보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

EDR의 기준, F.O.C.U.S에 주목하라

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-09-02

최근 EPP와 EDR 시장의 성장과 융합으로 인해 고객은 EDR에 어떻게 접근해야 할지 혼란을 겪고 있다. EDR은 전통적인 보안 솔루션을 대체하는 만병통치약이 아닌 엔드포인트의 가시성(Visibility)을 제공하는 툴이라는 점을 명확하게 인식해야 한다. 안랩이 고객과의 소통 과정에서 느낀 EDR에 대한 오해와 진실, 그리고 향후 보안 시장에서 ‘대응(Response)’ 발전 방향에 대해 소개한다. 또한 EDR 선정할 때 고려해야 할 5가지 기준을 제시한다.

 

디지털 트랜스포메이션 시대의 보안: Security still matters

디지털 트랜스포메이션이션(Digital Transformation)은 전 산업 분야에 있어서 핵심 아젠다이며, 매년 중요도가 높아지고 있다. 물론 기업 경영에서 있어서 수익(Revenue)과 성장(Business Growth)이 중요하다. 하지만 이를 견인하기 위해서는 변혁이라고 얘기하는 디지털 트랜스포메이션에 대한 근거를 어떻게 적용하느냐가 가장 중요한 포인트가 되며 경쟁의 차별화 포인트로 가져갈 수 있다. 그리고 그 게임 체인저로 손꼽히는 기술은 인공지능(Artificial Intelligence), 비즈니스 인텔리전스(Business Intelligence), 데이터 애널리틱스(Data Analytics) 등이다. 이러한 기술들이 비즈니스에 통합되면서 보안은 가장 중요한 과제로 중 하나로 손꼽힌다. 즉 모든 정보가 디지털화되고 IT-OT-IoT가 연결되면서, 이를 통해 오고가는 데이터와 주요 자산을 지켜줄 보안이 더욱 중요해진 것이다.

 


[그림 1] 2019년 예산이 증가할 것으로 예상되는 기술 Top 10 (*출처: Gartner, 2018. 10)

 

보안에서 중요한 3가지 키워드: Better, Malware, Behavior

현재 보안에 있어서 무엇이 가장 화두가 될까? 보안에 있어서 지금 시대를 반영하고 앞으로도 변하지 않을 3가지 키워드에 대해 얘기하고자 한다. 첫 번째는 ‘더 나은(Better)’이다. RSA 컨퍼런스(RSA Conference, 이하 RSAC) 2019의 메인 슬로건으로 선정된 이 키워드는 ‘더 나은 세상을 위한 보안’을 의미한다. 또, RSAC 2018년의 슬로건인 ‘지금 중요한 것은(Now Matters)’와 연결하여 해석하면 지금 좋다고 하는 것이 더 좋아지게 하기 위해서 더 해야 하는 것이 있다면 심지어 나쁜 것을 선택하라. 왜냐하면 더 나쁜 상황이 오지 않게 하기 위해서’이다. 이러한 주장은 사상적으로는 무거운 내용을 담고 있지만 키워드는 대단히 간결하게 전달하고 있다. 안랩은 이 키워드에 맞춰 ‘완벽함을 위해 더 나은(Better for the perfect!)’이라는 기조에서 ‘고객과 함께 더 나은 보안의 해결책’을 제안하고 실행하고자 한다.

 


[그림 2] 지난 10년 동안 신종 악성코드 수(左) vs. 전체 악성코드 수(右) (*출처: AV-TEST, 2018.10)

 

두 번째는 ‘악성코드(Malware)’이다. 글로벌 테스트 기관인 AV-TEST에 따르면 최근 5년간 새롭게 출현한 악성코드는 줄어들고 있다. 그러나 전체 악성코드 숫자는 여전히 기하급수적으로 증가하고 있다. 이러한 추세의 원인은 바로 변종 악성코드 때문이다. 변종은 자가 복제 수준의 변종(Variant)에서부터 더 악의적인 행위와 우회 기법으로 무장한 변종(Divergent) 영역까지 확대되고 있다. 뿐만 아니라 공격자는 LOLBins(Living Off the Land Binaries)와 같은 정상 프로그램을 악의적으로 활용하는 자급자족형 공격을 시도하고 있다.

 

세 번째는 ‘행위(Behavior)’이다. 보안을 얘기할 때 흔히 성(Castle)에 비유해 방어자는 공격자의 관점(View point)에 대해서도 바라봐야 한다고 설명했다. 그러나 앞서 언급한 것처럼 악성코드의 복잡성(Complexity)이 가중되면서 공격자와 방어자의 행위에 대해서 좀더 세밀하게 고찰해야 한다. 최근 공격자들의 행위는 크게 2가지로 관찰된다. 즉, 공격할 곳을 찾기 위해 오랜 기간 동안 탐색하고, 탐색한 흔적을 지우려한다는 것이다. 그렇다면 이 시점에서 우리의 관점을 또 다시 바꿔보자. 방어자인 우리가 모든 걸 막기 위해 노력하고 있지만 작은 곳 하나라도 뚫리면 문제가 생기는 것처럼 공격자도 마찬가지 입장이 되는 것이다. 공격자가 자신이 탐색한 후 남겨둔 흔적을 완벽하게 지우기는 힘들다. 그래서 공격자가 미처 지우진 못한 흔적 하나를 방어자가 찾게 되면 공격자의 행위를 유추할 수 있게 되고 우리의 취약점 포인트를 역으로 추적할 수 있다. 이러한 추적의 방법론이 바로 위협 사냥(Threat Hunting)이다. 

 

요컨대 전체를 정리해보자면 ‘더 나은(Better)’을 지향하는 출발선에서 문제의 원인이 되는 악성코드(Malware) 그리고 그 악성코드의 복잡성에서 기인한 행위(Behavior), 이 3가지 키워드에서의 주안점을 어떻게 풀어내고 해석하느냐에 따라 지능적인 공격법에 대한 창의적인 대응법을 마련할 수 있다.

 

안랩의 보안 대응 영역: Adaptive Security Architecture by AhnLab

 


[그림 3] 안랩의 적응형 보안 아키텍처

 

안랩은 알려진(Known) 위협, 알려지지 않은(Unknown) 위협, 보이지 않은(Invisible) 위협의 대응이라는 3가지 키워드로 자사의 솔루션을 매핑하여 시장에 공급해왔다. 안랩 솔루션의 궁극적인 목표는 공격의 표면을 최소화하겠다는 것이다. 안랩은 그런 관점에서 이미 4년전에 글로벌 가이드라인을 준수해서 적응형 보안 아키텍처(Adaptive Security Architecture)에 대한 솔루션 영역을 플랫폼 맵으로 완성했다. 또한 각각의 포지션별로 EPP(Endpoint Protection Platform)와 네트워크 샌드박스 솔루션인 MDS, EDR(Endpoint Detection & Response)이라고 하는 각 영역을 설정해 서로 상호 의존적으로 서비스될 수 있는 구조를 만들었다. 단순 솔루션을 제공하는 것에 그치는 것이 아니라 안랩의 기술을 내재화한 서비스도 함께 공급하고 있다.

 

이러한 안랩의 적응형 보안 아키텍처는 지속적인 가시성(Visibility) 확보와 유효성(Validation) 검증에 대한 기반을 목표로 하고 있고 있으며, 이 모든 것은 분석 영역에 귀결된다. 안랩의 핵심 역량인 악성코드를 가장 잘 분석하고 대응하는 관점에서 솔루션을 정리하고 서비스의 개선도를 높여가고 있다.

 

EDR이란: EDR focus on Visibility

안랩은 2018년 4월 AhnLab EDR의 출시로 EPP, MDS와 함께 위협에 대한 사전 방역과 탐지, 대응 관점에서의 솔루션 포트폴리오을 완성했다. 그런데 일부에서는 EDR이 있으면 엔드포인트 보안의 기존 솔루션 영역들이 필요 없는 것으로 오해하고 있다. EDR이 엔드포인트의 모든 영역을 대체하는 것은 결코 아니다. EPP의 대표적인 솔루션인 안티바이러스 솔루션으로 예를 들어보자. 안티바이러스는 시스템에 악성코드가 침투했을 때 알려진 것이라면 자동 탐지하고 제거한다. 알려지지 않은 파일이 유입된다면 MDS라는 지능형 위협 대응 솔루션이 시스템에서의 탐지를 통해 실행을 보류시킨 뒤 샌드박스에서 미리 실행해서 악성 여부를 판단하게 된다.

 

그렇다면 EDR은 어떤 역할을 하는 것일까. EDR은 엔드포인트 시스템 행위를 기록하고 저장하는 솔루션으로 다양한 데이터 분석 기술을 이용하여 의심스러운 시스템 동작을 탐지하고, 상황 정보를 제공하는 솔루션이다. 즉, EDR이 도입되면 오늘의 증적, 그리고 이 자리에서 지난 주에는 어떤 일이 있었는지, 한달 전에는 어떤 일이 있었는지를 알 수 있게 된다. 그래서 EPP 솔루션이 자동 처리한 내용, MDS가 실행 보류한 내용 등을 포함한 엔드포인트 내에서의 모든 정보를 기록해서 IT 관리자가 유사시가 아닌 평상시에도 이를 볼 수 있고, 이를 기반으로 악성 행위를 차단하고 감염된 시스템을 복구하기 위한 방법을 제안해 주는 것이 EDR이다. 시장에서는 이런 점이 부각되어 EDR이 알아서 차단하고 알아서 대응하고 알아서 보여주는 만병통치약으로 오해 받고 있다.

 

EDR에서의 가시성이란: What happened here?

EDR은 엔드포인트의 가시성(Visibility)을 제공하는 툴이라고 정의한다. 그렇다면 EDR이 제공하는 가시성이란 무엇일까. 이에 대해서는 여러 가지 의견이 있을 수 있다. 누군가는 가시성이 원 페이지 리포트로 잘 나와서 자신의 휴먼 인텔리전스와 결합할 수 있는 것을, 누군가는 엑스레이처럼 투시가 되어 모르는 영역까지 볼 수 있는 것을 가시성이라고 생각할 수 있다. 그렇지만 모든 부분을 다 보여준다고 해서 더 이해할 수 있을까. 너무 많은 정보를 보여주더라도 이해할 수 없다면 의미가 없는 것이다. 그렇기 때문에 EDR에서 가시성의 의미는 “여기서 무슨 일이 일어났는가(What happened here?)”를 보여주는 것이다. 오늘 이 엔드포인트에서 한 달 전, 두 달 전, 1년 전에 어떤 일이 있었는지에 대한 증적을 보존하고, 가설을 증명할 수 있는 준거를 마련해 주는 것이 바로 EDR의 역할이다.

 

다시 말하면, 오늘 그리고 과거부터 지금까지 악성코드가 시스템에 침투해서 갑자기 악의적인 행위를 하는 순간, 이를 진단하고 차단하는 솔루션이 아니라 여기에서 과거에 어떤 일이 벌어졌는지를 증명해 낼 수 있는 것을 도와주는 툴이 바로 EDR이다. 그렇기 때문에 엔드포인트 내에서 안티바이러스 제품이 과거의 어느 시점에 어떤 일을 했는지를 볼 수 있게 하는 것이 EDR이다. 또 NAC 솔루션이 그때 어떤 역할을 했는지를 반증해 내는 역할을 하는 것이 EDR이다. 그런 차원에서 EDR은 악성코드를 차단하고 치료하는 역할이 아니라 현장 중심적으로 공격자의 행위와 지속적인 침해 활동을 추론하는 활동들에 대한 데이터 증적을 마련하고 있는 것이다. 이렇게 마련된 가시성을 통해서 시큐리티 이벤트에 대한 유효성을 검증하고, 침해사고가 일어나기 전과 후에 대한 영역에서 우선순위를 결정해 줄 수 있는 가시성을 제공해주는 것이 EDR의 역할이다.

 

EDR에 대한 오해와 진실: EDR concerns and benefits

EDR(Endpoint Detection & Response)은 4년전 ETDR(Endpoint Threat Detection & Remediation)에서 시작되었다. 여기서 중요한 개념은 치료(Remediation)로, 솔루션이 알아서 차단하는 것도 좋지만 여전히 사고가 발생하고 이슈가 생기니 고객이 스스로 알아내고 정의한 것이 있다면, 직접 치료를 할 수 있다면 좋겠다라는 관점에서 ETDR 솔루션의 필요성이 부각된 것이다. 이러한 시장의 니즈로 인해 미국과 유럽을 중심으로 많은 업체들이 생겨나기 시작했다. 일부 업체들은 차세대 AV(Next Generation Anti-Virus)를 표방하며 기존 AV를 부정했다. 또 다른 업체들은 클라우드로 서비스 되면 더 많고 빠른 분석을 통해 최소의 에이전트를 제공할 수 있기에 EPP 솔루션 자체도 도입할 필요가 없다고 주장했다. 그렇지만 4년이 지난 지금, 많은 업체들이 EPP와 EDR을 함께 공급하고 있다. 특히, EDR 전문업체로 시작한 업체들은 인수합병(M&A)이나 제조자설계생산(ODM)을 통해 EPP 에이전트를 활용하거나 연동하고 있음을 강조한다.

 


[그림 4] ETDR에서 영역이 확장된 EDR

 

그렇다면 왜 ETDR에서 EDR로 변경되었을까? 왜 고객이 치료(Remediation) 기능을 제대로 구현하지 못한 것일까? 그 이유는 4가지로 꼽을 수 있다. 고객이 알아낸 정보를 신뢰하기가 어려웠다. 이로 인해 오탐(False positive)의 우려가 너무 많았다. 그리고 그 오탐으로 인해서 패치 우선 순위(Patch Priority)조차 정하기 어려웠다. 원인 규명(Root Cause)을 위한 다차원적인 증명이 구현되지 못했기에, 조사(Investigation)의 일관성을 보여줄 수가 없었다.

 

이러한 한계로 인해 치료라는 최종적인 목적을 달성할 수 없다면, 목적지로 가기 전 단계까지의 과정을 더욱 상세하게 보여주고 다양한 방법으로 나눠주는 것이 더 좋겠다는 취지에서 치료(Remediation)에서 대응(Response) 영역으로 바뀌었다. 즉, 불확실성에 준한 치료보다는 사용자가 더 다양한 행위를 선택할 수 있도록 더 많은 기능을 포함시켜 대응(Response)의 의미를 확장시킨 것이다. 그래서 치료(Remediation), 차단(Prevention), 실행 보류(Execution holding) 그리고 시스템에 이슈가 생겼을 때 격리(Segregation)하거나 격리된 시스템을 다시 복구(Restore)하고, 보안 경고(Alert)를 수용할 수 있으며 추가 분석(Analysis)해서 보고(Reporting)할 수 있는 8가지 활동을 포함시켜 고객이 좀더 능동적으로 보안 대응을 실행할 수 있는 EDR로 재정의한 것이다. 단, EDR의 8가지 활동 중 치료(Remediation)은 현재 EDR 툴에서 가장 미비한 기능으로, 단순 위협의 차단을 의미하는 수준에 불과하다.

 

어쩌면 이런 관점에서 EDR이 제공하는 가시성과 다양한 대응(Response) 방법들로 인해 보안의 만병통치약으로 오인되기도 한다. 그러나 EDR에서 제공하는 수많은 정보는 제대로 매핑되지 않으면 변별력을 갖춘 정보로서 활용되기 쉽지 않다. 또한 이 다양한 기능들이 다른 수많은 보안 솔루션을 대체할 만큼 EDR 솔루션 내에서 역할을 모두 한다면 EDR이 제대로 성능을 발휘할 수 있을까. 지금부터는 현재 업계와 시장에서 논란이 되고 있는 EDR에 대한 오해와 진실, 그리고 진정한 의미의 EDR에 대해 재정의하고자 한다.

 

EDR은 ▲ 포렌식(Forensic) 툴이 아니다 ▲ 로그를 분석하는 SIEM(Security Information and Event Management) 애널라이저가 아니다 ▲ 사용자의 행위나 키보드 입력(Keystroke)을 모니터링하는 UEBA(User and Entity Behavior Analytics) 솔루션이 아니다 ▲안티바이러스 또는 공격자에 대응하기 위해 설치한 엔드포인트 보안 플랫폼의 다른 솔루션을 대체하는 것이 아니다.

 

EDR은 앞서 언급한 보안의 3가지 중요한 키워드인 나은(Better), 악성코드(Malware), 행위(Behavior) 관점에서 봤을 때 침해사고 발생 시 물리적•관리적•기술적 관점에서 비용을 최소화 할 수 있는 솔루션이자 단초(clue)이다. 더불어 더 나은 사전•사후 탐지 영역을 통해서 증적 마련을 위한 가시성을 제대로 제공해 낼 수 있는 툴인 것이다. 다시 정리하자면, EDR은 ▲침해사고 발생에 따른 비용을 줄여주고 ▲엔드포인트에서 위협 탐지를 더 잘할 수 있게 하며 ▲엔드포인트 위협의 유효성 검증을 위해 가시성을 제공하는 툴이라고 정의할 수 있다.

 


[그림 5] EDR의 가시성 측면에서 고려해야 할 기준

 

이러한 EDR의 목적을 효과적으로 위해서 집중해야 하는 것은 이른바 F.O.C.U.S로 요약되며, 이는 파일(File), 운영성(Operation), 호환성(Compatibility), 통합(Unified Management), 서비스(Service) 5가지를 의미한다. EDR 도입을 고려한다면, 이 5가지를 제대로 지원하는지를 선정의 판단 기준으로 삼아야 한다. 

 

지금부터는 EDR 도입의 판단 기준이 되는 F.O.C.U.S에 대해 자세히 알아보자.

 

File: Incident data search

 


[그림 6] EDR의 데이터 수집의 선순환 구조

 

첫 번째, 파일(File)에 포커스하라. EDR은 쉽게 탐색할 수 있어야 한다. 탐색이 용이하려면 데이터 수집에 충실해야 한다. 구조적으로 EDR은 데이터를 수집하는 것부터 시작한다. 그 이후에 중앙화(Centralization)해서 에이전트나 서버에서 분석을 하고 데이터 프리젠테이션(Presentation)하고, 재현을 통한 재발 방지책을 마련하여 다시 추가 데이터를 수집하는 선순환 구조를 갖는다. 이 데이터는 엔드포인트, 네트워크 그리고 실행 중인 데이터, 저장형 데이터 등에 대한 모든 속성값을 저장하게 된다. 예를 들어 단순 메타 데이터뿐만 아니라 사용자가 브라우저를 클릭한 메타데이터, 네트워크 애널라이저를 통해 중간에 필터링된 데이터 등등. 이 모든 것을 다 저장하고 보여줄 것인지, 아니면 우선 순위를 설정해서 보여줄 것인지를 결정해야 한다.

 

안랩 EDR이 우선 순위를 둔 것은 파일의 실행과 관련된 데이터이다. 이 기준으로 데이터를 분류해서 체계를 갖추어야만 탐색이 용이할 수 있다. 또한 파일의 양보다는 파일의 속성을 봐야 한다. 특히, 최근에는 공격자가 자신을 흔적을 지우고 족적(Foot point)를 남기지 않는 파일리스(Fileless) 공격이 대세이다. 이러한 공격에 대응하기 위해서는 행위 기반의 분석을 통해서 침해 흔적(Indicator of Compromise, IOC)뿐만 아니라 침해 의도(Indicator of Attacks, IOA)까지 유추할 수 있어야 한다. 파일 수집에 집중해서 파일의 속성값을 알아야 행위를 볼 수 있고, 이를 통해서 능동적인 침해 대응을 할 수 있는 것이다.

 

분명한 것은 모든 파일을 보유하고 있다고 해서 모든 것을 다 볼 수 있는 것은 아니다. 따라서 무엇을 수집하고 볼 것인지에 대한 우선 순위를 정하는 것이 중요하다는 것을 다시 한번 강조한다.

 

Operation: Activity blocking and containment

 


[그림 7] EPP와 EDR의 상호 보완재로서의 운영체계

 

두 번째, 운영(Operation)에 포커스하라. 기본적으로 엔드포인트 보안에는 여러 가지 영역이 존재한다. 지금까지 엔드포인트 보안은 EPP(Endpoint Protection Platform)라는 영역에서 탐지뿐만 아니라 차단하고 방어하는 역할을 해왔다. 하지만 그것으로는 부족한 부분이 있기 때문에 대응 관점에서 서비스를 조금 더 능동적인 방향으로 이끌어주고, 수집해서 보여주는 것에 초점을 맞춘 것이 EDR이다. 위협이 발생했을 때 무언가 차단하고 행위를 해야 한다면 당연히 EPP 에이전트 영역에서 하는 일이 더 많기 때문에 막는 역할은 EPP에게 맡겨야 한다. 이를 EDR의 영역에 맡긴다면 EDR은 고유 기능을 더 많이 수행할 수 없다. 예컨대 실제로 수집하고 분석하고 분석이 필요할 때 더 많은 요구사항을 적시에 제공하는 것이 EDR에서의 대응(Response)인데 악성코드를 차단 혹은 치료하고, 그것을 보고하고 다시 차단하는 역할을 수행한다면 EDR의 기본에 충실할 수 있을까. EPP와 EDR은 서로 역할이 나누어져 있으며, 대체제가 아닌 상호보완재(Complementary)로서 운영해야 위협 대응의 시너지를 극대화할 수 있다. 이러한 부분들은 앞서 설명했듯이 EDR 전용 솔루션으로 출발한 업체들이 EPP 업체를 인수합병하거나 ODM 방식으로 EPP를 제공하는 것으로 반증된다.

 

또한 EDR은 운영 측면에서 시큐리티 모니터링, IR(Incident Response)과 연계된 프로세스를 지원한다. 보안 관제서비스에서 중요한 역할을 하는 SIEM은 너무나 많은 이벤트를 발생시키고, 이를 효과적으로 운영하기 위해 SOAR(Security Orchestration, Automation, and Response)가 탄생하게 되었다. 그러나 SIEM과 SOAR가 서로 활동 범위를 줄이고 준거를 마련할 수 있는 역할을 하지만 그래도 여전히 수많은 시큐리티 이벤트가 발생하는 것이 현실이다. EDR을 통해서 좀더 확실한 준거를 가지고 이벤트를 필터링해 나가고 인텔리전트한 임계치를 가지고 데이터 수집의 레벨을 조정해서 즉시 대응해야 하는 티켓팅에 대해서 효과적인 보안 관제 대응을 수행할 수 있다. 즉, EDR은 엔드포인트와 서비스 영역에서 모니터링과 사건 발생 시 응급 대응순위(Triage)를 판단할 수 있는 가시성을 제공해 줄 수 있는 것이다.

 

Compatibility: Deployment with Agent resistance

 


[그림 8] 커널 드라이버 레벨에 대한 지원이 필수인 EDR

 

세 번째, 호환성(Compatibility)에 포커스하라. 솔루션을 도입할 때 새로운 에이전트를 추가 설치해야 한다는 것에 대한 거부감이 있다. 그러나 보안 이슈는 언제나 예기치 못한 상황에서 발생한다. 그럴 때 임기 응변이 필요한데, 에이전트가 없다면 이를 수행해 낼 수가 없다. 왜냐하면 유사시 긴급 조치를 위해서는 행위에 대한 요구 사항을 받아주는 에이전트가 있어야만 대응 조치를 수행할 수 있기 때문이다. 물론 방법론적으로 에이전트 없이 할 수 있는 부분들이 있지만 이는 유사시에 어떤 일들이 벌어질 것이라고 많은 케이스를 학습한 에이전트리스 형태의 서비스 모델이지, 임기응변을 대응해서 실제 명령을 수행(Action) 할 수 있는 요구 사항을 받아낼 수 없다. 그렇기 때문에 반드시 에이전트가 있어야 한다. 또한 공격자는 유저 모드뿐만 아니라 커널 드라이버까지 침투해서 공격 활동을 펼친다. 따라서 커널 드라이버 레벨까지 지원하는 에이전트를 설치해야만 공격의 모든 활동, 증적, 스냅샷을 수집 및 저장할 수 있다. EDR 솔루션 벤더 선정 시에는 단순히 커널 드라이버 레벨을 지원하느냐가 아닌 호환성을 제대로 지원할 수 있는 기술력과 경험을 갖춘 솔루션 벤더인지를 확인하는 것이 특히 중요하다.

 

안랩은 지난 30년간 V3, 패치 관리 솔루션, 취약점 점검 솔루션 등의 에이전트를 이용한 엔드포인트 보안 제품을 공급해 왔으며, 이를 통해 많은 기술 개발과 시행 착오를 겪으면서 커널 드라이버 레벨의 보안에 대한 기술과 노하우를 축적했다.

 

Unified Management: Evolution to the proactive management

 


[그림 9] 온프레미스와 클라우드 통합 관리를 지원하는 안랩 EPP 매니지먼트 로드맵

 

네 번째, 통합 관리(Unified Management)에 포커스하라. 아직 국내는 온프레미스(On-premise) 환경이 대부분이다. 그러나 많은 기업들이 클라우드 도입을 고민하고 있고, 클라우드가 대세라는 점은 부인할 수 없는 사실이다. 클라우드로 전환하는 데 있어서도 잊지 말아야 하는 부분이 싱글 매니지먼트(Single Management)이다. 즉, 통합된 매니지먼트를 지원하는 솔루션을 선택해 온프레미스와 클라우드의 연계 및 연동의 용이성을 통해 탄력회복성(Resilience) 전략을 확보해야 한다는 것이다.

 

안랩은 2018년 EPP와 EDR 제품을 출시한 뒤 2019년 6월에는 가상화 버전을 출시했다. 2020년 상반기에 AhnLab EPP for Cloud(가칭) 출시, 단일화된 EPP 매니지먼트 플랫폼을 선보일 예정이다.

 

Service: Deployment with professional service



[그림 10] EDR을 활용을 극대화해 줄 안랩 프로페셔널 서비스

 

다섯 번째, FOCUS에서 마지막 S는 서비스(Service)이다. EDR은 자동화된 툴이 아니라, 잘 활용하기 위해 고객과 공급업체가 만들어가야 하는 툴이다. 그렇다면 제대로 잘 활용하기 위한 가이드를 누구한테 받아야 할까. 그 솔루션을 공급한 업체의 프로페셔널 서비스를 이용하는 것이 효과적이다. 왜냐하면 솔루션을 제대로 설치하기 위해서는 어떤 부분을 기준으로 할 것인지에 대한 정확한 목적을 설정해야 한다. 예를 들어 IR(Incident Response)에 대한 기준의 복잡성을 해결하는 것을 우선 순위로 할 건지 아니면 포렌식 전문가들의 서비스 모델을 더 줄이는 역할을 할 건지, 아니면 성숙된 내부 IR 대응 프로세스를 더 지원하고, 새로운 지속가능형 IR 서비스를 만들어 낼 것인지 등을 명확하게 해야 한다. 이에 따라 대상 시스템의 범위(Scope), 데이터의 폴링(Polling) 주기, 데이터의 보유(Retention) 기간이 달라진다.

 

따라서 이러한 결정은 고객의 요구사항을 바탕으로 하되, 시스템에 구현하는 것은 공급업체가 제공하는 프로페셔널 서비스를 효율적으로 활용하는 전략이 필요하다.

 


[그림 11] EDR 활용을 위한 사용자 역량 강화

 

EDR 도입 이후 운영 측면에서도 공급업체의 프로페셔널 서비스 활용과 더불어 내부 전문가의 역량(Human intelligence & Skill-set)의 향상에도 고민해야 한다. 보안 관제실을 예를 들어보면, 1~2년차 초급 운영 인력인 수집가(Gatherers), 10~15년 동안 근무하면서 직관과 경험을 보유한 고급 전문가인 헌터(Hunter)가 있다. 이 수집가 혹은 헌터에게 제대로 된 정보를 제공한다면 더 효율적인 역할을 할 수 있을 것이다. 이 역할을 도와주는 것이 EDR 툴이고, 소위 이 중급 인력을 디지털 고고학자(Archaeologist)로 명명할 수 있다.

 

즉 EDR을 활용해 고고학자로 일컬어지는 이들은 EDR을 통해 5개월전, 1년전에 어떤 일이 있었는지를 추적하고 분석해 두었다가 유사 시뿐만 아니라 일상 업무로 헌터와 수집가가 제대로 된 판단을 할 수 있도록 데이터를 정제해서 제공하는 역할을 수행한다. 그렇게 된다면 헌터는 토끼를 사냥할 때 호랑이 사냥을 하는 방법론을 적용하는 리소스 낭비를 줄일 수 있고, 호랑이 사냥을 할 때 토끼 사냥법을 적용해 사냥감을 놓치는 실수를 없앨 수 있다. 단순히 가설에 의한 재현 성공으로 공격을 유추하는 것을 넘어서 확실한 증적을 통해 공격을 찾아낼 수 있는 위협 사냥의 기초 작업이 바로 이 디지털 고고학자의 역할인 것이다.

 

결론적으로 고객이 EDR을 제대로 활용하기 위해서는 공급업체의 프로페셔널 서비스의 가이드, 준거에 따라서 고객의 기준을 만들고 내부에서도 능력(Skill-set)을 향상시켜 제대로된 디지털 고고학자를 양성(Set-up)해서 수집가와 헌터를 위한 서비스 모델을 만들어 갈 수 있어야 한다.

 

EDR is… Not set up It’s Build up

EDR은 고객과 공급업체가 함께 발전시켜 나가는 툴이다. 고객은 유사시 대응력을 높이기 위해 다양한 회고분석(Analysis in Retrospective)을 통해 보이지 않았던 위협을 찾아내는 행위를 계속적으로 해야 한다. 그렇게 하기 위해 일단 시스템에서 발생하는 모든 데이터를 수집하고 중요성과 우선순위에 따른 학습을 통해 분석과 대응 작업을 지속적으로 추진해야 한다.

 

보안은 오랫동안 공격자와 방어자의 전투에서 방어자가 불리한 싸움이었다. 작은 허점으로 인해 한 번이라도 뚫리면 방어자의 패배였다. 하지만 방어자가 이런 추적 능력을 가지고 있다면 헤게모니는 바뀌는 것이다. 공격자는 자신의 모든 흔적을 지워야 하는 부담을 갖게 된다. 반대로 그 중의 하나의 흔적을 찾아낼 수 있다면 헤게모니는 공격자가 아닌 방어자가 조금 더 유리한 입장에 서게 된다. 드디어 방어자가 승리하는 시대가 온 것이다. 이를 가능케 하는 것이 위협 사냥(Threat Hunting)이며, 현재 가장 효과적인 위협 사냥 툴이 바로 EDR이다.

 

그러나 분명한 것은 EDR은 하나의 툴에 불과하다. 완성된 방법론을 갖춘 셋업(Set-up) 솔루션이 아니다. EDR은 방어자가 일반적인 대응 방법론을 넘어창의적인 공격법, 추적법, 사냥법을 익히고 만들어 가는 빌드업(build-up) 솔루션이다. 그것도 고객과 벤더가 함께 만들어 발전시킬 수 있는 능동적이고 유기적인 툴인 것이다.

 

안랩은 고객의 요구사항과 보안에서의 비즈니스 이력을 알기 때문에, 보안 대책과 툴을 어떻게 개선하고 빌드업해야 할 지를 가장 단시간 내에 파악해 고객들과의 학습을 통해 성과를 도출할 수 있다. 안랩은 앞으로도 더 나은 탐지, 더 좋은 영역과 보안 대응책을 마련해 나가겠다는 기조에 따라 고객의 자산을 보호하는데 최선을 다할 것이다.​ 

  • AhnLab 로고
  • EP사업기획실
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.