2024-03-29 16:05 (금)
[G-PRIVACY 2019] 안랩 "EDR과 EPP 연관 운영하면 효과적 위협대응 가능해"
상태바
[G-PRIVACY 2019] 안랩 "EDR과 EPP 연관 운영하면 효과적 위협대응 가능해"
  • 길민권 기자
  • 승인 2019.04.14 16:52
이 기사를 공유합니다

"EDR과 EPP 연계, 다양한 경로의 위협에 대해 엔드포인트 영역에서 지속적 모니터링 및 대응 가능"

▲ G-PRIVACY 2019. 안랩 명재열 부장. '개인정보보호를 위한 엔드포인트 행위 분석과 연계 분석'을 주제로 강연을 진행하고 있다.
▲ G-PRIVACY 2019. 안랩 명재열 부장. '개인정보보호를 위한 엔드포인트 행위 분석과 연계 분석'을 주제로 강연을 진행하고 있다.
데일리시큐가 주최하는 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2019가 4월 10일 1천400여 명의 보안실무자들이 참석한 가운데 양재동 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

이 자리에서 안랩 명재열 부장은 '개인정보보호를 위한 엔드포인트 행위 분석과 연계 분석'을 주제로 강연을 진행했다.

드라이브드 바이 다운로드나 스피어피싱 같은 공격에 의해 정보 유출형 악성코드에 감염되었을 경우 증거를 수집해 사고의 원인과 과정을 분석하게 된다. 알려진 악성코드이거나 해킹 방법이 아니라면 증거는 엔드포인트에서 발생한 모든 행위가 된다.

엔드포인트에서의 행위 증거는 파일, 레지스트리, 프로세스, 시스템, 네트워크의 로그다. 이들 로그 정보를 수집하기 위해서는 엔드포인트의 여유 리소스를 확보하고 커널에서의 충돌을 방지해 안정성을 확보해야 한다. 특정 이벤트 중심이 아닌 전체적 연속적인 정보를 수집, 저장해 위협을 추적할 수 있도록 한다. 수집된 정보는 상시 확인 가능해야 하고 중앙 집중화된 저장 및 관리가 필요하다.

명재열 부장은 "행위 정보를 분석해 의미 있는 위협 추적이 되기 위해 주로 세 가지 방법을 사용하고 있다. 행위들 간의 상관 관계를 시간 순서 기반으로 분석해 가시성을 확보할 수 있다. IOC, YARA와 같은 사용자 정의 룰을 사용해 행위들의 위험성을 판단할 수 있다. 대규모 행위 정보는 빅데이터 분석을 통해 위협을 예측할 수 있다"고 설명했다.

우선 특징적인 위협 행위들은 필터링이 가능하다. 랜섬웨어 의심 행위, 비정상적인 실행, 파일 다운로드, 자동실행 구성, 방화벽 설정 변경, 최근 생성 파일, 메모리 쓰기 시도, 인젝션 시도, 보안 설정 변경, DDoS 행위들은 안티바이러스 업체들의 분석 노하우에 의해 정의되어 사용되고 있다. 행위들 간의 상관 관계 분석을 통해 직관적으로 위협 흐름을 파악할 수 있다. 이렇게 분석된 행위들은 시간 순서 기반으로 위협의 과정을 설명할 수 있게 된다.

IOC는 악성코드나 해킹에 의한 흔적들을 모두가 이해할 수 있는 일정한 포맷으로 정리된 것으로 위협 인텔리전스로 생성되고 공급되고 있다. IOC를 기반으로 탐지는 알려진 위협에 대한 탐지 방법에 해당된다. 새로운 위협을 탐지하기 위해 수학적인 알고리즘에 기반을 둔 머신러닝 방법으로 의심 행위를 예측할 수 있다. 과탐이나 오탐 문제 해결이 선행되어야 효과적인 분석이 가능해 진다.

A-1.jpg
명 부장은 "행위 분석 결과는 일반적인 보안 관리자가 판단하기 어려울 수 있다. 따라서 EPP 솔루션으로 탐지된 결과와 행위 분석 결과를 연관시킬 경우 EPP에 의한 탐지된 명확한 사실과 EDR에 의한 사건의 전후 관계를 파악할 수 있어 위협을 정확하게 인지할 수 있다"며 "EDR과 EPP를 연관 운영할 경우 보안 전문가가 이해할 수 있는 행위 분석 정보를 일반 보안관리자들도 분명한 원인과 피해 결과를 파악할 수 있게 되어 효과적인 사후 대응이 가능해질 수 있다"고 말했다.

안랩은 1995년에 설립된 국내 대표 통합 보안 기업으로, V3제품군을 포함한 보안SW와 차세대방화벽, 디도스 대응 솔루션, 침입방시시스템(IPS) 등 네트워크 보안 솔루션을 개발/공급하고 있다. 또한 보안관제, 정보보호컨설팅 등 보안 서비스를 제공하고 있다.

또 안랩은 다양한 정보보안 기술 및 서비스를 자체 역량으로 제공하고 있으며 ASEC(안랩 시큐리티 대응 센터)과 CERT(컴퓨터 침해사고 대응 센터) 등 보안위협 긴급 대응 조직을 운영해 24시간 365일 악성코드, 해킹 등 보안위협에 대해 실시간 대응한다.

▲ G-PRIVACY 2019. 안랩 명재열 부장. '개인정보보호를 위한 엔드포인트 행위 분석과 연계 분석'을 주제로 강연 현장.
▲ G-PRIVACY 2019. 안랩 명재열 부장. '개인정보보호를 위한 엔드포인트 행위 분석과 연계 분석'을 주제로 강연 현장.
이번 G-PRIVACY 2019에서 안랩은 안랩 EDR과 EPP를 중점적으로 소개했다.

엔드포인트 위협 탐지•대응 솔루션 ‘안랩 EDR(Endpoint Detection and Response)’은 자체 행위분석엔진을 이용해 엔드포인트에서 발생하는 모든 행위 정보를 수집 • 분석하여 보안 위협에 대한 직관적인 가시성을 제공한다.

보안 관리자는 안랩 EPP(Endpoint Protection Platform) 매니지먼트 서버에 저장된 엔드포인트 행위 로그를 모니터링 및 분석할 수 있으며, 안랩 EPP 제품군과 연계해 다양한 탐지 및 대응정책을 설정할 수 있다. 이를 통해 도입 고객사는 다양한 경로의 위협에 대해 PC 등 엔드포인트 영역에서 지속적인 모니터링 및 대응이 가능하다.

▲ G-PRIVACY 2019. 안랩 전시부스.
▲ G-PRIVACY 2019. 안랩 전시부스.
특히 ‘안랩 EDR’은 ▲엔드포인트 보안 솔루션간 연계를 통한 위협정보 종합분석 ▲단일 관리 콘솔(Single Management Console)과 단일 에이전트(One Agent)를 통한 관리 효율성 ▲구축 운영의 안정성 및 타 솔루션과의 호환성 등 특장점을 제공한다.

한편 안랩은 빠르게 변화하는 환경과 고객의 요구에 대응하고 중장기 미래를 준비하기 위해, 올해 솔루션 중심의 ‘EPN사업부’와 보안서비스 중심의 ‘서비스사업부’로 조직을 재편했다.

안랩 ‘EPN사업부’는 EP와 NW사업 영역의 시너지를 바탕으로 비즈니스 파트너와 함께 ‘고객 중심’의 엔드포인트 보안 리더십을 펼쳐나갈 계획이다. 이를 위한 전략으로 안랩 ‘EPN사업부’는 ▲고객 중심 영업력 강화 ▲기술지원 인프라 및 프로세스 고도화 ▲글로벌 경쟁력 강화 등을 전개한다.

안랩 ‘서비스사업부’는 보안관제, 컨설팅, 보안 SI 등 보안서비스 중심의 사업을 이어가며 해당 분야의 경쟁력을 키워갈 계획이다. 이와 함께 ‘클라우드 보안서비스 전략 세미나’ 등 클라우드 보안 교육부터 클라우드 보안 컨설팅, 클라우드 보안관제로 이어지는 ‘클라우드 보안서비스 순환전략’을 전개한다.

안랩 명재열 부장의 G-PRIVACY 2019 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
▶의료기관 및 메디컬 관련 기업 개인정보보호 및 정보보안 실무자만 참석 가능
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★