솔루션

[NES2019] 점차 커지는 EDR 시장…도입 시 고려사항은?

백지영

[디지털데일리 백지영기자] 사이버공격은 해를 거듭할수록 더욱 지능화되고 있다. 하루가 멀다하고 새로운 공격 기법이 생겨나 기업을 공포에 빠뜨린다.

이메일이나 웹사이트, USB, 파일 서버 등 경로는 다르지만 결국 해커가 최종적으로 목표하는 타깃은 엔드포인트다. 엔드포인트에 악성코드를 심는 것이 사이버 공격의 최우선 목표이기 때문이다.

실제 구글 트렌드 검색에 따르면, 네트워크 보안은 감소하는 반면 엔드포인트 보안에 대한 관심은 높아지는 반비례적인 모습을 보이고 있다. 즉, 갈수록 엔드포인트 보안에 대한 관심이 커지고 있는 셈이다.

가장 큰 계기가 된 악성코드는 랜섬웨어다. 기업의 핵심 데이터나 개인정보를 인질로 삼는 랜섬웨어의 출현은 엔드포인트 보안 중요성을 높이고 결국 EDR(엔드포인트 위협 대응 솔루션)의 인기로 이어지고 있다. 그렇다면 EDR 도입 시 고려해야 할 사항은 무엇일까.

이와 관련, 24일 <디지털데일리> 주최로 쉐라톤 서울 디큐브시티 호텔에서 열린 ‘차세대 기업보안 세미나(NES) 2019’행사에서 이스트시큐리티 전병승 과장<사진>은 “지난해 알약 랜섬웨어 행위 기반으로 차단한 건수(누적)를 살펴보면 연간 평균 249만건, 1시간 평균 284건에 달한다”며 “이 시간에도 지속적으로 랜섬웨어 시도가 이뤄지고 있는 것”이라고 말했다.

EDR은 기존 백신 솔루션과 종종 비교된다. 마치 공항에서의 출입구 심사에서 사전에 작성된 블랙리스트를 통해 탑승 여부를 결정하는 것이 백신이라면, EDR은 CCTV를 공항 곳곳에 설치해 거동이 수상한 사람을 식별하는 방식이다.

백신이 시그니처 엔진을 통해 이미 알려진 위협을 대응한다면, EDR은 엔드포인트에서 발생하는 모든 위협을 지속적으로 모니터링하고 수집, 가시성을 확보한다. 이에 따라 기존에 알려지지 않은 위협까지 차단할 수 있다. 또 악성행위가 무슨 경로로 어떠한 프로세스로 진행됐는지흐름도를 제공하고 분석 및 추가대응까지 목표로 한다.

때문에 EDR이 백신을 대체하기보다는 백신과 EDR을 함께 사용해 위협 대응 범위를 확장할 수 있다는 것이 전 과장의 설명이다.

현재 EDR 시장은 전세계적으로 높은 성장세를 기록하고 있다. 백신이 연 2% 성장에 머무르는 반면, EDR은 2020년까지 연평균 45% 이상 성장률을 기록할 것으로 예상된다. 국내는 글로벌에 비해 조심스럽게 움직이고 있지만, 예상보다 시장은 빨리 열리고 있다. 가트너는 2020년까지 대규모 기업 전체의 80%, 중간 규모 기관은 25%, 소규모 기업의 10%가 EDR을 도입할 것으로 전망했다.

전 과장은 “EDR 도입이 작년까진 선택의 문제였다면, 올해부턴 엔드포인트 보안의 필수요소가 될 것”이라고 강조했다.

그에 따르면, 현재 약 40여개 이상의 글로벌 벤더 및 국내기업이 EDR 솔루션을 내놓고 국내에서 경쟁하고 있다. 크게 기존의 안티바이러스(백신)를 갖고 있는 기업의 EDR과 단독형 EDR 제품으로 나눠서 볼 수 있다. 단독형 EDR 솔루션의 경우, 보안에서 시작하지 않은 기업이 많은 만큼 한계가 있다는 것이 그의 설명이다.

전 과장은 “단독형 EDR 제품의 경우 평판분석에 의존해야 하며, 안티바이러스 기능을 위한 에이전트와 관리콘솔를 설치해야 한다거나 과도한 경고 정책 등 관리 포인트가 많은 것이 한계로 지적된다”고 말했다.

이스트시큐리티의 경우 최근 이같은 한계를 극복할 수 있는 ‘알약 EDR’을 출시했다. ‘알약’이라는 대중화된 백신을 바탕으로 지난 12년 간 엔드포인트 전문사업 노하우를 담았다는 설명이다.

‘알약 EDR’은 백신 프로그램 ‘알약’과 딥코어(AI엔진)과 딥애널리시스(다차원 분석), 딥인사이트(위협 인텔리전스 레포트)로 구성된 악성코드 위협 대응 솔루션 ‘쓰렛 인사이드’를 연동한 제품이다. 최신 데이터를 기반으로 한 테스트 결과 ‘쓰렛 인사이드’는 현재 99.5% 확률로 악성코드를 분류할 수 있다.

그는 “1600만 알약 사용자를 통해 축적해온 빅데이터(악성코드 DB)를 바탕으로 딥러닝 알고리즘을 적용한 분류모델을 만들었다”며 “특히 악성코드 분석가 풀을 갖고 있는 이스트시큐리티 대응센터(ESRC)의 위협 대응 전문 노하우를 기반으로 강력한 대응이 가능하다”고 강조했다.

그는 이어 “이스트시큐리티는 알약을 통해 알려진 악성코드 탐지·차단한 후, 알약 EDR 통해 알려지지 않은 위협 행위를 차단하고 다시 쓰렛 인사이드 통해 위협 식별과 분석, 인텔리전스 기반 대응이 가능하다”며 “이처럼 3단계의 대응을 통합 에이전트로 제공하는 것이 가장 큰 특징”이라고 덧붙였다.

<백지영 기자>jyp@ddaily.co.kr

백지영
jyp@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널