[정보보안] EDR 솔루션(Endpoint Detection & Response)

 

목차

 

 

 

1. EDR 솔루션?

• 엔드포인트에서 발생하는 보안 위협을 식별, 조사, 대응하는 기술
  • 엔드포인트 = 사용자의 컴퓨터, 모바일 장치 등
• 엔드 포인트의 행위와 이벤트들을 기록하고, 수집된 데이터와 다양한 기술을 활용해 공격을 탐지하고 대응한다
• 전통적인 안티바이러스 소프트웨어가 알려진 바이러스의 시그니처에 기반하여 위협을 찾아내는 데 집중하는 반면, EDR은 보다 복잡한 위협, 예를 들어 랜섬웨어, 제로데이 공격(아직 공개되지 않은 취약점을 이용한 공격)과 같은 고급 지속 위협(Advanced Persistent Threat, APT)을 탐지하고 대응하기 위해 설계되었다.
• EDR 솔루션은 기업 보안 전략에서 중요한 역할을 하며, 특히 원격 근무가 일반화되고 엔드포인트의 수가 급증하는 현대 업무 환경에서 중요성이 더욱 커지고 있다.

 

2. 솔루션의 주요 보안 대상

EDR 솔루션의 주요 대상은 운영체제가 설치된 엔드포인트 기기들이다. 즉, 개인 컴퓨터, 서버, 모바일 기기 등 네트워크에 연결된 모든 종류의 운영체제를 보호하는 것을 목표로 한다. 이는 악성코드, 랜섬웨어, 고급 지속적 위협(APT) 등 다양한 사이버 공격으로부터 운영체제와 그 위에서 실행되는 어플리케이션을 보호하는데 초점을 맞춘다.

 

DB(데이터베이스) 보안도 중요하지만, EDR 솔루션은 주로 운영체제와 그 운영체제 위에서 실행되는 프로세스나 어플리케이션의 활동을 모니터링하고 분석하여 보안 위협을 감지하고 대응하는데 집중한다. 물론, EDR 솔루션을 통한 보호 작업은 데이터베이스 서버와 같은 특정 엔드포인트에도 적용될 수 있으며, 이를 통해 운영체제 수준에서 발생할 수 있는 보안 위협으로부터 데이터베이스를 간접적으로 보호하는 효과를 얻을 수 있다.

 

 

3. 주 기능

• 보안사고 탐지
• 보안사고 통제
• 보안사고 조사
• 보안사고 치료

 

 

4. 동작 원리

1. 데이터 수집

• EDR 솔루션은 연결된 엔드포인트에서 다양한 종류의 데이터를 실시간으로 수집한다.
• 이 데이터에는 파일 활동, 프로세스 실행, 네트워크 통신, 로그인 시도, 시스템 변경 사항 등이 포함될 수 있다.
• 수집된 데이터는 분석을 위해 중앙 데이터베이스에 저장된다.

2. 위협 탐지

• 수집된 데이터는 EDR 시스템에 의해 지속적으로 분석된다.
• 이 과정에서, EDR은 사전에 정의된 위협 인디케이터(예: 알려진 악성코드의 행동 패턴), 비정상적인 행동(예: 평소와 다른 시간에 대량의 데이터가 외부로 전송되는 경우), 또는 기계 학습 알고리즘을 사용하여 의심스러운 활동을 탐지한다.

3. 경고 및 통보

• 의심스러운 활동이 탐지되면, EDR 시스템은 보안 담당자에게 경고를 보낸다.
• 이 경고에는 위협의 세부 정보, 영향을 받은 엔드포인트의 정보, 위협에 대한 초기 평가가 포함될 수 있다.
• 이를 통해 보안 팀은 빠르게 상황을 파악하고 조치를 취할 수 있다.

4. 조사 및 대응

• 보안 담당자는 EDR 시스템에서 제공하는 정보를 바탕으로 상세한 조사를 수행할 수 있다.
• 이 과정에서 특정 이벤트의 원인을 파악하고, 위협이 실제로 유효한지 평가한다.
• 필요한 경우, EDR 시스템은 악성 프로세스의 종료, 해당 엔드포인트의 네트워크 격리, 악성 파일의 삭제와 같은 자동화된 대응 조치를 실행할 수 있다.
• 또한, 사용자는 수동으로 추가 대응 조치를 취할 수도 있다.

5. 포렌식 분석

• 위협에 대응한 후, EDR 시스템은 공격에 대한 상세한 분석을 제공하여 사이버 공격의 전체 경로를 추적하고, 어떤 취약점이 이용되었는지, 어떤 데이터가 영향을 받았는지 등을 파악할 수 있다.
• 이 정보는 향후 비슷한 공격을 방지하기 위한 보안 조치를 강화하는 데 사용될 수 있다.

6. 지속적인 학습

• 많은 EDR 솔루션들은 위협 탐지 및 대응 과정에서 얻은 데이터를 기반으로 지속적으로 학습하고, 보안 정책을 자동으로 업데이트하여 미래의 위협에 대한 방어 능력을 향상시킨다.
• 이러한 방식으로 EDR 솔루션은 고도화되고 지능적인 사이버 위협으로부터 엔드포인트를 보호하는 중요한 역할을 한다.

 

 

5. EDR 솔루션의 공급자

EDR 솔루션을 제공하는 주체는 주로 보안 소프트웨어를 전문으로 개발하는 기업들이다. 이들 기업은 EDR 솔루션을 개발하여 기업이나 조직에 판매하며, 구매한 조직은 자신들의 네트워크 및 시스템 보안을 강화하기 위해 이 솔루션을 사용한다. 대표적인 EDR 솔루션 제공 업체로는 CrowdStrike, Symantec, McAfee, Kaspersky 등이 있다. 다음은 공급자 별 대표 솔루션

CrowdStrike Falcon

• 솔루션 이름: CrowdStrike Falcon
• 특징: 클라우드 기반의 EDR 솔루션으로, 실시간 위협 감지와 자동화된 위협 인텔리전스를 제공한다. AI와 머신 러닝을 활용한 고급 분석 기능으로 알려져 있으며, 사용자 친화적인 인터페이스와 간단한 설치 과정이 특징이다. 또한, 24/7 위협 헌팅, 모니터링, 대응 서비스를 제공하여 조직의 보안 운영을 지원한다.

Symantec Endpoint Security

• 솔루션 이름: Symantec Endpoint Security (현재는 Broadcom의 일부)
• 특징: 통합 엔드포인트 보안 솔루션으로, 공격 방지, 위협 탐지 및 대응, 보안 하이진과 같은 기능을 제공한다. 네트워크, 엔드포인트, 클라우드 간의 보안 간극을 해소하기 위해 설계되었다. Symantec의 글로벌 인텔리전스 네트워크를 활용하여 넓은 범위의 위협 데이터를 분석하고 대응한다.

McAfee Endpoint Security

• 솔루션 이름: McAfee Endpoint Security
• 특징: 통합된 엔드포인트 보호 플랫폼으로, 맬웨어 방지, 위협 방어, 웹 보안 기능을 제공한다. 중앙 관리 콘솔을 통해 정책 설정과 보고가 용이하며, 머신 러닝 기반의 분석으로 새롭고 변화하는 위협을 신속하게 탐지한다. 또한, EDR 기능을 포함하여 고급 위협에 대응할 수 있는 능력을 갖추고 있다.

Kaspersky Endpoint Security for Business

• 솔루션 이름: Kaspersky Endpoint Security for Business
• 특징: 다중 레이어 보안 기능을 제공하는 엔드포인트 보안 솔루션으로, 맬웨어 방지, 익스플로잇 방지, 행동 감지, 위협 조사 및 대응 기능을 포함한다. 특히, Kaspersky는 고급 위협과 랜섬웨어 방어에 강점을 보이며, 사용하기 쉬운 관리 콘솔을 통해 보안 정책을 효과적으로 관리할 수 있다.

이 네 회사의 EDR 솔루션은 각각의 기술적 특성과 방어 메커니즘을 바탕으로 다양한 조직의 보안 요구를 충족한다. 조직의 구체적인 보안 요구와 환경에 따라 적합한 EDR 솔루션을 선택하는 것이 중요하다.

 

참고) IBM 의 EDR 솔루션 가이드 문서

https://www.ibm.com/kr-ko/topics/edr

 

 

6. EDR 솔루션의 수요자

• 중대형 기업: 다양한 비즈니스 오퍼레이션과 민감한 데이터를 보유하여, 사이버 공격으로부터 이를 보호해야 한다.
• 정부 기관: 국가 안보, 시민의 개인 정보 보호 등을 위해 고급 사이버 보안 솔루션이 필요하다.
• 금융 기관: 은행, 보험사 등은 금융 거래와 고객 정보를 보호하기 위해 철저한 사이버 보안이 필수적이다.
• 의료 기관: 환자 정보의 보안을 유지하고 의료 서비스의 연속성을 보장하기 위해 EDR 솔루션을 필요로 한다.

일반인이 EDR 솔루션을 사용할 일은?

 

일반인은 EDR 솔루션을 직접 사용할 일이 거의 없다. EDR은 그 복잡성과 비용 때문에 기업이나 조직 단위에서 구매하고 관리하는 경우가 대부분이다. 대신, 일반인은 개인용 안티바이러스 프로그램이나 인터넷 보안 소프트웨어를 통해 사이버 보안을 관리한다. 이런 소프트웨어는 사용자 친화적이고, 일상적인 사이버 위협으로부터 충분한 보호를 제공한다.

 

결론적으로, EDR 솔루션은 고급 사이버 보안 기능을 필요로 하는 대규모 조직이나 기업이 주된 수요자이며, 일반인은 주로 개인용 보안 소프트웨어로 필요를 충족한다.