[디지털데일리 이형두기자] 엔드포인트 위협 탐지‧대응(EDR) 제품이 시장에 쏟아지고 있다. 가트너에 따르면 글로벌 시장에서 출시된 EDR 제품은 33개, 현재 국내에 출시된 제품만 19개다. 어떤 기준으로 제품을 선택해야 하는 소비자들의 고민도 커졌다. 이에 정보보안 소프트웨어 업체 지니언스(대표 이동범)가 EDR 제품을 선택하는 기준을 제안했다.

이대효 지니언스 연구기획실장은 5일 서울 중구 은행연합회관에서 <디지털데일리> 주최로 열린 ‘2018 금융·엔터프라이즈 차세대 엔드포인트 보안 EDR·EPP 전략 컨퍼런스(이하 EDR·EPP 컨퍼런스)’에서 EDR 도입 시 고려사항과 실제 활용 사례를 소개했다.

이대효 실장은 “고객들에게 EDR 상품들을 소개해드리면 ‘진짜 EDR을 산 사람이 있는지, 무슨 기준으로 샀는지, 왜 구입했는지’에 가장 많은 의문을 가진다”며 “각각의 제품별 장점과 단점이 있으므로 우리 조직에 맞는 위협 포트폴리오를 갖추는 것이 필요하다”고 말했다

보안 위협은 파일이 존재하는 형태의 공격, 파일이 전혀 없는 형태의 공격으로 나뉘어진다. 파일이 있는 형태 중 알려진 공격에는 ‘안티바이러스’ 기술, 알려지지 않은 공격은 샌드박스, 머신러닝 기술이 활용된다. 알려지지 않은 공격을 대비하는 것이 UEBA(행위 기반), 메모리 기반 탐지 등이다. 각각 EDR 제품은 이 전체 기능을 패키지 형태로 모두 제공하거나 혹은 일부 기능만 제공하기도 한다.

이 실장은 “파일이 있는 공격에 대한 기술은 현재 어떤 제품을 선택해도 상향 평준화된 상태라고 판단된다”며 “특히 시그니처, 딥러닝 기반의 제품은 매우 정확한 탐지 성능을 갖고 있다”고 평가했다. 반면 “UEBA는 국내와 해외 업체 간 기술 차이가 어느 정도 있어, 선도 기술도 국내 환경에서 사용하기에는 한계가 있다”고 덧붙였다.

EDR 제품의 구성 및 동작 방식에 대한 고려도 중요하다. 클라우드 방식은 에이전트에서 발생하는 모든 정보가 클라우드에 올라가서 동작하게 된다. 계정만 만들면 바로 적용이 가능해 빠르게 쉽게 도입할 수 있다. 도입 초기나 작은 조직에서 활용이 용이하다.

단점은 관리 단말기의 숫자가 증가하면 비용이 급증한다는 점이다. 이 실장은 “단말이 선형적으로 증가할 때, 비용은 지수적으로 증가한다”며 “분석의 양, 쌓아야 하는 정보와 로그의 양이 급증하므로 굉장히 많은 크라우드 리소스를 필요로 하게 돼, 금전적인 이슈가 발생할 수 있다”고 설명했다.

서버형은 가장 일반적인 형태다. 개별 단말의 부하를 줄일 수 있지만 단말 수가 증가하면 구성 및 운영에 대한 복잡도가 증가한다. 단말형은 서버형과 반대다. 개별 PC에서 대응할 수 있지만 단말에 굉장히 많은 오버헤드(과부하)를 발생시킨다. 사용자들의 반발도 발생할 수 있다.

보안 정보 수집을 어느 정도 수준으로 할지도 고려해야 한다. 조직에 따라 특정 이벤트 발생 전후 세밀한 데이터 분석이 필요한 경우도, 빠르게 판단해 위협을 없애는 제품이 필요한 경우도 있다. 시중에 나와 있는 제품들은 이에 대해 상당히 다른 양상을 갖고 포진돼 있다.

이대표 실장은 “‘이미 많은 보안 솔루션을 깔려있다. EDR까지 추가로 더 깔라는 얘기냐’ 같은 고객들의 질문 많이 받는다”며 “과거 우리 기술과 역량을 고려했을 때 가장 효과적인 선택은 네트워크 보안 솔루션이었지만, 지금은 보호해야 하는 자산과 트렌드가 단말과 사람으로 바뀌었다”고 강조했다.

그는 “지금은 많은 데이터를 수집하고 분석하는데 과거만큼 많은 비용이 들지 않아, 사용할 수 있는 리소스의 양과 질이 바뀌었다”며 “지금은 EDR 제품을 통해 단말에 케어가 필요하다면, 가까운 미래에는 포커스가 사람으로 바뀔 것”이라고 전망했다.

<이형두 기자>dudu@ddaily.co.kr