보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

AhnLab EDR의 진화, 고객에겐 무엇이 중요한가?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2022-10-31

안랩이 최근 엔드포인트 위협 탐지 & 대응 솔루션 AhnLab EDR의 메이저 업그레이드 버전을 선보였다. 


단순히, 출시 소식을 알리기 위한 글은 아니다. 중요한 것은 업그레이드 버전을 출시했다는 사실보다, 이 제품으로 고객에게 어떤 가치를 제공할 수 있는지 또 고객의 애로사항을 어떻게 해결할 것인가다. 


이번 글에서는 AhnLab EDR이 고객들에게 실질적으로 어떤 가치를 제공하는지 알아본다.




*Note

본 문서는 AhnLab EDR 제품에 관한 내용을 중점적으로 다룰 예정이다. 만약 EDR의 개념과 필요성이 아직 명확히 이해되지 않는다면, 2021년 월간안 8월호 ‘EDR 도입 후 달라지는 것’을 먼저 읽어보길 권한다. ​

 

이제 글로벌 시장에서 EDR(Endpoint Detection & Response)은 완연하게 만개하기 시작했다. 시장조사기관 디 인사이트 파트너스(The Insight Partners)에 따르면, 글로벌 EDR 시장은 2020년부터 2025년까지 연평균 28.8% 성장할 전망이다. 또 다른 시장조사기관 MRFR(Market Research Future)는 EDR 시장이 2023년까지 약 34억 1천만 달러(한화 약 4조 9천억원)에 이를 것으로 예상했다. 

 

사실, 이러한 통계를 인용하지 않아도 EDR이 대세가 되어가고 있음은 이미 많은 사람들이 알고 있다. 다만, 국내 시장에서는 점차적으로 기업들이 EDR 도입을 검토하고 있으나 아직까지 ‘개화기’에 머물고 있다. 여러가지 이유가 있겠지만, 종합해보면 EDR이라는 새로운 기술 도입을 위한 ‘허들(Hurdle)’이 아직 완전하게 극복되지 않았기 때문이다.

 

‘고객의 목소리’에 기반해 탄생한 AhnLab EDR 신규 버전은 기존 안랩이 축적해온 기술력에 고객이 필요로 하는 사항들을 최대한 반영하여, 고객들의 도전과제를 해결하고 실제 보안 체계 수립에 직접적으로 기여할 것으로 기대를 모으고 있다. 

 

AhnLab EDR을 간단히 소개하면, 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. 이제 업계에 널리 알려진 ‘마이터 어택 평가(MITRE ATT&CK Evaluation)에서 우수한 성적을 거둔 AhnLab EDR은 MDR(Managed Detection & Response) 서비스와 결합해 위협 탐지 및 대응 프로세스 전반에 전문성을 강화한다.

 

이어서, 고객들이 EDR에 대해 마주하는 도전과제와 AhnLab EDR 신규 버전이 제공하는 가치에 대해 문답 형식으로 알아본다. 

 

#1. EDR이 필요한건 알지만 사용이 굉장히 어려울텐데요?​​​​ ​ ​ 

위협을 탐지해 대응하는 것은 기본적으로 복잡한 작업이다. 따라서, 기능에 못지 않게 중요한 것이 바로 ‘운영 편의성‘이다. 안랩은 AhnLab EDR 신규 버전을 통해 운영의 복잡성을 해소할 수 있는 여러 기능들을 탑재했다. 

 

우선, 엔드포인트에서 발생한 혹은 발생 가능성이 높은 위협을 빠르게 확인하고 정확하게 분석해 대응 방안을 마련하기 위한 목적으로, 전용 콘솔 ‘EDR Analyzer’를 제공해 운영 편의성을 확보했다.  

 

[그림 1] EDR Analyzer 대시보드 

 

EDR Analyzer 대시보드에서는 단순 통계 정보를 넘어 최근 확인된 위협 현황과 추이에 관한 정보를 확인할 수 있다. 사용자 입장에서는 위협을 인지하는데 있어 핵심이라 할 수 있는 ‘가시성(Visibility)’을 손쉽게 확보 가능하다. 

 

또, 확인된 위협은 보다 편리하게 처리할 수 있는 기능을 갖추고 있다. 확인된 위협을 직접 관리할 수 있는 ‘위협 상태 관리’ 기능과, 비슷한 유형의 행위 패턴을 원클릭으로 예외 처리해 불필요한 탐지 이벤트를 손쉽게 필터링할 수 있는 기능이 함께 제공된다.

 

#2. 로그 처리 & 저장량이 상당해 시스템 부하가 가지 않나요?​​​​​ ​ ​​ 

AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 EDR Analyzer 중앙 서버에 저장한다. 이 때, 고객사의 환경에 따라 행위 수집의 레벨을 다르게 조정함으로써 관리를 최적화하고 용량 부담을 줄인다. 

 

[그림 2] AhnLab EDR의 정보 수집 및 관리 최적화 

 

​​​​​#3. 고도화된 위협을 잘 탐지한다는데, 어떻게요?​  

AhnLab EDR은 국내 유일의 자체 행위기반 엔진을 고도화한 EDR 전용 엔진을 통해 자체적으로 국내외 공격 그룹을 분석하고, 탐지 패턴과 규칙을 만들어 위협을 정교하게 탐지한다. 그리고, 행위에 중점을 두고 시스템, 파일, 프로세스, 네트워크 등의 정보를 상세하게 표현한다.

 

또한, 기존 제공되었던 IoC, Yara 기반 정적 사용자 정의 규칙을 넘어, 40 여개 동적 & 정적 조건을 조합해 사용자 정의 행위 기반 규칙을 추가할 수 있게 됐다. 이에 따라, 고객의 특성에 따라 행위 규칙을 직접 만들어 활용하는 등 보다 능동적인 위협 탐지 방안을 구현하게 되었다. 

 

AhnLab EDR은 위협을 탐지하는 것을 넘어 체계적으로 ‘분류’하여 사용자가 위협을 직관적으로 파악할 수 있도록 한다. 기본적으로 ▲악성(Malware) ▲의심(Suspicious) ▲사용자 정의(Custom) 별로 위협을 구분하고, 마이터 어택 프레임워크(MITRE ATT&CK Framework)의 전술(Tactic)에 기반해 탐지된 위협을 16개 행위 카테고리로 분류한다. 여기에, 실질적인 공격 기술인 ‘기법(Technique)’과 ‘상세 기법(Sub-Technique)’을 명시하는 등 사용자가 위협을 이해할 수 있도록 풍부한 콘텐츠를 제공한다.  

 

[그림 3] AhnLab EDR 위협 탐지 & 분류 

 

이 밖에, 머신러닝 기술 적용을 통해 위협별 위험도와 악성 위험 확률에 관한 정보도 제공한다.

 

#4. 탐지, 분류 그 다음은요?​​ ​ ​​​​ 

E(엔드포인트), D(탐지), R(대응). EDR의 근간을 이루는 것은 D(탐지)이지만, 결국 고객 입장에서 중요한 것은 위협에 어떻게 R(대응)하느냐다. 그리고, 효과적인 위협 대응을 위해서는 전문적인 ‘분석’이 수반되어야 한다. 

 

AhnLab EDR은 앞서 소개한대로, 탐지한 위협에 대해 마이터 어택 프레임워크를 기반으로 위협 정보, 유입 경로, 주요 행위, 연관 관계, 위험도, 링크 등에 대한 상세한 분석 내용을 제공한다. 이처럼 다양한 분석 정보는 ▲다이어그램 ▲타임라인 ▲프로세스 트리로 구현된다. 

 

[그림 4] AhnLab EDR 다이어그램 분석 정보 

 

[그림 5] AhnLab EDR 프로세스 트리 분석 정보 

 

[그림 6] AhnLab EDR 타임라인 분석 정보 

 

아울러, 사용자의 필요에 따라 주요 행위에 대한 온디맨드(On-Demand) 검사를 수행할 수 있고, AhnLab MDS와의 연동을 통해 분석 중 의심스러운 파일에 대한 추가 동적 분석을 진행해 결과를 확인할 수 있다. 이 밖에도, 안랩의 위협 인텔리전스 플랫폼 AhnLab TIP 연동을 통한 추가 분석도 가능하다.

 

AhnLab EDR은 위와 같은 전문적인 분석 역량과 함께 ▲수동 대응 ▲자동 대응 ▲침해 대응 3가지 컨셉의 대응 기능을 갖추고 있다. 일단, 네트워크 차단 & 해제, 파일 삭제 & 복원, 프로세스 종료, 공유 폴더 해제 등 사용자가 직접 조치할 수 있는 다양한 수동 대응 기능이 탑재되어 있으며, 사용자 PC 데이터를 피해 이전 상태로 안전하게 복원하는 ‘롤백‘ 기능을 통해 탁월한 회복력을 갖출 수 있다.   

 

그리고, 위에 언급한 대응 기능을 사용자 정의 규칙에 따라 자동으로 설정할 수 있다. 알려진 침해지표(IoC)를 기반으로 자동 차단하거나, IP/URL/Port, 규칙 정보 등을 자동으로 예외 처리하는 등 다양한 방면으로 운영 상의 유연성을 더했다.

 

AhnLab EDR의 유연한 연동 역량은 대응 관점에서도 빛을 발한다. 안랩의 엔드포인트 보안 플랫폼 ‘AhnLab EPP’ 플러그인 제품을 사용할 경우, 백신, 패치 관리 등 여러 보안 제품의 대응 기능을 연계해 사용할 수 있다. 

 

​​#5. EDR의 효용성에는 공감하지만, 탐지부터 분석, 대응까지 하려면 결국 전문 인력들이 필요할텐데요. 현실적으로 여력이 없습니다.​ ​ ​​​​​ 

위협 탐지 & 대응을 위한 전문 인력의 필요성은 전 세계적으로 대두되고 있는 사안이며, 이에 대응하여 등장한 서비스가 바로 ‘MDR(Managed Detection & Response)’이다. 안랩은 AhnLab EDR 신규 버전 출시와 함께 MDR 서비스를 다음 두 가지 형태로 제공한다. 

 

A. 기본 서비스

AhnLab EDR을 도입한 고객에게는 기본적인 MDR 서비스가 제공된다. AhnLab EDR이 탐지한 이벤트 중 위험도가 높은 이벤트에 대해 1/2차 분석 보고서와 통계 기반 보고서를 제공하여, 고객이 EDR을 보다 더 효과적으로 활용할 수 있도록 한다. 아울러, 고객과의 사전 협의 하에 위협 대응도 수행한다. 

*EDR 탐지 로그를 외부로 전송하지 못하는 경우에는 지원이 어렵다.

 

B. EDR Premium (유료)

EDR Premium은 AhnLab EDR과 함께 전문적인 위협 탐지 & 대응 역량을 제공하는 ‘MDR’ 서비스가 결합된 상품이다. EDR Premium을 사용하는 고객에게는 안랩 전문가가 알려진 위협이나 의심 행위를 모니터링, 분석 및 판단하여 능동적으로 대응한다.

 

그 배경에는 오랜 기간 축적해온 안랩의 독보적인 위협 대응 역량이 자리하고 있다. EDR Premium은 고객 엔드포인트 환경에서 발생하는 위협에 대한 티켓(Ticket)을 발생시키고, 평판 정보, 악성코드 행위 정보 등을 활용해 안랩 위협 대응 프로세스에 기반하여 체계적으로 처리한다. 

 

[그림 7] EDR Premium 주요 내용 

 

이 밖에도, 안랩은 침해사고 분석, 악성코드 전문가 분석, 의심 시스템 진단 등 EDR Premium과 연계해 보안 위협 및 분석, 대응 능력을 제고하는 다양한 옵션을 제공하고 있다.

 

​#6. 결국 모든 벤더들은 자신들이 잘한다고 합니다. 이 말을 어떻게 신뢰할 수 있나요?​​​ ​ ​​​​​​ 

안랩은 업계에 널리 알려진 마이터 어택 평가(MITRE ATT&CK Evaluation)에 국내에서 유일하게 Round 3와 Round 4에 2회 연속으로 참가했다. 특히, 가장 최근 진행된 Round 4에서 안랩은 AhnLab EDR 구버전으로 공격 그룹 ‘위자드 스파이더(Wizard Spider)’와 ‘샌드웜(Sandworm)’이 사용하는 최신 기법을 모의 수행한 90개 공격 스텝(Step) 중 83개를 탐지해 92%의 탐지율을 기록했다. 

 

[그림 8] MITRE ATT&CK Evaluation Round 3 & 4 

 

이를 통해, 고도화된 위협과 최신 공격 기법에 대한 탁월한 탐지 역량을 입증했다. 안랩은 향후 진행될 Round 5에도 AhnLab EDR 신규 버전으로 참가할 계획이다. 

 

​​​(번외) EDR 꼭 필요한가요? 백신 있으면 되는거 아닌가요?​​ ​ ​​​​​​​ 

이제, 기업 보안 담당자들은 EDR의 가치와 필요성을 충분히 이해하고 있다. 다만, 해당 내용을 조직 내 다른 이해관계자들에게 전달 및 설득할 때 위와 같은 질문을 한 번쯤 들어봤을 것이다. EDR에 대한 인식이 많이 높아졌지만, 보안을 업으로 삼지 않는 사람에게는 여전히 생소한 영역이다. 따라서, EDR의 도입효과를 설명하는 작업은 앞으로도 꾸준히 진행하게 될 가능성이 높다.

 

일단, 개념적으로 보면 EDR을 도입했다고 해서 백신이 필요 없어지는 것은 아니다. 최근 알려지지 않은 새로운 위협이 계속 등장하면서 백신만으로는 공격을 완벽하게 사전 차단할 수 없게 되었다. 이를 ‘보완’하기 위해 엔드포인트를 상시 감시하고 사후 조사 체계를 수립할 수 있는 ‘탐지 & 대응’ 영역의 EDR이 필요한 것이다. 즉, 백신과 EDR은 상호보완적 관계를 구축해야 한다.

 

마지막으로, EDR 도입 전/후 위협 대응 프로세스를 비교하면서 이 글을 마무리하고자 한다.

 

EDR을 사용하지 않는 경우, 악성코드 감염 이력이 확인되면 시스템을 포맷하거나 초기화하고, 백업된 데이터를 복원해 업무를 재개하는 형태로 대응을 수행했다. 백신 관리 서버에 사용자 PC의 악성코드 감염 이력이 존재하지만 정확한 경로는 확인할 수 없다. 따라서, 위협 대응은 일회성에 그칠 수 밖에 없고, 재발 방지 대책을 수립하는데 한계가 있어 추후 신/변종 위협에 재차 피해를 입을 가능성이 존재한다.  

 

[그림 9] EDR 도입 전/후 위협 대응 프로세스 

 

하지만, EDR을 도입하면 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다. 침해사고가 발생하면 관리자가 경고 알림을 수신한 후, 사전 정의된 규칙을 기반으로 위협 분석, 전사적인 검사를 수행한 뒤 악성 의심파일 수집, 프로세스 종료, 네트워크 차단 등의 조치를 취할 수 있다. 또한, 취약점 및 감염 이력 확인을 통해 선제적인 사전 대응 뿐만 아니라 사후 위협 관리도 가능해져, 장기적인 보안 체계를 수립할 수 있게 된다. 

 

AhnLab EDR에 대한 보다 자세한 내용은 안랩닷컴 제품정보 페이지를 통해 확인할 수 있다.

AhnLab EDR 제품정보 페이지 바로가기

  • AhnLab 로고
  • 콘텐츠기획팀 신재만 대리
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기