[이슈분석]EDR, 사이버 위협 막는 첨병될까

[이슈분석]EDR, 사이버 위협 막는 첨병될까

사이버 보안 시장에 엔드포인트 탐지대응(EDR) 바람이 거세다. 안티바이러스(백신)가 대표하던 엔드포인트 보안 시장을 EDR가 대체할지 관심사다.

최근 사이버 보안 위협은 PC와 스마트폰 등 엔드포인트 단말과 직접 연관된다. 공격자는 어렵게 네트워크를 침입하기보다 표적한 기업 직원 PC를 노린다. 소셜네트워크 등을 이용해 사회공학으로 표적 기업 정보를 수집한다. 유출된 개인정보와 SNS에 올라간 정보를 모두 수집한다. 수집된 정보 기반으로 표적을 정한 후 스피어피싱 이메일 공격을 한다. 표적이 이메일을 열어 악성코드가 엔드포인트에 설치되면 공격의 90%가 이뤄진 것이나 마찬가지다. 공격자는 이를 기점으로 기업 내부 네트워크로 파고들어 원하는 중요 데이터베이스(DB)를 훔쳐내거나 새로운 기능을 하는 악성코드를 설치한다.

GettyImagesBank
GettyImagesBank

◇지능화·표적화한 사이버 위협이 몰려온다

포티넷 보안연구소 포티가드랩이 발간한 '2017년 4분기 글로벌 위협 전망보고서'에 따르면 기업당 공격이 전 분기 대비 증가했다. 자동화되고 정교한 스웜(swarm) 공격이 늘어 조직에서 사용자, 애플리케이션, 단말을 보호하기 어려워졌다. 스웜은 손상된 장치들의 집단이다. 공격자는 엄청난 규모와 속도로 다른 공격 방법을 파악하고 대상화하는데 스웜을 쓴다. 해커 명령만 받는 봇넷과 달리 스웜은 자가 학습을 한다. 서로 정보를 교환하며 공격을 실행한다. 동시에 다수 피해자를 공격하고 대응한다.

조직을 겨냥한 공격은 점차 빠른 속도로 정교해졌다. 디지털 전환(Digital Transformation)은 비즈니스 구성에 변화를 가져오는 것뿐만 아니라, 사이버 범죄자가 공격 범위를 확대해 새로운 기회를 확보하는데 영향을 끼친다.

악성코드 변종군 수가 25% 증가했으며 고유 변종군은 19% 증가했다. 사물인터넷(IoT) 기기를 노린 공격도 늘었다. 상위 20건 공격 중 3개가 IoT 장치를 식별했다. 랜섬웨어 공격도 끊이지 않는다. 록키는 가장 널리 퍼진 랜섬웨어 변종이다. 새로 등장한 록키는 몸값을 요청하기 전에 스팸을 통해 수신인을 속인다.

산업제어시스템(ICS)과 안전설비시스템(SIS)에 대한 공격도 늘었다. '트리톤(Triton)'이란 악성코드는 포렌식 분석을 막기 위해 쓰레기 데이터로 덮어써 위장한다. 추적을 피하는 기능이다. 이런 플랫폼은 중요한 핵심 인프라에 영향을 미치기 때문에 공격자에게 매력적이다.

공격 종류도 다양하다. 이미지에 악성코드를 숨기는 '스테가노그래피(Steganography)' 공격이 나타났다. 지난 몇 년 동안은 주목을 받지 못한 공격 벡터였으나 최근 재기에 성공했다. 선다운(Sundown) 익스플로잇 킷은 스테가노그래피를 사용해 정보를 탈취하는데 최근 일정 기간 동안 많은 조직이 다른 익스플로잇 킷보다 많이 사용했다.

[이슈분석]EDR, 사이버 위협 막는 첨병될까

◇새로운 방어책이 필요

표적을 노린 공격과 파일리스 악성코드, 랜섬웨어가 늘어나면서 산업계 대응도 변화했다. 엔드포인트 보안이 중요한 이유다. 새로운 위협과 기술 혁신이 결합하면서 엔드포인트 보안은 여러 기능이 합해진 심층방어 구조로 전환됐다.

한국침해사고대응팀협의회(CONCERT)는 최근 발행한 2018 기업정보보호 이슈 전망 리포트에서 보안 담당자 관심이 높은 제품으로 EDR(Endpoint Detection & Response)를 꼽았다.

과거 엔드포인트 보안 솔루션은 백신과 호스트방화벽에 한정됐다. 공격 메인 표적이 기존 서버와 인프라에서 PC 등 엔드포인트와 이를 다루는 사람으로 확대됐다. 랜섬웨어를 비롯한 악성코드가 엔드포인트 기기로 유입됐다. 내부 정보 유출도 엔드포인트에서 일어난다.

EDR 시장 규모(자료:가트너)
EDR 시장 규모(자료:가트너)

기업은 사용자 기기나 네트워크뿐 아니라 해당 기기와 사용자 행동까지 한눈에 파악하려는 요구가 생겼다. 올해 보안담당자가 요구하는 EDR는 과거와 다르다. 가트너에 따르면 차세대 EDR는 내부에서 발생하는 보안 침해사고를 빠르게 탐지하고 위협을 추적해 대응하는 솔루션이다. EDR를 이용해 패치가 안 된 취약점을 찾고 수상한 활동을 감지해 격리하는 역할을 한다.

NSS랩에 따르면 EDR는 백신보다 향상된 탐지와 대응 기능을 제공한다. 백신과 EDR의 가장 큰 차이점은 알려지지 않은 위협까지 탐지한다는 점이다. EDR는 알려지지 않은 위협에 대해 상관관계 분석과 인텔리전스를 기반으로 즉시 대응하는 기능이 있다.

이성식 카스퍼스키랩코리아 부장은 “기존 안티바이러스 솔루션은 알려진 악성코드를 탐지하고 치료한다”면서 “EDR와 함께 사용하면 그동안 막지 못했던 10%에 대응할 수 있다”고 설명했다.

EDR는 위협에 대한 포괄적 가시성을 제공한다. 보안 담당자가 기업 전체를 보면서 확인되지 않은 위협을 찾고 조사하며 대응한다. EDR 제품은 침해 사고를 보다 쉽게 조사하는 포렌식 기능도 제공한다. EDR는 보안통제가 우회되는 방법과 위협 행동, 잠재적 데이터 손실 식별에 집중한다.

지난해부터 사이버 보안 시장은 EDR 신제품으로 넘쳐난다. EDR 시장은 2020년까지 연평균 45.3%씩 성장해 15억달러 규모를 형성할 전망이다. NSS랩은 미국 기업 93.6%가 엔드포인트 보안 제품을 쓰고 있다고 밝혔다. 이중 18.4%가 EDR를 쓴다.

전수홍 파이어아이코리아 대표는 “올 하반기부터 차세대 EDR 시장이 열릴 것”이라면서 “엔드포인트 보안 제품은 안전성이 담보돼야 도입할 수 있다”고 말했다.

김인순 보안 전문기자 insoon@etnews.com