솔루션

[NES2023] 안랩 "EDR, 다른 서비스와 연계할 때 효과 극대화"

박세아

안랩 함경호 차장
안랩 함경호 차장

[디지털데일리 박세아 기자] 안랩이 엔드포인트 단에서 효과적으로 보안 위험에 대응하기 위한 해결책을 제시했다. 안랩은 엔드포인트 탐지 및 대응(이하 EDR)과 다른 서비스 간 연계를 통해 위험에 더 다각적으로 대응할 수 있다고 조언했다.

19일 양재동 엘타워에서 개최된 '사라진 경계, '한국형 제로 트러스트' 중심의 보안 혁신전략'을 주제로 한 차세대 기업보안 세미나 [NES 2023]에서 안랩 은 'EDR, 그것에 대한 이상과 현실'에 대해 발표했다.

EDR 기술은 엔드포인트 단에서 지속적이며 연속적인 모니터링 및 위협 정보 수집, 분석을 수행함으로써 위협의 잠복 기간을 최소화해 잠재적인 피해를 방지하는 역할을 한다. EDR은 사전 또는 실행 단계에서 위협을 자동으로 차단하는 것이 아니라 적절한 엔드포인트 위협에 가시성을 제공해 지능형 위협을 발견하고 조사 및 대응하는데 기여한다.

함 차장는 이날 EDR에 대해 AV 및 APT 솔루션에서 대응하지 못하는 위협을 자동으로 대응해주는 솔루션으로 생각함으로써 많은 문제가 발생한다고 지적했다.

그는 "많은 사람이 별도 조사에 필요 정보를 안정적으로 상시 수집하고, 별도 시스템에 로그 백업을 수행할 수 있는 솔루션으로 EDR을 생각하고 도입해서 운영할 때 어려움에 직면한다"라며 "수집된 정보 분석이 어렵고, 관리가 어려울 뿐만 아니라 보안 제품 간 연계가 쉽지 않기 때문"이라고 설명했다.

결과적으로 EDR 솔루션을 활용할 때는 데이터를 수집할 수 없는 대상은 분석할 수 없다는 점과 악성으로 확인할 수 없는 사항은 리스크 대응을 할 수 없다는 사실을 숙지하고 있어야 한다고 전했다.

함 차장에 따르면 효과적인 EDR 솔루션 활용을 위해서는 ▲전문가 분석가 조직을 통한 분석 ▲EDR 실시간 탐지 및 이벤트 ▲추가 확인 필요한 이벤트 행위 확인 등 조치가 필요하다.

특히 안랩은 EDR에 MDR까지 포함한 모델을 통해 이와 같은 서비스를 할 수 있다고 강조했다.

구체적으로 '안랩 MDS'는 상세 분석을 위해 추가 수집한 정보에 대한 통합 검색을 수행할 수 있다.안랩 MDS는 랜섬웨어, 신종 악성코드 등 고도화된 공격을 조기 탐지 및 대응할 수 있다. 주요 기능은 ▲네트워크·엔드포인트 레벨에서 종합적인 위협 탐지 ▲하이브리드 기반의 위협 분석 ▲실시간 위협 모니터링 ▲네트워크·에이전트 기반 위협 대응 등이다.

한편 '안랩 TIP'은 안랩 EDR과 함께 사용해 더욱 효과적으로 위험에 대응할 수 있는 솔루션이라는 게 함 차장 설명이다. 예컨대 EDR로 확인한 위협의 실체를 안랩 TIP로 확인하거나, 발견된 악성코드를 MDS로 체크하면 더 다각적인 대응이 가능하다.

그는 "엔드포인트는 유기적인 연계가 중요하다"라며 "EDR은 전문 서비스가 결합 됐을 때 진가를 발휘할 수 있다"라고 말했다.

박세아
seeall@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널