2020-06-02 09:40 (화)
안랩 "EDR의 목적, 엔드포인트 보안 위협 가시성 확보 통해 적극적 위협 대응"
상태바
안랩 "EDR의 목적, 엔드포인트 보안 위협 가시성 확보 통해 적극적 위협 대응"
  • 길민권 기자
  • 승인 2018.05.28 07:23
이 기사를 공유합니다

▲ 안랩 백민경 부장. MPIS 2018에서 '지능형 보안위협에 대한 트렌드 및 종합적 대응 방안'을 주제로 강연을 진행하고 있다.
▲ 안랩 백민경 부장. MPIS 2018에서 '지능형 보안위협에 대한 트렌드 및 종합적 대응 방안'을 주제로 강연을 진행하고 있다.
데일리시큐가 주최한 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2018이 5월 24일 400여 명의 의료기관 정보보안 실무자들이 참석한 가운데 한국과학기술회관에서 성황리에 개최됐다.

이 자리에서 안랩(대표 권치중) 백민경 부장은 '지능형 보안위협에 대한 트렌드 및 종합적 대응방안'을 주제로 강연을 진행했다. 그의 발표내용을 요약하면 다음과 같다.

현재 많은 기업 및 기관이 다양한 엔드포인트 보안 솔루션을 운영하고 있다. 그러나 이들 솔루션은 보안의 범위와 역할이 각기 다르다. 예를 들어, V3와 같은 백신 프로그램은 엔드포인트에 유입돼 피해를 입힐 수 있는 악성코드를 탐지해 삭제하는 것이 주목적이다. NAC(Network Access Control)이나 매체제어(Device Control) 솔루션은 각각 보안 정책에 따라 단말 시스템을 네트워크로부터 차단하거나 USB 등의 매체가 단말에 연결되는 것을 방지하는 역할을 수행한다. 이 밖에도 조직의 비즈니스 성격에 따라 여러 가지 규제 준수를 위해 다양한 보안 솔루션이 도입, 운영된다.

▲ MPIS 2018. 백민경 안랩 부장 발표현장.
▲ MPIS 2018. 백민경 안랩 부장 발표현장.
그럼에도 불구하고 매년 침해사고가 발생하고 있다. 기존에 침해사고가 발생한 원인을 분석해 보면 결국 알려지지 않은 엔드포인트의 위협 즉 이미 내부에 침입했지만 보이지 않는 위협으로부터 침해사고가 발생 하는 것이다. 이와 같은 위협은 제로데이 공격, 사회공학기법 등 다양한 방법으로 엔드포인트에 대한 공격을 실행하고 있다.

더욱 안전한 엔드포인트 보안 환경을 구축하기 위해서는 △엔드포인트 하드닝을 통한 공격 표면 최소화 △보안정책 내재화를 통한 임직원 자기주도 보안 실행 △보안운영자의 능동적,적극적 보안위협 대응이 필요하다.

엔드포인트 위협 탐지·대응 솔루션 EDR(Endpoint Detection and Response)은 기존 보안 솔루션과 달리 특정한 기능을 수행하기 위한 목적보다는 엔드포인트에서 발생하는 다양한 이벤트와 보안 위협에 대해 가시성을 제공함으로써 보안 관리자가 어떻게 대응하는 것이 좋을지 신속하게 의사 결정을 하고 능동적으로 조치할 수 있게 하는 것이 핵심이다.

안랩 EDR은 지난 30년 간 축적된 안랩의 악성코드 분석 기술과 엔드포인트 보안 대응 경험이 집약된 차세대 엔드포인트 보안 솔루션이다. 지속적인 모니터링을 기반으로 실제 엔드포인트 영역에서 발생하는 모든 위협 정보를 수집해 위협 가시성 기반의 진일보한 위협 대응을 제공한다.

안랩 EDR의 목적을 한 마디로 정의한다면 “엔드포인트 보안 위협 가시성 확보를 통한 적극적인 위협 대응”으로 요약할 수 있다.

‘엔드포인트 보안 위협 가시성을 제공한다’는 표현은 폭넓게 해석될 수 있다. 안랩 EDR은 V3에 적용된 국내 최초의 독자적인 행위 기반 분석 엔진인 MDP 엔진을 통해 엔드포인트의 실제 운영체제 기반의 모든 행위 정보를 탐지, 수집, 저장, 분석한다. 이와 함께 엔드포인트 위협 이벤트의 타임라인 분석을 통해 위협의 유입 경로, 종류, 목표, 행위, 내부 확산 여부 등에 대한 상세한 정보를 제공한다.

또한 연관 관계 다이어그램을 제공해 탐지된 악성코드나 의심스러운 행위를 하는 파일 및 프로세스를 기준으로 보안 침해 탐지 및 조사를 수행할 수 있게 한다. 보안 관리자는 안랩 EDR이 제공하는 연관 관계 다이어그램을 통해 현재 엔드포인트에서 발생한 위협뿐만 아니라 관련 파일, 레지스트리, 프로세스, 네트워크 연결 등에 대한 연관 관계를 한 눈에 확인 할 수 있다.

대부분의 EDR 솔루션은 엔드포인트의 다양한 위협과 관련된 파일을 비롯해 레지스트리, 프로세스, 네트워크 연결 등 수많은 행위 정보를 모니터링하고 수집하여 관리 서버에 저장한다. 이렇게 저장된 상당한 양의 데이터를 유의미한 ‘정보’로 제공하기 위해 여러가지 기술을 이용한 분석 작업이 수행된다. 문제는 다수의 엔드포인트에서 발생하는 수많은 데이터를 저장하고 분석하기에는 기존의 관계형 데이터베이스 기반의 매니지먼트 시스템(RDBMS)으로는 한계가 있다는 점이다. EDR 에이전트가 위협과 관련된 행위 정보를 수집해 전달하더라도 기존의 일반적인 관리 서버가 이를 받아서 저장하고 시의적절하게 분석할 수 없다면 아무 의미가 없다.

바로 이러한 이유로 안랩은 EDR에서 수집된 많은 데이터를 효율적으로 저장·분석하기 위해 데이터를 병렬 분산 처리할 수 있는 빅데이터 기반의 플랫폼을 개발, 안랩 EDR과 함께 출시했다.

새롭게 출시된 엔드포인트 보안 플랫폼 안랩 EPP는 단순히 EDR만을 위한 관리 솔루션은 아니다. 안랩 EPP는 EDR은 물론, V3 제품, 안랩 패치 매니지먼트(AhnLab Patch Management), 안랩 프라이버시 매니지먼트(AhnLab Privacy Management), 안랩 내PC지키미 등 다양한 안랩의 엔드포인트 보안 솔루션을 단일 관리 콘솔을 통해 효율적으로 운영할 수 있는 플랫폼이다. 다수의 엔드포인트 보안 솔루션의 연계를 통해 유연한 보안 관리와 더욱 강력한 위협 대응을 제공한다.

▲ MPIS 2018 안랩 전시부스. △'안랩 MDS(Malware Defense System)’와 △ ‘안랩 EDR(Endpoint Detection and Response)’ △안랩 트러스가드(TrusGuard) △안랩 TMS(Threat Management System) 등을 400여 명의 의료기관 정보보안 실무자들에게 선보였다.
▲ MPIS 2018 안랩 전시부스. △'안랩 MDS(Malware Defense System)’와 △ ‘안랩 EDR(Endpoint Detection and Response)’ △안랩 트러스가드(TrusGuard) △안랩 TMS(Threat Management System) 등을 400여 명의 의료기관 정보보안 실무자들에게 선보였다.
한편 안랩은 MPIS 2018 전시회에도 참여해 △'안랩 MDS(Malware Defense System)’와 △ ‘안랩 EDR(Endpoint Detection and Response)’ △안랩 트러스가드(TrusGuard) △안랩 TMS(Threat Management System) 등을 400여 명의 의료기관 정보보안 실무자들에게 선보였다.

‘안랩 MDS(Malware Defense System)’는 네트워크에서 엔드포인트 영역까지 악성코드가 유입될 수 있는 주요 지점에서 보안위협을 탐지하고 대응하는 `지능형 지속 위협 대응 솔루션`이다.

또 엔드포인트 위협 탐지•대응 솔루션 ‘안랩 EDR(Endpoint Detection and Response)’은 자체 행위분석엔진을 이용해 엔드포인트에서 발생하는 모든 행위 정보를 수집·분석해 보안 위협에 대한 직관적인 가시성을 제공한다.

‘안랩 트러스가드’는 ▲고도화된 애플리케이션 컨트롤(Application Control), ▲사용자 ID 기반 제어, ▲C&C 탐지 및 차단, ▲암호화된 트래픽 가시성 확보(SSL Inspection) 등 고객의 요구사항이 철저히 반영된 차세대 방화벽이다.

‘안랩 TMS’는 다수의 안랩 네트워크 보안 장비를 통합 관리해, 수집된 위협 정보에 대한 머신러닝/룰 기반 분석 및 대응과 사용자 중심의 모니터링 제공하는 차세대 네트워크 통합보안 플랫폼이다.

▲ MPIS 2018 보안솔루션 전시회에 400여 명의 국내 의료기관 정보보안 실무자들이 대거 참석해 참관했다.
▲ MPIS 2018 보안솔루션 전시회에 400여 명의 국내 의료기관 정보보안 실무자들이 대거 참석해 참관했다.
한편 안랩은 2018년 ‘Bold Challenge, Make Change(대담한 도전을 통한 변화)’를 올해의 슬로건으로 정하고 엔드포인트플랫폼사업부, 네트워크사업부, 서비스사업부 등 3개 사업부에서 신제품 및 서비스를 출시하는 등 기술 리더쉽을 기반으로 시장을 주도해 나갈 계획이다. 올 초 신설된 CTO 부문에서는 안랩의 미래 성장동력 발굴과 전사 관점의 R&D 전략을 이끈다.

또 올해 안랩은 중장기적 관점의 미래 성장을 위해 ▲변화하는 환경에 맞추어 ‘기민하게 행동하는 조직문화’ ▲리딩 분야에서도 새로운 기회를 찾기 위한 ‘사업구조 지속적 재검토’ ▲사업부 간 장점을 결합해 새로운 가치를 만들어내는 ‘사업부 간 시너지 창출’ ▲영역에 국한되지 않는 ‘미래를 향한 다양한 도전’ 등을 4가지 핵심과제로 제시했다.

안랩 백민경 부장의 MPIS 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★