‘EDR’ 차세대 엔드포인트에 관심 고조…보안업계 경쟁 돌입

실시간
뉴스

솔루션

‘EDR’ 차세대 엔드포인트에 관심 고조…보안업계 경쟁 돌입

디지털데일리 발행일 2018-08-27 14:03:06

최민지

URL복사

[디지털데일리 최민지기자] 차세대 엔드포인트 보안으로 꼽히는 엔드포인트 위협 탐지·대응(EDR)과 엔드포인트 보호 플랫폼(EPP) 시장 주도권을 차지하기 위한 글로벌·국내 기업들의 각축전이 예고되고 있다.

이제 공격자들은 특정 타깃을 대상이 관심을 가질 만한 내용 또는 지인으로 가장해 악성코드가 포함된 메일을 보낸다. 인사담당자에게는 이력서를, 가족의 안부 메일, 구매담당자에게는 운송장 등으로 위장해 메일과 첨부파일을 열어볼 수밖에 없도록 하는 것이다. USB 같은 접근경로도 노리고 있다. 악성코드 스턱스넷은 이란 핵 시설에 피해를 입힌 바 있는데, USB를 유입경로로 악용했다.

단순히 알려진 악성코드만 탐지하는 것은 방어의 최우선이 아니며, 알려지지 않은 위협까지 탐지하고 공격이 활성화되기 전 재빨리 대응해야 한다는 필요성이 제기되는 이유다.

이와 관련해 연평균 45% 이상의 성장률에 대한 기대를 받고 있는 EDR은 안티바이러스 솔루션을 주축으로 한 예방 차원의 엔드포인트 보안의 트렌드를 바꾸고 있다. 예방 중심 보안정책만으로는 이미 한계에 직면했으며, 사이버공격의 관문으로 불리는 엔드포인트에서 지능화되고 고도화된 공격을 방어하려면 탐지와 대응으로 변화해야 한다는 시각이 부상하고 있다.

이를 방증하듯 가트너는 2020년 EDR 시장을 15억달러 이상 규모로 전망했다. 한화로 1조6000억원이 훌쩍 넘는 수치다. 정형화된 보안시장에 새로운 비즈니스 기회가 열릴 것이라는 기대에 글로벌과 국내 보안기업들의 관심도 고조돼 있다.

지난해 기준 33여개 전세계에서 EDR 제품이 출시됐다. 내년 100억원대 EDR 시장이 열릴 것으로 관측되는 한국에서는 외산제품 19여개, 출시 완료·예정인 10여개 국내 제품이 진입했다.

안랩, 지니언스, 시스코, 포티넷뿐 아니라 파이어아이, 카본블랙, 사이버리즌, 크라우드스트라이크 등이 각축전을 보이고 있다. 차세대 엔드포인트 보안 시장의 기대감에 전통적인 보안 강호들뿐 아니라 신예들도 속속 나타나고 있는 것. 이들은 수년만에 신흥강자로 몸집도 커졌다. 바야흐로 EDR 춘추전국시대에 들어섰다.

안티바이러스(백신) V3로 대표되는 안랩이 EDR과 EPP 사업에 드라이브를 거는 까닭도 여기에 있다. 안랩은 ‘안랩 EDR’을 선보인 후 EPP로의 플랫폼화를 통한 엔드포인트 보안의 확장을 꾀하고 있다.

안랩 EDR은 독자적인 행위분석엔진을 이용해 엔드포인트에서 발생하는 모든 행위 정보를 수집·분석해 보안 위협에 대한 직관적인 가시성을 제공한다. 보안 관리자는 EDR 서버에 저장된 엔드포인트 행위 로그를 모니터링 및 분석할 수 있으며, 안랩 EPP 제품과 연계해 다양한 대응 정책을 설정할 수 있다.

이를 통해 도입 고객사는 다양한 경로의 위협에 대해 PC 등 엔드포인트 영역에서 지속적인 모니터링 및 대응이 가능하다.

국내 기업 중에서 처음으로 EDR 제품을 출시한 지니언스는 행위 분석 기반 엔드포인트 보안 기업 레드스톤소프트를 인수하고 EDR 사업 경쟁력을 강화하고 있다. 올해 상반기까지 20여개 관련 고객사를 확보한 지니언스는 내년부터 EDR이 본격 개화될 것으로 보고 연구개발과 신제품 준비에 박차를 가하고 있다.

‘지니안 인사이츠E(Genian Insights E)’는 원천적인 차단이 불가능한 랜섬웨어 등 지능형 위협에 대한 악성 행위를 파악하고 이상 징후를 탐지해 공격 실행 단계에서 대응할 수 있도록 개발됐다.

지니언스는 레드스톤소프트의 이상행위 탐지 기술을 ‘지니안 인사이츠E(Genian Insights E)’에 접목해 올해 3분기 내놓을 예정이다. 이 제품은 가시성 범위를 확장시켜 주요 정보의 행위를 관리할 수 있다. 내년에는 알려지지 않은 위협에 대한 선제적인 대응이 가능한 새로운 버전의 EDR을 출시한다.

시스코는 ‘AMP4EP(Advanced Malware Protection for End Point)’로 EDR 시장에 뛰어들었다. AMP4EP는 알려지지 않은 위협까지 통합적으로 모니터링하고 예방·탐지·대응 기능을 지원한다. 추적과 행위 분석 및 가시성도 제공한다.

앞서, 시스코는 인텔리전스 기반으로 보안위협을 탐지·제거하고 자동화된 분석을 사용하며 클라우드 매니지먼트 솔루션에 통합되는 엔드포인트용 AMP를 2016년 공개하고 차세대방화벽과 차세대 침입방지시스템 등에 적용해 왔다. 탈로스 연구그룹 등에서 제공하는 위협정보를 통해 가시성을 개선하는 방향으로 향상된 것이다.

시스코 엔드포인트 보안 솔루션의 강점은 방대한 위협정보다. 위협 인텔리전스 조직인 탈로스는 전 세계 300여명의 전문가로 구성돼 있으며, 365일 운영되며 하루 200억개 공격, 1년에 7경2000조개의 공격을 막는다. 35억개 검색이 발생하는 구글의 6배에 달한다.

포티넷의 경우, 지능형 엔드포인트 보호 솔루션인 ‘포티클라이언트(FortiClient)’를 통해 EDR 기능을 제공하고 있다. 멀웨어, 랜섬웨어, 익스플로잇, 악성 스크립트와 같은 위협을 탐지·차단하고, 포티샌드박스(FortiSandbox) 및 포티게이트(FortiGate)와 통합돼 알려지지 않은 지능형 타깃 위협을 식별·대응한다.

포티넷의 포티클라이언트 차세대 엔드포인트 보안 솔루션은 독립형 엔드포인트 보안 에이전트이자, 포티넷 보안 패브릭의 필수 구성 요소로 작동하도록 설계됐다.

지난 5월 포티클라이언트는 NSS랩 테스트에서 오탐율 제로 구현과 함께 웹 및 오프라인 위협, 익스플로잇, 문서, 스크립트 기반 멀웨어를 100% 차단했으며, 보안 유효성 점수 97.3%를 획득하며 ‘추천 등급’을 받기도 했다.

이상국 안랩 EP사업기획실 상무는 “많은 기업들이 EDR에 대한 개념검증(PoC)에 들어갔고, 대기업·금융권에서는 EDR에 크게 관심이 있다”며 “악성코드 탐지뿐 아니라 위협대응 플랫폼의 전환이 필요한 시기인 만큼 내년에는 시장이 더욱 커질 것”이라고 말했다.

<최민지 기자>cmj@ddaily.co.kr

[알려드립니다]

'2018 금융·엔터프라이즈 차세대 엔드포인트 보안 'EDR·EPP' 전략 컨퍼런스'에 여러분을 초대합니다.

최근 고도화되고 지능화된 위협들이 더욱 범람함에 따라 기존의 엔드포인트 보안 시스템만으로는 기업의 자산을 방어하기에는 한계에 직면했다는 지적이 제기되고 있습니다.

관련하여 국내 금융권 등 주요 기업들은 올해 하반기와 2019년의 주요 보안 강화 사업으로 새로운 '엔드포인트 보안 인프라 고도화'에 적극적으로 나설 것으로 예상되고 있습니다.

<디지털데일리>는 오는 9월5일(수) 은행연합회관(서울 명동) 국제회의실에서 최신 엔드포인트 위협 탐지·대응(EDR)과 엔드포인트 보호 플랫폼(EPP) 전략 마련을 위한 컨퍼런스를 개최합니다.

아울러 클라우드 및 지능형 표적공격, IoT공격 등 각종 보안위협으로부터 기업을 효율적으로 지킬 수 있는 방안, 금융권의 보안 투자전략 등을 소개하는 자리를 마련하고자 합니다.관심있는 독자 여러분의 많은 관심 부탁드립니다. 감사합니다.

[행사안내 바로가기]