상세 컨텐츠

본문 제목

엔드포인트 위협 대응의 새로운 대안, 알약 EDR

전문가 기고

by 알약(Alyac) 2019. 10. 11. 17:32

본문



보안 인식 변화와 함께 등장한 EDR

 

사이버 보안의 대상에 대한 인식이 변화했다. 신, 변종 악성코드, 랜섬웨어와 지능형 지속위협(APT) 공격의 범람과 함께, 공격자의 최종 목표인 엔드포인트의 보안 강화에 대한 요구가 많아졌다. 그 과정에서 전통적인 보안 솔루션의 한계를 극복하고 고도화된 엔드포인트 위협을 예측-예방-대응-탐지하는 ‘EDR(Endpoint Detection and Response)’이라는 개념이 등장했다.


EDR, 그러나 왜 아직인가?

 

하지만 이미 시장에 많은 EDR 제품이 출시되어있음에도 기대했던 만큼 보안 이슈들이 해결되지는 않고 있어, 사용자들은 제품 선택에 애로사항을 겪고 있다.

 

기존 EDR 제품들은 △ 평판 분석의 한계, △ 드라이버 문제, △ 에이전트, 관리콘솔 중복, △ 과도한 관리 리소스 등 크게 4가지 한계점을 가지고 있기 때문이다.


1. 평판 분석의 한계

2018년도 AV-TEST 통계를 살펴보면, 전체 악성코드 중 알려진 위협은 84%, 알려지지 않은 위협은 16%로 나타난다. 물론 알려지지 않은 위협을 탐지, 차단하는 것도 중요하지만 알려진 위협을 차단하는 것은 기본이 되어야 한다. 현재 시장에 나와있는 독립형(Standalone) EDR 솔루션은 알려진 위협을 차단할 엔진이 없거나, 안티바이러스 제품을 병행해 사용해야 한다. 평판 조회 서비스를 별도로 이용하더라도, 실시간 악성코드 샘플이 존재하지 않는 경우가 다반사이며, 탐지 결과 확인을 위해서는 원본 샘플을 등록해 공개적으로 공유해야하는 일이 빈번하다.

 

2. 드라이버 문제

커널 레벨이 아닌 유저 레벨만 지원하는 독립형 EDR 제품들은 위협 모니터링과 복구를 위해 별도 드라이버를 설치해야 하기 때문에, 드라이버 충돌 및 중복에 대한 이슈가 계속해서 존재한다.

 

3. 에이전트, 관리콘솔의 중복

알려진 위협의 차단에는 안티바이러스 기능이 필수적으로 필요하다. 하지만 안티바이러스 제품과 완벽히 연동되지 않는 EDR 제품은 사용자 PC 단에 설치되는 에이전트도 2개, 보안 관리자가 모니터링해야하는 관리콘솔도 2개가 될 수 밖에 없다. 즉 보안 관리자의 리소스 문제가 따라오게 되어 비효율적인 자원 낭비가 발생하게 된다.

 

4. 과도한 관리 리소스

독립형 EDR의 경우 악성코드의 행위들을 차단하기보다 각각의 행위를 다른 이벤트로 탐지하면서, 모든 이벤트들을 하나씩 검토하고, 하나씩 차단 정책에 반영해야 하는 보안 관리자의 작업을 요구한다. 게다가 의심행위를 차단하더라도 정확한 위협 판단 없이는 숙주파일을 탐지하지 못해 계속해서 보안 알림이 울려, 부득이하게 수백대의 PC를 포맷한 사례도 있다. 결국 보안 관리자는 오탐/과탐의 문제를 떠안고, 위협 흐름도를 보고 의심되는 행위를 분석해서 대응해야 하는 반복적인 업무를 계속 할 수 밖에 없었다.


EDR의 필수요소 - 위협 인텔리전스와 결합한 알약 EDR

 

모든 엔드포인트의 실질적인 보안 위협은 엔드포인트의 악성코드로부터 발생하기 때문에 각종 악성코드를 식별하고 분류하는 것이 차세대 엔드포인트 보안의 핵심이다. EDR에 위협 인텔리전스가 필요한 이유다.


기존 EDR 

2세대 EDR 

유저 레벨 드라이버 

완벽한 커널 레벨 드라이버 

평판 분석 의존

자체적인 탐지 엔진, DB

에이전트, 관리콘솔 중복

단일 에이전트, 단일 관리콘솔 

과도한 관리 리소스 

관리 리소스 최소화 

단순한 대응 로직

위험도별 맞춤 대응 로직

대응 속도가 느림

신속하고 즉각적인 대응력


1. 알약 EDR은 알려진 위협과 알려지지 않은 위협 모두를 탐지, 차단한다.


자체 탐지 엔진인 ‘테라 엔진’을 기반으로 구동되기 때문에 과탐/오탐을 최소화하는 정책 운영이 가능하며, 추가적인 평판분석 정보를 제공하여 알려진 위협을 빈틈없이 탐지한다.

 

2. 알약 EDR은 안정적인 커널 레벨 드라이버를 사용한다.


커널 레벨 기술을 통해 구현된 행위 기반 감시, 랜섬웨어 차단 기능으로 유저 레벨 및 훅 기반의 차단 기술보다 더 강력하고 효율적인 의심 행위 차단이 가능하다. 또한 자체 행위 정보 수집 기술로 파일, 프로세스, 레지스트리, 네트워크 등의 위협 정보를 안정적으로 수집하여 엔드포인트 가시성을 제공한다.

 

3. 알약 EDR은 통합 에이전트, 통합 관리 콘솔을 지원한다.


단일 에이전트를 기반으로 ‘알약’, ‘알약 패치관리(PMS)’, ‘알약 내PC지키미’ 등 기존 알약 제품군과 통합 관리가 가능하기 때문에, 사용자 PC의 리소스 최소화뿐만 아니라 보안 관리자의 효율적인 운영이 가능해진다.

 

4. 알약 EDR은 선조치-후보고로 관리 리소스를 최소화한다.


알약 EDR은 탐지되는 알려지지 않은 위협의 레벨을 악성-의심-주의로 세분화하여 차단 및 대응하고 있다. 주의 레벨의 일반적이지 않은 행위는 정책에 따라 차단 또는 허용하고, 의심 행위는 실행을 지연시킨 후 상세 분석 결과를 통해 판단이 가능하게끔 한다. 기존 EDR 솔루션과 달리, 알약 EDR은 확실한 악성 행위에 대해 사전 차단 후 리포트를 제공하여 보다 효율적인 대응이 가능하다.



알약 EDR은 매니지먼트 콘솔, 자사의 인텔리전스 서비스인 ‘쓰렛인사이드(Threat Inside)’의 분석 체계가 유기적으로 결합되어 있다. 사용자 PC에는 통합 에이전트가 설치되어 필요한 이벤트 로그를 전송하며, 의심 또는 악성 행위가 발생했을 때 해당 파일의 실행을 정책에 따라 지연 또는 차단한다.


이스트시큐리티 알약 EDR은 이스트시큐리티가 10년 이상 엔드포인트 보안 사업을 전개하며 키워온 보안 노하우를 집약시킨 제품으로, 1,600만 사용자를 확보하고 있는 국민 백신 알약이 탐지한 연간 약 1억 건 이상의 악성코드와 분기별 130만 건이상의 랜섬웨어 샘플를 통해 축적해온 악성코드 데이터베이스와 위협 대응 전문 노하우를 기반으로 개발되었다. 특히 경보 피로 및 신뢰할 만한 위협 인텔리전스 부족 등 기존 EDR 제품의 한계를 자사 위협 인텔리전스 서비스 ‘쓰렛인사이드(Threat Inside)’와 완벽히 연동해 해결하고, 기업에 보다 실효적인 보안 대응 가이드를 제시하는데 초점을 맞춘 제품이다.


▲알약 EDR ‘위협 흐름도’ 및 ‘악성 행위 프로세스 차단’




알약 EDR에 연동된 쓰렛인사이드 위협 식별 결과 화면



관련글 더보기

댓글 영역