소만사의 엔드포인트 위협탐지 및 대응 솔루션(EDR) '프라이버시-i EDR'가 주목받고 있다. 지능화된 악성코드 공격을 DLP(내부정보 유출방지·Data Loss Prevention) 기반으로 무력화하면서 악성코드 차단부터 유출 통제까지 전 구간의 데이터 보호를 수행할 수 있기 때문이다.
최근 지능화된 악성코드는 소스 안에 의미 없는 행동인 노이즈를 섞어 악성코드 농도를 옅게 만든다. 이를 통해 안티바이러스 솔루션을 회피한다. 때때로 APT 솔루션 탐지기능을 탑재하거나 초기 접속 후 일정 시간이 지난 후 활동을 개시하도록 악성코드를 만들기도 한다. APT 대응 솔루션을 우회하기 위해서다.
악성코드를 심은 해커는 초기 접속에 성공할 수 있다. 이후 PC 내에서 권한상승을 조작하고 중요 정보를 획득한다. 해커는 PC, 서버와 같은 엔드포인트에서 대량의 개인정보와 기밀정보를 유출하거나 파일을 변조, 파괴, 암호화시킨다. 이는 기업 가치를 하락시킨다. 형사소송과 손해배상 소송 등 금전적 손해와 동시에 고객 신뢰와 브랜드 이미지를 추락시킨다.
새로운 악성코드 공격방식은 매우 치밀하고 영리하다. 기존 솔루션으로 일거에 방어하기 어렵다.
이를 위해 소만사는 신기술을 제시했다. 악성행위가 실제로 발생하는 엔드포인트 단에서 행위정보를 수집하는 것이다. 실제 정보를 수집한 후 실시간으로 대응해 신규 악성코드, 변종바이러스, 이미 알려진 바이러스에 대응하는 기술이 바로 EDR 솔루션이다.
정보가 공격받는 양상은 크게 두 가지다. 첫째는 외부공격에 의한 정보유출이다. 둘째는 정보 파괴, 변조, 암호화다. 우리에게 익숙한 랜섬웨어를 떠올리면 된다. 소만사는 정보유출 차단과 달리, 랜섬웨어 공격을 통해 정보가 파괴, 변조, 암호화되는 문제는 기존 유해사이트 차단 솔루션으로 통제하는 한계가 있어 적극적으로 대응하지 못했다.
이 같은 단점을 보완한 제품이 바로 '프라이버시-EDR'다.
'프라이버시-i EDR'는 DLP 기반으로 데이터 중요도에 따라서 보호수준을 차별화한다. 주기적으로 엔드포인트 안에 보관된 주요 기밀, 개인정보를 식별한다. 악성행위 등 보안위협이 감지될 경우 엔드포인트에 설치된 탐지엔진이 기밀정보와 개인정보 같은 중요 정보부터 우선 보호한다. 회사기밀정보, 고객정보 등 중요정보의 랜섬웨어 감염, 정보탈취 및 유출에 신속하게 대응할 수 있다.
기존 '프라이버시-i'를 보유한 기업은 에이전트 추가없이 EDR 기능을 추가할 수 있다는 점도 장점이다. 엔드포인트 DLP만 설치했던 기업도 에이전트 업그레이드 하나만으로 악성코드 차단부터 유출통제까지 전 구간의 데이터보호를 수행할 수 있게 된다. 기존 설치된 에이전트에 EDR를 추가하는 방식을 사용하기 때문에 프로젝트 기간도 단축시킬 수 있다.
통합 사이버 킬체인 보고서인 'MITRE ATT&CK' 프레임도 반영했다. 악성행위 전술부터 탐지방법, 피해경감기법까지 모두 적용해 탐지 및 대응을 고도화했다. 최근 추세는 'EDR 솔루션'에 'MITRE ATT&CK'을 얼마나 많이 적용했는지에 솔루션 성능이 평가된다.
최일훈 소만사 부사장은 “창립 이래 23년간 정보보호에 집중투자, DLP와 DB 접근제어, 악성코드 차단 등 개인정보보호 솔루션만 만들어 왔다”면서 “회사 내 모든 곳에 저장된 정보 중요도를 구분하고 통합 관리할 수 있는 기업은 소만사 하나뿐”이라고 말했다.
안영국기자 ang@etnews.com