Home > 전체기사

[2021년 EDR 리포트] 사이버보안의 최전선, 엔드포인트를 지켜라!

  |  입력 : 2021-02-01 00:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
금융권을 넘어 비즈니스 전반으로 확산되는 EDR 솔루션
알려지지 않은 위협 탐지 및 보안 담당자에게 가시성 제공
선도적으로 EDR 도입한 NH농협은행, EDR로 공격 표면 최소화하고 있어


[보안뉴스 이상우 기자] 보안에서는 ‘쇠사슬의 강도는 가장 약한 고리의 강도와 같다(a chain is only as strong as its weakest link)’는 속담을 자주 인용한다. 다양한 보안 영역에 대해 보안을 강화하더라도, 그 중 가장 약한 지점 하나만 무너진다면 기업의 주요 시스템 전체로 침입할 수 있는 경로가 되기 때문이다. 이에 사이버 공격자는 이러한 ‘약한 고리’를 찾기 위해 기업과의 접점을 탐색하고, 새로운 공격 기법과 악성코드를 개발해 공격을 시도한다.

[이미지=utoimage]


엔드포인트는 과거에도 그래왔고, 현재까지도 사이버 공격자가 가장 쉽게 접근할 수 있는 기업과의 접점이다. 공격자는 악성 이메일의 첨부파일, 피싱 사이트, 불법 복제 소프트웨어 등 다양한 방식으로 사용자에게 접근한 뒤 엔드포인트에 악성코드를 설치할 수 있다. ‘무사히(?)’ 설치된 악성코드는 장기간 사용자 PC에 잠복하며 각종 명령을 수행한다. 가령 기업 주요 시스템에 접근하기 위한 신원증명 정보를 빼돌리기도 하고, 유출한 이메일 계정을 이용해 더 높은 권한을 가진 관리자에게 사칭 이메일을 보내 악성코드를 전송하는 등 사회공학적 공격을 시도할 수도 있다.

최근 코로나19가 유발한 비대면 사회는 엔드포인트를 통한 침입 가능성을 더욱 키우고 있다. 기업의 보안 울타리 안에 있던 사용자의 기기가 상대적으로 보안이 취약한 홈 네트워크에 연결되는 만큼, 상대적으로 보안에 취약하게 됐다. 특히, 재택근무 기간 중 각 가정으로 퍼져있던 엔드포인트가 코로나19 종식 이후 기업 네트워크에 다시 연결됐을 때, 잠복해 있던 악성코드가 활동을 시작할 가능성도 충분히 있다.

사이버 공격자는 엔드포인트를 노린다
독일 IT 보안 연구기관 AV-TEST Institute가 지난 2020년 8월 26일 발표한 ‘The AV-TEST Security Report 2019/2020’에 따르면 지난 2019년에 새롭게 생성된 악성코드는 1억 1,431만 2,703개며, 주로 이메일과 인터넷을 통해 유포된 것으로 나타났다. 2020년 1분기에만 AV-TEST에 새롭게 등록된 악성코드 샘플은 4,300만 개 이상이다.

특히, 트로이목마는 공격자가 가장 즐겨 사용하는 다목적 무기다. 2019년 새로 개발된 악성코드 중 트로이목마 비중은 58.29%에 이르며, 2020년 1분기에는 전체 악성코드 중 66.82%로 비중이 증가했다. 공격자는 이용 가능한 모든 디지털 채널을 이용하는 사용자에게 악성코드를 유포한다. 대표적인 경로는 웹사이트를 통한 감염, 대규모 악성 이메일 캠페인, 불법 복제 소프트웨어 은닉, 영화나 음악 등 콘텐츠 파일 은닉 등이다. QR코드를 통해 악성 사이트로 유도하거나 악성코드가 담긴 USB 메모리를 회사 로비 등에 일부러 흘려 이를 습득한 사람이 PC에 꽂아보게 하는 고전적인 방법도 사용한다.

▲2019년 새로 개발된 악성코드 유형[자료=AV-TEST]


해당 보고서는 이러한 트로이목마는 추가적인 공격을 위한 초석에 불과하다고 설명했다. 트로이목마에 자체 탑재된 기능뿐만 아니라 명령제어(C&C) 서버와 통신해 새로운 기능을 추가하기도 한다.

최근 사이버 공격 동향을 살펴보면 공격자는 철저히 경제적 원칙에 따라 움직인다. 지난해 주로 발생한 사이버 공격 주요 사례를 살펴보면, 랜섬웨어를 이용한 협박이 큰 수익을 냈다. 엔드포인트를 시작으로 관리자 권한이나 주요 인증정보를 탈취한 뒤 기업 주요 시스템에 침입하고, 랜섬웨어를 통해 시스템을 마비시키며, 동시에 공격 과정에서 유출한 정보를 공개하겠다며 협박하는 형태다. 즉, 지능형지속위협(APT: Advanced Persistent Threat) 수단 중 하나로 랜섬웨어를 택한 셈이다. 공격자는 더 많은 협상 비용을 지불할 수 있는 대상을 효과적으로 공격하기 위해 오랜 기간 전략적으로 준비한다. 이에 따라 기업은 디지털 인프라에 대한 표적공격을 방어할 필요성도 점차 커지고 있다.

신·변종 악성코드에 대응한다, EDR 솔루션
앞서 언급한 것처럼 2019년 한 해에만 1억 1,400만 개 이상의 새로운 악성코드가 개발됐다. 보안전문가들은 이처럼 APT 공격으로 대두되는 랜섬웨어, 파일리스 공격 등 능동형·지능형 공격이 발전하면서 EDR(Endpoint Detection & Response) 같은 차세대 엔드포인트 보안 솔루션이 필요하다고 강조한다.

사이버 보안의 대상 범위가 확대되고 공격이 점점 더 지능화·고도화되며, 기존의 네트워크 보안, 백신 중심의 보안 경계 체계를 뛰어넘는 ‘새로운 보안 체계 구축’의 필요성이 증가하고 있다. 특히, 코로나19로 인한 언택트 근무 확산으로, 보안 담당자는 수많은 엔드포인트 위협을 관리해야 하는 상황이다.

단순히 악성코드의 시그니처를 탐지 및 차단하는 기존 솔루션의 경우 새롭게 양산되는 신·변종 악성코드에 적극적으로 대응하기 어렵다. 기존 시그니처 기반 보안 솔루션의 경우 새로운 유형의 악성코드를 탐지하기 위해서는 해당 샘플을 수집해 이 정보를 추가해야 하기 때문이다. 또한, APT 공격은 사용자 PC와 같은 엔드포인트를 노리지만, 네트워크 환경에 구축한 방화벽 등의 보안장비만으로 엔드포인트 위협에 대한 가시성을 확보하기 어렵다. 따라서 프로세스 및 파일 기록, 네트워크 통신 등의 정보를 전반적으로 분석할 수 있는 솔루션이 필요하다.

EDR은 지능형 사이버 위협에 효과적으로 대응하기 위한 차세대 기술로, 엔드포인트에서 발생하는 의심스러운 활동을 조기에 발견하기 위한 네트워크 모니터링과 함께, 위협을 차단할 수 있는 다양한 대응 도구를 제공한다. 위협에 대한 가시성을 확보하고, 이를 통해 사건 조사에 초점을 맞추고 직접적으로 대응할 수 있도록 보안 관리자를 지원한다.

EDR 솔루션과 안티 바이러스의 차이는?
EDR 솔루션이 기존 안티 바이러스 등의 보안 솔루션과 차별화되는 특징은 무엇일까? 맥아피는 엔드포인트에서 발생하는 프로세스, 파일, 네트워크 통신과 같은 정보를 저장하고 분석할 수 있는 기술이 포함돼야 한다고 설명했다. 기존 안티 바이러스는 바이러스 오브젝트(파일)에 집중해 패턴으로 탐지하는 반면, EDR은 엔드포인트에서 실행되는 프로세스 기반의 모든 행위를 기록하고 이를 기반으로 탐지하기 때문에 전반적인 악성 행위에 대해 사전 대응을 할 수 있다.

[이미지=utoimage]


비트디펜더는 EDR 솔루션의 핵심 기술 요건을 위협에 대한 경보, 위협 시각화를 통한 가시성 제공, 위협 조사 도구 제공, 위협 대응 등 4가지로 요약했다. 엔드포인트에서 발생한 의심스러운 파일, 프로세스, 레지스트리, 네트워크 활동 이력 등 모든 이벤트를 추적·분석해 실시간 경보를 제공하고, 의심 파일 원격 삭제, 네트워크 격리, 의심스러운 프로세스 종료, 해당 파일 정보를 기록해 수평이동 방지 같은 기능으로 악성행위를 차단할 수 있어야 한다는 것이다.

안랩 역시 EDR 솔루션은 엔드포인트 영역에서 발생하는 이벤트와 보안 위협에 대한 정보를 수집하고 분석해 보안 가시성을 제공함으로써 사용자의 보안 의사결정을 지원하는 솔루션이라고 설명했다. 엔드포인트 영역의 프로세스, 트래픽, 레지스트리, 파일, 사용자 등 다양한 정보를 행위, 머신러닝, IoC(침해지표) 기반 분석을 바탕으로 보안 위협을 탐지할 수 있어야 하며, 보안 위협의 공격 기술 및 전술을 파악해 사용자에게 보안 가시성을 제공하는 기술도 필요하다고 말했다. 또한, 구축 목적에 따라 안티 바이러스 등을 병행해 사용하는 등 다양한 솔루션과 연계해 운영할 수 있다고 덧붙였다.

엔피코어는 EDR 솔루션에 대해 엔드포인트 행위와 이벤트를 수집·기록하고, 수집된 데이터를 기반으로 사이버 공격을 탐지 및 대응하는 솔루션이라고 설명했다. 안티 바이러스는 시그니처 기반으로 알려진 악성코드를 탐지·차단하는 게 주요 기능이라면, EDR은 사용자 행위에 대해 기록하고, 악성 행위를 탐지하며, 유입경로, 실행 및 전파 등에 대해서도 관리자가 인지할 수 있도록 제공한다. 이 때문에 EDR 솔루션은 탐지 및 차단은 물론, 모니터링과 기록을 통한 가시성 확보가 중요하다고 말했다.

이스트시큐리티 역시 EDR이 기존 안티 바이러스와 차별화할 수 있는 특징을 대응 기능의 범위와 가시성 제공이라고 말했다. 시그니처 기반의 안티 바이러스는 알려진 위협을 탐지 및 차단할 수 있지만, 알려지지 않은 위협을 탐지하지 못한다. 또한, 위협에 대한 감염 경로 확인이 불가능하며, 엔드포인트 가시성 확보에는 확실한 한계가 존재한다. 반면, EDR은 행위 기반으로 의심 행위와 악성 행위를 탐지 및 차단하며, 기존 안티바이러스에서 파악하지 못한, 알려지지 않은 위협을 효과적으로 파악하고 실질적으로 대응하는 것이 목표라는 설명이다. EDR은 공격자가 사용하는 기술과 탐지를 회피하는 방법을 확장해 보안담당자를 대상으로 이벤트에 어떻게 대응해야 할지, 어떤 개선이 가능한지 알려 효과적인 방식으로 고도화된 위협을 탐지하고 대응할 수 있는 기능을 제공한다.

지니언스는 EDR은 기존 시그니처 기반 솔루션과 달리, 알려지지 않은 위협을 탐지하고 대응하기 위한 솔루션이라고 말했다. 안티 바이러스가 제공하지 못하는 침해지표(IOC), 머신러닝, 행위탐지 등의 다양한 탐지기능을 통해 의심스러운 파일과 행위를 식별해 분석 및 대응할 수 있다는 것. 특히, 가시성과 엔드포인트에 대한 조사 및 대응 기능을 통해 기업이 더 주도적으로 위협을 처리하고, 발생 가능한 위협에 선제적으로 대응하도록 지원한다는 설명이다.

카스퍼스키, 센티널원 등의 국내 총판을 맡고 있는 쿠도커뮤니케이션은 EDR 솔루션은 신규·변종·제로데이 공격에 대응할 수 있는 솔루션이라며 이를 위해 사전에 세팅된 시그니처로 공격 유형을 대조하는 방식 대신, 행위기반 정적 인공지능 분석 기능이 필요하다고 설명했다.

정리하자면, EDR 솔루션은 기존에 알려진 유형의 공격에만 대응할 수 있는 시그니처 기반 솔루션과 달리, 알려지지 않은 유형의 위협도 탐지 및 대응할 수 있는 솔루션이다. 이를 위해 프로세스, 트래픽, 레지스트리, 파일, 사용자 등 다양한 영역을 분석하고 이상행동을 관리자에게 보고하는 등 가시성을 제공한다. EDR 솔루션 하나에 엔드포인트 보호 및 멀웨어에 대한 차단 기능이 포함돼 있을 수도 있고, 목적에 따라 여러 보안 솔루션과 연계해 사용할 수도 있다. 중요한 키워드는 ‘알려지지 않은 위협에 사전 대응’과 ‘보안담당자에게 엔드포인트에 대한 가시성 제공’으로 요약할 수 있다.

국내 EDR 시장 규모와 동향은?
주요 보안 기업이 예상하는 국내 EDR 시장 규모와 동향은 어떨까? 맥아피는 국내의 경우 해외와 비교해 EDR 시장 성장이 더디다고 평가했다. EDR을 도입하기 위해서는 보안부서 내부에 침해사고대응팀(CERT)이나 보안운영센터(SOC) 및 분석가가 있어야 하지만, 국내에서는 이러한 인프라를 갖춘 기업이 많지 않아 확산이 더디다는 의견이다.

이에 따라 맥아피는 서비스 형태의 보안(SECaaS) 전략으로 국내 기업에 전반적인 대응 역량을 제공하겠다고 덧붙였다. 맥아피는 “파일리스, 정상 프로세스 밑에서 동작하는 악성코드는 기존 백신에서 탐지·차단이 힘들다. 이에 프로세스 행위, 파일 기록, 통신 로그등을 종합해 분석할 수 있는 EDR 솔루션이 필요하다. 관리 또한 굉장히 중요한 문제로, 통합된 대시보드를 통해 빠른 대응도 필요하다. 마지막으로는 직원들에 대한 지속적인 교육을 통해 엔드포인트 보안을 강화해야 한다”고 말했다.

비트디펜더는 글로벌 EDR 시장 성장 동향을 봤을 때 한국은 약 200억원대 규모로 형성될 것이라 내다봤다. 국내 EDR 시장은 지난해까지만 해도 IT 서비스 기업, 공공기관 등에 의한 초기 도입 단계인 만큼 정확히 측정하기는 어렵지만, 전 세계적으로는 약 27조 5,000억원 규모의 시장이 이뤄져 있으며, 포스트 코로나 등으로 인해 EDR 시장의 서비스가 급속 성장할 것이라 예상했다. 비트비펜더는 “엔드포인트에 대한 하드닝(hardening) 작업을 충실히 해 위험 요소를 사전에 제거하는 것이 가장 중요하다. 여기에는 엔드포인트 뿐만 아니라 휴먼 리스크도 함께 병행돼야 한다. 또한, 전통적인 AV 솔루션에서 탈피하고 차세대 안티 바이러스 및 EPP와 결합한 EDR 솔루션을 도입해야 한다”고 말했다.

안랩은 기관의 공식적인 발표가 없는 만큼 시장 규모 예측에 관해서는 말을 아꼈다. 하지만, 현재 자사의 EDR 솔루션을 지난 2018년 출시한 이후, 국내 대기업 계열사, 금융사, 공공기관, 중견기업 등 다양한 산업 분야에 고객사를 확보하는 등 사업을 전개하고 있다고 밝혔다. 안랩은 “EDR 솔루션으로 엔드포인트 영역에서 발생하는 이벤트, 의심 행위를 수집·분석해 보안 가시성을 확보하고, 신속하고 적절한 의사 결정을 해야 한다. 다양한 보안 솔루션을 상호보완 관점에서 연계해 보안 수준을 강화하고, 최신 보안 위협에 능동적으로 대응할 수 있도록 준비해야 한다”고 말했다.

엔피코어는 2019년 하반기 농협 EDR 도입사업을 시작으로 본격적으로 EDR 도입 의사를 나타내는 기업 및 기관이 늘어나고 있으며, 이에 점차 EDR 시장 규모가 증가 추세에 있다고 밝혔다. 이에 따라 엔피코어 역시 자사 제품인 ZombieZERO EDR을 중심으로 소비자 요구에 맞춰 국내외 솔루션과 경쟁하며 입지를 확보하고 있다고 말했다. 엔피코어는 “지능화·고도화 되는 APT 공격을 100% 방어하는 것은 쉽지 않은 과제다. 항상 악성코드가 유입될 수 있는 경로(이메일, 망연계, 네트워크)에 대한 보안 대비 및 모니터링 강화가 필요하며, 엔드포인트 단에서는 알려지지 않은 악성 행위에 대한 지속적인 모니터링 및 조치를 할 수 있도록 기관 환경에 맞는 적절한 솔루션 도입 운영을 추천한다”고 말했다.

이스트시큐리티는 현재 EDR 시장은 EPP 시장으로 통합되는 추세며, 가트너가 발표한 자료에 따라 2020년 국내 EPP 시장 규모를 약 2,300억원 규모로 예상하며, 다만 EDR 매출을 별도로 공개하는 보안 솔루션 기업이 없는 만큼 정확한 통계는 어렵다고 말했다. 또한, 국내 EDR 시장은 초기 예상과 다르게 성장이 더딘 편으로, EDR 운영을 위해서는 분석 인력이 필요하나 이러한 운영 리소스에 부담을 느끼고 있다고 설명했다. 하지만 이러한 상황에서도 신세계조선호텔, 인천종합에너지 등 각종 기업 및 기관에 알약 EDR 도입사례를 넓혀가고 있다고 덧붙였다. 이스트시큐리티는 “APT 공격은 지속적인 관찰부터 취약점 공격, 악성코드 전파로 이어지며, 여기에는 알려지지 않은 의심 행위를 차단하는 등 기존 방식 이상의 대응이 필요하다. 보안 담당자가 유의미한 위협 인사이트를 찾아내기 위해서는 이를 지원할 수 있는 실효적인 솔루션 도입이 필요하다”고 말했다.

지니언스는 가트너 자료를 인용해 최근 5년간 글로벌 EDR 시장 평균 성장률을 45.27%로 예측하고 있으며, 디 인사이드 파트너스 역시 2021년 글로벌 EDR 시장이 지난해보다 22% 성장할 것으로 내다봤다. 특히, 이 조사는 코로나19 영향을 반영하지 않은 상황인 만큼 실제 성장률을 이보다 더 클 것으로 예상했다. 실제로 2020년에는 기획재정부, NH농협, 하이트진로를 비롯해 정부부처, 금융, 제조, 통신, 인터넷, 제2금융권 등 다양한 산업 분야에 EDR을 구축했다고 덧붙였다. 지니언스는 “재택근무 확산으로 보안 담당자가 내부 네트워크를 집중 관리하는 방식보다 개별 사용자 보안이 더욱 중요해졌다. 이를 위해 보안 취약 및 사이버 위협에 노출된 기기를 적시적소에 관리해야 하며, EDR로 기존 백신을 뛰어넘는 단말 보안 수준을 유지하고 엔드포인트에 대한 가시성을 확보할 수 있다”고 말했다.

쿠도커뮤니케이션은 지난해 국내 EDR 사업은 주로 사내 일부 구간에 시범적으로 도입하는 경우가 많았으며, 올해부터 본격적인 전사적 도입 사례가 나타날 것이라고 내다봤다. 주로 금융권이나 제조기업을 중심으로 EDR을 도입할 것으로 보이며, 점차적으로 보안관제센터를 운영하는 대기업으로 확산될 것이라 예상했다. 이에 따라 쿠도커뮤니케이션은 2020년 하반기부터 엔트리 레벨의 EDR 솔루션 공급을 시작했으며, 올해부터 본격적으로 엔터프라이즈급 시장을 개척할 계획이다. 쿠도커뮤니케이션은 “APT 공격에 대한 대응은 안티 바이러스나 EDR 솔루션만으로 해결할 수 없으며, 안티 APT 전용장비나 차세대 방화벽(NGFW) 내에 TP 기능 등을 추가로 구축하는 등 종합적인 대응이 필요하다”고 덧붙였다.

기업 보안담당자는 EDR에 대해 어떻게 생각하고 있을까?
<보안뉴스>와 <시큐리티월드>가 각 기업 정보보호 담당자를 대상으로 진행한 설문조사 결과 사이버 공격이 시작되는 지점을 ‘엔드포인트’로 인식하는 응답자가 38.12%로 가장 많았으며, 다음으로 네트워크(33.14%), 권한 및 인증 탈취(16.67%) 등이 뒤를 이었다. 또한, 보안 투자를 확대하고 싶은 영역의 순서도 엔드포인트(40.12%), 네트워크(28.02%), 권한 및 인증 관리(13.82%)로 나타났다.

▲사이버 공격이 시작되는 지점은?[자료=보안뉴스]


응답자 중 과반 이상은 EDR과 기존 시그니처 기반 보안 솔루션의 차이를 구분하고 있었으며(60.46%), EDR 솔루션을 도입할 경우 위협 분석 및 예측(41.3%)과 위협 탐지(23.71%)에 대한 기대가 큰 것으로 조사됐다.

솔루션 선택 기준은 제품의 기능을 가장 많이 고려하는 것으로 나타났다(43.79%). 이밖에 가성비가 21.41%로 뒤를 이었으며, 인지도(제품 19.31%, 제조사 14.91%) 역시 비교적 높은 비율을 차지했다.

▲EDR 솔루션 도입으로 기대하는 효과는?[자료=보안뉴스]


도입 시 고려하는 기능 중에는 신규 악성코드 탐지 성능이 54.41%로 가장 높았으며, 이밖에 백신 등 기존 솔루션과의 호환(19.35%), PC 시스템 자원 점유율(13.03%), 높은 가시성 제공(12.26%) 등이 뒤를 이었다.

적당하다고 생각하는 EDR 솔루션 도입 비용으로는 1,000만원 이상~2,000만원 미만이 28.71%로 가장 응답자가 많았으며, 2,000만원 이상~4,000만원 미만이 21.86%로 뒤를 이었다. 한편으로는 8,000만원 이상이라고 응답한 비율도 15.02%로 나타나 EDR 솔루션의 필요성과 예산 규모에 대해 크게 인식하고 있다고 분석할 수 있다.

현재 EDR 솔루션을 도입한 기업에게 전반적인 만족도를 묻는 질문에서는 보통이라는 응답이 45.45%로 가장 많았으며, 만족한다는 답변은 31.23%였다. 매우 만족 역시 12.25%로 나타나 대체로 만족하는 비율이 높은 것을 알 수 있었다. 그렇다면 실제로 EDR 도입을 도입해 운영 중인 기업은 어떤 식으로 이를 활용하고 있을까?

[EDR 솔루션 도입사례] NH농협은행
선도적으로 EDR 도입한 NH농협은행, 운영 현황과 향후 계획 들어보니

NH농협은행은 국내 금융권에서 EDR 솔루션을 선도적으로 도입해 운영하고 있다. NH농협은행은 지난 2014년 정보보안부문을 설립해 2015년 시스템·장비·규정 등 기반을 마련하고, 2018년 빅데이터 기반 관제 구축, 2019년부터 차세대 보안관제 및 EDR 등을 통해 보안 질적 성장 단계에 돌입했다고 설명했다.

▲NH농협은행 김유경 부행장[사진=보안뉴스]


NH농협은행에서 CISO를 맡고 있는 김유경 부행장은 “우리는 빅데이터 분석과 위협 인텔리전스를 기반으로 한 통합보안관제(SIEM), 파일통합검역, EDR 기반 위협정보통합 검역소 등 모니터링을 통한 ‘상시 보안 점검체계’를 구축하고 있다. IT 전반에 대한 가시성 확보가 필수적인 SIEM을 통해 매일 수 TB의 정보를 수집해 이벤트 간 상관 분석을 수행하고, 침해 유형별 탐지 시나리오로 IT인프라 전반의 가시성을 확보해 즉각적인 대응을 수행한다”고 말했다.

또한 “글로벌 사이버 위협 인텔리전스 정보와 연계해 위협 정보를 인식하고, 이를 통해 알려지지 않은 보안 위협을 비롯해 보안 솔루션을 우회하는 고도화한 공격에도 대응체계를 유지하고 있다. 특히, EDR의 ‘엔드포인트 하드닝’을 통해 공격 표면을 최소화하고 있으며, 제로 트러스트 기반으로 모든 파일을 검역하는 위협정보 통합검역소도 운영 중”이라고 덧붙였다.

코로나19 이후 뉴 노멀 시대에 돌입하면서 비대면 금융 서비스가 증가하고 재택근무가 일상화되면서 보안 위협 역시 커지는 추세다. 제3자 리스크, 협력업체를 통한 소스코드 유출, 신뢰하는 공급망을 통한 사이버 공격 증가 등 보안 위협 형태 역시 다양화·고도화되고 있다. 특히, 금융권에서는 오픈뱅킹, 마이데이터 서비스 확대, IoT·오픈소스 등 신기술 활용 본격화 및 금융서비스 연결성 극대화로 인해 디도스(DDoS : 분산 서비스 거부 공격) 우려 역시 커졌다. 디지털 트랜스포메이션에 디지털 성숙도는 증가하는 반면, 사이버 보안 성숙도가 이를 따라가지 못해 사이버 위협은 커져가고 있다.

김유경 부행장은 “농협은 은행 및 농·축협의 국내 최다 영업점을 보유하고 있으며, 전국 10만 대의 단말기가 복잡하고 다양한 거래를 실시간으로 처리하고 있다. 이 때문에 모든 단말기에서 발생하는 보안위협 등 비정상 행위를 사람이 판단해 탐지·대응하는 것은 많은 시간이 소요되는 어려운 일이다. 이에 따라 EDR 솔루션을 도입하고, 수십만 개의 파일 및 데이터를 인공지능을 기반으로 분석해 악성행위 및 코드를 탐지하며 발생 가능한 보안 위협에 선제적으로 대응하고 있다”고 말했다.

농협은행은 IT센터와 본부부서 약 1만 7,000여대의 단말기에 EDR을 우선 적용해본 결과 백신에서 탐지하지 못하는 내부 환경의 이상행위를 탐지하고 확인할 수 있었으며, 여기서 수집된 정보로 이상행위를 판단할 수 있는 프레임워크를 구축할 계획이다. 또한, 악성코드 및 이상행위 탐지율의 정확도를 더욱 높이는 등 지속적인 고도화를 진행할 예정이며, 올해는 은행 영업점 단말까지 전사적으로 EDR을 확대해 보안위협에 능동적이고 선제적 대응체계를 완성할 계획이다.

김유경 부행장은 “농협은행은 은행권 최초로 EDR 구축사업을 시작했기에, 수많은 금융 단말에서 발생할 수 있는 다양한 환경적 영향도와 안정성을 검증하는 과정이 필요했다. EDR 솔루션 적용 초기에는 머신러닝 탐지의 정확도가 떨어지고 이상행위를 판단할 수 있는 근거자료가 부족한 경우도 있었다. 하지만 지속적인 내부 환경 학습과 이상행위 판단 근거 데이터의 업데이트를 통해 점차 개선해가고 있으며, 농협은행 환경에 특화된 단말보안 체계를 만들어가고 있다. 이를 통해 농협은행에 적용된 EDR 솔루션 정책이 금융권 표준이 될 수 있으리라 생각한다”고 말했다.

최근 디지털화, 금융규제 혁신 등을 통해 우수한 기술력을 갖춘 스타트업이 금융 분야로 진출하고 있는 상황이다. 김유경 부행장은 이러한 핀테크 스타트업에게 사이버 보안 구축의 중요성을 강조했다.

그는 “핀테크 기업의 금융서비스 증가와 고도화로 인해 고객 편의성은 높아지지만, 그에 따른 보안위협도 증가할 것으로 보인다. 이에 전자금융 관련 법규 등을 준수하고, 기밀성, 무결성, 가용성 확보를 위한 정보보호관리체계(ISMS)를 수립하는 등 고객의 자산을 안전하게 지키고, 편리한 디지털 금융서비스의 활성화를 위해 금융회사 수준의 높은 보안체계를 갖추도록 노력해야 한다”며, “핀테크 기업에서 보안사고 발생 시 1차적으로 고객이 피해를 입을 뿐만 아니라, 금융 및 핀테크 산업 전체의 신뢰도 하락으로 이어질 수 있으므로, 핀테크 기업들은 사이버 보안과 고객 데이터 보호가 필수적임을 인지하고 보안에 대한 아낌없는 투자가 필요하다. 마지막으로 금융회사와의 긴밀한 사이버 보안 협업체계를 유지하고 공조를 통해 상호 발전할 수 있는 계기가 되기를 바란다”고 덧붙였다.

[EDR 분야 다크호스 집중해부] 엔피코어
엔드포인트 보안의 완벽한 해답을 내놓다! ZombieZERO EDR


AI 기반 신변종 악성코드 대응 전문기업, 엔피코어
엔피코어는 2008년 설립 이래로 신변종 악성코드에 대응하는 정보보안 솔루션을 위해 제품 개발 및 연구에 매진하고 있다. 현재 국제 CC인증, 국내 CC인증, GS인증을 보유하고 있으며 미국특허 2건을 포함한 10건 이상의 특허를 등록했다. 공공기관, 기업, 대학, 금융기관 등 국내외 100여개의 레퍼런스를 보유하고 있으며, 베트남 지사 설립 및 일본, 인도네시아, 대만, 말레이시아, 태국, 두바이 등 해외총판계약을 체결해 해외시장 영업에 매진하고 있다. 국내 영업으로 매출 기반을 다지고, 해외수출 판로를 적극적으로 개척함으로써 글로벌 정보보안기업으로 도약하고 있다.

▲엔피코어 좀비제로 시리즈의 주요 기능[자료=엔피코어]


좀비제로(ZombieZERO) 시리즈
엔피코어의 좀비제로 솔루션은 신종 악성코드 대응이 어려운 기존 보안 솔루션의 한계를 뛰어넘은 완성형 보안 제품이다. 시그니처 기반의 안티바이러스 제품은 알려진 악성코드에만 대응하기 때문에 신변종 악성코드에 완벽한 대응이 어렵다. 반면, 좀비제로 시리즈는 AI 기반의 행위분석 기술을 바탕으로 악성코드가 유발하는 행위를 분석함으로써 피해 구간 없이 보안 위협을 사전에 탐지하고 차단할 수 있다. 네트워크부터 엔드포인트까지 악성코드가 유입될 수 있는 모든 경로를 방어한다.

좀비제로 EDR(ZombieZERO EDR)
ZombieZERO EDR 솔루션은 PC, 서버 등 사용자 구간에서 발생하는 랜섬웨어 및 신변종 악성코드 공격을 탐지·분석·차단하는 에이전트 형태의 보안 솔루션이다. 사용자 구간에서 발생되는 행위(네트워크, 프로세스, 파일, 레지스트리)를 기록해 위협 행위를 실시간 탐지·추적하고 신변종 악성코드에 대해 APT 분석 및 대응한다. 랜섬웨어 대응 및 파일에 대한 순간 백업 등의 기능을 하나의 에이전트(Agent)에서 통합 운영할 수 있는 정보보안 솔루션이다.

▲좀비제로 EDR의 특장점 [자료=엔피코어]


좀비제로 EDR 특장점
ZombieZERO EDR 솔루션은 IOC(침해지표)방식의 탐지뿐만 아니라 AV·YARA·가상머신을 통한 다차원 탐지 방식을 지원한다. 교육부 사이버안전센터(ECSC)에서 제공하는 Yara Rule 연동을 공식 지원하며, 중요파일 보호 및 랜섬웨어 대응을 위한 실행보류 기능과 순간백업 기능을 제공한다. MITRE ATT&CK 분류를 통한 공격형태 정보를 제공하며, 악성행위 흐름도를 통해 악성코드에 대한 직관적 분석이 가능하다. 사용자 구간에서 발생될 수 있는 위협을 제거하는 동시에 추가적인 안전장치를 제공하는 최적의 엔드포인트 보안 솔루션이다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비