정보화가 진전된 현재, 기업에 대한 사이버 공격을 기존 보안 제품만으로 대응하는 것은 어려워지고 있다. 이런 가운데 주목받고 있는 것이 디바이스 이상 징후를 탐지하는 EDR이다. 이 글에서는 EDR의 구조와 기능, 안티바이러스와의 차이점, 그리고 바이러스 침입 경로와 피해 상황을 파악하기 위한 EDR 조사에 대해 알아본다.
EDR은 Endpoint Detection and Response의 약자로, PC, 스마트폰, 서버 등 디지털 기기에서 부정한 활동을 탐지해 관리자에게 알려주는 보안 대책을 말한다. 재택근무의 확산 등 일하는 방식의 변화에 따라 엔드포인트라고 불리는 디지털 디바이스의 보안을 강화하는 EDR에 관심이 집중되고 있다.
EDR과 EPP, NGAV, NDR 등 다른 보안 제품과의 차이점과 각각의 특징에 대해 설명한다.
EPP는 Endpoint Protection Platform의 약자로, 일반적으로 안티바이러스 소프트웨어 등으로도 불린다. EDR은 위협이 침입한 후 피해를 최소화하는 것이 주된 목적이라면, EPP는 위협이 침입하기 전에 방어하는 것이 주된 목적이라는 점이 차이점입니다.
NGAV는 Next Generation Anti-Virus의 약자로 차세대 EPP입니다. 머신러닝 기술을 활용해 악성코드(바이러스 등 악성 소프트웨어)와 유사한 움직임이나 특징을 가진 이상 징후에 대해 탐지 및 제거를 수행합니다. 데이터베이스에 없는 알려지지 않은 악성코드에도 대응할 수 있는 것이 특징이지만, EPP와 마찬가지로 위협이 침입하기 전 방어를 주 목적으로 한다는 점이 EDR과의 차이점이다.
NDR은 Network Detection and Response의 약자로, 네트워크에서 부정한 활동을 탐지하고 대응하는 보안 대책을 말하며, EDR이 엔드포인트, 즉 PC나 서버 등의 디바이스에 대한 대책인 반면, NDR은 네트워크, 즉 침입 후의 통신 움직임에 대한 대책이다, 즉, 침입 후 통신의 움직임에 대한 대책이라는 차이가 있습니다.
위협의 침입을 미연에 방지하는 것이 아니라, 막지 못한 위협에 대해 접근하는 EDR의 중요성과 주목받는 배경을 설명합니다.
기술의 발전에 따라 사이버 공격도 고도화, 교묘해지고 있다. 보안 측에서 대책을 세워도 금방 이를 뛰어넘는 공격이 발생하기 때문에 침입을 완전히 막는 것은 불가능에 가깝다. 따라서 침입을 전제로 피해를 최소화하기 위한 구조인 EDR이 중요하게 여겨지고 있다.
스마트폰, 태블릿 등 모바일 단말기의 보급도 영향을 미치고 있다. 직원들의 스마트폰을 통해 기업 서버에 침입하는 사례나 거리의 와이파이 환경을 통해 침입하는 사례도 늘고 있어 기존 보안 시스템으로는 대응이 어려워지고 있다.
코로나 사태로 인한 일하는 방식의 다양화도 요인 중 하나다. 재택근무의 확산으로 재택, 외근 등 외부 네트워크에서 업무를 수행할 기회가 늘어나면서 공격 경로도 다양해졌다. 이러한 네트워크 환경에서 내외부를 구분하는 경계형 방어는 한계가 있기 때문에 '무조건 신뢰하지 않는다'는 제로 트러스트 개념에 따른 엔드포인트 보안 강화가 필요하다.
EDR 제품은 다양하고 제품마다 특징과 비용도 다르기 때문에 자사의 보안 상황에 맞는 제품 선택이 중요하다. 또한, EPP로 보급된 툴이 EDR을 겸하는 경우도 등장하고 있지만, 이러한 제품 중에는 EDR 기능이 다소 미흡한 경우도 있는 것으로 보인다. 본격적인 EDR 기능이 필요한 상황이라면 EDR 기능이 메인인 제품을 선택하는 등 자사의 상황과 목적에 맞는 제품 선택이 포인트입니다.
EDR이 무엇을 조사하고, 그 결과로 무엇을 알 수 있는지에 대해 설명합니다.
EDR 조사를 통해 의심스러운 행동이나 의심스러운 프로그램을 탐지하면, 침해의 기점이 되는 활성 엔드포인트(단말)에서부터 측면 이동을 추적할 수 있습니다. 또한, 평상시부터 과거 일정 기간의 로그를 보관하는 EDR 라이선스를 도입한 경우, 탐지 시점부터 역추적하여 프로세스를 분석함으로써 침입 경로를 파악할 수 있습니다.
EDR 조사에서는 탐지한 악성코드의 종류, 침입 경로, 정보 유출 여부 등의 정보를 수집하고 분석하여 보안 침해의 근본 원인을 파악하여 피해 상황을 가시화할 수 있습니다.
이처럼 장점이 많은 EDR이지만 몇 가지 단점도 존재합니다. 하나는 도입에 비용이 많이 든다는 점이다. 두 번째는 운영에 많은 리소스를 투입해야 한다는 점이다. 위협이 발생했을 때 대응할 수 있는 지식과 경험을 가진 인력을 확보해 신속하게 대응할 수 있는 운영 체제를 갖춰야 한다.
이러한 단점을 해소하기 위해 프론테오의 '사이버 보안 조사 패키지'를 추천합니다. 10,600건 이상의 부정행위 조사 실적을 보유한 프론테오는 여러 보험사에서도 추천하는 고품질의 사이버 보안 조사를 제공하며, PC 1대로 조사할 수 있습니다. 가능합니다.
EDR 조사뿐만 아니라 다크웹 조사까지 원 패키지로 제공하며, Wi-Fi 취약점 조사, NDR 조사, 침투 테스트 등 추가 조사도 가능합니다. 전문 지식이 있는 인력이 없는 기업의 경우, 유사시 대응 속도와 전문성에 대한 우려가 있습니다. FRONTEO는 압도적인 실적을 통해 얻은 노하우를 바탕으로 사이버 공격 피해의 초기 대응을 지원합니다.
→ 【관련 기사】사이버 보안 조사 패키지 '사이버 보안 조사 패키지' 서비스 사이트