Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

profile 일반정보 EDR, 보안의 미래 될까?

작성자: 구피 조회 수: 262 PC모드

EDR, 보안의 미래 될까?


최근 보안 분야에서 가장 주목 받고 있는 솔루션은 EDR(Endpoint Detection & Response)이다. EDR 시장에 대한 관심이 높은 이유는 기존 보안 솔루션에서 부족한 가시성(Visibility)과 대응(Response)을 한층 강화한 솔루션이라는 기대감 때문이다. 과연 EDR은 이런 기대를 충족시키는 새로운 해결책이 될 수 있을까. 아니면 잠시 반짝 유행을 타는 아이템에 그칠까.

 

이 글에서는 EDR의 등장 배경과 고객의 니즈, 그리고 2018년 4월말 출시 예정인 AhnLab EDR과 AhnLab EPP에 대해 소개한다. 


끊이지 않는 보안 사고와 악성코드 위협

2017년에도 대형 보안 사고들이 발생했다. 에퀴팩스(Equifax), 우버(Uber), 버라이즌(Verizone) 등의 기업들이 대규모 개인정보 유출사고를 겪었다. 또 전세계를 공포로 몰아넣은 워너크라이(WannaCry)와 페트야(Petya), 국내 인터넷 서비스를 업체를 파산에 이르게 한 에레보스(Erebus) 등 랜섬웨어로 인한 피해도 속출했다.

 

이러한 공격의 시작점은 대부분 엔드포인트로, 악성코드를 활용해 진행되었다. 이는 최초의 바이러스로 불리는 ‘브레인(Brain)’의 등장 이후 지난 30여 년 동안 지속된 패턴이다.

 

1804026590643937.PNG 

[그림 1] 주요 악성코드 변천사

 

변화가 있다면 탐지를 회피하는 기술이 진화했다는 것이다. 변하지 않은 것은 공격자가 악성코드를 계속 활용하고 성공할 것이라는 점. 따라서 엔드포인트에서 보안 위협을 통합적으로 관리하고 대응할 수 있는 전략과 솔루션이 필요하다.

 

기존 보안 솔루션의 한계, 그리고 고객의 니즈

이러한 인식의 전환에 대한 필요성은 보안 업계뿐만 아니라 보안 솔루션을 사용하는 일반 기업에서도 대두되고 있다. 기업들은 일반적으로 엔드포인트 영역에는 안티바이러스, 패치 관리, 매체 제어, NAC 등의 보안 제품을, 네트워크 영역에는 방화벽(Firewall), 침입방지시스템(IPS), DDoS 방어시스템, 웹 방화벽(WAF) 등을 도입해 운영하고 있다. 그럼에도 불구하고 여전히 악성코드에 감염되고 시스템 마비, 데이터 유출과 같은 피해가 발생한다.

 

공격자는 안티바이러스 제품과 지능형 위협(APT, Advanced Persistent Threat) 방어 전용 제품을 우회하며 정교한 공격을 전개하고 있고, 패치를 적용하지 않은 응용 프로그램, 취약한 웹 사이트 접속 등을 통해 감염되는 사례가 빈번하게 벌어지고 있다. 또한 네트워크 보안 제품은 허가된 주소, 프로토콜, 애플리케이션을 통한 악성코드 유입 차단에 한계를 가진다.

 

비교적 최신 제품으로 행위와 데이터 기반의 분석 제품인 UEBA(User and Entity Behavior Analytics)와 SIEM(Security Information and Event Management)도 보안 위협을 100% 차단하는 것은 아니다. UEBA는 행위 기반이기 때문에 SIEM와 같은 데이터 수집 서버가 별도로 필요하다. SIEM은 연동된 단위 보안 제품에서 로그가 전송되지 않을 경우에는 분석할 수 없기 때문에 단위 보안 제품에 의존적일 수 밖에 없다. 

  

1804026590790946.PNG
[그림 2] 기존 보안 솔루션의 한계

  

이제 기업은 지금까지 도입한 보안 솔루션만으로 보안 위협을 방어하기에 충분하지 않다는 것을 이해하기 시작했다. 또, 신종 악성코드나 제로데이 취약점을 악용한 ‘알려지지 않은 위협’, 그리고 내재해 있으나 언제 발현될 지 예측할 수 없는 ‘보이지 않는 위협’에 대응해야 한다는 것을 알고 있다. 기업은 이제 너무 많은 피해가 발생하기 전에 신속한 탐지와 대응을 할 수 있는 솔루션이 필요하다는 것을 인지하고 있다는 것이다.

 

이러한 관점에서 현재 기업의 보안 담당자들이 가장 관심을 갖고 있는 솔루션이 바로 EDR(Endpoint Detection and Response)이다. 국내뿐만 아니라 세계적으로도 EDR에 대한 니즈와 관심이 높다. 글로벌 리서치 기관 가트너(Gartner)는 전세계적으로 EDR 시장 규모가 2015년 2억 3천 8백 달러에서 2020년 15억 달러로 연평균성장률(CAGR) 45.27% 증가할 것으로 예측했다. 또한 2020년까지 대기업의 65% 이상과 중견 기업의 절반 이하가 완전한 기능을 갖춘 EDR에 투자할 것이라고 전망했다.

 

1804026590888710.PNG 

[그림 3] EDR 시장 규모 및 성장 전망 

 

EDR(Endpoint Detection and Response)이란

그렇다면 현재 보안 분야의 최대 화두인 EDR이 무엇인지 알아보자. EDR의 등장은 지난 2013년으로 거슬러 올라간다. 가트너는 지난 2013년 블로그를 통해 ETDR(Endpoint Threat Detection and Response, 이후 EDR로 축약)을 처음으로 소개했다. 이후 2014년부터 시장과 기술 트렌드, 그리고 주요 벤더들의 움직임을 소개하는 ‘EDR 마켓 가이드(Market Guide for EDR Solutions)’ 보고서를 매년 발행하고 있다.

 

가트너가 정의하는 EDR은 엔드포인트 레벨에서 지속적인 모니터링과 대응을 제공하는 보안 솔루션을 의미한다. 또, EDR은 ▲보안 침해 탐지(Detect security incident) ▲보안 침해 조사(Investigate security incident) ▲엔드포인트에서의 보안 통제(Contain the incident at the endpoint) ▲감염 전 상태로 엔드포인트 치료(Remediate endpoint to a preinfection state) 등 4가지 기능을 제공해야 한다고 설명하고 있다.

 

즉, EDR은 엔드포인트에서 일어나는 다양한 행위들을 얼마나 빨리 그리고 얼마나 많이 탐지할 수 있는지가 중요하며, 이렇게 탐지된 단말 이외에 또 어떤 단말이 피해를 입었는지 등 엔드포인트 레벨에서 발생한 침해 행위를 추적할 수 있는 가시성(Visibility)을 제공해야 한다. 또한 추가 피해가 발행하지 않도록 감염된 단말을 격리하거나 네트워크를 차단, 취약점을 찾아서 패치를 적용하는 것과 같은 대응(Response)이 가능해야 한다. 이 모든 행위의 목적은 보안 위협으로부터의 피해를 최소화하는 것이다.

 

현재 전세계적으로 많은 보안 업체들이 EDR 솔루션을 선보이고 있다. 안랩, 시만텍, 트렌드마이크로와 같은 EPP(Endpoint Protection Platform) 업체들은 기존 제품에 EDR 모듈을 추가하는 형태로 시장에 제품을 출시하거나 준비중이다. 또, 차세대 안티바이러스(Next Generation Anti-Virus) 업체, 신생 EDR 업체 등도 제품을 출시하고 시장 선점을 위해 경쟁 중이다.

 

왜 안랩은 EDR을 EPP와 함께 얘기하는가?

안랩은 4월말 AhnLab EDR 제품을 출시할 예정이다. 특이점은 안랩의 차세대 엔드포인트 보안 플랫폼인 AhnLab EPP를 함께 선보인다는 것이다.

 

최근 보안의 시작과 끝인 엔드포인트가 다시 주목받고 있다. 이를 두고 일부에서는 엔드포인트의 귀환이라고 표현하기도 한다. 그러나 안랩은 설립 당시부터 지금까지 엔드포인트 보안의 중요성에 대해 강조해왔다. 특히 지난 2017년에는 안랩 엔드포인트 보안 플랫폼 전략인 AhnLab SECURITY LADDERS를 발표, 엔드포인트 보안의 혁신이 필요하다는 점을 피력해왔다. 

 

AhnLab SECURITY LADDERS는 레거시(Legacy), 적응(Adaptive), 탐지(Detection), 고객 주도(Driven), 엔드포인트(Endpoint), 대응(Response), 서비스(Service)의 약자로, 고객이 주도하는 ‘쉬운 보안, 실행 가능한 보안’을 의미한다.

 

이러한 전략 하에 안랩은 악성코드 탐지 중심이 아닌 위협 관리 대응 중심의 플랫폼으로 대응 관점을 전환하고, 차단을 통한 방어뿐만 아니라 탐지와 신속한 대응이 이루질 수 있도록 탐지(Detection)-분석(Analysis)-대응(Response)’의 순환 구조를 체계화했다.

 

일반적인 EPP는 파일 기반 악성코드를 방지하고 응용 프로그램의 악의적인 활동을 탐지•차단하고, 보안 사고에 대응하는데 필요한 조사와 치료를 위한 엔드포인트 보안 솔루션이다. 반면, AhnLab EPP(Endpoint Protection Platform)는 안랩의 다양한 엔드포인트 보안 솔루션을 유기적으로 통합•연계하여 지속적으로 발생하는 보안 위협에 대해 탐지•모니터링•대응하는 차세대 플랫폼이다. 이 플랫폼은 단일 에이전트•하나의 매니지먼트(One Agent, Single Management) 콘솔을 통해 통합 운영이 가능하다는 것이 가장 큰 강점이다.

 

예를 들어, V3와 EPP 에이전트 사용 고객이라면 추가 에이전트 설치 없이 AhnLab EDR 라이선스만 추가하여 AhnLab EPP를 통해 통합 관리•모니터링•대응이 가능하다. 뿐만 아니라 이 관리 콘솔을 통해 고객은 패치관리 솔루션(AhnLab Patch Management), 취약점 점검 솔루션(AhnLab 내PC지키미), 개인정보 유출 의심 파일 차단 솔루션(AhnLab Privacy Management) 등 원하는 제품을 선택적으로 사용할 수 있다. 

 

1804026591144311.PNG 

[그림 4] AhnLab EPP 기반의 AhnLab EDR 개념도

 

EDR 솔루션은 기본적으로 방대한 양의 데이터를 효율적으로 수집•저장•분석해야 하고 다양한 보안 솔루션과 연동을 해야 하기 때문에 이를 뒷받침할 수 있는 아키텍처가 반영된 새로운 플랫폼이 필요하다. 이를 구현한 것이 차세대 엔드포인트 보호 플랫폼인 AhnLab EPP이며, 안랩이 EDR과 차세대 플랫폼인 EPP를 함께 출시하는 이유다.

 

현재 EDR 시장은 EPP 시장과 빠르게 융합되고 있으며 EDR, EPP, 차세대 엔드포인트 보안 제품은 향후 3~5년 동안 하나의 매니지먼트 콘솔과 에이전트(Single integrated agent with single management consoles)로 전환될 것이다. 기존 EPP 업체는 공격자를 보다 잘 모니터링하기 위해 EDR 기능을 신속하게 적용하고 있으며, EDR 업체들은 EPP 업체와 경쟁하고 대체할 수 있는 더 나은 탐지•대응 기능을 추가하고 있다.

많은 보안 업체들이 EDR 제품을 출시하고 있고 이를 도입하려는 고객이 늘어나면서 EDR이 ‘보안의 최종 해결사’처럼 여겨지고 있다. 그러나 한 가지 분명한 것은 EDR이 매우 중요하지만, 보안 위협에 대응하기 위한 또다른 도구일뿐이라는 것이다. EDR은 이를 활용할 수 있는 사람과 프로세스가 없으면 존재할 수 없다는 것을 분명하게 인지해야 한다.

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

프리네

2018.04.21 07:15
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182
정보 감사합니다.
개인적으로 안랩이라면 그닥.....
profile

Hornet

2018.04.21 16:47
가입일: 2018:10.27
총 게시물수: 4
총 댓글수: 167
정보 감사합니다.
List of Articles

일반정보 세계 강타한 랜섬웨어…"인터넷에 연결만 돼도 감염"

전세계 대규모 랜섬웨어 공격 (PG)[제작 조혜인] MS 윈도 취약점 이용…한국도 피해 우려 윈도 최신 버전으로 업데이트해야 랜섬웨어 공격에 감염돼 가동이 중단된...

  • 등록일: 2017-05-13

297

VIEWS

13

COMMENTED

일반정보 중국청년보에서 바이두(百度) 사이트가 6월 1일부터 실명제를 실시한다고 보도

o 中 언론, 바이두(百度) 사이트가 6월 1일부터 실명제를 실시한다고 보도 [중국청년보]   - 6월 1일부터 공식 시행되는 <중화인민공화국인터넷안전법> 규정에 따...

  • 등록일: 2017-05-13

650

VIEWS

26

COMMENTED

일반정보 공공 웹사이트 `액티브X` 내년 완전 폐지 file

공공 웹사이트 `액티브X` 내년 완전 폐지 행자부·미래부 단계별 제거계획 "이용 많은 민간 100대 사이트도 세계 100대 웹사이트 수준 감축" 문재인 대통령이 발표...

  • 작성자: Op
  • 등록일: 2017-05-11

320

VIEWS

28

COMMENTED

일반정보 KISA "개인정보 패러다임, 보호+활용으로 변화"

정부 개인정보 관련 정책이 보호 중심에서 '활용'까지 함께 고려하는 방향으로 움직일 전망이다. 국내 개인정보보호 정책 현안 대응과 제도 정비를 담당하는 산하...

  • 등록일: 2017-05-01

252

VIEWS

5

COMMENTED

일반정보 CorelDRAW Graphics Suite 2017이 출시되었네요

https://www.corel.com/en/products/coreldraw/ 동영상 한번 보세요 펜으로 슥슥 그리는게 인상적이네요

  • 등록일: 2017-04-19

312

VIEWS

11

COMMENTED

일반정보 [긴급] ‘인터파크 개인정보 유출관련 사과공지 메일’ 위장한 랜섬웨어 등장

[긴급] ‘인터파크 개인정보 유출관련 사과공지 메일’ 위장한 랜섬웨어 등장 | 입력 : 2017-04-13 16:25 인터파크 사칭해 고객의 개인정보 침해사고가 일어났다며 ...

  • 등록일: 2017-04-14

829

VIEWS

26

COMMENTED

일반정보 딥러닝으로 열공중인 삼성의 인공지능 비서 ‘빅스비’

딥러닝으로 열공중인 삼성의 인공지능 비서 ‘빅스비’

  • 등록일: 2017-04-08

375

VIEWS

9

COMMENTED

일반정보 Revolutionary Shopping Bag for Husbands Who are Tired of Heavy Shopping Bags

Revolutionary Shopping Bag for Husbands Who are Tired of Heavy Shopping Bags

  • 등록일: 2017-04-08

85

VIEWS

4

COMMENTED

일반정보 "주인님은 심심해…로봇이랑 놀래요!" 스마트 장난감 페비 펫 시터

"주인님은 심심해…로봇이랑 놀래요!" 스마트 장난감 페비 펫 시터

  • 등록일: 2017-04-08

231

VIEWS

5

COMMENTED

일반정보 자원외교의 손실 액이 눈덩이(이명박의 원죄)

밑 빠진 독 해외자원 개발… 석유공사 등 3사, 작년 손실 3조 육박   고영득 기자 godo@kyunghyang.com 입력 : 2017.03.20 20:48:19   MB정부 무분별 사업 후유증 ...

  • 등록일: 2017-04-06

1008

VIEWS

7

COMMENTED

일반정보 이젠 노점상에서도 모바일 페이로 결제한다”

서울 전통시장에 ‘모바일 페이’가 도입된다. 전통시장의 영세 가맹점뿐만 아니라 푸드 트럭 등 수만여 노점상도 포함된다.  소비자는 신용카드나 스마트폰만 있으...

  • 등록일: 2017-03-25

303

VIEWS

10

COMMENTED

일반정보 '반짝반짝 LED만 봐도 게이밍이네…' 에이수스 ROG STRIX GL753

"반짝반짝 LED만 봐도 게이밍이네…" 에이수스 ROG STRIX GL753

  • 등록일: 2017-03-18

177

VIEWS

9

COMMENTED

일반정보 구글, G메일에 비디오 첨부파일 바로 보기 지원 file

구글, G메일에 비디오 첨부파일 바로 보기 지원 (지디넷코리아=임유경 기자)구글이 G메일에 유튜브 같은 비디오 플레이어 기능을 추가했다. 이제 G메일 사용자들...

  • 등록일: 2017-03-18

366

VIEWS

8

COMMENTED

일반정보 415㎞ ‘연비괴물’투산ix 수소차, 3만원에 창원~서울 달리고도…

창원시 관용 수소차가 창원~서울을 무충전으로 주행해 휘발유나 경유차 못지 않은 장거리 주행성능을 보여줬다.  지난해 연말 관용차로 수소차 20대를 구매한 창...

  • 등록일: 2017-03-14

1004

VIEWS

23

COMMENTED

일반정보 국내 치매 환자, 12분마다 1명씩 발생

국내 치매 환자, 12분마다 1명씩 발생조세일보 / 박정환 기자 salsa@joseilbo.com | 2015.09.15 07:59 노인 1000명당 7.9명 신규환자 생겨 … 경도인지장애 환자 ...

  • 등록일: 2017-03-09

235

VIEWS

4

COMMENTED

일반정보 북한 땅에 매장된 희토류 20억t 매장 추정, 세계 1위

  북한 땅에 매장된 희토류 20억t 매장 추정, 세계 1위  매장량으로 하면 중국과 몰골이 많은 편이지만 질로 따지면 북한의 것이 최고다. 온 세계가 북한 땅에 매...

  • 등록일: 2017-03-09

553

VIEWS

16

COMMENTED

일반정보 "국민 71% 통신비 인하 체감 못 해…단통법은 경쟁억제법"

녹소연 "단통법 전면 개정해야…알뜰폰 지원 등으로 시장 환경 개선" 한 달 통신비는 5만∼10만원 제일 많아…'기본료 폐지' 최우선 과제 이동통신 유통 현장(자료) ...

  • 등록일: 2017-03-07

174

VIEWS

5

COMMENTED

일반정보 보잉 747의 아버지 조지프 F. 조 서터 (Joseph F. "Joe" Sutter)

  보잉 747의 아버지 조지프 F. 조 서터 (Joseph F. "Joe" Sutter)현재 하늘을 날고 있는 보잉 747 도 이분의 손을 거쳐서 탄생했다고 합니다. 2016년 현재 서터 ...

  • 등록일: 2017-02-24

404

VIEWS

5

COMMENTED

일반정보 '민간인 학살' 송요찬, 7억 들여 기념 사업?

'민간인 학살' 송요찬, 7억 들여 기념 사업?피해 유족들 "청양군-충남도-보훈처는 선양사업추진위 해체, 사업 중단해야"   2017. 02. 22     ▲  지난해 11월, 이...

  • 등록일: 2017-02-24

549

VIEWS

4

COMMENTED

일반정보 전국 '세븐일레븐', 포켓몬고 체육관으로 변신?

    편의점 프랜차이즈 '세븐일레븐'이 나이앤틱의 모바일 게임 '포켓몬고'와 제휴해 전국 매장이 포켓스톱이나 체육관으로 지정될 것이라는 정보가 전파되고 있...

  • 등록일: 2017-02-20

510

VIEWS

2

COMMENTED