 높은 위협을 빠르게 확인하고, 정확한 분석 및 대응을 할 수 있도록 지원한다.
엔피코어, 실시간 랜섬웨어 탐지·차단 & 실행보류 기능으로 ‘눈도장’
엔피코어의 ‘ZombieZERO’ EDR 솔루션은 첫째, 실시간 랜섬웨어 행위에 대한 탐지·차단 기능을 제공한다. 이를 통해 실제 랜섬웨어 행위 발생 시 해당 프로세스를 즉각 차단하고 격리하는 기능을 지원한다.
둘째, 실행보류 기능으로 제로트러스트 보안체계를 구축할 수 있다. 실행보류 기능과 실시간 순간백업 기능으로 중요 파일에 대해 이중 보호 기능을 제공하고, 빠른 업무 복구가 가능한 게 장점이다. 또한 IOC 기반의 침해지표 탐지와 MITRE ATT&CK 분류를 통해 악성 행위 흐름도를 제공해 공격 방법에 대한 상세 정보 및 모니터링 기능을 제공한다. 침해사고 발생 시 원인 파악 및 향후 공격에 대비한 보안 강화 정책 설정에 효과적으로 대응할 수 있는 게 특징이다.
‘ZombieZERO’ EDR 솔루션은 CC인증 및 GS인증(1등급)을 보유하고 있다. 9건의 관련 기술인증 특허를 보유한 성능이 검증된 보안 솔루션이다. 최근에는 제품의 혁신성과 공공성을 인정받아 우수연구개발 시범구매 제품과 혁신제품 우수조달에 선정돼 소비자들의 관심을 받고 있다.
이스트시큐리티, Threat Inside와 결합해 위협 식별과 상세 분석 제공
‘알약 EDR’은 백신 ‘알약(ALYac)’과 악성코드 위협 대응 솔루션 ‘쓰렛인사이드(Threat Inside)’를 연동한 제품으로, 현재 증가하고 있는 글로벌 보안위협에 대응해 확장된 개념의 차세대 엔드포인트 보안체계를 제공한다. 지속적인 모니터링을 통해 알려지지 않은 △위협 의심행위의 선차단 △직관적인 위협 흐름도 제공 △인텔리전스 기반 위협 상세 분석 △네트워크 차단, 프로세스 종료 등의 즉각적인 보안 정책 적용으로, 보안 관리자가 위협 행위에 대해 실효적인 대응을 할 수 있도록 지원한다.
‘알약 EDR’은 자사의 인텔리전스 서비스 쓰렛인사이드(이하 Threat Inside)와의 유기적인 연동을 통해, 위협 식별과 상세 분석을 제공하며 기존 EDR 제품들이 가진 한계를 보완한 차별화된 강점이 있다.
‘알약 EDR’은 행위엔진 고도화 및 안정화를 지속해서 진행하고 있고, 성능평가 대응을 위한 기능 및 성능 안정화를 지속해서 준비 중이다. 수월한 대응을 위해 인공지능(AI)을 활용한 Threat Inside와의 결합을 통해 위협에 대한 명확하고 가시적인 증거 기반 지식 제공은 물론 자동화까지 가능한 솔루션으로 발전하고 있다.
지니언스, 국내외 EDR 제품 최초 ‘보안기능 확인서’ 획득
지니언스는 지난 2017년 국내에서 EDR 솔루션을 개발해 많은 고객사를 보유하고 있으며, 2019년에는 업그레이드된 ‘지니안 EDR 2.0’ 버전을 출시했다. 무엇보다도 기업의 요구사항을 적극적으로 반영하고 악성코드와 이상행위 분석을 통합해 위협 탐지 정확도를 높였다.
특히, 분석을 위한 충분한 가시성 제공, 위협 관리의 편의성 증대, 모니터링의 고도화, 자동화 대응 등 기술요소와 사용자의 편의성을 증대했다. 그 결과 지니언스는 2021년 조달청 기준 공공 EDR 시장에서 79% 점유율로 1위를 기록했다. 2022년 상반기 현재 누적고객 수도 120곳을 돌파했으며 지자체, 공공기관, 기업, 병원, 금융권 등 레퍼런스를 지속해서 확보했다.
지니언스의 EDR 사업은 안정적인 매출 구조를 확립하기 위해 서브스크립션(Subscription : 구독형) 비즈니스 모델을 채택했다. 사용한 만큼 지불하는 서비스 모델로 라이선스와 유지보수를 통합한 선진화된 구조다. 국내 소프트웨어 비즈니스의 구조상 B2B에서 구독형 비즈니스의 정착이 쉽지 않지만, 전체 매출의 60% 이상을 구독형으로 공급해 중장기적으로 안정적인 매출을 거둬들일 것으로 기대하고 있다.
지난 9월에는 앞선 기술 경쟁력 근간으로 국내외 EDR 제품 중 최초로 국가정보원 보안적합성 검증제도를 통과해 ‘보안기능 확인서’를 획득했다. 국가 및 공공기관의 보안 요구사항을 충족한 최초의 제품이라는 타이틀을 기록했으며, 경쟁 제품보다 한층 더 높은 보안 수준과 기술을 제공한다.
트렌드마이크로, 전 방위로 데이터 수집 및 상관 분석해 XDR 기능 제공
트렌드마이크로(Trend Micro) ‘Vision One’은 엔드포인트, 서버, 모바일, 이메일, 클라우드 워크로드와 네트워크 계층에서 데이터를 수집하고 상관 분석해 고급 XDR 기능을 제공한다. 모든 계층에서 위협 활동을 XDR 기능과 연계해 표적형 우회 공격과 난독화된 공격을 신속하게 탐지할 수 있다. 이를 통해 SOC 팀과 IR팀이 공격 진행 과정을 정확하게 파악하고 신속하게 대응할 수 있도록 도와준다.
특허받은 빅데이터 인공지능 위협 탐지 기술과 위협 분석 전문가를 통해 정확한 위협과 공격을 탐지한다. 근본 원인 분석(Root Cause Analysis)을 통해 공격의 범위와 확산을 파악하고 선제적인 대응방법을 제공한다.
▲안랩 ‘AhnLab EDR’[이미지=안랩]
[EDR 대표 솔루션 집중분석-1]
안랩, 정교한 탐지, 전문적인 분석 & 대응, 능동적인 사냥
‘AhnLab EDR’의 끊임없는 진화
엔드포인트를 향한 공격은 고도화와 다양화를 거듭하고 있다. 매일 수많은 신종 악성코드가 나타나는 현재, 모든 위협을 사전 차단하는 것은 불가능에 가깝다. 이제, 위협을 상시 감시하고 신속한 침해 사고 인지를 통한 대응으로 위협을 최소화하는 보안 체계 수립이 필요하다.
2022년 10월, 메이저 업그레이드 버전으로 돌아온 ‘AhnLab EDR’은 엔드포인트 위협을 정교하게 탐지해 원인과 배경을 분석하고 최적의 대응 방안을 제시한다. 뿐만 아니라, 위협을 능동적으로 추적해 기업이 사전 예방 및 재발 방지 체계를 구축할 수 있도록 한다. 30년 이상 축적해온 안랩의 기술력이 응축된 ‘AhnLab EDR’은 MITRE ATT&CK Evaluation Round 4에서 우수한 성적을 기록하며, 뛰어난 위협 탐지 & 대응 역량을 인정받았다.
편리하게 운영 가능한 최적화된 탐지 & 대응
‘AhnLab EDR’은 직관적인 운영과 안랩의 기술력 및 전문성을 갖춘 전용 콘솔 ‘EDR Analyzer’를 제공한다. ‘EDR Analyzer’를 활용하면, 위협의 유입 경로, 주요행위, 연관 관계 등 다양한 정보와 공격 흐름을 빠르고 쉽게 파악할 수 있다. MITRE ATT&CK 프레임워크를 바탕으로 보안관리자가 위협 정보를 직관적으로 파악할 수 있도록 돕는다.
또, ‘AhnLab EDR’은 행위 기반 엔진을 통해 자체적으로 국내외 공격 그룹을 분석하고, 탐지 패턴과 규칙을 만들어 위협을 정교하게 탐지한다. MITRE ATT&CK 프레임워크에 따라 위협을 16가지 행위 카테고리로 분류해 사용자가 위협을 직관적으로 식별하도록 한다. 이 외에 머신러닝 기술을 활용해 위협별 위험도와 악성 위험 확률에 관한 정보도 제공한다.
탐지한 위협에 대해서는 MITRE ATT&CK 프레임워크 기반 위협 정보와 유입 경로, 주요 행위, 연관 관계, 위험도, 위협 정보 링크 등에 대해 상세한 분석 내용을 제공한다. 분석정보를 △다이어그램 △타임라인 △프로세스 트리 형태로 표시해 사용자가 전반적인 공격 흐름을 쉽게 파악하도록 한다. 정교한 탐지룰과 수집 로그의 범위설정 기능으로, 과도하게 뜨는 얼럿(Alert)을 줄였으며, 행위기반 규칙 등 다양한 사용자 정의 규칙과 자동대응 설정 기능도 제공한다. 추가로, 주요 행위에 대한 온디맨드(On-Demand) 검사와 ‘AhnLab TIP’ 및 ‘AhnLab MDS’ 연동을 통한 분석도 가능하다.
MDR 서비스
‘AhnLab EDR’은 솔루션 운영과 활용을 돕는 ‘MDR(Managed Detection & Response) 서비스’를 기본으로 제공한다. ‘AhnLab EDR’ 고객은 안랩 보안 전문가의 실시간 모니터링, 중요도가 높은 위협에 대한 분석·대응, 분석보고서와 월간 통계 보고서 등 서비스를 이용할 수 있다. 더욱 전문적인 서비스를 원하는 고객은 프리미엄 MDR 서비스가 포함된 EDR Premium을 활용할 수 있다. 이 서비스를 이용하면 더 광범위한 범위의 로그분석, 조직 환경과 보안 이슈를 반영한 맞춤형 탐지룰 생성 등 심화 서비스를 받을 수 있다. EDR Premium은 별도 서비스 비용이 발생한다.
▲지니언스 ‘지니안 EDR(Genian EDR)’[이미지=지니언스]
[EDR 대표 솔루션 집중분석-2]
지니언스, 악성코드·이상행위의 통합 분석 및 관리로 위협 탐지 정확도 배가
‘지니안 EDR’, EDR 제품 최초로 국정원 ‘보안기능 확인서’ 획득
지니언스는 2017년 국내 최초로 EDR을 개발한 이래 2020년 국내 최초로 악성코드와 이상행위의 통합 관리가 가능한 메이저 업그레이드 버전 ‘지니안 EDR 2.0’을 출시했다. 2021년 조달청기준 79%의 시장점유율 1위로 초기 시장을 발빠르게 선점하고 있다. 2022년 상반기까지 누적 고객 120곳을 돌파해 국내 최다 고객을 보유하고 있다.
지난 9월에는 EDR 제품 최초로 국가정보원 보안기능 확인서를 획득하는 등 EDR 시장의 프론티어 역할을 톡톡히 하고 있다.
엔드포인트 가시성 극대화
‘지니안 EDR(Genian EDR)’은 단말의 지속적인 모니터링 및 정보 수집을 통해 위협의 탐지, 분석, 대응하는 솔루션이다. 단말에서 발생하는 주요 행위를 모니터링하고 실시간 저장 후 분석함에 따라 지능형 위협 등을 사전에 탐지·예방하고, 사후 감사 증적이 가능하다.
‘지니안 EDR’은 △이벤트 정보 수집 및 연동 △수집정보 검색 △분석정보 가시화 △최신 위협 인텔리전스 활용 △엔드포인트위협 분석 △엔드포인트 추적관리가 가능하다. 지속 확장 가능한 가시성을 제공한다. 단말 부하를 최소화한 에이전트, 수집된 데이터 기반 관리자 정의, 대시보드 제공 등이 주요 특징이다.
‘지니안 EDR’은 멀티 레이어(Multi-Layer)로 구성돼 파일(File)과 이상행위(File-Less) 탐지와 함께 분석에 필요한 상세정보를 제공한다. 악성코드 및 이상 행위를 최신 침해 사고 지표(IOC)와 머신러닝(ML) 행위 기반 엔진(XBA)을 활용해 신속하게 탐지하고 APT, 랜섬웨어 등의 공격을 실행단계에서 차단한다.
위협에 대한 신속한 대응 및 분석
‘지니안 EDR’은 단말에서 위협이 탐지되는 경우 위협의 ‘심각성, 확산성, 위험성’ 등을 고려해 에이전트에서 네트워크 격리, 파일 삭제, 프로세스 종료, 사용자 알림 등의 대응을 한다. 정책(Policy) 기반으로 관리자 개입 없이 즉시 자동으로 확산 방지 등 초동 대응이 가능하다.
위협의 탐지와 동시에 조치의 대상이 누구인지 사용자, 부서, ID 등을 정확하게 알 수 있다. 또한 Reversing Labs, Virus Total 등의 외부 인텔리전스(CTI) 조회를 통해 탐지된 위협의 상세정보 확인이 가능하다. 위협 탐지를 위해 실시간으로 수집한 로그는 다시 활용해 기존에 알 수 없었던 단말에서 행해지는 상황, 예를 들어 문서 유출(업로드), 네트워크 접속 현황, AP접속 현황, 외장저장장치 사용, 메신저, 클라우드 서비스 사용자, DNS 변경 등을 상세히 파악할 수 있다.
‘지니안 EDR’은 악성코드와 이상 행위 등 전체 위협에 대한 정보를 보여주는 위협 모니터링 화면을 제공한다. 탐지된 위협 목록에서의 요약정보와 상세 분석이 가능한 기능을 제공한다. 위협 상세 분석에서는 탐지된 파일의 위협 정보와 이상행위(File-Less) 탐지 시 연관된 MITRE ATT&CK 링크를 제공한다.
또한, 단말별 탐지정보, 연관지표, 행위, 유사도 등 분석에 도움이 되는 다양한 정보를 제공하며 공격 스토리 라인에서는 파일·프로세스의 실행 관계를 표시해 프로세스 제어, 파일 수집 등의 제어 기능을 제공한다.
▲시만텍 EDR, 조사자의 생산성을 향상시키기 위해 스마트 인시던트 알림 제공 화면[이미지=시만텍(이테크시스템)]
[EDR 대표 솔루션 집중분석-3]
시만텍 EDR, ‘One-Size-Fits-One’ 전략을 위한 최고의 선택
EDR 기술과 시만텍만의 적응형 보호기능으로 정교한 지능형 공격 효율적 방어
엔드포인트에 대한 보안 위협이 기하급수적으로 증가하며 고도화됨에 따라 정교하고 지능적인 공격을 사전에 차단하기는 매우 어렵다. 시만텍은 EDR(엔드포인트 보안 위협 탐지 및 대응) 기술과 탁월한 SOC(보안 운영 센터) 분석가 전문 지식을 결합해 엔드포인트 사건을 신속하게 종결한다. 공격 영향을 최소화하는데 필요한 도구를 제공해 정교한 지능형 공격을 정확하게 탐지하고 실시간 분석을 제공한다. 즉 위협을 적극적으로 추적하고 포렌식 조사 및 대응할 수 있도록 한다.
가시성 및 생산성 향상
시만텍 EDR은 위험별로 사고의 우선순위를 지정해 조사자의 생산성을 높인다. 또한 시만텍 EDR은 시만텍의 표적 공격 분석(Targeted Attack Analytics) 및 동적 적대 인텔리전스(Dynamic Adversary Intelligence : 공격자의 자세한 정보제공)를 통해 식별된 지능형 공격에 대한 사건을 자동으로 생성한다. 조사자는 엔드포인트 활동 기록을 활용해 공격 지표를 찾고 엔드포인트 분석을 수행할 수 있다.
시만텍 EDR에는 사람의 행동을 모방하고 필요한 경우 물리적 서버를 사용해 VM 인식 위협을 탐지할 수 있는 샌드박싱이 포함돼 있다. 시만텍 EDR은 분석을 위해 의심스러운 파일을 샌드박스로 자동 제출하는 기능을 지원한다.
MITRE ATT&CK 이벤트 강화 및 사이버 분석
시만텍 EDR은 MITRE ATT&CK 프레임워크를 기반으로 공격 라이프 사이클을 탐지하고 시각화하는 도구를 제공한다. EDR 도구는 ATT&CK 매트릭스의 표준 전술 및 기술을 기반으로 공격 방법을 설명한다. 또한 빠른 필터를 사용하면 조사자가 초기 액세스, 지속성, 측면 이동 및 명령 및 제어를 포함해 MITRE ATT&CK 수명 주기의 하나 이상의 단계로 결과를 쉽게 좁힐 수 있다.
Adaptive Protection
시만텍 EDR은 보호 설정을 자동화해 기업의 고유 환경을 보호하는 적응형 보호 기능을 제공한다. 오늘날 엔드포인트 보안에 대한 많은 투자를 하고 있지만 오히려 보안 담당자의 부담이 커지게 되면서 오탐을 최소화하기 위한 수준 낮은 보안을 적용하고 이로 인해 보안사고가 더 많이 발생하는 역효과가 나타나고 있다. 적응형 보호는 기업의 고유 환경에 적합한 ‘One-Size-Fits-One’ 전략을 수행한다. 파일 및 고급 어플리케이션에 대해 세부적으로 통제하고 정교한 지능형 공격을 효과적으로 방어할 수 있다.
숙련된 조사관 업무 자동화
시만텍 EDR은 보안 분석가의 복잡한 다단계 조사 워크플로우를 자동화하는 플레이북을 지원한다. 내장된 플레이북은 의심스러운 행동, 알려지지 않은 위협, 내부 확산 및 정책 위반을 신속하게 노출한다. 시만텍 EDR에는 정상적인 활동에서 공격을 숨기기 위한 합법적인 도구의 사용을 포함해 ‘Living Off The Land(LOTL : 내부 시스템의 정상기능을 이용한 랜섬웨어 공격)’ 전술을 식별하기 위한 광범위한 플레이북 세트가 포함돼 있다.
Advanced Threat Hunting
시만텍 EDR에는 위협 사례와 이상 행동 탐지 정보를 포함하는 Advanced Threat Hunting 도구가 제공되며, 도구 사용시 사고 대응자는 IOC(침해지표)를 통해 분석이 가능하다. 고급 머신러닝과 전문SOC 분석가의 의견을 결합해 공격자들의 공격 패턴과 유사성을 분석한다. 또한 시만텍의 글로벌 보안 데이터에 대한 직관적인 액세스를 제공해 위협 추적을 강화한다.
▲소만사 ‘Privacy-i EDR’[이미지=소만사]
[EDR 대표 솔루션 집중분석-4]
소만사, 차세대 안티바이러스 EDR 솔루션 ‘Privacy-i EDR’
분석 중심의 전통적 EDR 한계를 극복, 악성코드 선제적 차단에 집중
최근 보안위협은 메일서버·웹서버·PC·SWG 등 침투경로를 다양화하고, 타깃을 장기간 관찰하며 허점을 노리는 사회공학적 방식으로 진화했다. 기존 네트워크 및 안티바이러스 솔루션 중심으로는 정보자산을 보호하는데 한계가 있음을 실감했다.
엔드포인트 보안 1위 기업 소만사는 창립 이후 25년간 악성코드 분석기술을 자체적으로 개발, 축적해왔다. 이를 토대로 위협탐지대응 솔루션 ‘Privacy-i EDR’을 출시해 기존 네트워크·안티바이러스 솔루션 위주 보안을 넘어선 자동화 대응체계를 고객에게 제시하고 있다.
패턴 및 행위기반 엔진을 통한 2단계 분석, 악성코드·랜섬웨어 선제적 차단
‘Privacy-i EDR’은 안티바이러스 솔루션의 ‘패턴기반 엔진’과 EDR의 ‘행위기반 엔진’을 탑재해 2단계 분석을 통해 정교하게 보안위협을 탐지해낸다. 먼저 패턴 기반 엔진을 통해 악성코드·랜섬웨어를 필터링하고, 패턴 기반 엔진이 탐지하지 못한 신변종·파일리스 공격은 ‘행위기반 엔진’이 탐지한다. 이후 선제적으로 위협행위를 자동 차단한다.
과거 EDR은 탐지정보를 토대로 ‘보안전문가 판단’에 따라 결정되는 솔루션이었다. 전문인력 부담에 도입 자체가 망설여지기도 했다. 소만사는 TI, MITRE ATT&CK, 딥러닝, 머신러닝 등 자동화 기술력 향상에 집중했다. 리소스 투입을 최소화한 악성코드·랜섬웨어 자동화 대응체계를 구축해, 편의성과 보안성을 모두 높였다.
단 하나의 에이전트로 EDR부터 DLP까지 수행, 엔드포인트 싱글에이전트
소만사는 개인정보 검출, 내부정보유출방지(DLP), 엔드포인트 보안플랫폼(EPP), 취약점 점검, EDR까지 순차적으로 기능을 확장해 온 엔드포인트 보안전문기업이다. 기획단계부터 ‘싱글에이전트’ 전략을 지속적으로 취해왔다. 이를 통해 PC 에이전트 개수 축소, 성능저하, 후킹 장애 문제를 해결했다.
소만사 김태완 연구소장은 “소만사는 패턴 및 행위기반 엔진이 통합된 ‘EDR’과 보안 에이전트를 통합한 ‘싱글에이전트’로 차별화 하고자 한다”며 “데이터 분석기술과 악성코드 차단기술을 통해 데이터 유출과 변조위험으로 부터 정보자산을 보호하고자 한다”고 말했다.
▲엔피코어 ‘좀비제로 EDR’[이미지=엔피코어]
[EDR 대표 솔루션 집중분석-5]
엔피코어 ‘좀비제로 EDR’, 귀사의 평판 보호
사이버공격 예방과 사후 처리 모두 고려한 서비스 제공
‘좀비제로 EDR’은 광범위한 악성코드 샘플 모델링, 가중 스코어링 탐지모델 적용, 정상 소프트웨어 동작 연구, 중장기 데이터 분석, 정적·동적 분석 동시 사용, 위협 인텔리전스 적극 활용, 분석 데이터 수집, 메모리 분석, 최적화된 머신러닝 알고리즘 적용 등의 기본적인 기능을 더욱 고도화하고 있다.
특히, 지능형 보안위협 대응, 즉 APT·랜섬웨어 등 엔드포인트 대상의 고도화된 지능형 보안위협을 실시간 탐지, 분석, 차단이 가능하다. 다차원 악성코드 분석을 통해 정밀한 탐지 및 분석 다중분석 체계(정적·동적 분석, 안티바이러스 분석 그리고 평판분석)를 도입해 더욱 신뢰도 높은 서비스를 제공하고 있다.
국내외 150여개 이상의 공공기관, 기업, 대학, 금융기관에 구축해 성공적으로 사이버보안 방어를 해오고 있으며 보안과 인공지능의 결합 개념조차 생소했던 2011년에 이미 앞선 기술력으로 성능을 인정받아 왔다.
행위기반 엔진, 엔드포인트에 적용한 엔피코어 ‘좀비제로 EDR’
엔피코어의 ‘좀비제로 EDR’은 PC, 서버 등 사용자 구간에서 발생하는 랜섬웨어 및 신변종 악성코드 공격을 탐지·분석·차단하는 에이전트 형태의 보안 솔루션이다. 사전 차단 및 악성코드 탐지율이 매우 뛰어나다.
악성코드의 실행을 보류시키고 샌드박스에서 행위기반 엔진을 통해 탐지한다. 블랙리스트 뿐만 아니라 효율적인 화이트리스트 정책으로 강력한 통제 관리를 제공하며 지속적인 모니터링으로 잠복형 악성코드에 효과적으로 대응한다. 맞춤 샌드박스 환경 구성 및 조직별 정책 수립이 가능하다. 각 지역·기관에서 주로 사용하는 애플리케이션으로 샌드박스 구성이 가능하며 조직별 또는 환경별 차등 정책 설정으로 탄력적인 제품 운영이 가능하다. 부하 및 충돌 이슈 최소화도 매우 뛰어나다. 설치용량 및 CPU 점유율 최소화로 PC성능에 거의 영향을 주지 않는 가벼운 설치환경과 타 에이전트와의 충돌이 일어날 수 있는 분석 기능은 모두 샌드박스에서 수행돼 충돌 가능성이 낮다.
전세계적으로 급증하고 있는 랜섬웨어, 순간백업 기능으로 효과적 대처
랜섬웨어가 들어와 잠복기에 있는 동안 이를 탐지해 미리 사전에 제거하기란 쉽지 않은 일이다. ‘좀비제로 EDR’은 인공지능 및 행위기반 탐지율과 고도화된 인공지능을 활용해 사이버공격 예방에 탁월하다. 이미 감염된 경우 대처와 피해 최소화를 모두 고려해 제품을 제공한다.
일정 기간 잠복기에 있던 랜섬웨어가 악성행위를 시작하는 순간을 탐지해 곧바로 고객의 엔드포인트에 있는 모든 주요 문서들을 순간 백업하고 저장한다. 파일 변조 직전의 순간, 일반 프로세스가 접근할 수 없는 보안 폴더에 파일을 백업하는데 커널 드라이버단에서 백업 실행을 하기에 애플리케이션 간 충돌 이슈와 성능 저하를 막을 수 있다.
▲센티넬원 ‘Singularity XDR’[이미지=센티넬원(에스케어)]
[EDR 대표 솔루션 집중분석-6]
센티넬원, 진화된 XDR로 EDR의 신기원을 열다
능동적 XDR을 통해 고도화된 위협에 선제 대응 방안 제시
클라우드, 비대면 원격 근무 등 비즈니스 환경의 확대로 기업 정부·기관 구분없이 주요 정보 자산을 겨냥한 공격이 증가하고 있다. 최근 고도화된 공격으로부터 내부의 중요 정보자산 및 서비스를 지키기 위한 새로운 위협 대응 체계 확립이 필수요소로 부각되고 있다. 글로벌 EDR 전문기업인 센티넬원은 최근 진화된 XDR인 ‘Singularity XDR’을 출시했다. 최근 전세계적으로 XDR 플랫폼 구축이 활성화되었고, 센티넬원 역시 ‘Singularity XDR’을 통해 기업의 보안환경을 강화하는 방안을 제시하고 있다.
침해 시 시스템 복원을 지원하는 유일한 EDR 솔루션
센티넬원은 단일 에이전트로 위협 탐지, 차단, 조치, 피해 복원을 모두 지원한다. ‘센티넬원 EDR’의 평판 분석 기능, 정적 AI 엔진, 행위 AI 엔진을 통해 대부분의 위협은 탐지되고 차단된다. 추가로 문제 유입을 파악하기 위한 위협 이벤트들을 하나의 연결된 이벤트로 조합하는 ‘스토리라인’ 기능을 통해 컨텍스트가 포함된 유의미한 분석결과를 제공한다.
잠재된 악성행위 단계의 위협을 찾아내기 위해 EDR 기능을 통해 알려지지 않은 위협 이벤트까지 탐지, 저장하는 기능을 제공하고 있다. 위협에 관련된 모든 정보는 저장되어 관리되며 위협 헌팅 기능인 ‘검증 강화(Deep Visibility)’ 기능을 통해 내부의 위협을 추가로 조사하는 기능을 제공한다.
센티넬원은 가트너가 제시한 EDR이 갖추어야 할 4가지 조건인 보안 침해 탐지, 보안 침해 억제, 보안 침해 조사, 침해 이전 상태로 시스템 복원을 모두 제공하고 있으며, 완벽한 복원을 위해 ‘스토리라인’ 기능을 통해 침해행위로 영향을 받은 모든 파일과 환경 설정을 한 번에 복원하는 기능을 제공하고 있다.
악성행위가 탐지되고, 차단되었다는 것은 어떤 이유로든 대상 시스템에 악성요소가 유입된 것이고 이는 완벽하게 찾아서 제거, 복구돼야 한다. 센티넬원은 최근 침해대상인 중요 서비스 시스템으로써 악성 행위의 모니터링과 비즈니스 연속성을 보장하기 위해 시스템 복원을 별도의 명령어 수행 및 구성 변경 없이 지원하는 단일 에이전트의 EDR 솔루션을 제공한다.
한국형 XDR 체계에 가장 적합한 글로벌 XDR 솔루션
센티넬원은 차별화된 능동적 EDR로 XDR의 플랫폼 분야 중, 엔드포인트 보안(Endpoint Security) 영역을 지원하고 있다. 최근 디셉션 기술의 선도업체인 Attivo Networks를 인수해 XDR 지원 분야를 넓힌 상태다. 센티넬원은 이미 ‘Singularity XDR’을 통해 이미 50여개 벤더사의 솔루션과 연동되어 있다. 이는 콘솔에서 간단한 설정만으로 50여개 벤더사의 솔루션과 연동되어 강화된 XDR 보호체계를 구현 가능하다는 의미이다.
국내에서 사용하고 있는 다양한 보안 솔루션과의 연동을 위해서는 국내에서 연동을 위한 XDR 인터페이스 연계를 지원할 수 있는 전문 조직이 존재해야 한다.
에스케어는 센티넬원의 총판사이자 IR 전문파트너이다. 자체 연구소를 비롯한 자사 솔루션도 보유하고 있으며, 최근 XDR 플랫폼을 고도화하기 위해 다양한 국내외 벤더와 통합 플랫폼을 구성하고 있다. 국내 고객사가 보유한 다양한 보안솔루션과 통합해 XDR 플랫폼으로 컨설팅 및 구축할 수 있는 역량을 갖추고 있다.
최근 보안인력 부재와 늘어나는 위협으로 인해 보안관리자의 근심이 커지고 있다. 센티넬원이 제시하는 능동적 XDR ‘Singularity XDR’을 통해 보다 효율적이고 안전한 보안환경 구축이 가능하다.
▲트렌드마이크로 XDR ‘Vision One’[이미지=트렌드마이크로]
[EDR 대표 솔루션 집중분석-7]
트렌드마이크로, EDR·XDR & 위험관리 보안플랫폼 ‘Vision One’
EDR과 함께 다계층 레이어에서 탐지 및 대응하는 통합 보안 플랫폼
트렌드마이크로의 ‘Vision One’은 EDR과 함께 엔드포인트 외에도 네트워크, 이메일, 서버 워크로드, 모바일 등 다계층 레이어에서 탐지 및 대응을 구현할 수 있는 확장된 개념의 XDR이다. 또한 ‘Vision One’은 EDR·XDR에 더해 공격 표면 탐지와 더불어 취약점을 포함한 조직의 위험상태를 한 눈에 파악할 수 있는 Risk Insight, 제로 트러스트까지 포함한 통합 보안 플랫폼으로서 새로운 트렌드에서 요구하는 보안 기능들을 계속해서 추가하며 진화하고 있다.
EDR의 기능이 충실하게 녹아 있는 XDR ‘Vision One’
XDR은 EDR을 포함한 확장된 탐지 및 대응을 입증하듯 ‘Vision One’은 EDR의 모든 기능이 충실히 반영돼 있다. 윈도우와 Mac OS, 리눅스를 지원하는 트렌드마이크로의 EPP제품인 ‘Cloud One Endpoint Security’ 에이전트에는 EDR기능이 내장돼 있어 추가적으로 EDR에이전트를 설치할 필요없이 EDR기능을 활성화해 사용할 수 있다. 기존의 타사 EPP를 사용해야 한다면, ‘Vision One’ 전용 에이전트를 설치해 EDR 기능만 별도로 사용할 수 있다.
‘Vision One’ 전용 에이전트는 원클릭 설치가 가능하며, 매우 가벼운(Light Weight) 에이전트로 EPP, DRM, DLP 등의 다른 보안 솔루션과의 충돌이나 호환성 문제를 걱정할 필요 없다.
탐지 모델링을 이용한 인시던트 탐지(Detection)와 객체 간 상관관계
‘Vision One’은 MITRE TTPs에 기반하는 500여 가지의 탐지 모델링이 탑재돼 있으며, 탐지 모델링은 지속적으로 추가되고 있다. AI와 머신러닝, 빅데이터가 반영된 탐지 모델링은 계정 정보 탈취, 권한 상승, 수평 이동(Lateral Movement), 랜섬웨어 행위 등 시그너쳐가 아닌 행위에 기반해 발생하는 인시던트를 실시간으로 수집되는 활동데이터로부터 발견하고, 이를 SOC에서 분석할 수 있는 객체 간 상관관계 형태의 데이터로 즉각 제공한다.
다양하고 자동화된 대응(Response, PlayBook)
‘Vision One’은 의심객체의 특성에 따라 강력하고 다양한 대응 방법을 제공한다. 엔드포인트를 네트워크로부터 격리, 의심 파일의 실행 차단, 의심 URL의 접속 차단, 의심 파일의 수집, 프로세스 덤프 수집, 커스텀 스크립트의 배포 및 실행, 원격셀을 통한 다양한 명령어 수행 등의 입체적인 조치를 통해 악성행위의 확산을 조기에 차단할 수 있다.
특히, 의심파일과 URL을 샌드박스로 전송해 단시간 내에 심층 행위 분석 결과 레포트를 확인할 수 있다. 이러한 대응은 인시던트 보고서 내에서 SOC팀이 직접 수행할 수 있지만, PlayBook기능을 이용하면 인시던트에 대한 대응을 자동화할 수 있다. PlayBook은 인시던트의 위험레벨에 따라 의심 객체의 특성별로 적절한 대응을 선택적으로 일부 자동화하거나 완전 자동화해 조치하는 시나리오기반 방식이며, 자동 대응 시나리오를 SOC에서 조직의 요구사항에 맞게 커스터마이즈(Customize) 할 수 있다.
다계층 레이어에 대한 탐지 및 대응(XDR)과 위험관리 기능 통합
‘Vision One’은 엔드포인트 뿐만 아니라, 네트워크, 이메일, 서버 워크로드, 모바일 등의 다계층 레이어에 대한 탐지 및 대응으로서의 XDR을 구현할 수 있다. 네트워크 APT 솔루션인 Deep Discovery Inspector(DDI)가 네트워크 센서 역할을 하고, Microsoft 365와 구글 지메일 보안제품인 Cloud App Security를 이메일 센서로 활용해 엔드포인트 센서에서 수집된 정보와 함께 인시던트에서 계층간의 입체적인 상관관계를 파악할 수 있다. 예를 들어서, 스피어 피싱 이메일을 통한 최초 위협 유입과 엔드포인트에서의 C&C통신을 통한 백도어 다운로드, 수평 이동(래트럴 무브먼트 : Lateral Movement)을 이용한 확산 시도 과정 전체가 가시화돼 분석 가능하다.
‘Vision One’은 XDR과 함께 공격표면 위험 관리(Attack Surface Risk Management)와 Zero Trust Security도 포함된 통합 보안플랫폼이다. 공격표면 위험 관리에서는 조직의 엔드포인트의 보안 정책 적용 현황과 CVE 등의 취약점 현황을 파악하며, 인터넷에 연결된 자산, 계정의 취약성 또는 유출시도 현황, Microsoft 365나 구글워크스페이스 등의 클라우드 앱, AWS, GCP, Azure 등에 구성한 클라우드 자산의 위험 현황을 대시보드 방식으로 한눈에 파악할 수 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
