EDR이란 무엇인가요?
엔드포인트 탐지 및 대응은 컴퓨터 워크스테이션 및 기타 엔드포인트에서 위협 관련 정보를 지속적으로 모니터링하는 도구 카테고리를 일컫습니다. EDR의 목표는 보안 침해를 실시간으로 식별하고 잠재적인 위협에 대한 신속한 대응을 개발하는 것입니다. 엔드포인트 위협 탐지 및 대응(ETDR)이라고도 하는 엔드포인트 탐지 및 대응은 여러 도구의 기능을 설명하는 용어로, 세부 사항은 구현 방식에 따라 달라질 수 있습니다.
스마트폰, 보안 카메라, 스마트 냉장고, 서버의 공통점은 무엇일까요? 이는 모두 사이버 범죄자가 네트워크, 데이터, 애플리케이션에 대한 액세스 권한을 얻는 데 사용할 수 있는 엔드포인트이며, 심각한 피해를 초래할 수 있다는 점입니다.
따라서 엔드포인트를 안전하게 유지하는 것이 그 어느 때보다 중요해진 시점입니다. 사이버 범죄는 계속해서 증가하고 있으며 보안 침해로 인한 결과인 법적 처벌, 평판 하락, 회사 운영, 재정 손실은 점점 더 심각해지고 있습니다. 특히 사물 인터넷과 더불어, 새로운 업무 방식 및 회사 시스템에 대한 연결 방식으로 인해 엔드포인트의 범위가 계속 추가로 확장되고 있으며, 엔드포인트 보안에 대한 중요한 접근 방식은 점점 더 비즈니스 필수 요소가 되고 있는 것이 명확합니다.
많은 조직에서 이는 곧 엔드포인트 탐지 및 대응(EDR)을 뜻하며, EDR이 사이버 보안 시장에서 주목을 받는 것도 당연합니다. Grand View Research에 따르면 2022년 기준으로 엔드포인트 탐지 및 대응 부문의 글로벌 시장 규모는 30억 달러 미만이었으나, 이러한 규모는 남은 10년간 22.3%의 연간 성장률을 보이며 성장할 것으로 예상됩니다.
이 블로그에서는 엔드포인트 탐지 및 대응(EDR)과 관련된 몇 가지 핵심 질문에 대해 답변해 드립니다. 보안에서 EDR이란 무엇인지, EDR은 어떻게 작동하는지, 현대의 비즈니스 환경에서 EDR이 중요한 이유는 무엇인지, 잠재적인 EDR 파트너에게서 무엇을 살펴보아야 하는지 알아보겠습니다.
사이버 보안에서 EDR이란 무엇인가요?
EDR이라는 용어는 2013년에 Gartner에서 처음으로 사용한 신조어이며, 그때부터 엔드포인트를 통한 위협 및 침입을 예방하여 데이터, 애플리케이션, 시스템을 안전하게 지키는 방법을 일컫는 데 주로 사용되었습니다.
EDR 시스템의 정확한 세부 사항 및 기능은 구현 방식에 따라 달라질 수 있습니다. EDR 구현에는 다음이 포함될 수 있습니다.
- 특정한 용도로 제작된 도구
- 광범위한 보안 모니터링 도구의 작은 구성 요소
- 서로 조합하여 사용하는 고정되지 않은 도구 모음
공격자는 공격 방법을 지속적으로 발전시키고 있으므로, 기존의 보호 시스템으로는 부족할 수 있습니다. 사이버 보안 전문가는 EDR을 일종의 고급 위협 차단 방식으로 간주합니다.
EDR은 어떻게 작동하나요?
데이터 센터의 온프레미스 서버에서 직원이 매일 사용하는 컴퓨터, 노트북, 스마트폰 등의 모든 엔드포인트를 EDR을 통해 보호할 수 있습니다. EDR은 다음과 같은 4단계 프로세스를 통해 이러한 모든 엔드포인트에 대한 실시간 가시성과 선제적인 탐지 및 대응을 제공합니다.
엔드포인트 데이터 수집 및 전송
데이터가 엔드포인트 단위에서 생성되고 일반적으로 통신, 프로세스 실행, 로그인으로 구성됩니다. 이러한 데이터는 익명 처리된 후 중앙 EDR 플랫폼으로 전송됩니다. 이는 일반적으로 클라우드에 있으나, 조직의 특정한 요구 사항에 따라 온프레미스 또는 하이브리드 클라우드에서도 작동합니다.
데이터 분석
올바른 엔드포인트 탐지 및 대응 도구는 머신 러닝을 사용하여 이러한 데이터를 분석하고, 이에 대한 행동 분석을 수행합니다. 이 과정을 통해 정기적인 활동의 기준이 설정되므로, 비교를 통해 비정상적인 활동을 쉽게 탐지하고 식별할 수 있습니다. 많은 고급 EDR 서비스에서는 도 사용하여 실제 사이버 공격 예시에 기반한 정보에 추가적인 컨텍스트를 더합니다.
의심스러운 활동에 대한 경보 전달
모든 의심스러운 활동은 보안 팀 및 그 밖의 관련된 이해 관계자에게 보고되며, 사전 지정된 트리거에 따라 자동 대응이 시작됩니다. 예를 들어, EDR 솔루션은 특정한 감염된 엔드포인트를 자동으로 격리하여 수동 조치를 취하기 전에 네트워크 전체에 맬웨어가 전파되는 걸 선제적으로 예방할 수 있습니다.
데이터 보존
경보를 통해 보안 팀은 대응, 복구, 치료 조치를 취할 수 있는 한편, EDR 솔루션은 위협 발견 프로세스에서 생성된 모든 데이터를 보관합니다. 나중에 이 데이터를 사용하여 현존하는 또는 장기적인 공격을 조사하는 과정에서 정보를 제공하고, 이전에는 탐지할 수 없었던 위협을 찾아낼 수 있습니다.
엔드포인트 탐지 및 대응이 현대의 비즈니스 환경에서 그렇게 중요한 이유는 무엇인가요?
엔드포인트는 사이버 공격이 가장 많이 발생하고 가장 취약한 벡터 중 하나로, 그렇기에 사이버 범죄자가 자주 노리는 표적입니다. 이러한 위험은 지난 몇 년간 계속 증가했으며, 원격 근무와 하이브리드 근무가 늘어나면서 회사 시스템 및 데이터에 액세스하는 인터넷 연결도 늘어나고, 장치 수도 점점 더 많아졌습니다. 이러한 엔드포인트는 사무실 내에서 작동하는 회사 장치와 비교했을 때 보호 수준이 서로 다른 경우가 많으므로, 공격이 성공할 위험이 매우 높습니다.
그와 동시에, 보호가 필요한 엔드포인트의 개수도 빠른 속도로 계속해서 증가하고 있습니다. Statista에 따르면, IoT에 연결된 전 세계 장치의 수는 2030년까지 290억 개 이상에 이를 것으로 예상되며 이는 2020년에 연결된 장치 개수의 세 배에 이르는 수치입니다. 이로 인해 잠재적인 공격자가 취약한 장치를 찾아낼 기회가 더 많아졌습니다. 네트워크의 규모 및 확장 여부와 관계없이, 고급 위협 차단 기능을 모든 엔드포인트에 확장하는 과정에서 EDR이 그토록 중요한 이유가 바로 이 때문입니다.
또한, 데이터 보안 침해를 해결하기 위한 치료는 까다롭고 많은 비용이 들 수 있습니다. 아마도 이런 점이 EDR이 필요한 가장 큰 이유이기도 할 것입니다. 조직에 EDR 솔루션이 구축되어 있지 않으면 어떤 조치를 취해야 할지 결정하는 데 몇 주를 허비할 수 있습니다. 게다가 컴퓨터를 다시 설치하는 것이 유일한 해결책일 때가 많으나, 이 방법은 업무에 상당한 지장을 초래하므로 생산성을 저해하고 금전적 손실이 발생할 수 있습니다.
기존의 안티 바이러스 소프트웨어와 EDR의 차이는 무엇인가요?
EDR과 안티 바이러스 소프트웨어의 주요 차이점은 각 시스템의 접근 방식에 있습니다. 안티 바이러스 솔루션은 기존에 알고 있는 위협 및 이상 징후에 한해서 조치를 취할 수 있으며, 데이터베이스 내에 있는 위협과 일치하는 위협을 찾아낸 이후에야 대응하고 보안 팀에 문제를 알릴 수 있습니다.
반면, 엔드포인트 탐지 및 대응 도구는 훨씬 더 선제적인 접근 방식을 취합니다. EDR 도구는 실행 중인 새로운 취약점 공격을 식별하고, 실제 사고가 일어난 동안 공격자가 수행하는 의심스러운 활동을 탐지합니다.
EDR과 XDR의 차이는 무엇인가요?
기존의 EDR 도구는 엔드포인트 데이터에만 중점을 두어 의심스러운 위협에 대한 가시성을 제공합니다. 이벤트 오버로드, 탐지 범위가 제한적인 도구, 통합 기능 결여, 기술 부족, 시간 부족 같은 보안 팀의 문제가 계속해서 심화될수록 EDR 솔루션의 문제도 커집니다.
반면, 확장형 탐지 및 대응(XDR)은 엔드포인트 위협 탐지 및 대응에 대한 최신 접근 방식입니다. 'X'는 '확장형(Extended)'을 뜻하며 모든 데이터 소스(예: 네트워크, 클라우드, 제3자, 엔드포인트 데이터)를 나타냅니다. 이는 격리된 사일로에서 위협을 조사하는 것은 한계가 있다는 점을 인지한 것입니다. XDR 시스템은 분석, 휴리스틱, 자동화를 함께 사용하여 이러한 소스에서 인사이트를 생성하므로, 사일로 보안 도구와 비교했을 때 보안이 더욱 강화됩니다. 결과적으로 보안 운영 전체의 조사가 간소화되므로 위협을 발견하고, 조사하고, 대응하는 데 걸리는 시간이 단축됩니다.
엔드포인트 탐지 및 대응 도구에서 무엇을 살펴보아야 하나요?
EDR 기능은 공급업체마다 다릅니다. 따라서 귀사에 알맞은 EDR 솔루션을 선택하려면, 우선 추천받은 시스템의 기능을 조사하고 기존의 전체적인 보안 기능과 얼마나 잘 통합할 수 있는지 알아보는 것이 중요합니다.
이상적인 EDR 솔루션은 필요한 노력 및 투자를 최소화하는 동시에 보호 기능을 극대화할 수 있어야 합니다. 많은 시간을 허비하지 않으면서, 보안 팀을 지원하고 가치를 더할 수 있는 솔루션을 찾아야 합니다. 다음과 같은 6가지 주요 속성을 살펴보는 것이 좋습니다.
1. 엔드포인트 가시성
모든 엔드포인트 전체에 대한 가시성이 제공되면 잠재적인 위협을 실시간으로 확인할 수 있으므로, 위협을 즉시 차단할 수 있습니다.
2. 위협 데이터베이스
EDR 솔루션을 효과적으로 사용하려면 엔드포인트에서 상당한 양의 데이터를 수집한 후, 컨텍스트와 함께 데이터를 강화하여 분석을 통해 공격의 징후를 식별할 수 있어야 합니다.
3. 행동 차단
EDR은 공격 지표(IOA)를 찾는 행동적인 접근 방식이 포함되며, 보안 침해가 발생하기 전에 관련 이해 관계자에게 의심스러운 활동에 대해 알리는 역할을 합니다.
4. 인사이트 및 인텔리전스
위협 인텔리전스를 통합하는 EDR 솔루션은 의심스러운 공격자에 대한 정보 및 공격에 대한 기타 세부 정보 같은 컨텍스트를 제공할 수 있습니다.
5. 신속한 대응
사고에 대한 신속한 대응을 촉진하는 EDR은 공격이 보안 침해로 발전하기 전에 이를 예방할 수 있으므로, 조직이 정상적으로 운영을 지속할 수 있도록 지원합니다.
6. 클라우드 기반 솔루션
클라우드 기반의 엔드포인트 탐지 및 대응 솔루션은 엔드포인트에 영향을 미치지 않는 동시에 검색, 분석, 조사 기능을 정확하게 실시간으로 계속 수행할 수 있도록 합니다. Kaspersky Next EDR Optimum 같은 EDR 솔루션은 복잡한 타겟형 위협으로부터 비즈니스 중단을 예방하고, 네트워크 전체에 대한 포괄적인 가시성을 확보하고, 단일한 클라우드 기반 관리 플랫폼에서 보안을 관리하는 데 적합한 제품입니다.
연관 제품:
