2019-09-14 23:20 (토)
[MPIS 2019] 안랩 EDR, EPP 제품군과 연계…복합적 위협에 효과적 대응
상태바
[MPIS 2019] 안랩 EDR, EPP 제품군과 연계…복합적 위협에 효과적 대응
  • 길민권 기자
  • 승인 2019.05.26 22:35
이 기사를 공유합니다

명재열 부장, 엔드포인트 행위의 연계 분석을 통한 악성 코드 대응 주제 발표

▲ MPIS 2019에서 안랩 명재열 부장이 '엔드포인트 행위의 연계 분석을 통한 악성코드 대응'을 주제로 의료기관 보안실무자들에게 강연을 진행하고 있다.
▲ MPIS 2019에서 안랩 명재열 부장이 '엔드포인트 행위의 연계 분석을 통한 악성코드 대응'을 주제로 의료기관 보안실무자들에게 강연을 진행하고 있다.
“EDR은 엔드포인트의 행위를 수집 분석해 보안 침해를 탐지하고 보안 침해를 분석해 감염 이전 상태로 회복하도록 대응하고 동일한 보안 침해가 발생하지 않도록 방지한다. 또 위협 대상인 엔드포인트에서 이미 발생한 행위를 기반으로 분석하기 때문에 새로운 위협의 예방은 매우 어렵다. 따라서 EDR의 상세 분석 결과를 기반으로 위협의 예방을 시도하기 보다는 보안 침해가 발생한 후 신속한 대응과 방지에 초점을 맞춰야 일반적인 보안 관리자가 사용할 수 있는 유용한 툴이 될 수 있다.” –안랩 명재열 부장-

올해 6회째를 맞은 데일리시큐 주최 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 ‘MPIS 2019’가 300여 명의 의료기관 정보보안 담당자들이 참석한 가운데 5월 23일 서울 양재동 더케이호텔서울 가야금홀에서 개최됐다.

이 자리에서 안랩 명재열 부장은 ‘엔드포인트 행위의 연계 분석을 통한 악성 코드 대응’이란 주제로 의료기관 보안담당자들에게 강연을 진행했다.

명 부장은 “보통의 EDR(Endpoint Detection and Response)은 위협의 대응 및 방지를 위해 네트워크 차단, 파일 삭제, 프로세스 종료 등 단순한 기능만 제공하고 있다. 그러나 안랩 EDR은 통합보안플랫폼인 안랩 EPP에 포함되어 운영되며 안랩 EPP에서 운용할 수 있는 각 개별 보안 제품들과 연계 규칙을 운용할 수 있도록 해 위협의 복합적인 원인에 대해 복수 대응 조치를 동시에 자동으로 실행할 수 있도록 한다”고 설명했다.

연계 규칙의 실제 사례를 살펴 보면 내부에 한 대의 PC에서 심각한 악성코드 감염이 발견되었을 때 백신 SW의 업데이트 후 탐지를 기다리기 보다 즉각 감염된 다른 PC를 찾아서 조치하고자 할 경우 업무 흐름이 복잡하고 다단계의 조치가 필요하다. 그러나 연계 규칙을 이용하면 최초 감염 PC에 대한 EDR 분석 정보를 기반으로 탐지 조건을 생성하여 매칭되는 PC에 대해 네트워크 차단이나 악성코드 검사 등을 신속하게 자동으로 대응할 수 있도록 한다는 것이다.

이어 명재열 부장은 “글로벌 IT전문 리서치 기관 가트너(Gartner)는 EDR에 대해 “엔드포인트 보안을 위한 추가 도구로, 안티바이러스 등 기존 보안 솔루션과의 연계를 통해 시너지 효과를 발휘한다고 설명한다. 최신 보안 솔루션인 EDR을 비롯해 다수의 보안 솔루션을 도입했더라도 이들이 유기적으로 연결되어 위협에 대응할 수 있을 때 진정한 가치를 발휘할 수 있다는 의미다. 안랩의 EPP와 EDR의 연계 규칙은 일반 보안 관리자가 EDR의 분석 정보를 위협 대응에 유용하게 사용할 수 있는 데 의의가 있다”고 강조했다.

▲ [MPIS 2019] 안랩 전시부스에서 참관객들이 EDR에대해 설명을 듣고 있다.
▲ [MPIS 2019] 안랩 전시부스에서 참관객들이 EDR에대해 설명을 듣고 있다.
안랩은 1995년에 설립된 국내 대표 통합 보안 기업으로, V3제품군을 포함한 보안SW와 차세대방화벽, 디도스 대응 솔루션, 침입방시시스템(IPS) 등 네트워크 보안 솔루션을 개발/공급하고 있다. 또한 보안관제, 정보보호컨설팅 등 보안 서비스를 제공하고 있다. 안랩은 다양한 정보보안 기술 및 서비스를 자체 역량으로 제공하고 있으며 ASEC(안랩 시큐리티 대응 센터)과 CERT(컴퓨터 침해사고 대응 센터) 등 보안위협 긴급 대응 조직을 운영해 24시간 365일 악성코드, 해킹 등 보안위협에 대해 실시간 대응한다.

이번에 MPIS 2019에서 소개한 엔드포인트 위협 탐지•대응 솔루션 ‘안랩 EDR’은 자체 행위분석엔진을 이용해 엔드포인트에서 발생하는 모든 행위 정보를 수집 • 분석하여 보안 위협에 대한 직관적인 가시성을 제공한다.

보안 관리자는 안랩 EPP(Endpoint Protection Platform) 매니지먼트 서버에 저장된 엔드포인트 행위 로그를 모니터링 및 분석할 수 있으며, 안랩 EPP 제품군과 연계해 다양한 탐지 및 대응정책을 설정할 수 있다. 이를 통해 도입 고객사는 다양한 경로의 위협에 대해 PC 등 엔드포인트 영역에서 지속적인 모니터링 및 대응이 가능하다.

안랩 EPP 제품군은 안랩의 패치 관리 솔루션(AhnLab Patch Management), 취약점 점검 솔루션(AhnLab 내PC지키미), 개인정보 유출 의심 파일 차단 솔루션(AhnLab Privacy Management) 등이다.

특히 ‘안랩 EDR’은 ▲엔드포인트 보안 솔루션간 연계를 통한 위협정보 종합분석 ▲단일 관리 콘솔(Single Management Console)과 단일 에이전트(One Agent)를 통한 관리 효율성 ▲구축 운영의 안정성 및 타 솔루션과의 호환성 등 특장점을 제공한다.

한편 안랩은 빠르게 변화하는 환경과 고객의 요구에 대응하고 중장기 미래를 준비하기 위해, 올해 솔루션 중심의 ‘EPN사업부’와 보안서비스 중심의 ‘서비스사업부’로 조직을 재편했다.

안랩 ‘EPN사업부’는 EP와 NW사업 영역의 시너지를 바탕으로 비즈니스 파트너와 함께 ‘고객 중심’의 엔드포인트 보안 리더십을 펼쳐나갈 계획이다. 이를 위한 전략으로 안랩 ‘EPN사업부’는 ▲고객 중심 영업력 강화 ▲기술지원 인프라 및 프로세스 고도화 ▲글로벌 경쟁력 강화 등을 전개하고 있다.

또 안랩 ‘서비스사업부’는 보안관제, 컨설팅, 보안 SI 등 보안서비스 중심의 사업을 이어가며 해당 분야의 경쟁력을 키워갈 계획이다. 이와 함께 ‘클라우드 보안서비스 전략 세미나’ 등 클라우드 보안 교육부터 클라우드 보안 컨설팅, 클라우드 보안관제로 이어지는 ‘클라우드 보안서비스 순환전략’을 펼쳐가고 있다.

★정보보안 대표 미디어 데일리시큐!★