2019년 전 세계 보안 분야에서 가장 핫했던 솔루션을 꼽으라면 단연 EDR(Endpoint Detection and Response, 엔드포인트 위협 탐지 및 대응)일 것이다. 국내에서도 이미 상당수 기업에서 EDR 솔루션을 도입한 상황이다. 그런데 정작 EDR을 잘 활용하고 있다는 기업은 찾아보기 어렵다. 도입만 하면 당장이라도 사내 보안 위협을 다 보여주고 알아서 대응해줄 것 같았지만 막상 도입하고 보니 EDR이 어떤 일을 하는지, 어떻게 사용하고 관리해야 하는지 모르겠다는 반응이 대부분이다. EDR의 실질적인 역할과 이를 통해 기대할 수 있는 것은 무엇인지 알아보고, 실제 사례를 중심으로 위협 탐지부터 자동 대응까지 구체적인 활용 방안을 살펴본다. 

기업의 엔드포인트에는 수십~수천개의 업무용 PC가 존재한다. 업무용 PC 상에서 많은 일이 이루어지는데, 그 속을 들여다보면 겉으로 보이는 것 못지 않게 수많은 프로세스들과 모듈들이 백그라운드에서 쉴 새 없이 각자의 역할을 수행하고 있다.

또한 기업의 엔드포인트를 구성하는 업무용 PC들은 악성코드 등 보안 위협이 침투하는 핵심 경로다. 지속적인 시도 끝에 업무용 PC를 통해 기업 내부로 침입한 신•변종 악성코드는 중요 정보를 유출하거나 시스템을 파괴해 막대한 비즈니스 손실을 야기한다. 결국 업무용 PC의 보안은 보안 담당자뿐만 아니라 기업 자체에 중요한 과제일 수밖에 없다. 악성코드로부터 업무용 PC를 보호하기 위해서는 PC에서 발생하는 모든 일을 파악할 수 있어야 한다. EDR 솔루션이 시장에 등장한 이유도, 주목받는 이유도 바로 이때문이다.

EDR(Endpoint Detection and Response), 즉 '엔드포인트 위협 탐지 및 대응'이라는 이름을 풀어보면 업무 환경을 구성하고 있는 단말(Endpoint)에서 발생하는 의심스러운 점(행위)를 탐지(Detection)하고 차단(Response)함으로써 조직의 비즈니스 환경을 안전하게 하는 것이라 할 수 있다. 위협을 정확하게 탐지하고 차단하기 위해서는 조직 내 모든 단말의 모든 곳(영역)을 항상 지켜보고 관련 정보를 수집할 수 있어야 한다.

안랩 EDR, 무엇을 보는가

업무용 PC, 즉 엔드포인트 단말 내부에서는 파일, 프로세스, 네트워크 등 다양한 기능들이 복합적이며 유기적으로 동작한다. 그러나 모니터 상에는 이 모든 기능들이 동작한 최종 결과만 나타나기 때문에 사용자로서는 백그라운드에서 발생한 일을 파악하기 어렵다. 문제는 공격자들이 이 백그라운드에서 동작하는 기능을 노리거나 악용한다는 점이다.

안랩 EDR이 보는 것이 바로 이 단말의 백그라운드에서 발생하는 행위다. 안랩 EDR은 엔드포인트에서 발생하는 모든 행위를 모니터링하여 관련 정보를 수집한다. 이때 파일, 레지스트리, 프로세스, 네트워크, 시스템 등 단말의 환경을 구성하는 5가지 기본 요소를 기준으로 행위 정보를 수집 및 분류한다. 이렇게 수집된 행위 정보는 다시 일반 행위 정보와 악성 의심 행위 정보로 구분된다.

안랩 EDR, 어떻게 보여주나

안랩 EDR이 악성 의심 행위로 탐지하는 대상은 안티바이러스 제품이 탐지하는 알려진 악성코드를 포함해 알려지지 않았지만 행위에 위협적인 요소를 갖고 있는 파일을 모두 탐지한다. 파일이 언제 내부로 유입되었는지, 어떤 행위를 했는지, 파일이 유입된 이후 실행된 적이 있는지, 동일한 파일이 다른 시스템에 얼마나 존재하는지 등 다각도로 분석하여 의심 행위 정보를 수집, EDR 서버로 전송한다.

보안 관리자는 관리 콘솔(AhnLab EPP Management)을 통해 EDR이 수집 및 서버로 전송된 정보를 확인할 수 있다. [그림 1]에서 볼 수 있는 것처럼 알려진 악성코드는 ‘Known 탭’에, 알려지지 않은 파일의 의심 행위는 ‘Unknown 탭’에 각각 취합 및 분류된다.

[그림 1]에서 볼 수 있는 것처럼 탐지된 파일에 대해 파일명과 함께 탐지된 시스템(에이전트), 주요•연관 행위 건수, 행위 유형 탐지 시각 등을 보여준다. 이때 알려진(Known) 악성코드는 진단명을, 알려지지 않은(Unknown) 파일에 대해서는 효율적인 위협 관리를 위해 위험도를 표시해준다.

최신 버전의 안랩 EDR은 의심 행위로 수집된 것을 다시 ‘주요 감시 행위’로 분류하여 보여준다. 주요 감시 행위란 최신 공격에서 주로 나타나는 행위들로, 현재는 ▲네트워크 연결 ▲시스템 설정 ▲파일리스 ▲인젝션 ▲랜섬웨어 ▲권한 상승 등으로 분류된다. 안랩은 향후 위협 동향에 따라 EDR의 주요 감시 행위의 분류 기준을 변경 또는 추가할 예정이다.

안랩 EDR은 수집한 의심 행위의 정보를 [그림 2]와 같이 다이어그램으로 제공해 보안 관리자가 연관 관계를 쉽게 파악할 수 있게 해준다. 주요 의심 행위의 경로를 빨간색 화살표로 표시해 보안 관리자가 확인해야 할 정보임을 강조하고 있다. 다이어그램 상에 표시되는 경로 및 프로세스 등에 관한 상세한 정보는 화면 우측의 메뉴에서 확인할 수 있다. 탐지 시각, 파일 이름 등의 기본 정보는 물론, 실행 단계를 선택하면 상세 동작 정보도 제공한다.

안랩 EDR, 어떻게 탐지하나

이제 실제 사례를 통해 안랩 EDR이 어떻게 탐지하고 대응하는지 살펴보겠다. 앞서 언급한 것처럼 EDR은 V3가 진단하는 알려진 악성코드에 대해서도 탐지 및 대응을 제공한다. 여기에서는 안랩 EDR이 당시에는 알려지지 않았던 악성코드를 의심스러운 행위를 기반으로 탐지했던 실제 사례를 간략히 짚어본다.

1. 파일리스 방식의 위협 탐지

파일리스 방식의 블루크랩(BlueCrab) 랜섬웨어는 스크립트 파일을 이용해 파워쉘(powershell.exe)을 실행하며, 이 파워쉘을 통해 악의적인 행위를 수행한다. 안랩 EDR은 이러한 랜섬웨어 탐지를 위해 미끼용 더미 파일(Decoy)을 사용한다. 랜섬웨어가 해당 파일에 접근하면 이를 행위 기반으로 탐지 및 차단한다. [그림 3]은 EDR이 탐지한 블루크랩 랜섬웨어 파워쉘이다.

[그림 3]의 연관 관계 다이어그램에서 볼 수 있는 것처럼 wscript.exe가 스크립트를 실행하며, 윈도우의 정상모듈인 powershell.exe 프로세스를 생성한다. 이렇게 생성된 poowershell.exe는 cmd.exe를 통해 블루크랩 랜섬웨어를 실행한다.

이 과정에서 안랩 EDR이 미끼 파일을 이용해 감염을 유도하여 해당 랜섬웨어를 탐지 및 차단한다. 또한 랜섬웨어 공격이 진행되는 단계별 동작 정보를 수집해 EDR 서버로 전송한다. [그림 4]와 같이 서버로 전송된 로그를 통해 해당 랜섬웨어의 감염 및 동작 과정을 다시 한 번 확인할 수 있다.

[그림 4]의 로그에서 확인한 악성코드의 행위 및 탐지 과정(빨간색 표시 부분)을 요약하면 다음과 같다.

① 윈도우 탐색기(explorer.exe)에서 js_bluecrab.js(wscript.exe) 실행

② js_bluecrab.js(wscript.exe)가 파워쉘(Powershell)을 호출하여 악성코드(vcafyxxut.tmp) 실행

③ 커맨드 라인(command line)을 통해 랜섬웨어(vssadmin.exe) 실행 후 볼륨 쉐도우 복사본 삭제, 시스템 복구 모드 비활성화 진행

④ 랜섬웨어의 행위가 실행될 때 EDR이 더미 파일(.jpg)을 이용해 프로세스 차단 종료

2. 시스템 권한 변경

지능형 위협(Advanced Persistent Threat, APT)의 대표적인 특징은 내부 장악을 위해 시스템 권한 변경을 시도한다는 것이다. 안랩 EDR은 엔드포인트에 유입된 알려지지 않은 악성코드의 시스템 권한 변경 및 관리자 계정 활성화를 시도하는 의심 행위를 탐지하여 APT 공격 대응 효과를 제공한다.

[그림 5]는 안랩 EDR이 시스템 권한 변경을 시도하는 알려지지 않은 악성코드를 탐지한 정보다.

[그림 5]의 다이어그램을 살펴보면, 악성코드는 커맨드 라인을 통해 계정을 생성한다. 이렇게 생성된 계정에는 아직 권한이 부여되지 않은 상태기 때문에 레지스트리를 열어 생성한 계정의 권한 변경을 시도하는데, 이때 안랩 EDR이 해당 행위를 탐지 및 차단한다.

이 밖에도 안랩 EDR은 네트워크 접속을 시도하는 행위를 기반으로 알려지지 않은 악성코드를 탐지 및 차단한다. 알려지지 않은 악성코드가 유입된 후 백그라운드에서 감염을 위해 의심스러운 IP로 네트워크 접속을 시도하면 안랩 EDR이 행위 기반으로 탐지하여 사용자에게 알림창을 제공한다. 또 관리자 화면을 통해 탐지된 악성 코드명, 악성코드가 탐지된 에이전트 정보 등의 정보를 제공하며 연관 관계 다이어그램을 통해 관련 프로세스와 C&C 서버 접속 행위 등 상세한 탐지 정보를 보여준다.

안랩 EDR로 어떻게 대응할까

안랩 EDR이 탐지한 정보를 이용해 어떻게 대응할 수 있는지 알아보자. 보안 관리자는 안랩 EDR을 활용해 직접 수동으로 대응하거나 미리 설정한 정책을 통해 자동 대응을 할 수 있다.

1. 직접 대응

EDR이 엔드포인트에서 수집한 정보는 서버에 로그로 축적되는데, 시간이 지나면 자칫 활용하기 어렵고 무의미한 대량의 데이터로 남을 수 있다. 안랩 EDR은 보안 관리자가 필요에 따라 활용할 수 있도록 수집된 로그를 쉽게 분류하는 기능을 제공한다.

우선, 안랩 EDR이 탐지한 의심스러운 파일을 효과적으로 관리할 수 있도록 ‘감시 대상 처리’ 기능을 제공한다. [그림 6]과 같은 알려지지 않은 위협 탐지 정보 페이지(Unknown)에서 보안 관리자가 탐지된 파일에 대해 보류, 예외, 확인 완료 등 처리 방법을 직접 설정할 수 있다. 이후 필터를 통해 손쉽게 관리 대상을 확인하고 추가적인 조치를 할 수 있다.

연관 관계 다이어그램을 활용해 직접 대응 조치를 실행할 수도 있다. [그림 7]과 같이 안랩 EDR은 다이어그램상에서 공격 단계별 대응 조치 메뉴를 제공한다.

보안 관리자는 확인하고자 하는 에이전트를 선택한 후 ‘대응하기’ 메뉴를 클릭해 다양한 명령을 내릴 수 있다. 예를 들어, 의심 파일 검색 및 수집 명령을 실행할 수 있으며, 안리포트(AhnReport) 또는 아티팩트(Artifact) 수집 메뉴를 통해 수집된 파일에 대한 상세한 정보를 확인할 수 있다. 또 에이전트 시스템에서 실행 중인 프로세스에 대해 실시간 종료 명령을 전송할 수 있다. 필요 시 수집한 안리포트와 의심 파일에 대해 안랩의 전문 분석을 의뢰할 수 있다.

2. 연계 규칙을 통한 자동 대응

안랩 EDR은 엔드포인트 보안 플랫폼인 ‘안랩 EPP(AhnLab EPP)’를 기반으로 운영된다. 따라서 안랩 EPP 기반으로 운영되는 안랩의 엔드포인트 보안 솔루션과 안랩 EDR의 연계 규칙을 설정해 자동화된 위협 대응이 가능하다.

‘연계 규칙’이란 말 그대로 안랩 EPP를 기반으로 운영되는 개별 보안 솔루션들의 정책을 상호 연결하여 조건화한 규칙으로, 특정 규칙에 해당 또는 위배되는 경우 그에 따른 대응 조치를 자동으로 실행할 수 있다. 기존 중앙 관리 솔루션을 통한 단순 연동과 달리 안랩 EPP 기반의 연계 규칙은 개별 솔루션의 유기적인 동작을 통해 고도화된 위협 탐지 및 대응이 가능하다.

안랩 EDR의 탐지 정보를 활용해 연계 규칙을 설정하는 방법을 살펴보자. 우선 위협 탐지 조건을 설정한다. 예를 들어, [그림 8]과 같이 V3의 악성코드 진단명과 함께(+) EDR의 탐지 정보를 통해 확인한 프로세스 및 해시 정보를 조건으로 설정할 수 있다. 이때 외부 네트워크 접속이 우려된다면 EDR의 네트워크 URL 옵션에 IP를 추가할 수 있다.

연계 규칙의 조건을 설정했다면 이에 대한 대응 조치를 설정한다. [그림 9]와 같이 공통으로, 즉 기본적으로 안리포트(AhnReport)를 수집하거나 공지 사항을 전송할 수 있다. 또 내부 네트워크를 통한 감염 확산을 방지하기 위해 V3를 이용해 네트워크를 차단하고 EDR이 특정 프로세스를 종료하도록 대응 조치를 설정할 수 있다. 이에 따라 앞서 설정한 위협 탐지 조건에 해당하는 시스템이나 프로세스가 발견되면 해당 조건에 매칭되는 대응 조치가 자동으로 수행되면서 해당 시스템의 네트워크가 자동 차단되고 관련 프로세스가 강제 종료된다.

실제 사례를 통해 구체적인 연계 대응 정책 활용법을 알아보자. 2017년 이후 이터널블루(EternalBlue)라고 불리는 SMB(Server Message Block) 취약점(MS17-010)을 이용한 악성코드가 지속적으로 기업 및 기관에 피해를 야기하고 있다. 이 취약점을 통해 악성코드가 네트워크 내부에서 확산될 수 있기 때문에 피해 최소화를 위해 조기 발견 및 조치가 중요하다. 전사 엔드포인트 시스템을 실시간으로 모니터링하는 안랩 EDR을 통해 정보를 신속하게 수집하고 안랩 EPP 기반의 연계 정책을 통해 해당 취약점과 관련된 위협을 탐지 및 대응할 수 있다.

[그림 10]의 예시를 통해 구체적으로 살펴보면, 이터널블루 SMB 취약점을 이용하는 악성코드들에 대한 V3의 진단명(①)을 조건에 추가한다. 이터널블루 SMB 취약점은 관련 패치가 존재하므로, 안랩 EPP 패치 매니지먼트(AhnLab EPP Patch Management, APM)을 사용 중인 고객사라면 사내 시스템 중 관련 패치를 적용하지 않은 시스템이 있는지 확인하는 조건(②)을 추가할 수 있다.

이어 안랩이나 한국인터넷진흥원(KISA) 등에서 제공한 관련 악성코드 정보를 참고해 악성코드가 생성하는 파일(MINIZKTZ)이나 레지스트리 정보를 탐지 조건에 추가하면 APM의 소프트웨어 설치 확인 기능과 EDR의 레지스트리 탐지 기능을 조건 설정에 활용할 수 있다(③). 마찬가지로 안랩 등에서 제공하는 C&C 서버 정보를 참고해 EDR의 네트워크 URL 정보에 추가할 수 있다(④).

이렇게 설정한 조건에 해당되는 에이전트 시스템이 확인되면 자동으로 조치가 수행되도록 대응 규칙을 설정한다. 예를 들어 APM을 통해 관련 패치를 자동으로 적용하거나 공지 사항 발송 기능을 통해 사용자에게 해당 패치를 설치하도록 안내할 수 있다.

안랩 EDR, 왜 일반 행위 정보도 수집하나

앞서 언급한 것처럼 안랩 EDR은 악성 의심 행위 정보뿐만 아니라 일반적인 엔드포인트 행위 정보도 함께 수집한다. 그 이유는 무엇일까.

안랩 EDR은 기본적으로 PC에서 프로세스 정보를 확인하고 네트워크 이벤트를 탐지한다. 레지스트리와 파일에 대한 읽기/쓰기(read/write)를 확인하고 시스템 설정 정보 등 다양한 이벤트를 탐지한다. 좀 더 구체적으로는 덤프 정보, 상세 아티팩트를 비롯해 파일, 프로세스, 시스템, 네트워크, 레지스트리 등 PC에서 발생할 수 있는 120 여개 이상의 행위 정보들을 수집한다. 이렇게 탐지한 행위가 악성 의심 행위가 아닌 일반적인 행위의 경우에도 관련 정보를 취합해 EDR 서버로 전송하고, 관리 콘솔 상에서 EDR 이력으로 로그를 남겨둔다.

보안 관리자는 언제든지 이들 행위 로그가 생성된 시점, 실행된 프로세스, 대상 모듈 정보 등을 확인할 수 있다. 필요 시 일반 행위 로그를 분석함으로써 내부에 은밀히 침투한 위협 요인과 잠재적인 위협 요소까지 파악할 수 있기 때문이다.

EDR이 수집한 일반 행위 정보는 조직 내부의 자산 정보를 파악하거나 기업 환경에 따라 다각도로 활용할 수 있다. 다만, 일반 행위와 관련해 대량의 정보가 수집되기 때문에 원하는 정보에 쉽게 접근하기 위해서는 AND 또는 OR의 ‘검색 조건’을 활용하는 것이 좋다.

보는 만큼 안다, 아는 만큼 대응한다

기업 및 기관을 노리는 공격자들은 목적을 달성하기 위해 지속적으로 타깃 기업 또는 기관의 정보를 수집하며 빈틈을 찾는다. 이를 위해 보안 제품들이 탐지하지 않는 영역을 찾기 위해 계속해서 다양한 시도를 한다.

집요하게 취약한 지점을 찾아 침투하는 공격에 대응하기 위해서는 더 많은 영역을 지속적으로 살펴봐야 한다. 결국, 무엇을 얼마나 볼 수 있느냐에 따라 무엇을 어떻게 조치할 수 있을지 파악할 수 있으며, 이로써 원하는 혹은 그 이상의 보안 효과를 얻을 수 있을 것이다.