지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!
최근 해킹 그룹 랩서스는 국내 및 글로벌 대형 IT기업을 연달아 해킹했습니다. 랩서스 그룹에 당한 국내 모 대기업의 경우 아무리 좋은 기술도 소용없었다고 합니다. 계정정보를 탈취한 후 사내 네트워크에 들어와 정말 직원처럼 메신저로 활동하고 업무 협의도 했다고 합니다. 공격자의 목표가 바뀌었습니다. 공격자는 단순히 침입해서 정보를 파괴하고 가져가는 것이 아니라 들어와서 잠복해서 함께 사는 것이 목표가 되었습니다. 이러한 사이버 범죄의 고도화는 전통적인 보안 체계로는 한계가 있습니다.
지난 6월 미국 샌프란시스코에서 개최된 세계 최대 사이버보안 전시회 ‘RSAC 2022’의 슬로건은 ‘Transform’이었습니다. ‘탈바꿈하라’ ‘변화하라’라는 의미로 코로나 팬데믹과 디지털 트랜스포메이션시대 변화하지 않으면 살아남을 수 없다는 것입니다. 보안 분야에서 차세대 보안 모델로 제로트러스트, XDR이 주목받았습니다.
코로나 팬데믹 이후 가장 큰 변화는 원격(재택 & 거점사무실)과 클라우드(IaaS, PaSS & SasS)로 대표되는 업무 환경의 변화입니다. 변화된 업무 환경에서도 ‘보안’은 여전히 높은 수준으로 유지되어야 합니다. 분산 및 복잡해진 환경으로 공격표면(Attack Surface)은 확대되고, 관련 위협(VPN, Island Hopping 등)도 크게 증가했습니다. 보안 위협에 대한 대응뿐 아니라, 통합 관리 역시 매우 중요해지고 있습니다.
네트워크의 경우, 지금까지 우리는 신뢰(Trust)를 바탕으로 하는 경계선(Perimeter) 모델을 사용했습니다. 그러나 변화된 업무 환경에서 신뢰 기반의 경계선 보안 모델은 더 이상 효과적이지 않습니다.
[그림 1] 보안모델의 한계와 변화
새로운 보안 대응 전략으로 각광받는 제로 트러스트(Zero Trust)는 아무것도 신뢰하지 않는다는 가정에서 출발합니다. 적시(just in time)에 최소한의 권한(Just Enough Access)을 지속해서 제공하는 보안 활동입니다. 객체의 속성(Attribute)을 기반으로 통제 및 보호기능을 제공하는 데이터 중심 아키텍처입니다.
향상된 인증, 역할/속성 기반 통제 정책, 접근통제 및 암호화 등 코로나로 인한 디지털 트랜스포메이션 및 미국 보안행정명령(EO 14028)으로 시장의 주목을 받으며 급부상하고 있습니다.
제로 트러스트는 XDR, 클라우드와 함께 ‘RSAC 2022’ 전시회를 대표하는 키워드로 각인되었습니다. 시스코, 팔로알토 등 기존 보안 업체뿐 아니라 클라우드, 향상된 인증분야 새로운 보안 업체들이 대거 등장하여 다양한 기술과 제품을 선보였습니다.
[그림 2] 세계 최대 보안 전시회 'RSAC 2022'의 화두 '제로트러스트'
가트너 자료에 따르면, 전 세계 ZTNA(Zero Trust Network Access) 시장은 2020년 3억 6천1백만 시장 규모에서 연평균 35.5% 성장해 2025년에는 16억 7천4백만달러의 시장을 형성할 것으로 전망됐습니다.
코로나19 이후 원격 업무 증가 등 하이브리드 업무 환경, IT 자원의 클라우드 서비스로의 이전 가속화가 시장을 성장시키는 동인으로 분석했습니다. 특히, 네트워크 외부 접속자의 신원확인, 내부 인증 시스템과 커뮤니케이션이 가능한 클라우드 기반을 관리하는 ZTNA솔루션이 주목받을 것으로 평가했습니다.
[그림 3] 전 세계 ZTNA 시장 규모 및 전망
<자료 : 가트너, 하나금융투자 2022.05>
디지털 대 전환 시대를 맞아 원격 및 재택근무 확산 등 보안 환경 변화에 따른 대안과 인공지능(AI)과 결합해 지능화된 변종 사이버 공격에 대응하기 위해 최근 가장 주목 받는 솔루션이 EDR입니다. EDR은 보안 지능화 및 혁신 전략, 기존 안티바이러스 솔루션의 한계 극복, 다양한 정보 수집을 통한 가시성 확보, 이상행위 대응 및 확산 방지 등 보안의 새로운 패러다임 변화에 대응하는 솔루션입니다.
코로나 시대 백신을 맞아도 돌파 감염이 일어나는 것처럼 사이버 보안 세상에서도 신/변종 악성코드, 랜섬웨어 등 새로운 사이버 위협은 전통적인 안티바이러스 솔루션(백신)만으로 대응이 어렵습니다. 백신으로 탐지를 했어도 해당 파일이 언제부터 있었는지, 다른 PC에도 해당 파일이 있는지, 어떤 정보가 유출됐는지, 어떤 파일을 생성했는지 알 수 없습니다. EDR은 역학 조사관이 이동 경로를 파악하고 밀접 접촉자를 격리시키는 것처럼, PC의 모든 행위를 모니터링하고 이상 행위와 위협에 사전 대응합니다.
EDR은 기본적으로 탐지와 대응의 영역에 있습니다. EDR은 평판정보, 침해지표, 행위를 기반으로 하며 안티바이러스는 시그니처를 기반으로 합니다. 전문 EDR 벤더와 백신 기반 EDR 벤더의 사상적 차이는 있지만 샌드박스, 머신러닝, 인공지능 알고리즘이 결합되면서 중심 값으로 모여들고 있습니다.
EDR을 바라보는 시각은 다양합니다. 툴의 관점으로 넓은 탐지, 깊은 분석, 상세한 대응이 필요 한 고객이 있는 반면 솔루션 관점으로 월 점검 시 문제없이 특정 행위에 대한 분석 요약이나 결과 통보만 필요한 고객도 있습니다.
백신은 탐지의 결과만 보여 주는 반면, EDR은 탐지된 파일이 어디서 왔는지 어디와 통신을 했는지 각 흐름과 이벤트를 제공합니다. 백신과 EDR의 영역이 구분될 필요는 없지만, 통합이 아닌 상호 보완적인 것이 가장 이상적인 방어모델이라는 점에는 이견이 없을 것입니다.
EDR 솔루션의 최소한의 기술 요소는 ▷단말과 단말에서 발생하는 각종 행위 정보를 상시로 수집할 수 있는 체계 ▷의심스러운 행위를 정의하고 탐지할 수 있는 방법 ▷단말과 수집된 이벤트를 대상으로 효과적으로 조사 및 분석할 수 있는 기능입니다. 사용자 알림, 프로세스 종료, 파일 수집/삭제, 네트워크 격리 등의 위협 대응 기능이 필수입니다.
기존 안티바이러스가 시그니처를 기반으로 주로 알려진 위협에 대응하는 보안솔루션이라면 EDR은 전통적인 백신 같은 방어솔루션이 놓친 알려지지 않은 위협을 탐지하고 대응하기 위한 솔루션입니다. 안티바이러스가 제공하지 못하는 침해지표(IOC), 머신러닝, 행위탐지 등의 다양한 탐지기능을 통해 의심스러운 파일과 행위를 식별하여 분석 대응할 수 있습니다.
특히, 안티바이러스가 제공하지 못하는 가시성과 단말에 대한 각종 조사/대응 기능을 통해 고객이 좀 더 주도적으로 발생한 위협을 직접적으로 처리하고 발생 가능한 위협에 선제적으로 대응할 수 있는 솔루션이자 보안 툴입니다.
국내에 선제적으로 EDR을 도입한 산업별 대표 고객은 EDR을 툴의 관점으로 넓은 탐지, 깊은 분석, 상세한 대응을 절대적으로 요구하고 있습니다. 2019년 NH농협은행, 국세청, 신한금융지주 등이 EDR을 도입하며 시장이 본격적으로 개화되었습니다. 금융/ 공공에서 일반제조, 유통까지 산업별 대표기관의 관심이 고조되면서 시장 성장세를 밝혔습니다.
2020년에는 국내 대형은행 및 제조기업을 필두로 초기 시장이 형성되었습니다. 제조기업은 지능화된 위협에 대한 탐지 및 대응뿐 아니라 재택근무 보안 환경 강화 측면에서의 도입도 증가했습니다. 갑작스러운 코로나 팬더믹으로 시장 성장이 잠시 주춤했지만 코로나 이후 전 산업에 걸친 디지털 트랜스포메이션은 원격/재택근무를 촉발시켰으며 언택트 환경의 보안 강화 방안으로 EDR이 주목받았습니다.
2021년은 보안 관제 고도화에 따른 엔드포인트 관제 범위 확대, 제조업은 내부 인프라 환경 변화에 대응하기 위해 따라 EDR 도입이 증가했습니다. 재택근무의 보안 환경 강화의 대안으로도 EDR을 주목했습니다. 재택근무 사용자의 보안성 강화를 위한 조치로 현재까지 엔드포인트에 설치된 제품은 백신이 거의 유일합니다. 이상 행위 및 파일의 흐름을 알 수 있다는 점에서 실질적인 보안 강화를 위해 EDR 검토가 증가하고 있습니다.
2022년은 코로나 팬데믹 이후 EDR이 실질적으로 성장하는 원년이 될 전망입니다. 공공과 함께 큰 EDR 시장인 금융권은 지난 몇 년간 코로나 이후 투자축소, 마이데이터 사업 전개, 망분리 이슈 등으로 EDR 사업이 연기되었습니다. 하지만 2022년 상반기 국내 대형은행 및 가상 자산 플랫폼 기업이 EDR 도입을 추진하면서 시장을 밝히고 있습니다.
특히, 제1금융권인 대형 은행의 EDR 도입은 수평적으로 경쟁 관계 은행, 수직적으로는 증권, 보험 등 타 금융권에 미치는 영향이 지대하기 때문에 EDR 시장은 2022년 하반기부터 큰 폭의 성장을 기록할 것으로 전망됩니다.
여기에 정부, 중앙 부처를 중심의 EDR 도입이 지방자치단체로 확산이 되면서 EDR 시장 성장의 긍정적인 전망을 이어가는 중입니다.
시장의 폭발적인 성장에 따라 벤더의 시장진입도 활발해지고 글로벌을 중심으로 M&A도 활발하게 진행되고 있습니다. 2014년 EDR 솔루션이 대두됐을 때는 멀웨어 분석, 위협 인텔리전스 기술을 보유한 카본블랙, 섹두, 맨디언트, 사일런스 등 미국과 이스라엘 기업이 대부분이었습니다.
2020년에는 네트워크 벤더들이 EDR 초기 기업을 인수했습니다. 대형 기업들이 동시에 EDR 기업을 인수하는 일은 최초였습니다. 결국, EDR 시장이 전 세계적으로 큰 성장을 구가하고 차세대 성장 동력으로 삼는 것입니다. M&A를 통해 IBM, 팔로알토, 파이어아이, 시스코, 포티넷, 블랙베리 등이 EDR 솔루션을 신규로 획득하고 기능을 보강하게 되었습니다.
국내에서의 경쟁 구도는 글로벌 양상과는 조금 다릅니다. 국내 보안 시장은 세그멘트가 되어 있으며 그 안에 시장 지배자가 있습니다. 여기에 고객의 요구 수준과 기술지원 이슈 등으로 국내 보안 기업의 점유율이 높은 편입니다. 국내에서는 2017년 지니언스가 EDR을 최초로 개발한 이래 안랩, 이스트시큐리티 등이 시장에 진출했습니다. 글로벌 벤더들이 국내에 속속 진출하고 국내 보안 벤더들이 추가 진입 증가하면서 경쟁 구도 다각화에 따른 시장 확장이 이어지고 있습니다.
가트너는 엔드포인트 보안 시장은 2020년 100억 달러 규모에서 연평균 20.1% 성장해 2025년 264억 달러의 시장 규모를 형성할 것으로 예상했습니다. PC, 노트북, 테블릿, IoT 기기 등 다양한 디바이스의 증가, 하이브리드 업무 환경에서 엔드포인트에서 일어나는 활동에 대한 실시간 모니터링 수요가 빠르게 상승하고 있다고 전망했습니다.
[그림 4] 전 세계 엔드포인트 시장 규모 및 전망
<자료 : 가트너, 하나금융투자 2022.05>
XDR은 ‘단말(Endpoint)과 네트워크(Network)의 결합’으로부터 시작됩니다. 데이터의 수집과 분석 대상을 엔드포인트에서 클라우드, 네트워크까지 확장한 개념입니다. 위협을 탐지/대응하고 보안 계층 전반의 공격 경로에 대한 통합 뷰를 제공함으로써 통합형 보안 체계를 구축할 수 있는 차세대 보안 플랫폼입니다.
XDR은 다양한 연동을 통해 사고대응(Incident Response) 역량을 높이는 것이 목적입니다. 자사의 솔루션을 긴밀하게 연동하거나(Native XDR) 또는 서로 다른 이 기종 솔루션을 연동(Open XDR)하여 위협의 탐지, 대응, 복구 및 재발 방지 등 대응 역량을 높일 수 있습니다.
‘RSAC 2022’의 참여한 거의 모든 EDR과 NDR 솔루션, 그리고 SIEM과 SOAR까지 XDR로의 전환(Transform)에 대한 메시지를 피력했습니다. 주요 벤더들의 신속한 XDR로의 전환에는 거대 자본의 투자 및 인수합병(M&A) 등의 제도적 뒷받침이 존재합니다.
그러나 더욱 중요한 것은 ‘협업의 문화와 API(Application Programming Interface)’입니다. 침해사고 대응과 같은 공익의 목표 달성을 위해 업체 간의 협업이 자연스레 이루어지고 이를 위한 자발적 API 개발과 공개는 더 이상 그 누구도 사이버 위협에 자유로울 수 없고 혼자만으로 대응하기 어렵다는 것을 방증합니다.
[그림 5] EDR·MDR·XDR에 대한 이해