보안기업이 잇따라 내놓은 EDR 솔루션, 비교 포인트는 무엇?
올해 보안시장 치열한 승부 예상...각 사가 내세운 차별화 기능 비교

[보안뉴스 김경애 기자] 날로 고도화되는 사이버위협 속으로 인해 이제는 방어도 전략적 차원으로 접근해야 한다는 지적이 나오고 있다. 기존 APT 탐지 및 랜섬웨어 대응 솔루션으로는 실시간 방어가 한계에 다다랐다는 지적이 제기되면서 보안기업에서도 실시간 탐지기능을 비롯해 독자 개발 기술을 적용시킨 EDR 솔루션을 준비하거나 출시하고 있는 상황이다. 이에 본지는 EDR(Endpoint Detection Response) 시장현황에 이어 최근 부각되고 있는 EDR 솔루션의 주요 기능과 특징 등을 각 사의 자료(순서-업체명 가나다순)를 토대로 비교 분석해 봤다.


1. 보안업체 출시한 EDR 솔루션의 주요 기능 살펴보니
먼저 닉스테크는 내부정보유출방지 솔루션 DLP(Data Loss Prevention)+NAC(Network Access Control)+포렌식+위협요소 등을 결합한 통합형 EDR 솔루션을 준비 중에 있다. 이는 이용자들이 네트워크 APT 제품에 한계를 느끼고 있는 가운데 PC 단말단에서 랜섬웨어와 APT 공격이 끊임없이 발생하는데 따른 대응으로 지난해부터 준비에 들어가 올해 안에 출시 예정이다.

시만텍 ‘EDR Cloud’는 소프트웨어, 메모리, 사용자, 네트워크 이상 여부를 통합적으로 모니터링하며 공격자를 간단하게 추적할 수 있도록 지원한다. 공격자가 해당 환경 내에서 활동 중이면 사용자 활동이 이상 요소로 나타난다. 소프트웨어 이상 유무는 특이한 소프트웨어, 일치하지 않은 빌드 버전, 패치가 적용되지 않았거나 오래된 운영체제(OS) 릴리스가 있는 엔드포인트를 찾아낸다.

메모리 이상 여부는 프로세스 메모리, 파일 및 OS 개체, 시스템 설정을 포렌식으로 분석해 메모리에 상주하는 이상 요소를 탐지한다. 사용자 이상 요소는 사용자 행위 분석을 통해 합법적인 사용자로 위장하고 비정상적인 활동을 수행하는 공격자를 찾아낸다. 네트워크 이상 요소는 통계 분석을 통해 비정상적인 IP 주소를 식별하고, 평판 조회로 데이터 유출과 관련된 IP 주소 및 도메인을 알아낸다.


시스코의 ‘엔드포인트 AMP’는 멀웨어의 발생 지점과 경로, 어떤 위협이 발생했는지와 같은 상세히 기록된 내역을 활용해 공격에 대응할 수 있도록 돕는다. 시스코 탈로스(Talos) 팀의 최신 글로벌 위협 인텔리전스를 근간으로, 샌드박싱 기술을 통해 알려지지 않은 파일을 격리하고 분석할 수 있다.

‘엔드포인트 AMP’는 간편한 클라우드 기반의 사용자 인터페이스(UI)를 활용, 침해지표(IOC: Indicators of Compromise)를 찾기 위해 다양한 엔드포인트들을 검색하면서 발생하는 복잡도를 간편하고 빠르게 개선했다. 이에 따라 몇 번의 클릭으로 사용자들은 PC, 맥, 리눅스, 모바일 기기 상에서 공격에 대응할 수 있다.

현재 출시를 앞두고 있는 안랩의 EDR 솔루션은 V3를 기반으로 쉽게 구축·운영할 수 있으며 추가적으로 엔드포인트 행위 로그를 관리자가 분석할 수 있도록 중요한 이벤트에 대한 알림을 제공한다. 추가적인 에이전트 설치 없이 V3의 행위분석 엔진을 이용해 엔드포인트에서 발생하는 모든 행위 정보를 EDR 서버로 전송한다. 전송된 로그 중 V3에서 악성으로 탐지된 파일에 대해 유입 경로를 직관적으로 관리자가 확인할 수 있도록 가시성을 제공하고 대응(Response)하는 방식이다.

엔드포인트의 커널 레벨부터 응용프로그램 레벨까지 V3가 모니터링 하고 있는 엔드포인트의 영역인 파일, 프로세스, 메모리, 네트워크 등을 모두 탐지한다. 지원 OS는 윈도우 계열의 V3 에이전트가 지원하는 OS 범위에 대해 동일하게 지원한다. 또한, V3에서 악성으로 탐지된 파일은 유입경로 IP 차단, 프로세스 종료 등을 관리자가 원격에서 수행할 수 있다.

또한, SK인포섹의 ‘ETP 솔루션(Countertack ETP)’은 탐지·분석·조치·예방의 보안 사이클 단계를 기반으로 보안위협을 탐지·처리하게 된다. 탐지 단계에서는 Stealth Collection Module에 기반해 악성행위를 실시간으로 추적하고, 특정 조건에 맞는 이상행위 발생 시 자동으로 상관 이벤트를 수집한다. 탐지하는 위협 행위는 10가지로 ‘System Control(시스템 장악)’, ‘Persistence(지속행위)’, ‘System Integrity Compromise(시스템 무결성 손상)’, ‘Application Compromise(프로그램 손상)’, ‘Device Control(매체 장악)’, ‘Lateral Movement(회피)’, ‘Data Exfiltration(데이터 유출)’, ‘Privilege Escalation(권한 상승)’, ‘Security Compromise(보안설정 손상)’, ‘Suspicious Execution(의심 행위)’이다.

분석 단계에서는 모든 행위를 Source, Action, Target으로 구별해 분석한다. 파일, 프로세스, Thread, 레지스트리, 네트워크, 메모리 정보를 확인하고, 수집된 정보를 기반으로 위협요소의 가시성 확보를 위해 상세분석을 수행한다. 조치단계에서는 해킹 공격으로 판별된 악성행위 프로세스를 차단하고 엔드포인트를 격리 조치한다. 예방단계에서는 도출된 Resistance Profile을 적용해 자동 차단 및 격리 정책을 운영한다. 분석한 신종 악성코드는 탐지 조건에 반영해 변종에 대비한다.

엔피코어의 좀비제로 시리즈는 ‘EDR for APT’, ‘좀비제로 EDR for Server’, ‘좀비제로 EDR for Ransomware’, ‘좀비제로 SECaaS(Security as a Service)’로 구성된다. EDR for APT의 경우 SW 타입으로 가상머신을 회피하거나 SSL 같은 암호화 통신을 통해 공격하는 악성코드를 방어한다. 이는 행위기반 악성코드 탐지로 엔드포인트의 행위기반 엔진을 통해 불법행위를 차단한다. 이와 함께 역방향 세션을 탐지하고, 네트워크를 통해 실시간으로 모니터링한다. 또한, 파일이 화이트리스트에 등록돼 있다면 정상적으로 실행되고, 등록되지 않은 파일이면 Inspector로 전송돼 가상머신에서 분석한다. 정상이면 실행되면서 화이트리스트에 추가되고, 악성이면 격리돼 블랙리스트에 등록된다. 즉 ‘화이트리스트 기반의 실행보류 기능’으로 운영된다.


탐지범위는 네트워크나 USB 등의 모든 경로를 통해 새로 유입되는 파일을 모두 탐지한다. 탐지 모드 설정 시 실행 중인 프로세스를 업로드해 기존에 있던 파일까지도 탐지한다. 대응 프로세스는 분석, 탐지, 격리, 패턴정보 업로드 후 배포(업데이트) 과정을 거친다. 엔드포인트 단에서 행위기반의 위협을 탐지하고 대응한다.

‘좀비제로 EDR for Server’의 경우 ‘EDR for APT’와 비슷하며, 서버 보안을 위해 윈도우 서버에 설치된다.

‘좀비제로 EDR for Ransomware’의 경우 랜섬웨어 전용 제품으로 PC에 설치된다. 신·변종 랜섬웨어에 행위기반으로 사전대응하고, PC의 데이터를 중앙스토리지 서버에 백업한다. 랜섬웨어 대응방법은 임계치 이상의 악성 엔트로피 발생 시 랜섬웨어 프로세스라고 판단해 격리하는 방식을 취한다. 그런 다음 해당 프로세스의 패턴 정보를 ‘좀비 제로 매니저(Zombie ZERO Manager)’에 업로드하고, 해당 패턴정보를 EDR이 설치된 다른 PC와 공유해 확산을 방지한다.

‘좀비제로 SECaaS(Security as a Service)’는 EDR for Ransomware의 클라우드 서비스 버전이다. PC에서 탐지·차단된 보안로그를 통신사의 IDC의 클라우드 서버와 WAS 서버에 연결된 중앙보안 서버(Manager)로 전송한다. KT와 협력해 ‘securegate’라는 서비스를 출시한 상황이다.

이노티움의 EDR 기반 ‘랜섬크런처 플랫폼’은 4단계로 작동된다. 1단계는 디지털 서명을 포함한 소프트웨어를 인증하고, 2단계는 실시간 이상행위를 감시 차단해 확산을 방지하며 랜섬웨어 침해시 순간 백업 및 자동 롤백한다. 3단계는 DB와 문서를 로컬 및 원격지 저장소로 동시에 실시간 암호화 백업하는 단계다. 4단계는 악성코드의 작동부터 데이터 접근까지 단계별로 모니터링하고 실시간으로 로그를 분석해 제어 및 확산을 방지하게 된다. 만약 신종 악성코드 차단에 실패할 경우 사전에 백업한 데이터를 즉시 복구한다.

‘랜섬크런처 엔진’은 운영체제에서 소프트웨어가 실행될 때 실시간으로 위협 소프트웨어를 식별하고 변형된 유형을 탐지해 검증한 후, 중요 자료에 접근을 허용한다. 즉, 랜섬웨어 혹은 정보탈취를 목적으로 하는 신종 악성코드가 포함된 악성 소프트웨어를 실시간으로 검증·
차단한다. PC 데이터를 공격하는 랜섬웨어 뿐만 아니라 관리자 PC를 경유해 서버의 DB를 공격하는 랜섬웨어도 방어한다.

이스트시큐리티는 알약 제품군을 강화한 EDR 솔루션을 제공한다. 백신인 알약 4.0을 비롯한 알약 레거시 프로텍터, 알약 패치관리(PMS), 알약 내PC지키미 등 엔드포인트 위협 요소의 탐지와 방어, 대응단계 각각에 최적화된 솔루션을 구축하고 있으며, ASM을 통한 통합 관리로 엔드포인트 위협 전반의 가시성을 제공한다.


지니언스의 ‘지니안 인사이츠 E’는 에이전트를 통해 단말의 정보를 수집하고 위협은 침해지표(IOC)를 통해 탐지하게 된다. 탐지된 위협은 경고 알람과 함께 대시보드를 통해 보안상황과 위협에 대한 가시성을 갖췄다. 또한, 엔드포인트 행위에 대한 분석 및 모니터링 등 EDR 관련 기능을 보유하고 있다.

큐브피아의 ‘권가 비헤이비어 모니터링 솔루션(KWON-GA Bahevior Monitoring Solution)’은 엔드포인트로 부터 각각의 파일, 프로세서, 네트워크에 대해 동시 모니터링 하는 방식을 제공하고 있다. 엔드포인트로부터 각각의 파일, 프로세서, 네트워크를 동시 모니터링하는 방식이다.

하우리는 EDR 기반의 안티 랜섬웨어 솔루션인 ‘하우리 스마트센서(HAURI Smart Sensor)’를 출시했다. 사용자의 모니터와 행위 차단, 대응 기반 범주에서의 EDR 솔루션으로 랜섬웨어 탐지 및 차단, 취약점 공격 탐지 및 차단, MBR 변조 탐지 및 차단, 시작프로그램 등록 탐지, 백업기능, 폴더 보호 기능을 갖추고 있다.


2. 각 사별 EDR 솔루션 특장점 비교해보니
닉스테크가 준비 중인 EDR 솔루션은 플랫폼 형태의 통합 EDR 솔루션이라는 점이 특장점이다. 이는 사용자가 기존의 보안 제품에서 필요한 기능만 추가로 넣어 사용할 수 있는 형태로 운용할 수 있어 편리하다.

시만텍 EDR Cloud는 Symantec EDR Cloud에 포함된 여러 보안 위협 엔진은 파일, 사용자 계정, 네트워크 연결에 대해 리스크 점수를 부여한다. △수백만 개의 정상 파일과 악성 파일을 활용하는 신경망 기반 머신 러닝 △공개 API를 통한 기존 인프라와 통합이 가능해 다양한 위치 및 다수의 운영체제와 플랫폼 상에 있는 엔드포인트 관리 원활하게 수행 △특허 받은 실시간 클라우드 조회 기술로 지능형 위협 탐지해 정의 파일 업데이트를 위한 네트워크 대역폭 용량 70% 절감 △ATP 엔드포인트 연동 시, 엔드포인트에 내장된 EDR 기능 활용해 엔드포인트 탐지 및 대응 기술 향상 △블루코트 시큐어 웹 게이트웨이(Blue Coat Secure Web Gateway)와 SEP 14를 통합해 엔드포인트 및 네트워크를 동시에 보호하는 기능을 특징을 지녔다.

시스코 ‘엔드포인트 AMP’는 예방·탐지·대응 기능을 단일 SaaS 운영방식의 클라우드 매니지드 솔루션에 통합해 복잡성을 줄여 차단하는 것이 특징이다. 뿐만 아니라 AMP 에코 시스템과 다른 시스코 보안 플랫폼에 걸쳐 전체 아키텍처에 위협 정보를 공유하고, 상관분석을 가능하게 한다. 이러한 보안 아키텍처 접근 방법은 시스코 고객이 더욱 더 신속하게 위협을 확인할 수 있는 장점이 있다. 최근 글로벌 보안평가기관 NSS랩(NSS Lab) 연구에 따르면 시스코는 3분 이내 91.8%의 위협을 탐지해 빠른 위협탐지시간을 달성했다.

안랩 EDR 솔루션은 EPP 제품에 대한 Single Management(단일 관리)를 제공하며, 기존 V3 사용 고객이 별도 추가 에이전트 설치 없이 바로 EDR을 운영할 수 있다. 또한, 연계정책 기능을 이용해 엔드포인트 행위로그 이외에 보안정책을 위반한 사용자에 대한 대응(관리자 알람, 공지사항 발송, 네트워크 차단 등)을 수행할 수 있는 점이 장점이다.

SK인포섹 ETP 솔루션의 특장점은 크게 4가지로 첫째, 패턴 비교 방식이 아닌 메모리 포렌식 기반의 DDNA 엔진을 이용, 알려지지 않은 랜섬웨어 공격의 이상행위를 탐지한다. 둘째, 스텔스 에이전트 기능으로 악성코드의 우회 및 회피 가능성을 사전에 차단한다. 셋째, 커널 기반 모듈을 적용해 엔드포인트 부하를 최소화하고 프로세스, 레지스트리, 네트워크, 파일의 전 과정에 대한 모니터링 한다. 넷째, 침해사고 발생시 최초 발생 지점부터 최종 목적지까지의 공격 전 과정에 대해 단계별로 분석 및 대응한다.


엔피코어의 EDR for APT는 특허기술이 적용된 행위기반 엔진 탑재로 네트워크 연동 없이 독립적 운영이 가능하다. 특히, 네트워크 및 엔드포인트 모두에 대한 보안이 되는 이중방어 기능을 제공하고, 국정원 CC 인증을 보유하고 있어 타사 대비 경쟁력을 갖추고 있다. 또한, 글로벌 업체에 비해 커스터마이징(Customizing) 및 A/S를 신속하게 지원할 수 있다는 게 장점이다.

이스트시큐리티의 알약 기반 EDR은 신·변종 랜섬웨어와 새로운 형태의 APT가 속출하고 있어 엔드포인트 보안이 그 어느 때보다 중요한 때 알려지지 않은 위협에도 확실하게 대응하기 위해 AI 기반의 인텔리전스 플랫폼을 탑재했다는 점이 특징이다.


지니언스의 ‘지니안 인사이츠 E(Genian Insigths E)’는 파일, 라이브러리, 프로세스, 커넥션 등의 행위 감지 및 사용자, 운영체제의 이상행위를 탐지한다. 침해지표(IOC), 야라(YARA) 등을 통해 알려진 위협 탐지 및 대응 기능을 제공한다. 현재 머신러닝 기능을 개발 완료해 기존 고객대상 시범서비스를 진행하는 등 알려지지 않은 위협 탐지 기능이 확장될 예정이다. 탐지된 위협에 대한 종료와 삭제까지 실질적인 대응이 가능하며, 지니안 NAC와의 연동을 통해 단말의 접속 차단 및 격리가 가능하다.

큐브피아는 내부 침입을 시도하는 해커를 탐지하는데 목적이 있다. 탐지가 되면 정책에 따른 조치 등이 가능하기 때문이다. 해킹에 성공했을 경우라도 이를 탐지, 즉각 대응할 수 있게 탐지하는 것이 장점이다.

하우리가 출시한 ‘하우리 스마트센서(HAURI Smart Sensor)’는 운영체제의 취약점을 이용한 해킹 및 악성코드 유입 시도를 차단하는 사전방역기능과 MBR(Master Boot Record)을 변조해 윈도우 시스템의 부팅 장애를 유발시키는 악성코드까지 차단할 수 있는 MBR 보호기능이 탑재된 점이 특징이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>