상세 컨텐츠

본문 제목

이스트시큐리티와 알아보는 보안이야기 #알약 EDR편

이스트시큐리티 소식

by 알약5 2023. 3. 24. 09:00

본문

안녕하세요? 이스트시큐리티입니다. 

 

여전히 안전하지 않은 재택근무 환경, 하루가 다르게 급속도로 발전하는 IT 기술, 이에 비례하는 해커들의 공격 범위 확산, 더불어 증가하고 있는 랜섬웨어의 횡포.

회사의 보안을 책임지고 있는 우리의 관리자들은, 형태도 모르고 알려지지도 않은 각종 위협들로부터 사용자들의 근무 환경을 어떻게든 지켜내기 위해 오늘도 열심히 고군분투하고 있습니다. 바로 '모르는 것.' 이것이 백신을 교체해도 관리자들의 어려움이 해소되지 않는 가장 근본적인 이유입니다.

그렇다면 이렇게 모르는 위협을 어떻게 해결할 수 있을까요?

지금부터 이 문제를 해결해 줄 수 있는 알약 EDR이라는 솔루션에 대해 여러분께 소개하고자 합니다.

EDR, 대체 그게 무엇일까?

 

EDR은 'Endpoint Detection and Response’ 의 약자로, 엔드포인트에서 탐지하고 대응하는 솔루션입니다. 쉽게 말해 컴퓨터에서 발생하는 수상한 행동을 의심하고, 감시하면서 기록을 남기는 솔루션입니다.

 

만약 이때, 수상한 행동이 발생하면 EDR은 관리자에게 보고를 하고, 관리자는 사건 일지와 같은 EDR 기록을 꼼꼼히 확인하여 문제의 근본적인 원인을 발견하고 적절한 방법으로 통제할 수 있습니다.

 

이렇듯 EDR은 ‘예측 - 보호 - 탐지 - 대응’ 4가지 과정을 한 번에 수행할 수 있어야 하며, 때문에 기존 백신의 한계를 보완할 수 있는 솔루션으로 급부상하고 있습니다.

 

[그림 1] 알약 EDR의 예측부터 대응까지의 과정

알약 EDR은 다른 EDR이랑 무엇이 다를까?

 

현재 출시된 대부분의 EDR 솔루션은 앞서 얘기한 4가지 과정 중, ‘탐지 및 대응’ 영역의 일부만을 충족하고 있습니다. 이러한 이유로 EDR을 도입한 기업이나 기관에서는 실질적인 보안 상승효과를 경험하지 못하고, 과도하게 쌓인 기록과 알림에 지쳐 오히려 대응에 어려움을 겪고 있는 경우가 많습니다.

 

[그림 2] EDR을 도입한 관리자들의 현실

반면 알약 EDR은 이스트시큐리티가 국내 1,600만 이상의 사용자를 통해 수집한 악성코드와 빅데이터를 기반으로 10년 이상의 노하우를 담아 자체 개발한 딥러닝 기술을 결합한 솔루션으로써, 다음과 같은 차별화 포인트를 가지고 있습니다.

 

💊 알약 EDR의 차별화 포인트

1. 위협 정보들을 수집하여, 알려지지 않은 위협의 의심스러운 행위를 선 차단

2. 관리 리소스를 단축시키는 직관적인 위협 흐름도 제공

3. 위협 프로세스 종료 및 사용자 네트워크 차단 등 즉각적인 대응 가능

4. 필요한 정보만 정제하여 전송, 이를 통한 관리 서버의 부하 방지

5. 딥러닝 인텔리전스 기반의 위협 상세 분석, 정확한 악성코드 식별/분류, 실질적인 대응 가이드 제공

 

[그림 3] 알약 EDR 위협 상세 분석 보고서

 

그럼 알약과 알약 EDR은 무슨 차이가 있을까?

 

혹시 앞의 내용이 조금 어려우셨나요? 그렇다면 예시를 들어보면 어떨까요?

 

경찰의 궁극적인 목적은 단 하나, 바로 범인을 잡는 것입니다. 하지만 확실한 범인만 잡을 것인지, 혹은 계속 감시하면서 의심스러운 거동수상자도 일단 붙잡고 확인할 것인지는 분명한 차이가 있습니다.

이렇게 알약 EDR은 알약과 바라보는 방향과 대응하는 범위 자체가 다릅니다.

 

반대로 생각해 보면, 다르기 때문에 알약 EDR이 알약의 대체재가 아닌 함께 사용해야 더 효율적인 솔루션임을 알 수 있습니다. 결국 백신으로 탐지하지 못했던 알려지지 않은 위협의 정체를 파악하고 대응하는 것이 알약 EDR의 궁극적인 목표입니다.

 

알약 EDR을 도입하게 된다면 고려해야 할 부분은 무엇일까?

 

EDR 솔루션은 기본적으로 엔드포인트에서 발생하는 모든 프로세스의 행위를 분석하는 특징이 있습니다. 즉, 백신만 단독으로 사용할 때보다는 사용 중인 시스템 성능에 어느 정도 영향을 줄 수 있다는 의미입니다.

 

마찬가지로 서버의 성능 또한 고려해야 합니다. 수많은 엔드포인트에서 수집된 정보를 서버에서 분석하고, 관리자에게 가시성 있는 정보를 제공해야 하기 때문입니다.

 

또한, EDR은 도입 후에 관리자 리소스가 반드시 필요합니다. 제품이 아무리 좋아도, 결국 관리자가 모니터링하면서 의심스러운 악성코드에 대해 함께 분석해야 하기 때문입니다. 때문에 이스트시큐리티가 운영하는 ESRC(ESTsecurity Security Response Center)와 같이, 전문 대응 인력이 준비되어 있는 업체를 선정하는 것도 매우 중요한 포인트입니다.

 


 

이렇게 오늘은 알약 EDR이 무엇인지, 차별점은 무엇인지, 백신과는 어떤 점이 다른지, 도입 시 어떤 점을 고려해야 하는지를 알아보았습니다.

 

2022년 주요 사이버 위협 동향 중 RaaS(Ransomware as a Service)가 급부상하고 있습니다. 서비스에 의한 랜섬웨어 즉, 사람들이 돈을 내고 랜섬웨어 제작 도구를 구매하고 있다는 의미입니다. 비전문가도 쉽게 랜섬웨어를 제작하고 유포할 수 있게 되었다는 것은, 향후 더 많은 피해 사례가 늘어날 것임을 미리 예고하고 있습니다.

 

이와 같이 사이버 위협 공격은 점점 고도화되고 더 지능적으로 변해가고 있기 때문에, 기업 및 기관도 이를 대응할 수 있도록 준비가 필요합니다. 이스트시큐리티의 알약 EDR을 통해 안전한 보안 대응 체계를 구축해 보시는 건 어떠실까요?

 

감사합니다.

 

관련글 더보기

댓글 영역