기업 or 기관 대부분의 PC에 설치되어 있는
V3, 알약, 하우리, 카스퍼스키, ESET 등은
악성코드나 사이버 공격으로부터 보호하기 위한 안티바러스 소프트웨어 EPP(Endpoint Protection Platform)에 속합니다.
이러한 백신 소프트웨어는 대부분의 알려진 위협 약 90%에 해당하는
일반적인 악성코드와 공격에 대해서는 효과적으로 방어가 가능하지만,
나머지 10%에 해당하는 새롭고 진화된 위협을 막아내기는 어렵습니다.
10%에 해당하는 공격
제로데이 공격
-아직 보안패치가 발표되지 않은 소프트웨어 취약점을 이용하는 공격
파일리스 악성코드
-파일 형태로 존재하지 않고 메모리 상에서 직접 실행되어
안티 바이러스 소프트웨어의 시그니처(이미 알려진) 기반 탐지를 회피하는 공격
EPP의 엔드포인트 방어에 대한 한계로 인해
최근에는 EPP 단독으로 운영하기 보다는 EDR(Endpoint Detection and Response)과 같은 솔루션과 통합해서
보안을 강화하고 있습니다.
EPP는 위협이 들어오기 전에 예방하는 역할을 하며,
EDR은 위협이 침투한 후 행위를 탐지하고 대응 분석하는 역할을 합니다.
EDR은 주요 기능은 다음과 같습니다.
실시간 위협 탐지 및 모니터링
PC, 서버 등 모든 엔드포인트에서 발생하는 파일 실행, 네트워크 연결,
프로세스 생성, 시스템 변경 등 모든 활동을 실시간으로 모니터링합니다.
이 데이터는 중앙 서버로 전송되어 AI, 머신러닝, 행위분석기술을 통해
정상적인 활동과 비정상적인 행위를 식별합니다.
이를 통해 제로데이 공격이나 파일리스 공격과 같이 시그니처 기반 백신으로
탐지하기 어려운 공격을 찾아낼수 있습니다.
자동화된 대응 및 격리
위협이 탐지되면 미리 설정된 규칙에 따라 자동으로 대응 조치를 취합니다.
예를들어, 악성코드가 발견되면 해당 파일의 실행을 즉시 차단하고,
감염된 엔드포인트를 네트워크에서 격리하여 위협의 확산을 방지합니다.
IT 보안 담당자가 신속하게 조치를 취하고 피해를 최소화하는데 핵심적인 역할을 합니다.
포렌식 및 사고 분석
보안 사고가 발생한 후 수집된 데이터를 바탕으로
위협의 유입 경로, 공격 과정, 영향 범위 등을 상세하게 분석할수 있습니다.
이를 통해 공격의 전체적인 흐름을 파악하고,
재발 방지를 위한 근본적인 대책을 마련할수 있습니다.
최근 몇년간 랜섬웨어와 APT(지능형 지속 위협) 공격 등
고도화된 위협이 증가하면서 기업과 기관들의 EDR 도입이 급증하고 있습니다.
EDR 솔루션은 단순히 악성코드 예방을 넘어 보안 체계를 한단계 업그레이드해서
지능적인 사이버 공격으로부터 비즈니스를 보호하는데 필수 솔루션입니다.
