[보안 따라잡기]⑥`신종 코로나` 확산 공포…IT 바이러스는 EDR로 차단

by이후섭 기자
2020.02.08 12:25:54

엔드포인트 보안 강화 요구…차세대 보안솔루션 EDR 등장
알려지지 않은 위협도 탐지…유입경로 차단해 악성코드 확산 방지
국내 보안업체들 잇단 제품 출시…금융·공공기관 위주 도입 확산

지니언스의 EDR제품 `지니안 인사이츠 E`의 대시보드 화면(자료=지니언스 제공)
[이데일리 이후섭 기자] 신종 코로나바이러스 확산 공포가 전 세계를 긴장시키고 있다. 백신은 물론이고, 치료제도 없는 새로운 감염병이 퍼짐에 따라 국가적인 위기 상황을 맞고 있고 경제, 산업계에 미치는 충격 여파도 심상치 않다.

정보기술(IT) 업계에서도 악명 높은 바이러스와 악성코드 감염으로 인한 위기 상황이 자주 연출됐다. 신종 코로나바이러스처럼 알려지지 않은 위협에 노출되는 상황을 방지하기 위해 개발된 `EDR`이 차세대 보안 솔루션으로 주목받고 있다. EDR은 악성코드 등의 유입경로를 파악해 차단하기에 무차별 확산 공포도 막을 수 있다.

EDR(Endpoint Detection and Response)은 PC 및 여러 디바이스 내부의 행위를 모니터링해 악성코드 유입과 감염 뿐만 아니라 취약점을 위용한 내부 확산을 탐지하고, 이상행위와 위협을 실시간으로 추적해 대응할 수 있는 보안 솔루션이다.

신·변종 악성코드, 랜섬웨어와 지능형 지속위협(APT) 공격이 기승을 부리면서 공격자의 최종 목표인 엔드포인트의 보안 강화에 대한 요구가 많아졌다. 이런 과정에서 백신 등 기존 보안솔루션의 한계를 극복하고 고도화된 엔드포인트 위협을 예측하고 대응하는 EDR의 개념이 등장했다.

기존 백신이 이미 발견된 악성코드를 치료하는 등 알려진 위협을 잡는 것이라면, EDR은 백신의 한계를 극복하고 알려지지 않은 위협에도 대응할 수 있다. 백신은 발견된 악성코드를 치료하는데 그치는 반면, EDR은 악성코드의 침투 경로를 파악해 사고를 예방하고 대응할 수 있다.



업계 관계자는 “예를 들어 A기업의 B부장은 매일 아침에 출근할때마다 회사 PC가 악성코드에 감염돼 있는 것을 확인할 수 있었다. 백신 프로그램을 통해 악성코드를 지우고, 걸리고를 반복하던 어느날 EDR을 돌려봤더니 B부장이 매일같이 방문했던 TV 다시보기 웹페이지에서 악성코드가 유입됐던 것을 알 수 있었다”며 “회사에서 TV 다시보기 방문 경로를 막아버리니 이후에는 악성코드에 걸리지 않았다”고 설명했다.

국내 중소기업은 해킹의 주요 타겟이 되면서 악성코드 유포 및 경유지로 이용되고 있다. 본인들도 모르는 사이에 악성코드 유포·경유지로 가해자 역할을 하는데 이조차도 인지하지 못할 정도로 심각한 상황이다. 한국인터넷진흥원(KISA)에 따르면 중소기업 대상 사이버공격은 지난 2014년 2291건에서 2017연 3156건으로 급증하고 있고 사이버공격의 98%가 중소기업을 타겟으로 하고 있지만, 정보보호 관리는 매우 취약한 실정이다.

EDR은 △어떤 경로로 침투했는지 △얼마나 오래 잠복했는지 △다른 컴퓨터에는 영향 없는지 △같은 악성코드를 가지고 있는 사용자가 또 있는지 △단말에서 무슨 행위를 했는지 등의 위협 활동을 파악해 대응하기에 중소기업들도 악성코드 확산을 방지할 수 있다.

EDR은 시장에 이미 많은 제품들이 출시됐지만, 기존 제품들은 △평판 분석의 한계 △드라이버 문제 △에이전트, 관리콘솔 중복 △과도한 관리 리소스 등의 한계점으로 인해 사용자들의 많은 선택을 받지 못했다. 이후 위협 인텔리전스 서비스와의 연계 등을 통해 개선된 제품들이 출시되면서 EDR 제품은 지난해부터 국내 금융·공공기관들을 중심으로 도입이 확산되고 있다. 지니언스는 지난 2017년 `지니안 인사이츠 E`를 출시했고, 최근에는 신제품 지니안 인사이츠E 2.0 버전도 내놨다. 안랩은 2018년 EDR 솔루션을 출시하며 시장에 진출했고, 이스트시큐리티도 지난해 4월 `알약 EDR`을 정식 출시했다.

이스트시큐리티의 `알약 EDR`에 연동된 쓰렛인사이드 위협 식별 결과 화면(자료=이스트시큐리티 알약 블로그)