기업 사이버 안전을 확보하기 위해 이미 많은 보안솔루션이 운영된다. 방화벽, 침입방지시스템(IPS), 위해사이트접속차단, 개인정보보호, 데이터유출방지, 지능형지속위협(APT) 방어 등 네트워크 기반 보안솔루션이 설치됐다. 엔드포인트 역시 백신을 비롯해 다양한 기능이 들어간 솔루션이 운영된다.
이런 상황에도 공격자는 기업에 침투해 시스템을 침해하고 내부 확산 등의 기법으로 기밀을 외부로 유출한다. 이런 피해를 방지하기 위해 제시된 제품이 차세대 엔드포인트 탐지대응(EDR) 솔루션이다. 일부에서는 EDR가 알아서 차단하고 알아서 대응하고 알아서 보여주는 만병통치약으로 오인한다.
EDR는 침해사고 발생에 따른 비용을 줄이고 엔드포인트에서 위협 탐지를 더 잘할 수 있게 한다. 엔드포인트 위협 유효성 검증을 위해 가시성을 제공하는 도구이다.
기존 엔드포인트 보안은 EPP(Endpoint Protection Platform)라는 영역에서 탐지뿐만 아니라 차단하고 방어하는 역할을 했다. 여기서 부족한 부분을 대응 관점에서 서비스를 조금 더 능동적인 방향으로 이끌어주고, 수집해서 보여주는 것에 초점을 맞춘 것이 EDR다.
기업은 엔드포인트를 통한 보안 강화 필요성을 절감한다. 하지만 EDR가 기존 많은 엔드포인트 솔루션과 무엇이 다른지, 어떻게 도입해야 하는지에 대해 어려움을 느낀다. 기업마다 다른 환경에 적합한 EDR 솔루션을 선택하는 게 중요하다.
◇안정성은 필수
EDR는 실제 사용하는 PC 등에 설치되는 프로그램이다. EDR 제품이 다양한 단말기 운용체계(OS)에서 안정적으로 운영되는지 파악한다. 아무리 좋은 EDR더라도 기업 내 임직원 호스트와 서버 등에 에이전트가 정상 설치되지 않으면 비즈니스에 위험을 초래한다. 한국 엔드포인트 환경은 액티브X와 저작권관리(DRM) 설치 등 다른 나라와 다르다. 각종 프로그램이 엔드포인트에 설치돼 충돌이나 블루스크린, 시스템 성능저하 현상이 발생한다. 이에 따른 사전 검증과 사후 지원, 조직에 대한 전문성을 두루 살펴야 한다. 이런 이유로 최근 도입하는 기업은 사전 프로젝트를 통해 안정성을 점검한다.
◇무엇을 어떻게 탐지하나
EDR 솔루션은 악성여부가 아닌 무엇을 어떻게 탐지했는가에 대한 정보를 제공해야 한다. 다양한 보안 솔루션 탐지 이벤트를 보면 악성여부와 위험도에 대한 정보를 제공한다. 그런데 실제 어떤 공격자인지 판단 정보가 부족하다. 이런 정보만으로 단편적인 대응밖에 안 된다. EDR 기본 요소는 이상 행위에 대한 침해흔적(IOC) 탐지 룰이다. IOC 탐지 룰 출처가 단순한 시그니처 집합인지 실제 침해사고 경험이 된 인텔리전스 기반인지 살펴본다.
◇EDR 도입은 보안 방어의 시작
엔드포인트 호스트 자체에 대한 상세한 분석 여부도 EDR 도입 시 꼼꼼히 따진다. OS에서 제공되는 로우 데이터는 분석에 상당한 이점을 준다. 탐지 내용을 기반으로 로우데이터 기반의 타임라인 분석이 가능한지에 따라 정확하고 빠른 대응이 가능하다. EDR 영역에서 직접적인 대응은 호스트 격리다. 호스트를 직접 컨트롤하면 무결성이 손상된다.
EDR는 자동화된 도구가 아니다. 도입하는 고객과 공급기업 간 긴밀한 관계가 요구된다. 보안관리자 입장에서 EDR 도입은 끝이 아니라 새로운 시작이다. 그동안 몰랐던 기업 내 침해 사고가 더 많이 보일 수 있다. 보이지 않았던 위협을 찾아내는 행위를 계속 하게 돼 보안 구멍을 줄인다.
정영일기자 jung01@etnews.com
