2024-12-22 02:10 (일)
[탐지를 넘어 직접적인 대응으로, EDR-②] 글로벌 EDR 트렌드 그리고 ‘DLP’와 ‘EDR’
상태바
[탐지를 넘어 직접적인 대응으로, EDR-②] 글로벌 EDR 트렌드 그리고 ‘DLP’와 ‘EDR’
  • 길민권 기자
  • 승인 2019.10.10 15:31
이 기사를 공유합니다

DLP와 EDR 결합 통해 악성행위 차단하고 주요한 정보 우선적으로 보호해야

2018년 EDR 트렌드

작년의 대세 역시 EDR이었다. 다만 2018년에는 Detection(탐지)의 성향이 강한 솔루션이 주를 이루었다. 당시의 EDR 솔루션들은 적극적으로 행위를 제어하는 것 보다는 엔드포인트에서 발생하는 이슈들을 최대한 수집하고 분류한 후 보안관리자가 대응할 수 있도록 도와주는 포렌식 도구의 느낌이 강했다. 즉, 정보는 수집하여 줄 수 있으나 판단과 대응은 보안담당자에게 맡기는 구조였다.

ATT&CK, EDR에 대응력을 불어넣다

이런 상황을 보완하고자 하는 움직임이 있었다. 미국의 비영리 단체인 ‘MITRE’에서 ATT&CK 모델을 발표했다. ATT&CK은 사이버공격 관련 킬체인 관리보고서다. 킬체인은 본래 군사용어로 공격형 방위시스템을 일컫는다. 정보보안업계에서 킬체인은 ‘사이버 공격 방위시스템’으로 이해하면 되겠다.

ATT&CK은 2015년 발표된 후 조금씩 개선/고도화됐다. 2018년 봄에는 상세한 기법과 함께 정리된 데이터를 오픈소스로 공개했다. 그리고 이 시점부터 EDR 기업들은 ATT&CK을 적극적으로 활용하기 시작했다.

ATT&CK은 initial access, execution, discovery, Exfiltration 등 11개의 전술과 각 전술에서 사용되는 기법들을 일목요연하게 정리했다. 각 기업에 관한 설명, 탐지방법, 기법을 사용한 해킹그룹의 사례도 제공하고 있다. 더 나아가 각 엔드포인트 보안제품군이 각 기법들에 대해 어떻게 대응하고 있는지 확인이 가능해 자사제품과의 객관적인 평가가 가능하다.

ATT&CK을 토대로 EDR 기업들은 각 공격기법에 대해 적극적으로 대응할 수 있게 되었다. 2018년은 Detection의 비중이 컸다면 2019년은 Response로 조금 더 진화했다.

국내 EDR 역시 ‘대응’에 초점

글로벌 트렌드에 맞추어 국내 EDR 솔루션 역시 대응(Response) 중심으로 변화하고 있다. 탐지엔진의 위치를 엔드포인트로 과감하게 변경하고 있다. 공격이 감지되면 바로 대응(Response) 할 수 있도록 조치하는 것이다.

2019년의 EDR은 ‘Endpoint Detection’에 ‘& Response’가 강화됐다. 정확하고 신속한 위협대응으로 확산을 막는 것이 현실적으로 가능해졌다.

EDR이 극복해야 할 과제

때때로 이런 질문을 받는다.

“EDR이 탐지했을 때는 이미 최초의 PC 한 대는 감염된 것 아닌가요? 그건 감염사고잖아요.”

맞는 말이다. 전세계에서 최초 한 번은 감염된다. 다만, 그 이후 우리회사뿐만 아니라 EDR이 도입된 전세계 다른 엔드포인트 감염은 막을 수 있다.

EDR은 신종/변종 발견시 기존 대응 솔루션보다 신속하고 자동화된 대응능력을 가졌다. 실제 엔드포인트단에서 프로세스행위 기준으로 분석하기 때문에 정확한 패턴분석력을 가지고 있다.

물론 단점도 있다. 파급력이 어마어마한 악성코드, 바이러스를 실시간으로 대응하기 위해서는 작은 정보도 놓치지 않고 수집해야 한다. 그래서 엔드포인트에서 정보를 광범위하게 수집한다. 엔드포인트 부하가 발생할 수밖에 없다.

악성코드, 바이러스는 PC와 서버뿐만 아니라 모바일 환경에도 영향을 끼친다. 그러나 모바일 플랫폼의 EDR은 아직 출시되지 않았다. 아직까지는 모바일 환경에서의 악성코드, 바이러스, 랜섬웨어 차단은 기존의 시그니처 방식을 이용하고 있다. 스마트폰 활용이 보편화돼 자유로운 웹서핑이 가능해진 요즘, 모바일을 위한 EDR의 필요성이 대두되고 있다.

DLP(Data Loss Prevention: 내부정보유출방지)와 EDR

EDR(Endpoint Detection & Response)은 말 그대로 엔드포인트 탐지 및 대응 솔루션이다. 엔드포인트 단에서 무엇인가를 탐지하고 대응하는 행동을 한다. 여러 업체들이 EDR 시장에 들어와 자신의 제품을 선보이고 있지만 우월한 성능을 자랑하고 있는 곳은 극소수이다.

하지만 이들은 EDR에 특화된 기업이다. 그래서 어떤 정보가 더 중요하며 유출되어서는 안되는지 구분하지 못한다. 중요한 정보와 그렇지 않은 정보를 구분해서 보호하지 않는다.

회사 등산대회에서 찍은 단체 사진과 2019년 신규가입 고객정보파일이 있다고 하자. 둘 다 랜섬웨어로 인하여 암호화되었다면 어떤 파일이 더 치명적인 문제를 일으킬 수 있을까?

대응에도 우선순위가 있다. 중요한 정보가 우선 보호되어야 한다.

PC 안에 보관된 개인정보파일, DB/서버 내 고객 데이터베이스, 네트워크를 통해 전송시도된 개인정보파일 등을 통합적으로 연계, 관리하는 솔루션이 필요하다. 이를 통해 중요정보 오염에 선제적 대응을 할 줄 알아야 한다. 즉 무엇을 지켜야 하는지 알고 지켜야 한다.

소만사의 EDR 솔루션은 DLP와 연계됐다. 정보의 우위를 알기에 비상상황 발생시 중요정보부터 우선 보호가 가능하며, 유출통제기능으로 정보유출을 차단하기에 우월하다.

개인정보보호 솔루션은 그 동안 두 단계의 변화를 겪었다. 처음에는 개인정보 파일 검출, 삭제, 암호화를 통해 위험요소를 제거했다. 두번째는 매체, 출력물, 네트워크를 통한 유출의 경로를 차단했다.

이제는 DLP와 EDR의 결합을 통해 악성행위를 차단하고 주요한 정보를 우선적으로 보호해야 한다. 엔드포인트에서 탐지하고 엔드포인트에서 대응해야 한다. 더 나아가 엔드포인트를 통해 정보가 흘러나가지 않도록 네트워크와 연동하여 전방위 대응체계를 구상해야 한다.

해킹공격은 매일매일 지능적으로 고도화되고 있다. 보안 허점은 끊임없이 늘어난다. EDR을 통해 방어하고 대응해야 할 때다.

[글. 최일훈 소만사 부사장]

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★