EDR의 효과를 극대화하는 방법
2014년 글로벌 보안업체 시만텍의 부사장 브라이언 다이가 한 매체와의 인터뷰를 통해 ‘The Anti Virus is Dead’라는 발언을 했다. 이 메시지는 당시 백신 무용론으로 와전됐지만, 사실 속뜻은 기존 백신만으로 점점 고도화되는 위협에 대응하는데 한계가 있어 혁신적이고 진보된 기술이 필요하다는 것이었다. 이것이 바로 오늘날의 ‘EDR(Endpoint Detection and Response)’이다.
EDR은 단말에서의 다양한 행위 정보를 기록하고 그 원인과 배경을 분석해 최적의 대응 방안을 제시하는 보안 솔루션이다. 하지만 과연 EDR을 도입하기만 하면 인지하지 못한 위협으로부터 자산을 안전하게 보호할 수 있을까? 이는 보안 담당자들의 흔한 착각이다. 이번 글에서는 EDR을 어떻게 하면 더 효과적으로 사용할 수 있는지에 중점을 두고 EDR에 대한 올바른 접근법을 소개한다.

EDR은 왜 필요할까?
본론으로 들어가기에 앞서, EDR이 무엇을 전제로 하는 지부터 간단히 소개한다. EDR의 기본 전제는 수집할 수 없는 대상은 분석할 수 없고, 분석하지 못하면 악성 여부를 판별할 수 없으며, 악성코드를 확인하지 못했다면 대응도 할 수 없다는 것이다. 또한, 분석 결과를 패턴화하지 못하면 동일한 위협을 자동으로 탐지할 수 없고, 패턴화 작업을 자동화할 수 없다면 신종 위협에 대한 실시간 대응이 불가능하다는 것을 기조로 삼는다.
이 전제를 만족시키기 위해 EDR은 단말에서 발생한 모든 행위를 지속적으로 모니터링하고 가시화하며, 기존 솔루션과의 연계를 통해 위협 잠복기를 최소화하는 것을 주요 목적으로 한다. 위협의 잠복기란 외부로부터 유입된 위협 확인부터 샘플링 및 분석, 엔진 등록 및 업데이트까지 소요되는 시간을 말한다. 이 기간 동안 발생할 수 있는 보안 취약점을 EDR을 활용해 대응하는 것이 관건이다.
일반적으로 공격자는 취약점 공격 시 공격 환경을 분석해 이메일 또는 웹 메일을 통해 악성코드를 전달하는 경우가 많다. 취약점이 있는 특정 PC를 확보해 공격을 수행한 다음, 백도어를 설치하고 외부에 있는 C&C 서버를 통해 추가 악성파일을 다운로드한다. 또한, 내부에 접근 가능한 서버를 찾아 해당 서버에 연결 가능한 PC에 대해 측면 이동(Lateral Movement)을 수행한다. 이를 통해 방화벽을 거쳐 서버의 데이터를 유출한 후, 그 흔적을 모두 없앤다.
그러면 보안 담당자는 기존 보안 솔루션으로 더 이상 추적이 불가능하다. 이때 필요한 것이 바로 EDR이다. EDR은 단말에서 발생하는 파일의 유입 및 흐름을 모두 기록하고 저장한다. 타임라인을 기반으로 어떤 파일이 생성됐고 해당 파일이 어디에 액세스했으며, 이 과정에서 새롭게 생성하거나 삭제한 파일들은 무엇인지 등에 대한 정보를 추적한다.
더 나아가, 마이터어택(MITRE ATT&CK) 매트릭스를 기준으로 탐지된 위협이 사용한 테크닉 ID(TID) 과 이를 사용할 때 발생할 수 있는 문제점도 분석한다. 공격 기법이 확인되면 침해지표(IoC)를 통해 유사도를 판단하고, 이 IoC를 기준으로 침입 방지 시스템(IPS), 방화벽 등 기업 내부에 구축된 APT 솔루션에도 해당 룰을 적용함으로써 위협을 차단, 대응할 수 있다.
EDR의 이상과 현실
이처럼 EDR은 기존의 안티바이러스(AV) 및 APT 솔루션으로 해결할 수 없는 위협을 자동으로 대응하는 솔루션으로 인식되고 있다. 다시 말해, 아직까지 많은 보안 담당자가 보안 침해 탐지와 조사, 엔드포인트 영역에서의 보안 통제, 감염 전 상태로의 복원 및 단말 격리 등 기존 보안 솔루션으로는 할 수 없었던 모든 것들이 EDR을 활용하면 가능할 것이라고 기대한다.
하지만 현실에서 고객들은 EDR을 운영하는데 있어 여러 난관에 봉착한다. 실제로 안랩이 EDR을 사용 중인 기업 및 기관들을 인터뷰한 결과, EDR이 너무 어렵고, 제대로 사용하고 있는 것인지 잘 모르겠다는 피드백이 많았다. 또, EDR을 내부에 구축해 운영하려고 하는데, 그 방법에 대해 고민하는 고객도 있었다.
EDR은 흔히 CCTV 또는 자동차의 블랙박스에 비유되면서, 단말에서 움직이는 파일이나 레지스트리, 기타 다양한 정보에 대한 행위를 로깅하고, 필요에 따라 로깅한 정보를 확인하는 역할을 하는 단순한 솔루션으로 알려져 있다. 그런데 왜 사용자들은 EDR이 어렵다고 하는 것일까?
그 이유를 설명하면, 이들은 공통적으로 정보 수집과 상관관계 및 침해 분석, 관리와 운영, 기존 보안 솔루션과의 긴밀한 연계에 어려움을 겪고 있다. 특히 EDR은 정확한 패턴이 존재하는 블랙리스트(BlackList) 방식인 기존 정탐 솔루션과 다르게, 지표를 통해 활용되기 때문에 운영이 쉽지 않다. 게다가 많은 기업이 보안 솔루션 뿐만 아니라 수집한 대규모 데이터를 연계 및 통합하지 않고 독립적으로 운영하고 있다.
효과적인 EDR 사용을 위한 접근법
그렇다면 이런 문제를 해결하고 EDR의 효용성을 높이려면 어떻게 해야 할까? 먼저, 분석 정보가 어렵다면 전문 분석가 서비스의 도움을 받는 것을 추천한다. 단순히 EDR만 도입해서는 이를 제대로 활용하지 못하거나 효과를 기대하기 어렵다.
안랩의 경우 EDR과 MDR(Managed Detection and Response)을 결합한 ‘EDR Premium’ 서비스를 제공한다. EDR Premium은 고객사에 구축된 EDR에서 발생한 로그를 안랩의 MDR 관제 센터로 안전하게 전달하고, 고객의 엔드포인트 환경에서 발생하는 위협에 대한 티켓(Ticket)을 발생시켜 평판 정보, 악성코드 행위 분석 등 안랩 만의 전문적인 위협 대응 프로세스에 따라 체계적으로 처리한다.
더 나아가, 안랩은 EDR Premium과 연계해 악성코드 전문가 분석 서비스, A-FIRST 포렌식 서비스와 같은 안랩 프로페셔널 서비스(AhnLab Professional Service)를 제공한다.
악성코드 전문가 분석 서비스는 기업이나 기관의 내부로 유입된 악성코드에 대한 기본 정보와 악성 여부, 행위 정보를 포함하는 파일 분석 결과 보고서를 제공하고, 의심 행위 정보를 기반으로 적절한 대응 방안을 제시한다.
A-FIRST 포렌식 서비스의 경우, 보안 사고 발생으로 인한 영향도 및 악성 파일 유입 경로를 분석해 APT 공격에 대응한다. 이 서비스는 PC와 서버, 메모리, 로그를 분석하고 디지털 증거를 수집한 다음, 디지털 포렌식 분석 결과에 따라 조치 방안을 제시한다. 이를 통해 침해 사고에 따른 영향도 분석으로 리스크를 관리하고, 보안 사고 재발을 방지한다.
또한, EDR을 다른 보안 솔루션과 연계하면 한결 수월하게 EDR을 사용할 수 있다. EDR은 AV, 방화벽, APT 및 DLP(Data Loss Prevention) 솔루션, SOAR(Security Orchestration, Automation, and Response), PMS(Patch Management System) 등의 다른 보안 제품과 상호보완적 관계를 형성할 때 위협에 더 효과적으로 대응할 수 있다. 예를 들어, 에이전트에서 올라오는 로그들을 EDR 서버에서 수집한 후 내부의 APT 가상머신(VM) 솔루션이 파일의 악성 여부를 검증할 수 있고, EDR을 방화벽 및 IPS와 연동하면 해당 룰셋(Rule Set)을 기반으로 문제가 되는 C&C IP를 차단할 수도 있다.
또, EDR과 보안 관제 시스템을 연계할 때 네트워크 미러링을 통해 네트워크 블랙박스로 된 구성에서 패킷이나 이상 행위에 대한 추가 분석이 가능하다. 이미 내부에 SOAR가 구축돼 있다면 플레이북(Playbook)이 이 모든 프로세스를 자동화할 수 있다. 분석이 필요할 경우 안랩의 악성코드 또는 의심 시스템 전문 분석 서비스를 이용하면 된다.
이 밖에, 위협 및 악성코드에 관한 뉴스 클리핑이나 보안 블로그, TI 정보 등을 활용하는 것도 EDR을 통한 침해 사고 예방에 도움이 된다. 이들은 어느 시점에 어떤 악성코드가 진단됐고, 백신 및 보안 솔루션으로 어떻게 대응해야 하는지를 소개하고, C&C 및 IoC 정보를 포함하고 있어 이를 활용해 내부에서 확인된 정보가 정탐인지 파악할 수 있다.
정리하면, EDR을 단독적인 솔루션보다는 ‘연계’를 중점으로 사용할 것을 권장한다. EDR이 훌륭한 솔루션은 맞지만, 트렌스포머처럼 자의식이 있어 모든 위협을 자동으로 판별하고 대응하지는 않는다. 이런 작업을 보조하는 아이언맨의 ‘자비스’의 개념으로 접근하는 것이 바람직하다. EDR은 보안 환경을 완벽한 상태로 만드는 것이 아닌, 기존의 보안을 ‘보완’하는 솔루션이라는 점을 이해해야 한다.
AhnLab EDR에 대한 자세한 내용은 안랩 홈페이지를 통해 확인할 수 있다.
- AhnLab콘텐츠기획팀 서보경 사원