“모든 사과를 다 썩지 않게 보호하기 위해 아주 비싼 박스를 만들기보다는 썩기 시작한 사과 하나를 집어내 나머지를 보호하는 것이 더 효과적입니다. 지능적이고 조직화된 지능형지속공격(APT)을 모두 막을 수 없다면 표적이 된 엔드포인트에 들어온 공격을 조기에 탐지하고 빠르게 대응하는 역량을 갖춰야 합니다.”
이동훈 고려대 정보보호대학원장은 3일 코마스가 개최한 `차세대 보안 위협` 세미나에서 엔드포인트 탐지·대응(EDR) 중요성을 강조하며 이 같이 밝혔다. 기존 경계선 중심 보안이 APT 공격 등 방어에 한계를 보이는 가운데 내부 탐지와 대응에 초점을 맞춘 EDR 필요성이 커졌다는 설명이다.
최근 전 세계 기업과 기관 등을 대상으로 지속 발생하는 APT는 뛰어난 전문가가 기술적 요소뿐만 아니라 사회공학적 기법 등 인적 요소까지 공격에 활용한다.
이 원장은 “APT는 네트워크단에서 방어 장벽을 치는 방화벽이나 침입탐지시스템(IPS)을 뚫는 게 아니라 스피어피싱 등 사회공학적 기법을 활용해 대상에 침투한다”면서 “몇 달에서 면 년간 잠복하며 조용히 정보를 수집하기 때문에 공격을 당했다는 사실조차 인지하기 어렵다”고 말했다.
EDR는 경계선 기반 솔루션과 기존 엔드포인트 보안 솔루션 한계를 보완하기 위해 등장했다. 악성코드 등 공격 유입 후 내부 시스템 감염 전이나 확산 등을 탐지하고 침해사고 대응과 분석을 위한 데이터를 확보한다.
EDR를 기반으로 엔드포인트 내 상황 정보를 획득이 가능해진 보안관제센터(SOC)와 각 위협 관련 정보와 침해 증거 등을 표준화된 형태로 정리한 침해지표(IoC), 엔드포인트 활동 내역을 지속 모니터링·기록하는 엔드포인트 센서 등으로 구성된다.
이 원장은 “기존 방어 위주 보안 체계 가장 큰 문제는 위협 탐지에서 솔루션 패치까지 보통 1년이 넘게 걸린다는 점”이라며 “EDR는 엔드포인트에서 지속적으로 정보를 수집해 감염된 시스템 파일을 격리하고 차후 공격을 신속하게 대비하는데 도움을 준다”고 말했다.
이날 세미나를 개최한 코마스 역시 글로벌 EDR 제품을 국내 소개하기 위해 준비 중이다.
변준석 코마스 보안사업부문 대표는 “EDR에서도 단순한 솔루션 공급을 넘어 제품 도입 후 침해 분석과 대응 등 고객에 필요한 다양한 기술적 지원이 가능하도록 차별적 지식 역량을 갖출 것”이라고 말했다.
박정은기자 jepark@etnews.com
