지속적으로 진화하는 사이버 공격이 대기업·중소기업 규모에 상관없이 확대되고 있다. 게다가 기업에서는 PC 외에도 노트북이나 스마트폰, 태플릿 같은 모바일 기기 이용이 폭증하고 있다.

이에 전문가들은 보안이 취약한 엔드포인트를 공격 거점으로 노리는 사이버 위협 급증을 우려하고 있다. 지능형 공격(APT), 랜섬웨어, 개인 및 금융 정보탈취 등 대규모 보안 사고가 대부분 엔드포인트에서 비롯됐다. 상황이 이렇다 보니 사이버 공격 최후 방어와 대응에 엔드포인트 보안 솔루션 필요성이 높아지고 있다.

IDC에 따르면 지난해 국내 IT 보안 제품 시장은 전년대비 3.3% 증가한 6582억원 규모였다. 이중 APT 대응 엔드포인트 솔루션과 랜섬웨어 공격 증가에 따른 메시징 보안 솔루션 부문이 상대적으로 높은 성장세를 보였다.

이에 따라 최근 소포스, 시만텍, 트렌드마이크로, 파이어아이, 안랩, 지니언스, SGA솔루션즈 등 국내외 보안 기업은 다양한 엔드포인트 보안솔루션을 선보이고 있다. 기업 간 경쟁은 치열해졌으나 보안 담당자들은 기업에 맞는 제품 선택의 길이 넓어졌다.

◇엔드포인트 보안 솔루션이 갖춰야 할 조건

기업 보안 담당자들은 엔드포인트 보안솔루션이 갖춰야 할 주요 기능으로, 알려지지 않은 랜섬웨어와 악성코드 사전대응을 최우선 순위로 꼽았다. '엔드포인트 위협 탐지 및 대응(EDR)' 솔루션이 주목 받는 이유다. 가트너에 따르면 EDR 시장은 2015년에서 2020년 연평균복합성장률(CAGR)이 45.27%로 전망된다.

EDR는 인텔리전스, 행동 분석, 자동화를 특징으로 한다. 인텔리전스는 특정 위협이 무엇인지, 언제, 어디서, 어떻게 발생했는지 파악한다. 행동분석은 실제 위협을 오탐과 구분하고 내부 및 정교한 공격을 식별한다. 자동화는 보안 상태의 가시성과 함께 낮은 수준 위협은 신속히 제거하고 높은 수준을 집중 관리한다. 여기에 최근에는 인공지능을 포함한 머신러닝 기술을 적용해 알려지지 않은 수많은 악성코드 대응과 프로그램 경량화, 기능 통합화가 이뤄지고 있다. 이런 다양한 기능이 결합돼 진화하는 위협을 빠르게 사전 차단하는 EDR 보안 솔루션은 내년에 크게 성장할 것으로 전망된다.

전문가들은 많은 기업이 다양한 IT 환경을 갖추고 있어 새로운 엔드포인트 보안 솔루션이 기존 환경의 가용성을 해치지 않는 높은 시스템 가용 운영성과 이미 존재하는 다른 보안 시스템과의 연동으로 내부 위협을 방어해야 한다고 조언했다.

◇엔드포인트 보안솔루션 '춘추전국'

△소포스 - 소수기술, 동작 식별해 감염 차단
엔드투엔드 보안 솔루션을 표방하는 소포스는 엔드포인트 보안 솔루션에 엔드포인트 프로텍션(Endpoint Protection)'과 '인터셉트 X(Intercept X)'를 포진했다. 엔드포인트 프로텍션은 표적 공격과 같은 멀웨어 및 복잡한 위협으로부터 윈도우·맥·리눅스 시스템을 보호한다. 거의 모든 공격에 사용되는 소수의 기술과 동작을 식별하고 방지해 악성 코드 감염을 차단한다. 악의적인 트래픽 탐지는 '소포스랩(SophosLabs)'의 실시간 위협 정보와 통합해 위협을 예방·감지·치료한다.

'소포스 인터셉트 X'는 취약점 공격 차단, 랜섬웨어 차단, 근본 원인 분석이 통합됐다. 취약점을 이용한 악성코드 유포행위 사전 차단(Anti Exploit) 기능과 출처 원인 분석(Root Cause Analysis), 암호화 방지(CryptoGuard), 악성코드 삭제(Clean Up) 기능이 탑재됐다.

특히 백신의 시그니처 방식이 아닌 행위 기반 방식으로 변종이나 제로데이 공격을 사전에 탐지, 차단한다. 근본 원인 분석 기능은 악성코드 탐지 시점까지 발생한 모든 이벤트를 보여준다. 악성코드가 어떤 파일이나 프로세스, 레지스트리 키에 영향을 미쳤는지 파악하고 시스템 클린 기능으로 원상복구할 수 있다.

△시만텍 - 환경 최적화로 비용절감, 보안 효율 향상
다양한 보안 솔루션 라인업이 구축된 시만텍은 통합 엔드포인트 보안 솔루션으로 '시만텍 엔드포인트 시큐리티(Symantec Endpoint Security)'를 내놨다. 시만텍 엔드포인트 프로텍션(Symantec Endpoint Protection, 이하 SEP) 14.1, ATP(Advanced Threat Protection) 3.0, 시만텍 EDR 클라우드, SEP 모바일 등이 통합돼 온프레미스, 클라우드 및 모바일 등 다양한 환경을 지원한다. 엔드포인트 보안 제품 SEP 플랫폼을 기반으로 최신 위협 환경에 효과적으로 대응하고 클라우드 보안에서 환경 간소화·최적화, 비용 절감·보안 효율을 높였다.

특히 단일 에이전트 상에서 디셉션(Deception) 기술, 엔드포인트 탐지 및 대응(EDR), 고급 머신러닝 기반의 집중 보호 기능, 하드닝(Hardening), 모바일 위협 방어 기능을 제공한다.

시만텍 엔드포인트 시큐리티의 단일 에이전트 통합 기능은 엔드포인트 전반적으로 보안 효율성과 비용 절감뿐만 아니라 지능형 지속위협(APT), 악성코드 및 랜섬웨어 대응효과도 높다.

△트렌드마이크로 - 실시간 행위 분석, 변종 공격 막아
트렌드마이크로의 29년 악성코드 대응 기술을 녹인 '오피스스캔 XGEN(OfficeScan XGen)'은 지능적인 신·변종 랜섬웨어 방어를 위해 실시간 행위분석 기능을 탑재했다. 악성코드 대응기술과 인공지능 머신러닝 기술을 접목해 오탐을 최소화했다. 클라우드 기반 SPN(Smart Protection Network) 서비스에서 제공하는 사이버 위협 인텔리전스(Cyber Threat Intelligence) 서비스는 트렌드마이크로 엔드포인트 보안솔루션과 유기적으로 결합해 악성코드와 엔드포인트 위협을 방어한다.

트렌드마이크로 네트워크 APT솔루션, 이메일 APT 솔루션과 SO(Suspicious Object) 연계로 CTD(Connected Threat Defense)를 구성하며 악성코드 시그니처 업데이트 없이 자체적으로 위협에 대응한다.

내년 랜섬웨어 대응, 머신러닝, 위협 인텔리전스 기능을 기반으로 국내 시장을 적극 확대할 계획이다.

△파이어아이 - 연 20만 시간 대규모 공격 수집
APT 대응 솔루션의 강자 파이어아이는 '엔드포인트 4.0'에 알려진 위협을 신속히 제어하는 안티바이러스 기능, 사이버 공격 최전방에 있는 파이어아이 인텔리전스의 실제 위협 정보에 대한 지속적이고 신속한 업데이트 기능, 행위 기반 익스플로잇 분석 엔진으로 알려지지 않은 지능형 위협 탐지 및 차단 기능, 보안 침해지표(IOC) 룰과 머신 러닝 기술을 활용한 위협 대응 및 세부 공격에 대한 탐지 보완 기능을 탑재했다.

전 세계 대규모 침해 공격에 대해 연간 20만시간 이상 조사해 수집한 인텔리전스를 파이어아이의 엔드포인트 보안 침해 지표(IOC)로 받아볼 수 있다.

내년에는 파이어아이 힐릭스(FireEye Helix)를 출시할 계획이다. 힐릭스는 클라우드 플랫폼과 빅데이터 및 머신러닝을 기반으로 알려지지 않은 위협을 탐지한다. 지리적, 공간적 제약을 받지 않고 파이어아이의 모든 인텔리전스가 연동된다. 자동화 기능 및 빅데이터, 머신러닝을 기본 탑재해 위협에 대한 정보를 모두 취합한다. 알려지지 않은 처음 보는 위협도 탐지 가능하고 자동으로 대응까지 할 수 있다.

△안랩 - 대응 필요한 데이터만 뽑아 분석
국산 보안솔루션 주자 안랩은 시그니처와 행위 기반 탐지, 평판 기반 탐지의 엔드포인트 보안 솔루션 V3, 엔드포인트 공격 최소화를 위한 패치관리 솔루션(AhnLab Patch Management), 취약점관리 및 조치 솔루션(AhnLab 내PC지키미), 개인정보보호관리 솔루션(AhnLab Privacy Management Suite) 등 다양한 엔드포인트 보안 솔루션들이 단일 매니지먼트로 유기적으로 통합 관리되고 있다.

내년 4월 지능형 위협 대응 솔루션(AhnLab MDS)과 EDR(Endpoint Detection and Response), 머신러닝 기술 등을 통합한 차세대 엔드포인트 보안 플랫폼(Next Gen EPP)을 선보일 예정이다. 이 솔루션은 엔드포인트 환경에서 발생할 수 있는 여러 보안 기능들에 대한 상관관계를 분석하고 추가적인 에이전트 설치 없이 침해사고에서 대응이 필요한 데이터만 뽑아내 분석하는 기능도 제공될 예정이다.

안랩 프로페셔널 서비스는 보안 솔루션 최적화 서비스, 의심 시스템 진단 서비스, 악성코드 전문가 분석 서비스, A-FIRST 포렌식 서비스 등으로 구성됐다. 고객 솔루션의 최적화 및 부가서비스를 활용한 고도화와 엔드포인트 공격 표면의 최소화(Endpoint Hardening) 및 위협 사전 인지 및 예방 서비스를 제공한다.

△지니언스 - 최신 침해 지표로 위협 즉각 조치
국내 NAC 강자에서 글로벌 EDR 시장에 진출한 지니언스는 '지니안 인사이츠 E'를 출시했다. EDR분야 엔드포인트 지능형 위협대응 솔루션으로 랜섬웨어 등 악성코드로 인해 엔드포인트에서 발생한 보안위협을 신속하게 탐지하고 대응한다. 발견된 위협의 실행단계에서 최신 침해지표를 활용해 즉각적으로 조치한다.

탐지된 위협의 상세정보 제공을 위해 바이러스 토탈, 시큐디움 인텔리전스 등 CTI(Cyber Threat Intelligence:사이버 위협 인텔리전스) 서비스와 연동했다. 내년 초 알려지지 않은 위협 대응을 위해 머신러닝 기능을 탑재할 예정이다. 자사 NAC 솔루션 사용 고객사는 간단한 플러그인 추가를 통해 별도의 에이전트 설치 없이도 쉬운 EDR 기능 활용이 가능하다.

'지니안 인사이츠 E'는 내년에 백신과 네트워크 기반 APT 솔루션을 도입한 고객사를 대상으로 EDR 솔루션 교육을 실시해 국내 기업과 기관을 공략할 계획이다.

△SGA솔루션즈 - 빅데이터 기반 AI로 위협 탐지
국내 공공 분야 서버 및 통합 보안을 리드하고 있는 SGA솔루션즈는 통합안티바이러스 백신 바이러스 체이서, 윈도우PC 및 서버의 보안 패치를 위한 패치체이서, 망분리 보얀을 위한 자료유출방지 솔루션 다락(DALOC), 제어망 시스템에 최적화된 화이트 리스트 기반 솔루션 화이트락 등의 엔드포인트 보안 솔루션을 공급하고 있다.

최근 차세대 공격위협인 APT 공격에 대응하는 센트리(Sentry)APT를 출시했다. '센트리 APT'는 윈도 및 맥 운용체계만 지원하는 엔드포인트(PC)와 윈도, 유닉스, 리눅스 운영체제 등 서버까지 APT 공격을 탐지한다. 자체 보안관제 제품에 빅데이터 기반 AI 기술을 적용해 진화하는 보안 위협을 탐지하고 분석 및 대응해 관제 시스템도 대체 가능하다. 비정상 행위는 위협 프로파일링(Threat Profiling)을 통해 탐지-대응-분석의 3단계 위협 대응 및 처리해 알려진 보안 위협뿐만 아니라 잠재적인 보안 위협까지 탐지〃제거한다.

SGA솔루션즈는 '파이어아이 엔드포인트 솔루션(HX)' 지원 파트너십을 맺고 '센트리 APT'를 파이어아이 APT 제품군과 협업 모델로 시장을 공동 공략할 방침이다.

이향선 기자 hslee@nextdaily.co.kr

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지