EDR 꼭 필요할까요? 엔드포인트 보안의 중요성

이번 시간에는 EDR(Endpoint Detection & Response)이 보안 분야에서 왜 필요하며 엔드포인트 보안 전략의 핵심으로 언급되고 있는지 자세하게 알아보는 시간을 갖도록 하겠습니다. 본문 내용은 실제 현업에서 제가 자료를 조사하고 실제 필자의 생각을 정리한 내용이니 같은 직종이 있는 분들께 조금이라도 도움이 되길 희망합니다.

 

보안 위협의 실태

 

기업정보 유출 과정 사례

 

최근 사이버 보안 위협은 PC와 스마트폰 등 엔드포인트 단말과 직접 연관되는 경우가 많습니다. 공격자는 어렵게 네트워크를 침입하기보다 표적 기업의 직원 PC를 타켓으로 공격 합니다. 노출된 개인정보와 SNS에 올라간 정보를 수집하여 표적 기업 정보를 수집합니다.

 

기업 정보 유출 Flow

 

수집된 정보 기반으로 스피어피싱 이메일 공격을 진행하며 표적이 이메일을 열어 악성코드가 엔드포인트에 설치되면 공격자는 이를 기점으로 기업 내부 네트워크로 파고들어 원하는 중요 데이터베이스(DB)를 훔쳐내거나 새로운 기능을 하는 악성코드를 설치합니다.

 

보안사고 현황

 

몇년 전 발생 되었던 대형 보안사고 들로, 에퀴팩스(Equifax), 우버(Uber), 버라이즌(Verizone) 등의 기업들이 대규모 개인정보 유출사고를 겪었습니다. 또한, 전 세계를 공포로 몰아넣은 워너크라이(WannaCry)와 페트야(Petya), 국내 웹호스팅 업체를 파산에 이르게 한 에레보스(Erebus) 등 랜섬웨어로 인한 피해도 속출한 사례를 볼수 있습니다.

 

이러한 공격의 시작점은 대부분 엔드포인트로, 악성코드를 활용해 진행되었는데요. 이는 최초의 바이러스로 불리는 ‘브레인(Brain)’의 등장 이후 지 난 30여 년 동안 지속된 패턴이며 변화가 있다면 탐지를 회피하는 기술이 진화했다는 것입니다. 이런 사례를 보면 엔드포인트에서 보안 위협을 통합적으로 관리하고 대응할 수 있는 전략과 솔루션이 꼭 필요하다는 것을 알수 있습니다.

 

EndPoint 보안 영역의 신기술(EDR)

 

기존 보안 솔루션 역할

 

 

기업들은 일반적으로 엔드포인트 영역에는 안티바이러스, 패치 관리, 매체 제어, NAC 등의 보안 제품을, 네트워크 영역에는 방화벽(Firewall), 침 입방지시스템(IPS), DDoS 방어시스템, 웹방화벽(WAF) 등을 도입해 운영하고 있습니다. 그럼에도 불구하고 여전히 악성코드에 감염되고 시스템 마비, 데이터 유출과 같은 피해가 발생하고 있습니다.

 

EDR(Endpoint Detection and response)의 역할

 

EDR 탐지 Flow

 

기업은 지금까지 도입한 보안 솔루션만으로 보안 위협을 방어하기에 충분하지 않다는 것을 이해하기 시작했습니다. 또, 신종 악성코드나 제로데이 취약점을 악용한 ‘알려지지 않은 위협’, 그리고 내재해 있으나 언제 발현될지 예측할 수 없는 ‘보이지 않는 위협’에 대응해야 한다는 것을 알고 있습니다. 기업은 이제 너무 많은 피해가 발생하기 전에 신속한 탐지와 대응을 할 수 있는 솔루션이 필요하다는 것을 인지하고 있다는 것입니다.

 

현시점 EDR 시장 동향

 

EndPoint 보안 영역의 변화

 

Endpoint 보안 추세

 

과거의 EndPoint 보안영역은 AV의 전유물이라 할 정도로 다른 대안이 없었지만 현재는 빅데이터 시스템의 발전과 머신러닝의 발달, 그리고 인공지능의 발달이 지금의 EDR 솔루션을 이끌어 냈다고 볼 수 있습니다. 자체 저장된 시그니처 및 패턴 정보에만 의존했던 기존 AV 기반에서 다양한 장치로부터 대량의 정보를 수집/가공/분석하여 EndPint 행위를 감시할 수 있는 솔루션이 대체되는 중입니다.

 

EDR 시장 규모 및 성장 전망

 

국내뿐만 아니라 세계적으로도 EDR에 대한 니즈와 관심이 높습니다. 글로벌 리서치 기관 가트너(Gartner)는 전 세계적으로 EDR 시장 규모가 2018년 3억 3천8백 달러에서 2025년 19억 달러로 연평균성장률(CAGR) 45.27% 증가할 것으로 예측했다. 또한 2026년까지 대기업의 80% 이상과 중견 기업의 절반 이하가 완전한 기능을 갖춘 EDR에 투자할 것이라고 전망했습니다.

 

반면 AV(안티 바이러스)시장의 성장은 둔화할 것이라는 전망인데요. 이는 앞으로의 EndPoint 보안 영역이 어떻게 변화할 것인가를 예측해 볼 수 있는 자료입니다.

 

EDR의 활용 방안과 필자의 생각 정리

 

모든 직원이 공통된 보안 의식으로 다양한 컴플라이언스를 준수하여 사전에 보안사고를 예방하는 것이 최선의 방법일 수 있지만, 현실적으로 매우 어려운 부분임이 분명합니다.

 

EDR 활용 방안

 

EDR이라는 솔루션이 EndPoint 영역에서 만능의 솔루션이라 할 수 없지만, 최근 발생되는 여러 보안사고와 시장 동향 및 지능화된 공격 기법등을 예측해 본다면, 현재 AV 제품에서 충족하지 못한 보안 영역의 새로운 해결책으로 기대해 볼 수 있을 것 같습니다.

 

 

SECaaS(서비스형 보안) 이란? 현재 시장은?

 

여러 EDR 제조사에서는 기존의 APT, SEIM, AV 등의 다양한 보안 제품과 융합 시 보다 큰 시너지를 기대할 수 있을 거라 제시하였습니다. 2025년 우리 회사의 보안 운영팀에서는 시장에 출시된 다양한 EDR 제품군을 여러 방면으로 검토하여 사용자 네트워크 환경의 기존 보안 솔루션과 가장 효과적으로 융합할 수 있는 제품을 검증해 보고 필요시 도입을 검토해 볼 수 있는 계기가 되었으면 합니다.