[디지털데일리 이종현기자] “엔드포인트 탐지 및 대응(EDR)이라고 하는 개념은 기존에 있던 보안 솔루션을 보완하는 역할이지, 이 솔루션을 도입함으로써 99%의 보안이 100%나 120%로 증가하는 것이 아닙니다.”(안랩 추상욱 차장)
<디지털데일리>가 개최한 제18회 금융IT 이노베이션 콘퍼런스가 8일 서울 중구 더플라자 호텔에서 열렸다. 금융IT와 관련된 총 24개 세션 발표가 이어지는 가운데 안랩 솔루션컨설팅팀 추상욱 차장은 ‘EDR 어디까지 써봤니’라는 주제로 발표를 진행했다.
추 차장에 따르면 EDR이 화두가 된 것은 2014년경부터다. 글로벌 사이버보안 기업 시만텍의 부사장이 언론과의 인터뷰에서 ‘안티바이러스는 죽었다(Antivirus is dead)’고 말한 것을 계기로 ‘백신 무용론’이 확산됐고, 일명 ‘차새대 백신’이라고 불리는 EDR이 그 대안으로 떠올랐다는 것이다.
그러나 추 차장은 이 말은 다소 와전된 말이며, 대안으로 떠오른 EDR에 대해서도 오해가 많다고 전했다.
그는 “EDR을 도입하는 기업들은 <트랜스포머>에 등장하는 로봇을 기대한다. 하지만 EDR은 트랜스포머보다는 <아이언맨>의 슈트에 가깝다”고 비유했다.
트랜스포머에 등장하는 ‘옵티머스 프라임’ 등은 자의식이 있는 로봇이다. 별도의 입력 없이 스스로 생각하고, 이동하고, 싸운다. 반면 아이언맨의 슈트는 강화복의 일종이다. AI 자비스가 보조를 해주지만 슈트를 입고 싸우는 것은 ‘토니 스타크’와 같은 사람이다.
EDR 역시 마찬가지다. 가트너가 정의한 EDR은 ▲엔드포인트 단에서 지속적인 모니터링과 대응을 할 것 ▲침해사고가 발생시 이에 대한 조사 ▲엔트포인트에서의 보안 통제 ▲감염 전 상태로의 엔트포인트 치료 등 4개 기능을 제공하는 솔루션이다.
추 차장은 “EDR은 지속적인 모니터링이 전제되기 때문에, 위협의 잠복 기한을 최소화하는 것이 최대 목적”이라고 말했다. 사이버 침해사고의 경우 해커의 최초 침입에서부터 데이터 유출과 같은 실제 피해 발생까지 상당한 텀이 있고, 이에 대응하는 것도 다소 시간이 필요한데 EDR의 경우 그 대응력을 보다 강화하는 역할을 한다고 말했다.
EDR과 관련한 오해에 대해 피력하는 그는 2009년 7월 7일 발생한 ‘7.7 디도스 공격’, 2011년 3월 4일 발생한 ‘3.4 디도스 공격’을 언급했다.
그는 “당시 대규모 분산서비스거부(디도스, DDoS) 공격으로 큰 피해가 발생했고, 그 원인으로 ‘좀비PC’가 지목됐다. 해당 디도스 공격의 대응책으로 지능형지속위협(APT) 솔루션이 급부상했는데, 사실 APT는 좀비PC에 대응하는 그런 종류의 솔루션이 아니다. 잘못 와전된 결과인데, EDR도 일부 이런 측면이 있다”고 밝혔다.
추 차장은 EDR이 완벽한 만능열쇠가 아니라는 점을 수차례 강조했다. 기존의 보안 솔루션과 연계됨으로써 시너지가 발휘하는 것이지, 단독으로 모든 문제를 해결할 수는 없다는 것이 그의 설명이다.
그는 “EDR은 굉장히 쉬운 솔루션이다. 언제 어디서 문제가 생길지 모르니까 상시 모니터링을 할 수 있는 폐쇄회로(CC)TV를 설치한다고 생각하면 된다”면서도 “그런데 많은 기업들이 EDR을 도입하거나 도입을 검토한 뒤 어려움을 호소한다”고 전했다.
이와 같은 간극은 EDR이 가지는 개념이 아닌, 기능의 문제 때문이라는 것이 추 차장의 설명이다. 전통적인 백신 프로그램의 경우 단순하게 ‘악성이다’, ‘정상이다’라는 결과를 전해줬다면, EDR은 ‘어떤 파일을 만들었다’, ‘네트워크에 접속했다’, ‘레지스트리를 변경했다’ 등 기존에는 보이지 않던 이벤트까지 확인되면서 관리·운영의 부담이 커질 수밖에 없다는 주장이다.
추 차장은 “글로벌에서는 EDR이라는 개념이 등장했을 때, EDR을 운영하기 위해서는 이를 위한 전문 인력을 두라고 권고했다. 현실과는 맞지 않다”며 “이에 안랩은 EDR 솔루션과 함께 관리·탐지 및 대응(MDR) 서비스, 즉 전문 인력을 함께 배정한다”고 설명했다.
안랩은 MDR 서비스를 통해 EDR 운영부터 EDR과 기존 보안 솔루션과의 연동, 위협에 대한 건별 분석 보고서 등을 제공한다. EDR 운영에 어려움을 겪었던, 가려운 부분을 긁어주는 역할을 한다는 설명이다.
그는 “리오넬 메시가 정말 훌륭한 축구선수이지만, 이 선수로만 11명으로 팀을 꾸리면 과연 그 팀이 좋은 성적을 거둘까. 그 선수가 가장 어울리는 자리에 있을 때 최고의 결과를 만들 수 있으리라 생각한다. 안랩은 보안을 위해 EDR을 도입코자 하는 기업들이 보다 큰 효과를 누릴 수 있도록 지원한다”고 피력했다.