최근 전 세계적으로 이슈가 되었던 엔드포인트 보안 솔루션의 사태를 보며, 보안 솔루션 제조사의 책임감과 기업에서 엔드포인트 보안 솔루션의 중요성을 다시 한번 생각하게 한다.

엔드포인트 보안 솔루션은 약 35년 전 안티바이러스 솔루션에서 시작해 현재는 클라우드 기반의 EPP(Endpoint Protection Platform) 솔루션으로 발전했다. 엔드포인트는 악성 URL, 악성코드 다운로드, 악성 메일 등 다양한 경로를 통해 사이버 공격의 주요 진입점이 될 수 있으며, 이를 통해 공격자는 네트워크에 침입해 데이터를 탈취하거나 시스템을 감염시켜 네트워크 전체를 위험에 빠뜨릴 수 있다. 따라서 EPP는 개별 디바이스 보호뿐만 아니라 조직 전체의 보안 상태를 강화하는 데 중요한 역할을 한다.

전통적인 EPP 솔루션은 주로 바이러스와 악성 소프트웨어를 탐지하고 차단하는 데 중점을 두고 있다. 그러나 인공지능(AI) 기반 새로운 사이버 위협 환경에서, 기존의 EPP만으로는 한계가 있다. 알려진 위협만을 차단하는 EPP는 모든 해킹 시도를 막기에는 역부족이고, AI 기술을 기반으로 한 미래의 공격에 대비하기 위해 새로운 솔루션이 필요하다.

◆ EPP 솔루션의 '한계점'

먼저 EPP 솔루션은 정적 탐지 기술 측면에서 한계가 있다. EPP는 주로 시그니처 기반 탐지 방식에 의존한다. 이는 이미 알려진 악성코드와 일치하는 파일이나 행동을 탐지하는 데는 효과적이지만, 제로데이 공격이나 변형된 악성코드에는 무력하다. 공격자들은 지속적으로 새로운 방법을 개발하여 시그니처 기반 방어를 회피하고 있다.

멀티 벡터 공격에 대한 대응도 부족하다. 현대 사이버 공격은 다양한 경로를 통해 동시에 이루어진다. 예를 들어, 이메일, 웹, 클라우드 서비스 등 여러 채널에서 공격이 발생할 수 있는데, EPP는 주로 엔드포인트에만 초점을 맞추기 때문에 이러한 다양한 경로에서 발생하는 위협을 종합적으로 파악하고 대응하기 어렵다.

행위 기반 분석 및 대응에도 한계가 있다. EPP는 일반적으로 악성코드가 실행되기 전에 이를 차단하는 데 중점을 두며, 공격이 이미 진행된 후에는 이를 효과적으로 분석하고 대응하는 기능이 부족하다. 네트워크 내부에서 데이터의 이상 행동을 탐지하고 분석하여 공격을 사후 차단하는 기능이 충분히 갖춰져 있지 않다.

통합과 자동화 역량을 갖췄는지도 살펴볼 부분이다. 현대의 보안 환경에서는 다양한 보안 도구와 시스템이 통합되어 일관된 보안 태세를 유지해야 한다. 그러나 EPP는 이러한 통합을 충분히 지원하지 못하고, 보안 사고 발생 시 자동화된 대응 메커니즘이 부족해 사고 대응 시간이 길어질 수 있다. 진화하는 위협에 대한 대응도 부족하다. 사이버 위협은 끊임없이 진화하고 있으며, 머신러닝 및 생성형 AI 기반의 공격, 고도화된 피싱, 사회공학적 기법 등 새로운 유형의 공격이 지속적으로 등장하고 있다. EPP는 이러한 새로운 공격 유형에 신속하게 적응하고 대응하기에는 한계가 있다.

◆ 한계 극복을 위한 'EDR의 출현'

EDR(Endpoint Detection and Response)은 EPP의 한계를 보완하고, 진화하는 사이버 위협에 효과적으로 대응하기 위해 등장했다.

EDR은 엔드포인트에서 발생하는 모든 행위를 실시간으로 모니터링하며 비정상적인 행위를 탐지하고 위협을 빠르게 파악한다. 시그니처 기반 탐지 방식의 한계를 극복하고, 제로데이 공격, 랜섬웨어, APT와 같은 새로운 위협에도 더 효과적으로 대응할 수 있다. EDR의 주요 강점은 단순한 위협 탐지를 넘어, 감지된 위협에 대해 즉각적인 대응 조치를 취할 수 있다는 점이다. 악성 스크립트 실행 시도가 감지되면 해당 프로세스를 자동으로 격리하고 경고를 생성하며, 공격 후에는 심층 분석을 통해 공격의 원인과 맥락을 파악하여 유사한 공격의 재발을 방지한다.

EDR은 행위 기반 분석을 통해 비정상적인 활동을 실시간으로 탐지하고 자동화된 심층 분석과 포렌식 조사를 통해 위협의 근본 원인을 파악, 신속한 대응과 종합적인 보안 전략을 제공한다. 따라서 EPP와 EDR을 결합한 통합 접근 방식이 필요하며, 이를 통해 보안 팀은 더 정확하고 신속하게 위협에 대응하고 보안 운영의 효율성을 높일 수 있다.

EDR은 EPP의 한계를 보완하여 엔드포인트에서 발생하는 비정상적인 행동을 실시간으로 모니터링하고 분석해 보다 정교한 위협을 탐지하고 대응하는 것을 목표로 한다.

하지만 EDR도 몇 가지 한계가 있다. 첫째, 데이터 통합의 부족으로 인하여 EDR은 엔드포인트 데이터에 집중하기 때문에 네트워크나 클라우드에서 발생하는 데이터를 효과적으로 통합하여 분석하지 못한다. 이는 보안 사고의 전체적인 맥락을 파악하는 데 어려움을 초래한다. 둘째, 알람 피로이다. 다양한 이벤트와 경고를 생성해 보안 운영팀에 과도한 경고로 인한 피로를 일으킬 수 있다. 중요한 위협을 식별하는 데 시간이 많이 소요되며, 대응이 지연될 위험이 있다. 셋째, 복잡한 운영과 비용이다. EDR 시스템을 효과적으로 운영하려면 고도의 보안 전문 지식이 필요하며, 이를 확보하는 데 많은 비용이 든다. 또한 EDR의 복잡성으로 인해 시스템 운영과 관리에 부담이 된다.

◆ EPP·EDR 한계 극복, XDR 필요성 대두

이러한 필요성에 따라 많은 기업이 발전된 보안 솔루션을 요구하게 되었고, 이에 대한 대안으로 확장탐지및대응(eXtended Detection and Response·XDR)이 등장했다. 팔로알토 네트웍스는 2018년에 XDR 개념을 첫 제안했다. XDR은 EPP와 EDR의 한계를 극복하기 위해 설계된 확장형 탐지 및 대응 시스템으로, 엔드포인트뿐만 아니라 네트워크, 클라우드, 이메일 등 다양한 보안 계층에서 발생하는 데이터를 통합해 분석한다. 이를 통해 보다 정교하고 효과적인 탐지 및 대응이 가능하다.

XDR은 통합된 보안 데이터 분석을 통해 보안 사고의 전체적인 맥락을 파악하게 하고, 보안 운영팀이 더 신속하고 정확하게 위협에 대응할 수 있도록 돕는다. XDR은 기존의 EPP와 EDR 솔루션만으로는 충분하지 않은 환경에서 한 차원 높은 수준의 보안 태세를 제공하는 강력한 도구로 자리 잡고 있다. 이는 조직이 복잡하고 진화하는 사이버 위협 환경에서 생존하고 성장하는 데 필수적인 요소로 작용한다. XDR은 통합된 데이터 분석, 자동화된 대응, 포괄적인 위협 인텔리전스를 통해 조직이 사이버 위협에 신속하고 정확하게 대응할 수 있도록 지원하며, 보안 운영의 미래를 형성하는 데 중요한 역할을 한다.

XDR이 EPP와 EDR의 한계를 넘어 더 향상된 위협 대응을 제공할 수 있지만, 도입 시 필수 고려 사항이 있다. 첫째, XDR 솔루션이 다양한 데이터 소스를 통합하여 상관 관계를 분석할 수 있는 능력이 있는지 확인해야 한다. 이를 통해 복잡한 위협의 맥락을 파악하고 정교한 위협 탐지와 신속한 대응이 가능해진다. 둘째, XDR 솔루션이 자동화된 대응과 오케스트레이션 기능을 제공하는지 평가해야 한다. 자동화는 경고 분석과 대응을 신속하게 처리하고 위협 탐지 시 즉각 실행되는 워크플로우가 조직의 요구에 맞게 설정될 수 있어야 한다.

끝으로 XDR 솔루션이 최신 글로벌 위협 인텔리전스를 통합하는지 여부도 중요하다. 이를 통해 조직은 새로운 위협 트렌드를 신속하게 파악하고 전략적 대응 방안을 마련할 수 있다. 마지막으로, 확장성과 유연성도 중요한 고려 사항이다. XDR 솔루션이 기존 보안 인프라와 원활하게 통합되고 통합 과정에서 부담이 없어야 한다.

박상규 팔로알토네트웍스코리아 대표

<기고와 칼럼은 본지 편집방향과 무관합니다.>