플랫폼 기반의 EDR 운영으로 더 강력한 위협 대응

[보안뉴스 김경애 기자] 엔드포인트 위협 탐지·대응 솔루션 EDR(Endpoint Detection and Response)은 기존 보안 솔루션과 달리 특정한 기능을 수행하기 위한 목적보다는 엔드포인트에서 발생하는 다양한 이벤트와 보안 위협에 대해 가시성을 제공한다. 이 때문에 보안관리자가 어떻게 대응하는 것이 좋을지 신속하게 의사 결정을 하고, 능동적으로 조치할 수 있게 하는 것이 핵심이다.


‘EDR’은 무엇을 하는 솔루션인가
안랩 EDR은 지난 30년간 축적된 안랩의 악성코드 분석 기술과 엔드포인트 보안 대응 경험이 집약된 차세대 엔드포인트 보안 솔루션이다. 지속적인 모니터링을 기반으로 실제 엔드포인트 영역에서 발생하는 모든 위협 정보를 수집해 위협 가시성 기반의 진일보한 위협 대응을 제공한다.

AhnLab EDR, 무엇이 다른가
안랩 EDR의 목적을 한 마디로 정의한다면 ‘엔드포인트 보안 위협 가시성 확보를 통한 적극적인 위협 대응’으로 요약할 수 있다. ‘엔드포인트 보안 위협 가시성을 제공한다’는 표현은 폭넓게 해석될 수 있다. 안랩 EDR은 V3에 적용된 국내 최초의 독자적인 행위 기반 분석 엔진인 MDP 엔진을 통해 엔드포인트의 실제 운영체제 기반의 모든 행위 정보를 탐지·수집·저장·분석한다. 이와 함께 엔드포인트 위협 이벤트의 타임라인 분석을 통해 위협의 유입 경로, 종류, 목표(target), 행위, 내부 확산 여부 등에 대한 상세한 정보를 제공한다.

안랩 EDR의 연관 관계 다이어그램은 엔드포인트에서 발생한 위협의 연관 관계를 다이어그램으로 보여주기 때문에 보안 관리자는 해당 위협이 언제, 어디서, 어떻게 유입됐는지 파악할 수 있다. 기존의 엔드포인트 보안 환경에서 보안관리자는 어떤 악성코드가 탐지됐는지 결과만 볼 수 있었다. 그러나 안랩 EDR을 통해 엔드포인트 보안 위협에 대한 상세한 가시성을 확보함으로써 위협과 관계된 것을 한눈에 볼 수 있으며, 그에 따른 대응을 신속하게 결정할 수 있을 뿐만 아니라 보다 적극적인 대응이 가능하다.

V3를 EDR 에이전트로...관리 부담 줄이고 효과는 극대화
적게는 수십에서 많게는 수백, 수천 대의 시스템으로 구성된 엔드포인트에서 발생하는 수많은 위협 행위를 모니터링하고 정보를 수집하기 위해서는 에이전트가 필요하다. 그러나 이미 다수의 보안 솔루션이 엔드포인트에 설치되어 있는 상황에서 에이전트를 추가 설치하는 것은 엔드포인트 시스템의 성능 저하 문제나 기존 애플리케이션과의 충돌을 야기할 우려가 있다. 또한, 다수의 보안 솔루션 운영과 관련된 다수의 관리 콘솔이 존재하는 상황에서 관리 콘솔을 추가로 구성하는 것도 보안관리자에게는 상당한 부담이다.

실제로 여러 외산 EDR 솔루션이 국내 시장에 진출했지만 이러한 이유로 고객 확보에 어려움을 겪고 있다.

안랩은 지난 2년여 간 다양한 고객의 피드백을 수집, 별도의 에이전트를 설치하는 방식이 아닌 기존 V3를 활용하는 방식으로 개발했다. 즉, V3가 안랩 EDR 에이전트가 되는 셈이다. 기존에 V3 제품을 이용 중인 고객사에서는 엔드포인트 시스템의 성능 저하나 안정성에 대한 부담 없이 손쉽게 EDR을 구축·운영할 수 있다.

다수의 글로벌 인증 기관에서 세계 수준의 성능을 인정받고 있는 V3는 악성코드가 엔드포인트에 침입하거나 악성행위가 발생하는 순간 이를 탐지하고 차단하는 ‘실시간 감시’ 기능을 제공하고 있다. 실시간 감시를 수행하기 위해 V3는 이미 엔드포인트 상의 다양한 위협 경로에 대해 모니터링을 수행하고 있다. 이처럼 V3가 모니터링하고 있는 데이터를 기반으로 안랩 EDR은 엔드포인트의 위협 정보를 수집·저장하고 분석한다.

플랫폼 기반의 EDR 운영으로 더 강력한 위협 대응
대부분의 EDR 솔루션은 엔드포인트의 다양한 위협과 관련된 파일을 비롯해 레지스트리, 프로세스, 네트워크 연결 등 수많은 행위 정보를 모니터링하고 수집하여 관리 서버에 저장한다. 이렇게 저장된 상당한 양의 데이터를 유의미한 ‘정보’로 제공하기 위해 여러가지 기술을 이용한 분석 작업이 수행된다.

문제는 다수의 엔드포인트에서 발생하는 수많은 데이터를 저장하고 분석하기에는 기존의 관계형 데이터베이스 기반의 매니지먼트 시스템(RDBMS)으로는 한계가 있다는 점이다. EDR 에이전트가 위협과 관련된 행위 정보를 수집하여 전달하더라도 기존의 일반적인 관리 서버가 이를 받아서 저장하고 시의적절하게 분석할 수 없다면 아무 의미가 없다.

바로 이러한 이유로 안랩은 EDR에서 수집된 많은 데이터를 효율적으로 저장·분석하기 위해 데이터를 병렬 분산 처리할 수 있는 빅데이터 기반의 플랫폼을 개발, 안랩 EDR과 함께 출시했다.

엔드포인트 보안 플랫폼 안랩 EPP는 단순히 EDR만을 위한 관리 솔루션은 아니다. 안랩 EPP는 EDR은 물론, V3 제품, 안랩 패치 매니지먼트(AhnLab Patch Management), 안랩 프라이버시 매니지먼트(AhnLab Privacy Management), 안랩 내PC지키미 등 다양한 안랩의 엔드포인트 보안 솔루션을 단일 관리 콘솔을 통해 효율적으로 운영할 수 있는 플랫폼이다. 다수의 엔드포인트 보안 솔루션의 연계를 통해 유연한 보안 관리와 더욱 강력한 위협 대응을 제공한다.


안랩 EDR과 안랩 EPP는 고객에 의해 만들어졌다고 해도 과언이 아니다. 지금까지 안랩과 함께 엔드포인트 보안 체계를 마련·운영해온 수많은 고객들의 의견과 고민에서 시작된 솔루션들이기 때문이다. EDR, EPP 출시로 엔드포인트에 대한 지속적인 모니터링을 수행하고 위협 정보를 수집·저장해 분석할 수 있는 환경이 마련됐기 때문에 안랩은 앞으로 더욱 고객의 요구사항을 수렴하고 반영함으로써 더욱 진일보한 위협 대응을 제공할 예정이다.

이러한 가운데 안랩은 오는 8월 30일부터 31일 양일간 코엑스에서 개최하는 ‘ISEC 2018’ 에 참가해 부스 전시와 강연를 통해 솔루션을 선보일 계획이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>