[테크칼럼] 엔드포인트 보안의 대세 EDR, 누구에게 필요할까

EDR, 엔드포인트 보안의 대세가 된 이유와 도입 필요성 및 효과 집중분석

[보안뉴스= 백민경 안랩 부장] 최근 몇 년간 엔드포인트 보안 영역에서 가장 큰 화두는 단연 EDR(Endpoint Detection & Response)이다. 보안 관리자라면 누구나 한번쯤은 EDR이라는 솔루션에 대해서 들어봤을 것이다. 안랩에서도 2018년 EDR을 출시했고, 국내외 많은 보안 업체들도 EDR을 고객에게 소개하고 있다. 국내에서는 일부 대기업, 금융 기관, 공공기관에서 EDR을 도입했다. 그러나 아직까지 국내에서는 EDR을 백신과 같은 보안의 필수 솔루션으로는 여기지 않는 것이 현실이다. EDR이 엔드포인트 필수 보안 솔루션으로 자리잡기까진 앞으로도 좀더 많은 시간이 필요해 보인다. 그 이유 중 하나는 아직 EDR을 통해 얻을 수 있는 도입 효과에 대한 신뢰가 부족하고, 필요성이 제대로 알려지지 않았기 때문이다. 이에 여기에서는 EDR이 왜 엔드포인트 보안에서 대세 솔루션으로 자리잡았는지, 왜 도입해야 하며, 어떤 효과가 있는지 자세히 살펴보고자 한다.

[이미지=utoimge]

정보보안팀은 지금 뭐하고 있는 건가요?
필자가 2010년대 초반에 경험했던 일화를 하나를 소개하겠다. 어느 날 K사의 정보보안팀장이 급하게 미팅을 요청해왔다. 해당 팀장은 얼마전 사내에서 발생했던 악성코드 이슈와 관련한 상황을 설명해주었다. 다음은 K사 CEO와 정보보안팀장의 대화를 재구성한 것이다.

CEO: 지금 왜 업무가 안되고 있는 건가요?
정보보안팀장: 현재 신종 악성코드 감염으로 인해 네트워크 장애가 발생했습니다. 다행히도 장애 증상을 발생시키는 의심스러운 파일은 확보한 상태이고, 백신업체에 분석과 엔진 업데이트를 요청한 상태입니다.
CEO: 그럼 정보보안팀은 그 동안 무엇을 한 건가요?
정보보안팀장: 현재 해당 증상이 얼마나 확산되고 있는지는 확인하기 어렵습니다. 그래서 우선 증상이 발생하는 PC가 접수되면 전파를 막기 위해 네트워크를 차단했습니다. 증상이 나타나고 있는 PC들이 점점 늘어나고 있는 상태라 피해가 발생한 주변 PC들은 우선적으로 네트워크를 차단하고 있습니다. 그래서 업무가 어려운 상황입니다.
CEO: 그래서 정보보안팀은 무엇을 하고 있는 건가요?
정보보안팀장: 네? 지금....... 장애가 발생하고 있는 PC가 나오면 빨리 네트워크 차단하고…… 새로운 악성코드는 분석을 빨리 요청하고 업데이트도 최대한 빠르게 해달라고 백신업체와 얘기하고 있는 상황입니다.
CEO: 그러니까…… 정보보안팀은 무엇을 하는 건지 묻고 있잖아요!!??

A사 정보보안팀장은 미팅을 끝내고, CEO의 지적대로 ‘우리는 뭐하고 있는 건가?’라고 스스로에게 질문을 던졌다고 한다. 그리고 그는 장애가 발생했을 때 백신업체에서 샘플을 분석하고 대응 엔진을 업데이트할 때까지 조치할 수 있는 건 없는지, 장애가 발생하기 전에 미리 예방을 할 수 있는 방안은 없는 것인지를. 또 장애가 발생한다면 다른 PC에서 비슷한 장애가 나타날 수 있는 것을 미리 찾아보고 예방할 수는 없는지를 고민하게 됐다고 한다.

그는 작게 생각하면 흔하게 발견되는 악성코드이지만 침해사고의 시작일 수도 있는 이러한 장애나 위협을 예방하고, 정보보안팀에서 직접 대응할 수 있는 방법이 있는지를 문의했다. 필자는 K사에 이미 구축된 백신을 좀더 잘 활용할 수 있는 대응 방안을 설명했을 뿐 새로운 솔루션을 제시할 수는 없었다. 왜냐하면 K사 정보보안 팀장이 요청한 기능을 갖춘 솔루션이 그 당시에는 없었기 때문이다. 만일 지금 K사 사례와 같은 고민을 하는 보안 담당자가 이를 해결할 솔루션에 대해 문의한다면, 필자는 주저없이 ‘EDR(Endpoint Detection & Response’을 소개할 것이다.

왜 EDR인가?
그렇다면 EDR은 어떤 솔루션이기에 앞서 언급한 K사 정보보안팀장의 고민 사항을 해결할 수 있을까. EDR은 알려지지 않은 새로운 악성코드나 침해사고의 발생 가능성을 분석하여 보안 담당자에게 알려줄 수 있는 ‘위협에 대한 가시성’을 제공한다. 또한 엔드포인트에 대하여 프로세스 종료, 파일 격리, 네트워크 차단 등 보안 담당자가 엔드포인트에 대한 ‘직접적인 대응’을 할 수 있는 다양한 기능을 지원한다.

▲AhnLab EDR 개요[자료=안랩]

이와 함께, 현재 엔드포인트에 특정 프로세스, 파일, 레지스트리 등이 존재하고 있는지 검색할 수 있는 ‘전수 검사’도 가능하다. AhnLab EDR의 경우에는 PC에 접속하지 않고 웹 콘솔을 통해 안리포트(AhnReport)를 수집한다. 뿐만 아니라, 이미 알려진 악성코드들이 언제 어디서 어떻게 해당 엔드포인트에 감염이 되었는지에 대한 가시성을 제공하여, 재감염 또는 신종 악성코드에 감염될 수 있는 가능성을 최소화할 수 있는 방안을 취할 수 있는 데이터도 함께 전달한다. 다시 한 번 정리하면, EDR은 알려진 그리고 알려지지 않은 위협에 대한 가시성과 엔드포인트에 대한 직접적인 대응을 할 수 있는 기능을 제공하며, 엔드포인트에 대한 다양한 정보를 검색할 수 있는 전수검사 기능을 제공하는 솔루션이다.

▲AhnLab EDR, 엔드포인트 위협 정보 자동 수집[자료=안랩]

그럼, 앞서 설명한 K사에 EDR이 있었다면 무엇을 할 수 있었을까. 첫째, 악성코드에 감염된 PC의 감염 경로 등에 대한 가시성 확보를 통해 신·변종 악성코드가 감염될 수 있는 취약점을 해결할 수 있었을 것이다. 둘째, 특정 파일이 존재하는 PC들에 대해서 전수검사 후 해당 PC에 대한 네트워크 격리 및 프로세스 종료, 파일 격리 등의 대응 조치를 할 수 있었을 것이다. 또한, 증상이 발생하는 PC를 직접 찾아가거나 원격 접속을 하지 않고도 샘플 파일을 수집할 수도 있다.

결국 백신 업체에서 샘플을 분석하고, 대응 엔진을 업데이트하기 전까지 정보보안팀에서는 기다리는 것이 아니라 직접적인 대응이 가능하다. 따라서 동일한 상황에 발생했을 때 CEO가 ‘정보보안팀은 무엇을 하고 있느냐’라는 질문을 한다면, 정보보안팀장은 ‘감염 경로를 파악해 재발 방지를 위한 취약점에 대해 조치하고, 감염 확산을 최소화하기 위해 감염 가능성이 높은 조건을 갖춘 PC에 대해서 네트워크 격리 및 파일 격리 등과 같은 적극적인 대응하고 있다’고 답변할 수 있게 된다.

EDR은 어떻게 동작하는 솔루션인가?
그렇다면, EDR의 이러한 기능을 어떻게 제공할 수 있는 것일까. EDR은 어떻게 알려진 위협에 대한 가시성을 제공하고, 알려지지 않은 위협이나 침해사고 단계에 대한 분석을 제공할 수 있을까?

▲AhnLab EDR, 엔드포인트 행위 정보 수집을 통한 위협 가시성 제공[자료=안랩]

EDR 솔루션은 가시성을 제공하기 위해서 엔드포인트에서 발생하는 위협과 관련된 모든 행위를 수집하고, 중앙에 저장하여 분석을 수행한다. 즉 분석을 통해 탐지한 위협에 대한 가시성을 제공할 수 있는 것이다. 분석에 대한 결과는 머신러닝(Machine Learning) 및 외부 TI(Threat Intelligence)를 통해 분석 결과에 대한 폭넓은 정보를 함께 제공한다.

▲AhnLab EDR, 위협 이벤트 및 공격 흐름도 제공[자료=안랩]

‘EDR’과 ‘EPP’의 가장 큰 차이점은?
EDR은 EPP(Endpoint Protection Platform)와 통합되고 있는 추세이다. 많은 종류의 EPP 솔루션들이 엔드포인트 하드닝(Endpoint Hardening)을 위한 보안 기능을 제공하며, 엔드포인트가 공격받을 수 있는 표면을 최소화하는 역할을 수행한다. 통합된 EPP와 EDR은 기존의 엔드포인트 툴보다 더 빠른 탐지 및 자동화된 대응을 제공한다. 그렇다면 EPP 솔루션과 EDR은 각각 어떤 역할을 하고 있을까. EPP와 EDR의 각자의 역할이자 가장 큰 차이점은 바로 탐지의 주체가 다르다는 것이다.

▲EPP(Endpoint Protection Platform)와 EDR(Endpoint Detection & Response)의 역할[자료=안랩]

보안 관리자는 기존의 EPP 솔루션들이 수행해야 하는 보안정책을 솔루션에 적용하고, EPP 솔루션은 그 정책에 따라 탐지한다. 즉, 엔드포인트에서 발생하는 위협을 탐지하고 대응하는 주체는 ‘EPP 솔루션’이다. 보안 관리자는 EPP 솔루션이 탐지하고 대응한 결과를 보고서나 로그를 통해서 확인하게 된다.

EDR은 엔드포인트에서 발생하는 행위 정보를 수집하여 분석하여, 그 분석 결과를 보안 관리자에게 알려준다. 보안 관리자는 EDR이 제공한 분석 결과를 통해서, 알려진 위협에 대한 상세한 정보들을 확인하고, 또 알려지지 않은 의심스러운 위협에 대한 정보를 확인하게 된다. 그 확인된 정보를 가지고 현재 내부에 위협이 발생하였는지 또는 침해사고가 진행되고 있는지를 탐지하고, 대응이 필요하다고 판단되면 엔드포인트에 대한 직접적인 대응을 수행하는 명령을 EDR을 통해 내리게 되는 것이다. 즉, 탐지와 대응의 주체는 ‘보안 관리자’이다. EDR은 탐지를 할 수 있는 정보를 제공하고, 대응을 수행할 수 있는 기능을 제공하는 것이다. EDR이 제공하는 정보와 기능을 가지고 ‘보안 관리자’는 엔드포인트에 대한 적극적인 대응 및 분석업무를 수행할 수 있게 된다.

EDR 누구에게 필요할까?
공격자들은 목적을 달성하기 위해 지속적으로 타깃 기업 또는 기관의 정보를 수집하며 빈틈을 찾는다. 이를 위해 보안 제품들이 탐지하지 않는 영역을 찾기 위해 계속해서 다양한 시도를 한다. 집요하게 취약한 지점을 찾아 침투하는 공격에 대응하기 위해서는 더 많은 영역을 지속적으로 살펴봐야 한다. 결국, 무엇을 얼마나 볼 수 있느냐에 따라 무엇을 어떻게 조치할 수 있을지 파악할 수 있으며, 이로써 원하는 혹은 그 이상의 보안 효과를 얻을 수 있다.

이러한 관점에서 EDR 솔루션은 악성코드 감염이나 침해 사고를 예방하기 위한 기술적 보호조치를 필요로 하는 모든 기업과 기관에게 필수 보안 솔루션이 될 수 있다. 보안 솔루션이 알아서 엔드포인트에 대한 보안을 완벽하게 완성을 할 수는 없지만, 보안 관리자가 기존과 보안 솔루션과 EDR을 함께 활용하여 엔드포인트에 대한 적극적인 분석과 대응을 함께 수행한다면, 좀 더 나은 엔드포인트 보안으로 한걸음 더 빨리 다가갈 수 있을 것이다.
[글_ 백민경 안랩 부장(minkyoung.baek@ahnlab.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)