인간의 병에 대한 치료개발은 그 속도가 병의 숫자보다 빠르게 보완되고 있다. 그러나 컴퓨터에 대한 바이러스와 치료 백신은 끝이 없는 것 같다. 세계적으로 컴퓨터 보안을 위협하는 해커들은 뒤에서 엄청나게 이익을 보기 때문에 바이러스와 백신의 전쟁은 끝이 없는 것 같다. 이번에 집요하게 목표를 공격하는 지능형 공격, APT에 더해서 한 번에 감염이 된다면 쉽게 막을 수 없는 랜섬웨어가 등장하면서 국내외를 막론하고 모든 세계 글로벌 기업들이 보안을 바라보는 관점이 바뀌고 있다. 백신이란 것이 방화벽은 물론 암호화 통신을 악용하고 샌드박스까지 우회하면서 해킹을 시도하고 있는 바이러스 공격을 완벽하게 막아내는 것이 불가능하기 때문이다. 때문에 이를 위해서 나옹 방어대책 중 하나가 엔드포인트 영역에서 위협을 보다 더 빠르게 탐지를 해서 차단하는 대응 전략을 짜고 있다. 바꿔 말하면 공격자가 최초로 침입을 시도한 뒤 정보를 유출시키는 통로로 사용되어지는 PC나 노트북 등에서 탐지를 하는 것이다. 2년 전만 하더라도 의심되는 파일에 대해 미리 가상환경에서 악성여부를 확인하는 샌드박스 기반 보안 솔루션이 주목을 받았었는데 우회하는 해커 공격들이 늘어나면서 이러한 방식도 해결책으로서 엿부족이라는 인식이 커졌다. 또한 2016년 글로벌 보안 행사인 RSA컨퍼런스에서 많은 보안 기업들이 엔드포인트 위협 탐지 및 대응 EDR 솔루션에 주목을 하기 시작했는데 이러한 흐름을 타고 국내기업 역시 EDR에 대해서 테스트가 진행되고 있다는 소식이다. 그리고 2018년부터는 관련 시장이 본격적으로 커질 전망이다.
사실 EDR이라는 것은 PC나 노트북 등 기업 내에서 사용되어지는 인터넷 단말기에서 별도 에이전트를 설치해야만 한다. 그리고 이를 이용해 공격으로 의심되어지는 행위를 탐지하고 대응과 차단하는 것을 목표하는 것이 기본 체계다. 가트너라는 시장조사업체에 따르면 작년 한 해 EDR시장은 톱 10기업이 주도하고 있으며 전년대비 두배 가량 성장한 5억 달러의 규모를 자랑하고 있다고 한다. 그리고 이 중에서 반 이상은 태니엄이나 파이어아이, 크라우드스트라이크, 카본블랙 등이 가져가고 있다. 가트너는 이러한 EDR이 가져야 하는 기능을 3가지로 정의를 했는데 그 첫 번째가 백신을 우회하는 공격을 탐지해 실행되지 못하도록 예방하기 위해 엔드포인트에 숨겨진 취약점 공격 프로세스를 탐지하고 차단 할 수 있어야 한다는 것이다. 가장 중요한 부분 중 하나겠다. 그리고 두 번째로 동반되어야 하는 기능은 글로벌 최신 위협 정보를 파악하면서 대응할 수 있도록 위협 인텔리전스 정보를 확보해야 한다. 이러한 세계 보안 기업들에 더불어 국내 SK인포섹, 세인트시큐리티 등이 참여하고 있는 사이버쓰렛얼라이언스가 공유하는 정보가 대표적이라고 할 수 있다. 세계 곳곳에서 발생하는 각종 보안위협에 대해 프로파일링 정보를 확보해야 하는 것은 물론 엔드포인트 단에서 보다 더 세밀한 대응이 가능해지기 때문이다. 마지막으로는 엔드포인트에 대한 가시성 확보인데 PC나 노트북, 스마트폰 드에서 쓰이는 애플리케이션과 각종 프로세스, 그리고 커뮤니케이션 등을 모니터링하고 악성행위를 탐지해서 이를 예방하는 것이 필요하며 감염된 기기로 인해 다른기기나 내부 시스템이 영향을 받지 않도록 자동으로 차단 조치를 수행해야 한다는 것이다.
요즘 국내 기업, 업체들 사이에서도 APT 공격, 즉 목표를 정확하게 설정하게 집요하게 들어오는 지능형 공격과 렌섬웨어, 그리고 기존 보안 솔루션을 우회해서 공격을 시도하는 바이러스 감염피해 우려가 커지고 있다. 침입방지시스템 IPS와 방화벽, 그리고 백신에 더해 심지어 샌드박스를 활용해서도 지능형 공격 대응 솔루션을 도입한다고 하더라도 해킹 공격에 대해 완벽하게 막는 것은 어려운 일이다. 그래서 공격자가 처음으로 뚫고 들어오는 통로이자 정보가 유출되고 시스템을 마비시키는 공격을 수행하는 도구로서 악용될 수 있는 엔드포인트 영역에 대해 제대로된 보호조치를 해야한다는 인식이 커지고 있다. 지니언스가 개발해서 서비스중인 지이안 인사이츠 E와 파이어아이가 만들은 HX 시리즈, 그리고 내년에 발표되는 안랩의 EDR 등이 국내에서 새로운 보안 대책으로 경쟁을 펼치게 될 것이다. 여기에 더해서 최근 CTA에 합류한 세인트시큐리티도 멀웨어즈닷컴을 이용해 확보한 악성코드 분석 역량과 머신러닝 기술이 적용된 백신 맥스, 지능형 공격 대응제품인 MNX 등을 조합한 EDR 솔루션 등이 보안대책으로 개발 중이다.
여기서 주목할 점은 각각의 기업들이 저마다 다른 주력 제품이나 기술을 기반으로 하여 같지만 다른 모양으로 EDR 제품을 선보이고 있다는 점이다. 예를 들어 지니안 인사이츠 E는 앞서 개발하고 공급하고 있는 온 네트워크접근제어 솔루션과 플러그인 형태를 손쉽게 연동한다. NAC는 기업 내에서 쓰이는 여러 단말기를 업데이트 하거나 접근 권한을 관리하고 보안적인 위협이 감질될 경우에는 이를 차단하는 역할을 해낸다. 그리고 여기서 연결되는 지니안 인사이츠E는 PC나 노트북, 그리고 모바일 등이 실행하는 프로세스나 다운로드 파일, 네트워크 접속 정보등을 체계적으로 수집하여 그동안 확보했던 최신 위협 탐지 데이터베이스를 이용해 위협의 정도를 종합적으로 판단한다. 파이어아이의 경우 자체 개발한 MVX엔진을 활용해서 샌드박스 기반 네트워크 보안 솔루션과 침해사고분석, 그리고 대응 조직인 맨디언트로 유명한 파이어아이가 국내 보안 기업 SGA솔루션즈과 손을 잡고 본격적인 EDR 비즈니스를 준비중이다. 여기서 개발된 HX 시리지의 경우 비트디펜더가 제공하는 백신 엔진에 더해서 MVX엔진을 활용한 의심파일에 대해 정적과 동적 분석, 위협 인텔리전스 정보 연결 등을 포함해 자동화된 엔드포인트 보안 솔루션을 제공한다. 마지막으로 V3로 유명한 안랩의 경우 안랩 EDR을 내년 4월까지 출시한다고 한다. 안랩 엔드포인트에서 안랩 EDR이 백신과 APM과 기본 연동되도록 설정하고 프로트타입을 준비중인데 어떠한 결과가 나올지 궁금하다.
