보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
위협 인텔리전스 결합한 EDR로 승부 - 김준섭 부사장 인터뷰
국내 여러 기관에서 EDR 검토, 도입에 적극적으로 나서며 엔드포인트 위협 탐지 및 대응(EDR) 시장의 윤곽이 점차 드러나기 시작했습니다. 장애와 충돌이 잦은 문제, 악성코드 및 포렌식 전문인력이 있어야 운영할 수 있었던 한계점 등 그동안 EDR 솔루션 도입에 장벽으로 작용했던 부분들이 해결되고 있기 때문인데요.
오늘은 김준섭 이스트시큐리티 부사장과 IT전문 인터넷신문 데이터넷이 국내 EDR 시장의 현주소와 이상적인 통합 엔드포인트 보안 모델에 관해 나눴던 심도깊은 대화를 전달드리려고 합니다. 지금 바로 살펴볼까요?
(▲김준섭 이스트시큐리티 부사장)
Q. 이스트시큐리티의 EDR 무엇이 다른가?
A. 이스트시큐리티는 ‘알약’과 ‘알약 EDR’, 위협 인텔리전스 서비스인 ‘쓰렛인사이드(TI)’를 결합해 차세대 엔드포인트 보안의 이상을 완성한다.
기존 시그니처 기반 엔드포인트 보안 솔루션을 보완하기 위해 EDR 솔루션이 해결책으로 부상했지만, EDR은 수많은 노이즈로 인해 관리 업무가 증가한다는 결정적인 문제가 있었다. 이 같은 EDR의 한계는 위협 인텔리전스를 통해 탐지된 위협을 제거하고 새롭게 발견된 위협을 파악, 자동화된 대응을 통해 해결할 수 있다.
이스트시큐리티는 악성코드 분석에 있어 국내 최고 수준의 전문성을 보유하고 있으며, 국내 최대 사용자로부터 수집한 위협을 분석한 TI를 통해 발견된 위협의 성격과 패턴, 공격 조직의 특징 등을 파악할 수 있어 발견된 공격에 대한 최적의 대응 방안을 제공할 수 있다.
이스트시큐리티 차세대 엔드포인트 보안 솔루션의 경쟁력은 신세계조선호텔 전 사업장에 공급되면서 입증된 바 있다. 특히 외산 솔루션이 국산 솔루션에 비해 탐지기술이 뛰어나다고 생각했던 고정관념을 깬 사례로, 국산 솔루션이라도 높은 정확도와 고도의 전문성을 기반으로 제공되는 보안 솔루션이 있다는 사실을 고객이 알아주기를 바란다.
Q. 백신과 비교했을 때 EDR은 어떻게 접근해야 하는가?
A. EDR은 백신처럼 운영해선 안된다.
EDR은 기존 보안 솔루션이 탐지하지 못한 지능형 공격을 방어하기 위한 것으로, 보안조직의 리소스가 추가로 투입되어야 하는 솔루션이다. 자동 탐지·차단이 가능한 백신처럼 운영해서는 EDR 도입에 성공할 수 없다.
백신이나 EDR, 어느 하나의 솔루션만으로 진화하는 위협에 대응할 수 없다. 알려진 공격은 백신으로 차단하고, 알려지지 않은 공격은 행위기반 분석 기술을 탑재한 EDR을 통해 탐지하며, 위협 인텔리전스와 비교해 빠르게 대응한 후, 솔루션이 판단하지 못한 고도화된 위협은 전문 조직이 직접 대응하면서 엔드포인트 보안 위협을 낮춰야 한다.
무엇보다 EDR은 악성코드 분석 전문성이 반드시 필요하다. EDR은 엔드포인트에서 발생하는 행위를 모니터링해 공격 정황이 발견되거나 평소와 다른 이상행위가 발생했을 때 이벤트를 발생시킨다. 이 점을 강조하며 지능적인 행위분석 기술로써 EDR을 완성할 수 있다는 주장이 있지만, 악성코드 분석 전문성이 없으면 엔드포인트에서 발생하는 위협 행위를 판단하기 어렵다. 예를 들어 프로세스를 후킹하는 행위는 악성코드 뿐 아니라 보안 솔루션도 발생시키는데, 이를 모두 비정상 행위라고 이벤트를 발생시키면 오탐이 많아 결국 관리가 어려워지게 된다.
또한 공격은 지속적으로 변하고 있어 행위분석 기술을 우회하는 공격도 쉽게 개발할 수 있다. 공격자의 특성, 공격 도구에 대한 전문적인 기술이 없으면 엔드포인트에서 발생하는 수 많은 위협 행위를 제대로 파악하지 못한다. 악성코드 분석 기술을 이용해 이상정황을 분류하고 전문가 분석을 통해 대응하지 못하면 피해가 확산되는 것을 막을 수 없다.
Q. 국내 EDR 시장 전망은 어떻게 보는가?
A. 대규모 성공사례가 완성되면 EDR 시장이 급성장 할 것이다.
우리나라에 EDR이 소개된 것은 꽤 오래 됐지만 국내 환경에 맞지 않는 솔루션 운영 방식으로 인해 확장 속도는 매우 더뎠다. 설치하면 자동으로 위협을 탐지·차단하는 기존 엔드포인트 보안 솔루션처럼 운영하려다보니 탐지된 위협에 대한 추가 분석과 대응이 필요한 EDR은 운영이 어려운 솔루션으로 인식됐다.
EDR 시장은 아직 시작 단계에 있으며, 대규모 성공사례가 완성되기까지 많은 시행착오를 겪게 될 것이다. 그러나 누구나 인정하는 성공사례가 만들어지면 엔드포인트 보안 시장의 질서를 재편하게 될 것이다. EDR 솔루션만으로는 시장의 발전을 이루지 못하며 백신과 위협 인텔리전스, 전문 대응조직의 결합을 통해 성공적인 차세대 엔드포인트 보안을 완성할 수 있다.
EDR 시장 초기임에도 불구하고 시장 선점 경쟁이 치열해져, 일부 대형 프로젝트에는 출혈경쟁이 나타나고 있다. 가격이 무너지면 시장 규모를 키울 수 없으며, 가격이 아닌 기술로 승부하는 시장 질서를 만들어가야 엔드포인트 보안 시장을 성장시킬 수 있을 것이다.