지난해 말 한국인터넷진흥원은 2018년 7대 사이버 공격 전망으로 지능화된 랜섬웨어, 금전 이익을 노리는 공격 증가, 취약한 사물인터넷(IoT) 기기의 오프라인 범죄 악용 등을 선정했다. 다양한 키워드가 등장하지만 공통부분이 존재한다. PC, 스마트폰 등 '엔드포인트'가 보안 공격의 시작 또는 중요한 루트로 활용된다는 점이다. 2018년 '엔드포인트 보안'은 보안 관리자를 고민하게 하는 가장 중요한 요소가 될 것이다.
예측은 한국침해사고대응팀협의회에서 발간한 'CONCERT FORECAST 2018-기업 정보보호 이슈 전망' 보고서에서 확인할 수 있다. 최신 보안 트렌드와 솔루션에 가장 민감한 기업 보안관리자의 관심이 엔드포인트 보안과 관련 솔루션에 집중됐고, 실제 도입을 준비하고 있다.
백신, 통합 PC 보안 솔루션을 보유한 기업에서 도입과 운영이 가장 꺼려지는 엔드포인트 보안 솔루션에 새롭게 관심을 둘 수밖에 없는 이유는 무엇일까. 랜섬웨어로 대표되는 악성코드 때문이다. 랜섬웨어를 포함한 악성코드가 하루 100만개씩 새롭게 등장하는 지금 백신 등 패턴 업데이트를 통해서 유효한 솔루션에 한계를 느낀다.
보안관리자는 전문 인력이 분석을 완료해 이미 알려진 위협인 악성코드 특성, 전파 경로, 대응 방안을 인지하고 실제 적용하는 것과 함께 매일 새롭게 등장하는 알려지지 않은 위협인 신·변종 악성코드 대응책도 마련해야 한다. 관리하는 엔드포인트 가운데 악성코드에 감염된 것은 없는지, 이미 감염돼 네트워크 내 다른 엔드포인트에 전파하고 있는 것은 아닌지 등 통합 모니터링을 통한 관리가 필요하다.
보안 환경 변화와 보안관리자의 고민 속에 최근 가장 관심을 받는 분야가 바로 '엔드포인트 위협 탐지 및 대응(EDR) 솔루션'이다. EDR는 네트워크에서 관리하는 엔드포인트 활동을 모니터링해서 알려진 악성코드와 알려지지 않은 신종, 변종 악성코드를 신속하게 탐지하고 대응한다.
EDR의 강점은 백신으로 탐지하기 어려운 신종, 변종 악성코드 탐지 및 대응에 있다. 유사한 패턴을 기반으로 한 악성코드 특성을 활용한 기계학습 등 기술을 활용해 기존 백신이나 다른 엔드포인트 보안 솔루션으로 탐지되지 않는 악성 위협에 대응할 수 있다.
국내뿐만 아니라 해외에서도 EDR 솔루션에 쏠린 관심을 확인할 수 있다. 글로벌 시장조사기관 가트너 등의 자료를 통해 2015~2020년 연평균복합성장률(CAGR)이 45.27%로 추산되는 등 보안관리자가 고민하는 부분을 해결할 수 있는 솔루션으로 각광 받는다. 국내에서도 흐름에 맞춰 카본블랙, 사일런스 등 글로벌 벤더와 지니언스 등 국내 벤더가 관련 솔루션을 출시했다.
EDR 분야가 알려지지 않은 위협에 대한 효율 대응인 만큼 선택의 주요 기준으로 기계학습 기술 탑재 여부는 물론 기술 적용을 통한 정탐, 오탐 등 탐지 결과가 채택될 것으로 예상한다.
기계학습 기술 적용을 내세운 벤더들이 다양한 종류의 악성코드 탐지를 위해 최적화된 학습 모델을 연구한다. 동시학습·재학습으로 악성코드 탐지 고도화와 오탐률을 줄이는데 심혈을 기울이고 있기 때문이다.
엔드포인트를 보안 공격에 활용해서 공격을 감행하는 악성 공격자는 지속 증가할 수밖에 없다. 물론 보안관리자의 엔드포인트 보안 고민 해결을 위해 새로운 솔루션을 도입하는 것만이 능사는 아니다. 그러나 이전에 반복해 온 작업과 나름의 관리 속에서도 랜섬웨어를 필두로 한 악성코드 대응 고민이 남아 있다면, 전통 보안 솔루션에서 확장한 새로운 접근이 필요한 때다.
이동범 지니언스 대표 dblee@genians.com
