[NES 2019②] EDR은 과연 혁신인가?…“문제는 악성코드가 아닌 악성행위” 반론

홍하나 기자 2019.04.16 10:27:36

[디지털데일리 홍하나기자] 최근 2~3년간 국내 보안시장에서는 '엔드포인트 침해 탐지 및 대응'(EDR)이 솔루션이 화두다.

EDR(Endpoint Detection and Response)은 PC, 스마트폰 등 엔드포인트 영역에서 해킹 위협을 탐지하고 분석, 조치하는 보안 방지 기법이다. 사이버공격의 관문인 엔드포인트에서 고도화된 공격을 방어하기 위해 탐지, 대응으로 변화해야 한다는 논리에서 출발했다. 

실제로 EDR이 관심사로 부상한 이후, 국내 보안업계에선 EDR 솔루션들이 다양하게 선보이고 있다. 또한 국내 대형 금융회사를 포함한 다양한 기업들에서 EDR 도입을 검토하고 있다. EDR솔루션 기업들은 'EDR 솔루션이 알려진 위협뿐만 아니라 알려지지 않은 위협까지 차단해 사전예방이 가능하다'는 점을 강조하고 있다.  

하지만 최근 보안업계 일각에서는 이러한 EDR 솔루션에 대한 반론의 목소리도 제기되고 있다. '과연 EDR을 혁신이라고 볼 수 있느냐'는 문제 제기다.  더 직설적으로 표현하면, EDR은 새로운 것을 원하는 시장의 요구에 따라 생겨난 마케팅 용어, 즉 상술이 만들어낸 워딩에 불과할 뿐이라는 지적이다.  

이들은 사이버 보안의 본질적인 문제, ‘알려지지 않은 공격을 막을 기술은 아직까지 없다’는 것을 지적하고 있다. 보안기업들이 EDR을 내세우며 외치고 있는 '알려지지 않는 위협까지 차단한다'는 것은 매우 위험한 주장이라는 것이다.

이처럼 기존 EDR의 논리에 정면으로 반박하는 전문가중 한 사람이 심재승 트로이컷 대표다. 심재승 대표는 “과거부터 지금까지 사이버보안에서의 문제는 언제나 알려지지 않은 공격”이라며 “해커는 항상 알려지지 않은 공격을 하고 있으며, 현재 이에 대한 근원적인 방어기술이 없다”고 주장했다. 

심 대표에 따르면, 악성코드를 막는 기본 원리는 이렇다. 악성행위 이용 코드가 발견되면 보안기업은 이 코드의 지문을 채취해 등록한다. 그런 다음, 이후 들어오는 코드와 비교해 일치할 경우 차단하는 방식이다. 하지만 해커는 매번 새로운 방법으로 공격을 하며 한 발 앞서나가고 있다.

이는 이전에 당한 공격을 막을 수는 있으나 새로운 공격은 막을 수 없다는 것과 일맥상통한다. 해커가 코드를 알아보지 못하게 보낼 뿐만 아니라, 하루에도 방대한 양의 새 코드가 만들어지기 때문이다. 또 이를 실시간으로 분석해서 등록하는 것 자체가 불가능하다는 것이 심 대표의 주장이다.

또 이제는 악성코드를 구분하는 것 자체가 의미가 없어졌다. 심 대표는 이를 도둑과 비교했다. 과거에는 ‘도둑’이라고 하면, 검정색 복면에 한 손에는 훔칠 물건을 담을 보따리와 흉기를 들고 있는 모습을 흔히 연상했다. 하지만 이제는 도둑이 모두가 생각하는 모습을 하고 있지 않은 것과 같다고 설명했다.

심 대표는 “처음부터 악성코드라는 것은 없다”며 “악의적으로 이용되는 코드가 있을 뿐”이라고 주장한다. 예를 들어 FTP프로그램은 파일을 보낼 때 흔히 사용하는 프로그램이다. 만약 해커가 이를 악용한다면 해킹툴이 된다. 그렇다고 FTP 프로그램을 악성코드라고 판별할 수는 없는 것과 같은 논리다.

따라서 심 대표는 이제 보안기업들이 악성코드가 아닌 악성행위를 막아야 한다고 강조했다. 악성코드의 진성여부를 판별하기 힘들어진 만큼, 데이터가 외부로 유출되는 등의 악성행위를 중심으로 막아야 한다는 주장이다.

심 대표는 근원적인 방법에 주목했다. 사용자가 직접 내린 명령만 진짜 행위라고 판단한다. 심 대표는 "우리가 찾은 답은 정상적인 사용자의 명령을 식별하는 것"이라며 "명령주체를 찾아내는 것이 기술의 관건"이라고 설명했다. 

예를 들어 사용자가 특정 문서를 전송하기 위해서는 복잡한 과정을 거친다. 이메일에 접속해 파일을 첨부하고 내용을 입력하는 등 일련의 과정을 거친다. 하지만 해커는 이러한 물리적인 과정을 생략한 채 특정 문서를 외부로 송출한다.  

이처럼 악성행위를 구별하는 데에는 '물리적인 인터렉션(상호작용)'이 관건이다. 물리적인 인터렉션이란, 말 그대로 사용자의 키보드 입력이나 마우스 클릭 등의 직접적인 행위를 말한다. 이러한 행위를 통해 일련의 과정을 거쳐 특정 문서가 전송된다면 정상적인 것, 그렇지 않다면 악성행위로 보고 차단하는 방식이다. 

심 대표는 자사가 개발한 '트로이컷' 솔루션을 예로 들었다. 이는 사용자의 물리적인 행위를 기반으로 악성행위를 판별한다. 즉 컴퓨터를 직접 조작할 수 있는 내부자가 유출한 것은 막지 않는다. 원할 경우, 내부자가 전송한 기록을 남겨 즉각적으로 대응할 수도 있다. 보수적인 접근법이지만, 이렇게 하지 않을 경우 해커의 공격을 당하는 것은 순식간이라는 게 그의 판단이다. 

심 대표는 “이제라도 악성코드의 침입을 막을 수 있다는 생각을 과감하게 버려야 한다”며 “이제는 악성코드가 아닌 악성행위를 막아야 할 때”라고 주장했다. 

<홍하나 기자>hhn0626@ddaily.co.kr

[제14회] 4월24일(수)  'NES 2019' 차세대 기업보안 세미나&전시회 컨퍼런스에 여러분을 초대합니다.

독자 여러분 안녕하십니까?

비즈니스 환경이 빠르게 바뀌고 있습니다. 인공지능(AI), 머신러닝(ML), 블록체인, 클라우드 등 혁신적인 기술이 기업의 업무 효율성을 높이고 있습니다. 최근 대기업들이 자사의 IT 시스템 대부분을 클라우드 기반으로 전환한다고 예고했습니다. 기업의 클라우드 전환이 가시화되고 있습니다.

하지만 디지털 트랜스포메이션으로 전환하는 기업에게 가장 큰 걸림돌은 보안 위협입니다. 어느 때보다 보안위협에 적극적으로 대응하고 위협을 사전단계부터 안전하게 관리할 수 있는 전사적인 보안전략이 요구되고 있습니다.

오는 4월 24일(수) 국내 최고 수준의 차세대 엔터프라이즈 보안 전략 컨퍼런스(NES 2019)에 많은 관심과 참여 부탁 드립니다.

자세한 행사 일정 및 프로그램 안내