[엔드포인트 보안④] 차세대 관제 시스템에 연동되는 EDR

홈 > 뉴스 > 뉴스 > 보안

[엔드포인트 보안④] 차세대 관제 시스템에 연동되는 EDR

SIEM 플랫폼 연계해 EDR 운영 어려움 해소…클라우드 기반 운영으로 위협 탐지 정확도 높여

관련기사

[엔드포인트 보안①] ‘제로 트러스트’ 관점의 엔드포인트 보안

[엔드포인트 보안②] EDR, 현재·미래 위협 가시성 제공

[엔드포인트 보안③] 범용적인 확장 어려운 EDR

2018년 06월 21일 08:31:01

김선애 기자

iyamm@datanet.co.kr

안티바이러스의 한계를 보완하기 위해 등장한 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 시장이 본격적인 개화의 움직임을 보이고 있다. 주목할 만한 대규모 구축 사례가 등장했으며, 금융·엔터프라이즈에서도 적극적으로 검토하고 있다. 더불어 엔드포인트 보안 솔루션 기업들이 잇달아 EDR 솔루션을 출시하며 통합 엔드포인트 보안 플랫폼(EPP)으로 진화하고 있다. 엔드포인트 보안 시장의 현재를 진단하고 미래를 예측해 본다.<편집자>

엔드포인트·관제 전문성 필요한 EDR

EDR은 범용적으로 사용할 수 있는 보안 솔루션이 아니다. EDR을 도입하려면 일반 보안 조직보다는 규모가 큰 관제조직을 갖추고 있거나 SOC를 운영하는 수준의 규모를 갖추고 있어야 한다. 그러나 기존 네트워크 중심의 보안 관제조직은 엔드포인트를 알지 못하기 때문에 EDR을 운영할 수 없다. 즉 엔드포인트 보안 전문성을 갖춘 관제인력이 있어야 EDR 운영 효율성을 높일 수 있다.

EDR을 좀 더 쉽게 운영할 수 있는 방법으로 SIEM 플랫폼에 추가하거나 SIEM과 연계하는 방법을 제안한다. 엔드포인트에서 발생하는 이벤트를 SIEM에 연결해 전사 위협 가시성을 확보할 수 있도록 하는 방식이다.

RSA 넷위트니스는 이러한 철학을 기반으로 로그, 패킷, 엔드포인트 제품을 넷위트니스 플랫폼에 통합시켰다. 포렌식 분석 기술을 기반으로 한 패킷과 엔드포인트 분석 솔루션과 로그분석 솔루션을 단일 플랫폼에서 제공해 전사 관점의 위협 관리를 가능하게 한 것이다.

넷위트니스 엔드포인트 모듈에서 감염이 의심되는 엔드포인트를 격리시킨 후 해당 엔드포인트에서 발생한 이벤트를 넷위트니스 서버에서 분석하고, 로그나 패킷에서도 연관된 정보를 찾아 상관관계를 분석해 전체 위협의 시나리오를 파악하고 공격에 대응한다.

아직 국내에서 넷위트니스 스위트를 전사 적용해 위협에 하는 고객은 없지만, 여러 고객들이 장기간에 걸쳐 단계적으로 확장하면서 위협대응 전략을 고도화하고 있으므로 조만간 업계에 의미를 주는 사례를 발표할 수 있을 것으로 기대된다.

조남용 RSA 이사는 “EDR은 고객이나 벤더 모두 장기간에 걸쳐 많은 투자가 이뤄져야 하는 시스템이다. EDR을 제대로 운영할 수 있도록 고객은 보안조직의 전문성을 제고해야 하며, 벤더는 개별 고객의 특수한 환경을 지원할 수 있는 엔지니어와 서비스 조직을 충분히 갖춰야 한다”며 “RSA는 차세대 SIEM 플랫폼 시장을 선도하고 있으며, 국내 대형 제조사와 금융권 등에 솔루션과 서비스를 공급하면서 고객 지원역량을 검증받아왔다. 엔드포인트 솔루션도 국내에서 가장 많은 고객 레퍼런스를 확보하고 있으며, 경쟁사 대비 높은 시장 장악력을 입증하고 있다”고 자신했다.

SIEM·UBA·EDR 통합 시스템 출시

SIEM 플랫폼에서 EDR을 운영한다는 개념은 래피드7에서도 주장하고 있다. 래피드7의 침해탐지 및 대응 솔루션 ‘인사이트IDR(InsightIDR)’은 SIEM과 사용자 행위 분석(UBA), EDR을 통한 제품이다. 래피드7은 전 세계에서 가장 많은 사용자를 확보하고 있는 모의해킹 툴 ‘메타스플로잇(Metasploit)’과 취약점 진단도구 ‘넥스포즈(Nexpose)’를 개발하면서 축적한 노하우를 기반으로 침해사고 대응 분야까지 진출했다.


▲래피드7 ‘인사이트IDR’ 아키텍처

인사이트IDR은 글로벌 허니팟 네트워크로 공격자를 유인해 공격기법을 파악해 모델링하고, 인터넷을 스캔하는 ‘프로젝트 소나(Project Sonar)’를 통해 취약점을 식별·분석하고 위협 인텔리전스를 만든다. 고객 엔드포인트와 네트워크 전반에서 이상행위를 탐지하고, 위협을 수치화한다.

박진성 래피드7코리아 지사장은 “인사이트IDR은 SIEM, UBA, EDR을 통합하기 때문에 개별 솔루션을 구입할 필요 없어 비용을 절감하고 관리업무를 줄일 수 있다. 또한 클라우드 기반으로 제공돼 초기 구축비용 없이 운영할 수 있다”며 “국내 대표적인 글로벌 제조사가 퍼블릭 클라우드로 운영하는 자산을 넥스포즈로 관리하고 있는데, 이처럼 클라우드 사용에 개방적인 글로벌 기업과 게임사, O2O 사업자들에게 매력적인 솔루션이 될 것이라고 예상한다”고 말했다.