[G-PRIVACY 2022] 김대환 소만사 대표 “DLP 넘어, EDR 시장 안착…싱글에이전트 통합 전략 실현”(영상)

“외산이 주도하는 EDR 시장, 싱글에이전트 전략으로 5년 내 주도권 탈환할 것”

데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 G-PRIVACY 2022가 3월 29일 더케이호텔서울 가야금홀에서 공공, 금융, 기업 개인정보보호 및 정보보안 실무자 700여 명이 참석한 가운데 성황리에 개최됐다.

이 자리에서 소만사 김대환 대표는 “엔드포인트 싱글에이전트와 EDR”을 주제로 키노트 강연을 진행해 보안실무자들의 관심을 끌었다.

회사 PC에는 너무나도 많은 보안 에이전트들이 설치되어 있다. 약 6~10개의 에이전트가 설치돼 있을 것이다.

엔드포인트 보안 에이전트의 과다한 설치는 다음과 같은 문제를 일으킬 수 있다. 부팅 시간이 지연되며, PC 성능은 저하된다. 후킹 장애로 인해 블루스크린이 뜰 때도 있다. 의도적으로 충돌을 피하기 위해 회피기능을 탑재하게 된다면, 보안의 허점이 발생할 수도 있다. 각기 탐지하는 개인정보 패턴 탐지율이 달라 같은 파일을 검출하더라도 USB 매체제어 솔루션은 100의 주민번호를, 출력제어 솔루션은 200개의 주민번호를 탐지할 수도 있다.

김대환 대표는 “모든 기능이 탑재된 싱글에이전트를 사용할 경우 위와 같은 문제는 사라진다. 부팅은 빨라지고, PC 성능은 가벼워진다. 하나의 프로세스로 움직이기에 후킹 장애, 충돌회피의 문제에서 벗어나게 된다. 같은 제품이기에 개인정보 패턴 검출에도 일관성을 가질 수 있게 된다”고 설명했다.

그렇다면, 싱글에이전트 통합 전략은 실현 가능성이 있는 기술일까? 소만사는 10여년 이상을 고민해왔다. 개인정보 검출/파기부터 매체통제, 빅데이터 검색엔진 개발, 맥OS 지원, 그리고 EDR까지 하나의 에이전트에서 일관된 정책 하에 보안이 가능하도록 개발해왔다.

소만사는 DLP를 넘어, EDR 시장에 안착했다. 바이러스 변종 대응, APT샌드박스 우회, 클라우드 시대의 도래로 인하여 기존 솔루션으로는 효과적으로 대응하기 어려워졌다.

패턴기반 차단방식인 안티바이러스는 가장 대중적인 보안 솔루션이지만 파일리스공격, 제로데이 어택, 신변종 바이러스 차단 부분에 있어서 실시간으로 대응하기에는 기술적인 한계가 있다. 파일리스 공격은 파일생성시 나타나는 시그니처가 없어 패턴기반의 안티바이러스는 탐지자체가 불가능하다. 랜섬웨어는 끊임없는 변종을 통해 기업/기관을 공격하기에 행위기반 솔루션으로만 탐지할 수가 있다. 그렇다고 해서 패턴기반 차단방식을 등한시할 수 없다. 소만사는 행위기반 악성코드 동적분석과 함께 패턴기반 정적분석이 동시에 진행되는 방식을 선택했다. 이를 통해 패턴기반 엔진으로 1차 필터링, 행위기반 엔진으로 2차 필터링을 수행해 더욱 정교한 보안위협을 탐지하여 기업과 기관을 보호하고자 한다.

EDR은 행위 기반으로 악성코드를 식별한다. 프로세스, 레지스트리, 파일생성 등 실제 행위정보를 토대로 수집하기 때문에 악성행위에 대한 정확도가 높다. 따라서 변종 식별능력과 제로데이 대응능력이 높은 편이다. 따라서 조직 내의 엔드포인트에서 발생하는 위협행위를 탐지하고 이에 대해 빠르게 대응할 수 있다. 이것이 EDR의 방식이다.

탐지된 위협 중 이미 데이터베이스에 기록된 위협은 엔드포인트 단에서 차단된다. 그러나 의심스러운 정황이 포착될 경우에는 상위 서버로 악성여부를 조회하고 사내 PC 및 EDR 데이터베이스를 공유하고 있는 다른 기업/기관의 서버로 전송된다. 악성행위 데이터베이스 공유는 사내에 국한되지 않기 때문에 알려지지 않은 위협이 타 기관에서 발생하더라도 적시에 대응할 수 있다.

김대환 대표는 “소만사는 행위기반엔진과 패턴기반엔진이 통합된 ‘EDR’과 엔드포인트 보안 에이전트를 통합한 ‘싱글에이전트’ 솔루션으로 차별화하고자 한다”며 “개인정보/컨텐츠 분석기술을 토대로 주요정보부터 우선식별해 악성코드/랜섬웨어 감염부터 정보유출까지 모두 통제하고자 한다”고 강조했다.

이어 “올해 소만사는 장점인 PC 싱글에이전트 전략이 ‘Privacy-i EDR’을 중심으로 확대되는 것에 집중하고자 한다. 글로벌 PC보안기업 역시 PC 싱글에이전트를 지향하고 있다. ‘Privacy-i EDR’은 200여명의 국내 보안전문가를 통한 기술지원 및 대응이 신속한 것이 특징”이라며 “소만사는 기존 엔드포인트 DLP 솔루션 ‘Privacy-i’를 사용 중인 고객사의 에이전트를 ‘싱글에이전트’로 업그레이드해 외산 제품이 주도하는 EDR 시장에서 5년 내 국내 제품이 주도하는 시장으로 바꾸어 가고자 한다”고 말했다.

소만사는 올해로 25주년을 맞이한 데이터 보호 전문기업이다. 엔드포인트부터 네트워크단까지 전 구간의 데이터 보호에 주력하고 있다. 행정안전부 개인정보 영향평가기관 및 과학기술정보통신부 지정 지식정보보안컨설팅 전문업체이기도 하다. 현재 국내 2천여 개 고객사를 보유하고 있다.

김대환 소만사 대표의 보다 상세한 강연내용은 아래 영상을 참조하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

길민권 기자 다른기사 보기