로그인 바로가기

중앙 내용으로 바로가기

한국디지털융합직업전문학원

본문내용

본문

정보보안&해커 뉴스
+ Home > 입학신청 > 정보보안&해커 뉴스
2018년 EDR 보안시장, 봄바람이 분다
  • 작성자
    황혜리
  • 등록일
    2018-01-26 17:50:07
    조회수
    1427

 

EDR 시장, 국내 태동기...가트너, 2020년까지 45.27% 고성장 전망
보안기업, 인증기술·행위기반·엔진성능·호환성 등 고려한 제품 출시 박차


매서운 칼바람이 불고 있는 건 날씨뿐만 아니다. 가상화폐 거래소 타깃 공격, 랜섬웨어, 피싱 등이 창궐하면서 보안위협도 혹한 속에 접어든 상태다. 그럼에도 봄을 준비하듯 보안 강화를 위한 움직임도 빨라지고 있다. 그 가운데서도 최근 주목받고 있는 EDR(Endpoint Detection Response) 솔루션 시장은 벌써부터 봄바람이 살랑이고 있다.

APT와 랜섬웨어 등 알려지지 않은 공격과 신·변종 공격에 엔드포인트 보안을 강화할 수 있는 측면에서 각광받고 있기 때문이다. 게다가 기존 백신이나 네트워크 APT 보안 툴로는 부족했던 기능이 더해지면서 국내에서도 관심 대상이다.
 

[자료=지니언스 제공]


EDR 분야는 2015년 국내에 들어왔으며, RSA 2016 컨퍼런스에서 소개되며 주목받기 시작했다. 미국의 2016년 EDR 시장은 6억 달러 이상으로 집계됐고, 글로벌 시장조사기관 가트너는 2015년부터 2020년까지 연평균복합성장률(CAGR)을 45.27%로 추산, 약 15억 달러 규모로 예상되고 있어 향후 성장에 대한 기대감도 큰 상태다.

그렇다면 국내 EDR 시장은 어떨까? 국내 EDR 시장은 아직 태동기라 APT 대응, 안티 멀웨어 시장을 통해 가늠해 볼 수 있다. 한국정보보호산업협회(이하 KISIA)에서 발간한 ‘2016 국내 정보보호산업 실태조사’에 따르면 2016년 APT 대응 시장은 약 406억원이며, 안티 멀웨어 시장은 약 1,351억원 규모로 추산되고 있다.

지난해 시장규모는 아직 집계되지 않은 상태라 지난 2016년 매출 기준을 바탕으로 할 경우 안티 멀웨어와 APT 대응 분야를 합쳐 1,800억원 대라고 추정할 수 있다. 결국 해당 시장을 두고 올해 EDR 솔루션들이 치열한 승부를 벌일 것으로 보인다.

EDR 시장, 국내 보안업계 본격 ‘시동’
이에 따라 보안기업에서도 저마다 장점을 갖춘 EDR 솔루션으로 중무장한 채 시장 선점에 나서고 있다. 현재 국내업체로는 SK인포섹, 지니언스, 엔피코어, 이노티움, 큐브피아, 하우리 등이 해외업체는 아카마이, 시만텍, 시스코 등이 시장에 뛰어든 상태다. 이외에도 안랩, 닉스테크, 세인트시큐리티 등이 EDR 술루션을 준비 중인 것으로 알려졌다.

우선 국내 최대 정보보호기업 SK인포섹은 EDR 솔루션으로 메모리 포렌식 기반의 DDNA 엔진을 이용한 ETP 솔루션(Countertack ETP)을 내놓았으며, 지니언스는 지난해 이미 EDR 제품으로 ‘지니안 인사이츠 E’를 선보였다.

‘지니안 인사이츠 E’는 에이전트를 통해 단말의 정보수집, 위협대응, 침해지표(IOC: Indicators of Compromise)를 통한 위협 탐지, 탐지된 위협에 대한 경고 알람 및 대응, 대시보드를 통한 보안상황 및 위협에 대한 가시성 제공, 엔드포인트 행위에 대한 분석 및 모니터링 등 EDR 관련 기능을 갖추고 있다.

또한, 엔피코어는 최근 엔드포인트용 보안 제품 4가지로 PC에서의 APT 공격을 방어하기 위한 좀비제로 EDR for APT 서버에서의 APT 공격을 방어하는 좀비제로 EDR for Server, PC에서 랜섬웨어를 방어하는 좀비제로 EDR for Ransomware, Security as a Service 클라우드 방식으로 랜섬웨어로부터 PC를 방어하는 좀비제로 SECaaS를 새롭게 출시했다.

이노티움의 경우 EDR 기반으로 실시간 소프트웨어 인증기술과 행위분석 기술을 개발해 실시간 암호화 보안백업 기술과 융합한 ‘랜섬크런처(Ransom Cruncher Algorithm)’ 플랫폼을 리자드 클라우드, 발자국, 리자드백업 제품에 탑재했다.

큐브피아는 엔드포인트로부터 각각의 파일, 프로세서, 네트워크에 대해 동시 모니터링하는 방식인 ‘권가 비헤이비어 모니터링 솔루션(KWON-GA Bahevior Monitoring Solution)’을 제공하고 있다.

이스트시큐리티는 알약 제품군을 강화한 EDR 솔루션을 제공한다. 백신인 알약4.0을 비롯한 알약 레거시프로텍터, 알약 패치관리(PMS), 알약 내PC지키미 등 엔드포인트 위협 요소의 탐지와 방어, 대응 단계 각각에 최적화된 솔루션을 구축했으며, ASM을 통한 통합관리로 엔드포인트 위협 전반의 가시성을 제공한다.

하우리는 사용자의 모니터와 행위를 차단하는 EDR 기반의 안티 랜섬웨어 솔루션인 ‘하우리 스마트센서(HAURI Smart Sensor)’를 내놓았다.

국제 CC인증 등 특장점 앞세워 해외진출 모색
이렇듯 보안업계는 저마다 주요 기술을 탑재해 올해 활발한 행보를 이어갈 것으로 전망된다. 이는 APT와 랜섬웨어 공격에 대응하기 위한 기존 솔루션에 진일보한 기술 개발과 기능 강화를 통해 EDR 분야 시장 경쟁에 적극 나서겠다는 전략으로 풀이된다.

SK인포섹은 EDR 기술 기반으로 향후 APT 공격에 대응하기 위한 솔루션 공급에 주력하는 한편, 보안관제 노하우를 바탕으로 네트워크에서 엔드포인트 솔루션에 대한 모니터링 중심으로 서비스를 강화할 방침이다.

엔피코어는 본격적인 APT 대응 시장 성장에 힘입어 실질적인 매출 성장이 40% 증가했다고 밝혔다. 이에 따라 제품의 경쟁력 강화를 위해 제품 기능과 기술개발에 박차를 가하겠다는 전략이다. 리얼머신 기반 행위분석 기술을 개발하고, EDR 제품군의 백업기능 고도화, Mac/Linux 지원, 머신러닝 기반의 분석기술 개발, 자체 가상화 플랫폼 개발 등에 주력할 예정이다. 또한, 국제 CC인증을 획득해 미국, 일본, 동남아, 중동 등 해외 시장에 적극 나서는 한편, 국내의 경우 공공기관에 주력한다는 방침이다.

지니언스는 올 상반기 내에 ‘지니안 인사이츠 E(Genian Insigths E)’에 머신러닝 기반 악성코드 탐지기술을 탑재할 예정이다. 다단계 탐지를 통해 EDR의 악성코드 탐지 기능을 확대해 최신 위협 대응을 위한 지능형 EDR 솔루션 도입을 원하는 고객을 적극 발굴하겠다는 전략이다.

이노티움은 총 62개 신종 랜섬웨어로 테스트 공격을 진행해 자사 4개 제품의 사전 차단율을 평가하면서 제품의 퀄리티를 높이는데 집중하고 있다. 또한, 2차 백업 부문 평가는 로컬 HDD와 외부저장소 양방향 저장 기능, SFTP 프로토콜 통신기능, 암호화 백업기능 등 필수 12개 항목과 32개 추가항목에 대해 평가하고 있다.

EDR 솔루션, 어떤 기능이 중요할까
이처럼 EDR 제품은 엔드포인트에서 발생하는 모든 위협에 대응 가능한 기대를 모으고 있는 만큼 기술력과 함께 다양한 기능이 무엇보다 중요하다. 그렇다면 이용자 측면에서 옥석 가리기를 위해 EDR 솔루션이 꼭 갖춰야 할 기능은 무엇일까?

안랩 관계자는 “엔드포인트 상의 커널 레벨까지 모니터링 해야 하기 때문에 엔드포인트의 안정성이 우선시 돼야 한다”며 “국내의 경우 다양한 엔드포인트 제품들이 존재하기 때문에 구축 시 이러한 환경을 이해하고 리스크를 최소화할 수 있는 제품이어야 한다”고 밝혔다.

SK인포섹 관계자는 “기존 백신이나 네트워크 APT 보안 툴로는 부족했던 엔드포인트 보안을 강화할 수 있어야 한다”며 “엔드포인트에 침투한 악성코드, 랜섬웨어의 침투경로와 각 경로마다의 이상행위 정보를 한 눈에 확인할 수 있도록 시각화해 종합적인 대응이 가능해야 한다”고 조언했다.

엔피코어는 EDR 솔루션이 갖춰야 할 기능으로 “EDR 설치 후 네트워크나 USB 등의 모든 경로를 통해 새로 유입되는 파일을 모두 탐지할 수 있어야 한다”며 “탐지 모드로 설정 시 실행 중인 프로세스를 업로드해 기존에 있던 파일까지도 탐지해야 한다”고 강조했다. 특히, 중앙분석장비와 가상화 환경 등을 피해 사용자 PC까지 침투하는 신·변종 랜섬웨어, SSL 등의 암호화 통신을 통해 공격하는 악성코드를 방어할 수 있는 정밀한 방어 능력을 꼽았다.

지니언스 관계자는 “변종이 많은 악성위협에 대해 즉각적 대응이 가능해야 하고, 관리자가 에이전트를 손쉽게 설치· 적용할 수 있어야 한다”며, “이와 함께 기존 보안제품과의 통합운용 방안 등 실질적이고 구체적인 기능이 제공돼야 한다”고 강조했다.

시만텍 관계자는 “다양한 탐지 기술(호스트 IPS, 메모리 취약점, 행위분석, 머신러닝, 평판 등)을 통한 이벤트를 생성해야 하며, 추가적인 분석 및 대응, 엔드포인트단 설치에 따른 제품 간 충돌로 인한 시스템 문제를 고려해 단일 에이전트에서 포괄적인 기능을 제공해야 한다”고 설명했다.

이노티움의 이형택 대표는 “신종 랜섬웨어와 같은 지능형 공격의 사전차단율과 2차 백업 평가의 중요성”을 강조하며, 로컬 HDD와 외부저장소 양방향 저장 기능, SFTP 프로토콜 통신기능, 암호화 백업기능의 필요성을 언급했다.

큐브피아는 엔드포인트로부터 모여진 파일, 프로세서, 네트워크 정보를 로컬 사용자와 원격 사용자로 구분해야 하며, 해커가 내부 침입에 성공했을 때 일거수 일투족을 실시간으로 탐지·추적할 수 있어야 한다고 말했다.

이스트시큐리티 김준섭 부사장은 “신·변종 랜섬웨어와 새로운 형태의 APT가 속출하고 있어 엔드포인트 보안이 그 어느 때보다 중요한 시대이다. 알려지지 않은 위협에도 확실하게 대응하기 위해 AI 기반의 인텔리전스 플랫폼이 연계된 형태로 EDR의 고도화가 진행될 것”이라고 언급했다.

시스코의 경우 EDR 분야를 비롯한 엔드포인트 보안에 있어 새로운 접근방식을 언급했다. 많은 기업이 지능형 멀웨어(Advanced Malware) 공격으로부터 모바일 사용자, 데스크톱, 랩톱, 서버를 보호하는데 어려움을 겪고 있다며 대부분 기업이 과거 솔루션에 의존해 현존하는 멀웨어를 방어하는 비효율적인 보호 전략에 치중하고 있다고 지적했다. 또한, 일부 기업은 새로운 위협 대응을 위해 엔드포인트단에 추가 제품을 설치함으로써 보안환경이 더욱 복잡해지고 있다고 우려했다. 특히, 기업 환경에서 위협 탐지는 평균 100일 이상 걸리기 때문에 엔드포인트 보안은 새로운 접근 방식이 필요하다고 조언했다.

다음에는 EDR 솔루션 분야에 대한 두 번째 시간으로 각각의 보안업체들이 야심차게 선보인 EDR 솔루션들의 특징과 기능을 비교해보는 시간을 갖도록 한다.

 

 

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

[김경애 기자(boan3@boannews.com)]

#EDR   #APT   #랜섬웨어   #SK인포섹   #지니언스   #엔피코어   

 

 

목록보기
답글달기수정하기
삭제하기

관련 쪽지글