2020-04-06 11:30 (월)
권영목 파고네트웍스 대표 “EPP와 EDR 통합에 MDR 적용…고객들이 원해”
상태바
권영목 파고네트웍스 대표 “EPP와 EDR 통합에 MDR 적용…고객들이 원해”
  • 길민권 기자
  • 승인 2019.12.09 08:30
이 기사를 공유합니다

“실제 위협 가시성 확보와 사고대응 관점에서 빠른 탐지와 대응 이루어져야”
2019 해킹방지워크샵에서 강연을 진행하고 있는 권영목 파고네트웍스 대표.
2019 해킹방지워크샵에서 강연을 진행하고 있는 권영목 파고네트웍스 대표.

한국침해사고대응팀협의회(CONCERT. 원유재 회장)가 주최하고 한국인터넷진흥원, 과학기술정보통신부, 금융감독원, 경찰청, 개인정보보호협회, 한국정보보호학회, 한국CPO포럼이 후원한 제23회 해킹방지워크샵이 12월 5일 여의도 전경련회관에서 500여 명의 보안담당자들이 참석한 가운데 성황리에 개최됐다.

이 자리에서 블랙베리 사일런스 한국총판 파고네트웍스 권영목 대표는 “EPP/EDR 통합 방향성과 매니지드 서비스 적용 방법론’을 주제로 강연을 진행해 큰 호응을 얻었다.

권 대표는 “2017년부터 EPP에 EDR을 더하고 EDR이 EPP를 접목하면서 상호 10% 부족한 갈증을 해소해 나가고 있는 추세다. 더불어 현업 고객들도 엔드포인트 보호 플랫폼인 EPP와 엔드포인트 탐지와 대응 솔루션인 EDR의 공존을 요구하고 있다. 보호 기술과 탐지 및 대응 기술을 동시에 활용하면서 성능, 충돌, 비용 이슈 그리고 대응관리 이슈를 줄이면서도 보안성 향성을 요구하고 있다”며 “EPP로 프로텍션율을 높이고 EPP로 차단된 멀웨어 유입경로를 EDR로 파악해 EPP가 놓친 APT/파일리스 위협을 조기 탐지, 대응하고 차단된 멀웨어도 분석할 수 있길 바라고 있다”고 설명했다.

그는 이어 EPP와 EDR 통합 방향성과 매니지드 서비스(MDR) 적용 방법론도 제시했다.

파고네트웍스 발표자료. EPP+EDR+MDR 강조.
파고네트웍스 발표자료. EPP+EDR+MDR 강조.

실제로 국내에서 350여 개 고객사를 대상으로 블랙베리 사일런스 제품에 MDR 서비스를 접목해 엔드포인트 보안을 제공하고 있는 파고네트웍스는 실제 필드 경험과 노하우를 토대로 EPP와 EDR 통합에 MDR 서비스 적용 필요성을 지속적으로 강조해 오고 있는 기업이다.

권 대표는 “EPP에 매니지드 서비스를 적용해 고객사에서 실제로 차단된 모든 멀웨어 추가정보를 추출해 멀웨어 종류와 목적을 파악한다. 이를 통해 구체적인 위협 가시성을 확보할 수 있다. 더불어 EPP가 설치되지 않은 시스템을 보호할 수 있는 대응방안도 제시할 수 있고 고객사 보안솔루션들과 연동해 실질적인 IOC 창출과 공유체계를 완성할 수 있다”며 MDR 서비스의 중요성을 강조했다.

특히 고객들에게 제공되는 매니지드 서비스 리포트 사례를 보여주며 위협 가시성 확보를 통한 수시 대응이 가능하도록 위협목적, 대응방안, 영향도 등에 대한 구체적인 정보들이 제공되는 것을 보여줬다.

더불어 EPP로 방어한 위협을 EDR로 유입경로를 파악하고 고객 자체 IR(Incident Response) 또는 MDR 서비스를 통해 시스템별, 유저별, 그룹별, 지역별 위협 유입경로 통계를 도출하고 “어디에 보안을 더 강화할 것인가” 즉 차후 보안투자 척도로 활용할 수 있다는 것이다.

한편 파고네트웍스는 E.D.R의 범위 확장을 강조했다.

엔드포인트(E)의 범위를 PC를 넘어 서버, 데이터센터, 클라우드, KIOSK, 포스, OT/생산망까지 확대해서 보고 있다.

탐지(D) 범위도 진행중인 위협과 침투한 위협을 넘어 파일/파일리스, 알려진/알려지지않은 위협, 고객 환경에 따른 다른 위협의 종류별 파악과 통계를 확장시켰다.

마지막으로 대응(R)은 시스템관점에서 확대해 ‘IR(Incident Response. 사고대응)’ 관점에서 방지(Containment), 조사(Investigation)를 통해 빠른 탐지와 대응으로 위협의 체류기간 단축시켜 나가겠다는 것이다.

한편 보안관제(MSS: Managed Security Service)와 매니지드 탐지 및 대응(MDR: Managed Detection & Response)의 차이점에 대해서도 설명했다.

보안관제는 보안 이벤트 로그 모니터링 관리와 원격디바이스 관리, 컴플라이언스 모니터링 및 보고서, 사고 발생시 고객사 파견 및 사고 분석 조사 중심이다.

반면 MDR은 최단시간 복원과 위협기반 모니터링 보고서, 현재 진행중인 위협 모니터링을 통한 탐지 및 대응 중심이라고 설명했다. 또 고객 내부 전문가와 외부 전문 MDR 제공사가 위협 대응에 대한 협업 프로세스 정립이 필요하다고 덧붙였다.

EMA 리서치에서는 NGES(차세대 엔드포인트 보안. Next-Generation Endpoint Security)에 대해 예방(Prevent)은 시그니쳐나 패턴 기반이 아니어야 하고, 탐지와 대응은 사전 탐지를 기본으로 알람에 대해서는 별도 팀이 대응해야 한다고 정의하고 있다. 즉 탐지와 대응에 대해 전문 MDR 조직이 필요하다는 것이다.

해킹방지워크샵 전시부스에서 권영목 대표.
해킹방지워크샵 전시부스에서 권영목 대표.

파고네트웍스는 블랙베리 사일런스 한국총판으로 EPP는 ‘사일런스 프로텍트’ 제품이 있으며 머신러닝 기반으로 알려진 혹은 알려지지 않은 멀웨어 격리, 스크립트 차단, 메모리 보호 기능을 제공한다. EDR로는 ‘사일런스 옵틱스’가 있다. 탐지와 대응 전문 솔루션이다. 여기에 파고네트웍스는 자체 개발한 MDR 서비스 ‘쓰렛 인사이츠 플랫폼(Threat Insights Platform. 이하 TIP)’을 제공한다.

이 회사의 TIP 서비스는 EPP로 탐지, 차단된 모든 멀웨어와 악성행위 분석 리포트를 제공하고 EDR 인시던트, 경고, 차단 기반의 분석 서비스를 제공한다. 파일 혹은 파일리스 공격 대응 및 상관분석과 고객사 보안솔루션 IOC 공유 및 연동 그리고 긴급 위협정보 공유 서비스를 제공하고 있다.

★정보보안 대표 미디어 데일리시큐!★