2020년에도 EDR(Endpoint Detection and Response) 시장은 여전히 뜨겁다. 국내에서도 EDR 도입하는 기업이 늘어나면서 관심은 더욱 증가하고 있다. 그러나 시장에서의 EDR에 대한 평가에는 분명 온도 차가 존재한다. 왜냐하면 EDR은 도입이 아닌 어떻게 운영하느냐가 더 중요하기 때문이다. 안랩은 2018년 엔드포인트 보안 플랫폼 안랩 EPP(AhnLab EPP)와 함께 안랩 EDR을 출시했다. 그 이후 지속적으로 안랩 EDR을 업그레이드하며 위협 대응력을 강화하고 있다. 이 글에서는 최근 업그레이된 안랩 EDR(AhnLab EDR 1.0.5)에서 보안 관리자가 알아두면 편리한 설정 기능 3가지에 대해 중점적으로 살펴본다.

# 1. 아티팩트 정보 수집, 내가 원하는 템플릿으로!

안랩 EDR은 의심스러운 행위와 관련된 유형별 정보를 상시로 수집하고, 위협에 대한 가시화된 정보를 제공한다. 이 과정에서 관리자는 확인하고자 하는 에이전트를 선택한 후 ‘대응하기’ 메뉴를 클릭해 다양한 명령을 내릴 수 있다([그림 1] 참고).

이때, 관리자가 의심스러운 행위에 대해 추가 분석을 원할 경우, 안리포트(AhnReport) 또는 아티팩트(Artifact) 수집 메뉴를 통해 수집된 파일에 대한 상세한 정보를 확인할 수 있다. 안리포트는 하드웨어, 소프트웨어 정보 및 안랩의 제품 정보를 수집하는 툴로, 파일, 레지스트리, 시스템, 네트워크, 하드웨어, 프로그램 정보 등을 수집한다. 아티팩트는 운영체제나 어플리케이션을 사용하면서 생성되는 흔적을 주로 수집하는 것으로 각종 로그 정보, 히스토리 정보, 타임라인, 레지스트리 정보 등을 확인할 수 있다. 아티팩트 수집은 EDR 라이선스 보유 시에만 가능하다.

안랩 EDR 최신 버전(AhnLab EDR 1.0.5)에서는 기존에 관리자가 직접 구문을 입력해야 하는 방식에서 진화하여, 미리 정의된 템플릿을 이용하여 간편하게 아티팩트 정보를 수집할 수 있는 기능이 추가됐다.

관리자가 템플릿을 이용하는 경우, 원하는 템플릿 선택 후 삽입하기를 클릭하면 된다. 템플릿을 이용하여 수집할 수 있는 아티팩트 정보는 시스템 공유 폴더 정보, 네트워크 어댑터 정보, 네트워크 연결(TCP/UDP) 정보, DNS Cache 정보, 서비스 정보, 로드된 모듈 정보 등 6가지이다. 

특히 침해사고 의심 행위 탐지 시, 단일 명령을 통해 다수의 엔드포인트에 아티팩트를 수집할 수 있는데 템플릿 선택 기능을 활용한다면 관리자는 원하는 정보를 좀더 직관적으로 확인할 수 있게 된다.

[Tip] 아티팩트 수집 템플릿 기능 설정하기

1) AhnLab EDR의 탐지(Known, Unknown, 사용자 정의, 에이전트) 화면으로 이동한다.

2) 탐지(Known, Unknown, 사용자 정의, 에이전트) 화면에서 목록을 클릭하면 상세 화면으로 이동한다.

3) 상세 화면의 연관 관계 다이어그램에서 에이전트가 설치된 시스템을 선택한다.

4) ‘대응하기’ 메뉴에서 ‘Artifact 수집’을 클릭한다.

5) <Artifact 수집>에서 수집 대상을 ‘사용자 정의 항목’을 선택한다.

6) 수집하고자 하는 아티팩트가 템플릿에 있는 경우, 드롭다운 목록에서 템플릿을 선택하고 ‘삽입하기’를 클릭한다.

7) Artifact 수집 명령이 에이전트에 전달된다.

8) 수집된 아티팩트 정보는 ‘대응 > AhnReport/Artifact 수집’ 화면의 상세 보기를 클릭하면 수집된 아티팩트 내용을 확인할 수 있다.

9) 특정 그룹/IP대역 등을 기준으로 Ahnreport/Artifact 자동수집 예약 설정도 가능하다. (대응 예약 > 대응 예약 추가 > Artifact 수집)

# 2. 삭제한 파일을 복원하고 싶다면, 검역소에서!

AhnLab EDR에서는 아티팩트 수집, 파일 수집, 파일 검색, 프로세스 종료, 파일 삭제, 파일 복원, EDR 에이전트 수동 업데이트, EDR 에이전트 삭제 등의 대응 작업을 진행할 수 있다. 관리자가 의심 행위를 하는 에이전트를 선택한 후 ‘대응하기’ 메뉴를 클릭하여 파일 삭제 명령을 내릴 수 있다.

만약, 파일 삭제 명령을 통해 삭제된 파일을 복원해야 할 경우가 발생한다면 이는 안랩 EDR의 검역소 기능을 활용하면 된다.

안랩 EDR의 검역소는 파일 삭제 명령을 통해 삭제된 파일을 확인하고, 삭제된 파일을 원래 위치로 복원할 수 있다. 특히 검역소 목록이 많아 특정 파일을 찾기 어렵다면 검역소 화면의 오른쪽 위에 있는 선택 상자에서 조회 기간을 최근 24시간, 최근 48시간, 최근 7일, 최근 14일, 최근 30일, 사용자 정의 등을 선택할 수 있다. 사용자 정의 선택 시에는 연/월/일의 날짜는 물론 시간까지 정확하게 설정할 수 있다. 또한 검색어에 상세 내용(파일 이름, 파일 해시값, 파일 크기)이나 에이전트 IP 주소, 관리자 계정, UUID 등의 내용을 입력하여원하는 정보만 확인할 수 있다.

복원을 원하는 경우 해당 파일을 선택한 후 파일 복원을 클릭하면 삭제된 파일을 원래 위치대로 되돌릴 수 있다. 다만 파일 복원 시, 해당 경로가 존재하지 않거나 복원을 위해 백업해 둔 압축 파일이 삭제된 경우에는 복원이 불가능하다. 또한 복원 경로에 같은 파일 있는 경우에도 정책 설정에 따라 덮어쓰기를 진행하거나 복원하지 않는다.

[Tip] 검역소에 복원 기능 설정하기

1) AhnLab EDR의 대응 > 검역소 화면으로 이동한다.

2) 목록에서 복원할 파일 선택 후, ‘파일 복원’ 클릭하면 에이전트로 파일 복원 명령이 전송된다.

3) 파일 복원에 대한 상태를 검역소의 ‘파일 상태’에서 확인할 수 있다.

4) 파일 복원이 성공하면, ‘파일 복원을 성공했습니다.’라는 알림 메시지가 발생한다.

5) 대응 >대응 현황에서 ‘파일 복원’에 대한 진행 상태를 확인할 수 있다.

6) 정상적으로 복원이 된 경우, 에이전트에서 해당 파일을 확인할 수 있다.

#3. EDR 탐지 규칙의 확장, YARA 규칙까지!

AhnLab EDR에서는 IOC(Indicator Of Compromise)와 야라(YARA) 규칙 파일을 EDR 사용자 정의 규칙으로 등록하여 탐지에 활용할 수 있다.

관리자가 사용자 정의 규칙에 YARA 규칙을 포함하고 싶다면 확장자가 *.yara인 파일을 업로드하여 서버에 추가할 수 있다. YARA 파일 업로드가 완료되면 위험도 설정도 가능하다. 위험도는 업로드한 YARA 규칙에 대해 낮음(Low), 중간(Medium), 높음(High)에서 설정할 수 있고, 위험도를 설정하지 않으려면 None을 선택하면 된다.

[Tip] YARA 규칙 등록 설정하기

1) AhnLab EDR의 정책 > EDR 사용자 정의 규칙으로 이동한다.

2) <EDR 사용자 정의 규칙> 화면에서 ‘가져오기’를 클릭하고 YARA를 선택한다.

3) <가져오기 – YARA>에서 찾아보기...를 클릭하여 YARA 파일(*.yara)을 업로드한다. 파일 타입에 오류가 있을 경우, 오류 메시지가 표시될 수 있다.

4) YARA 파일 업로드가 완료되면 가져오기 한 YARA 규칙의 위험도(Low, Medium, High, None)를 설정한다.

5) EDR 사용자 정의 규칙 목록에서 등록된 YARA 이름을 확인할 수 있다.

6) 등록된 YARA 규칙을 통해 탐지된 정보는 탐지 > 사용자 정의에서 확인할 수 있다.

EDR 프로젝트는 도입이 아닌 효과적인 활용이 성공의 관건이다. 악의적인 공격자들은 새로운 취약점을 찾아내고 찾아내고 우회 기법을 개발하여 지속적인 공격을 감행하고 있다. 이러한 지능화되는 공격을 탐지 대응하기 위해서 보안 제품도 끊임없이 발전해 가고 있다. 안랩 EDR도 이러한 연장선상에서 위협 대응 능력을 확장하기 위해 노력하고 있다.​