시스코 배민 상무 “EDR은 백신이 탐지 못하는 언노운 대응”

입력 : 2018-03-08 11:03

시스코 배민 상무가 말하는 시스코 EDR의 모든 것
시스코 ‘AMP4EP’, 알려지지 않은 위협을 골든타임 내 탐지·대응토록 지원

[보안뉴스 오다인 기자] 알려지지 않은 것(Unknown·언노운)은 공포다. 내·외부의 ‘언노운’을 파악하고 대응하는 능력은 기업의 수준이다. 그러나 사이버 위협 지형이 다변화하는 현재, 모든 기업이 자체적인 능력으로 언노운에 대응하기는 어렵다. 언노운은 보안 산업이 존재하는 이유다.


“보안 회사의 싸움은 모두 언노운에 대한 싸움이다.” 시스코 시스템즈 코리아 배민 상무의 말이다. 시스코 시스템즈 코리아는 세계적인 IT 전문기업 시스코(Cisco)의 한국지사다. 배민 상무는 지난해 5월 시스코 시스템즈 코리아의 보안 솔루션 사업 총괄 상무로 합류한 뒤, 국내 기업들의 보안을 강화할 수 있는 방안을 고민하고 있다. 그를 만나 언노운 대응 기술로 최근 주목받고 있는 EDR(Endpoint Detection Response)에 대해 들었다.

알려지지 않은 보안위협 ‘언노운’, 최적의 대응이 바로 EDR
배민 상무는 “최초 드롭(drop)에 대한 가시성을 확보하는 것이 EDR”이라고 풀이했다. 엔드포인트 기기에 알려지지 않은 위협 요소가 투하됐을 때 이를 볼 수 있어야 하는데, 그 실현 기술이 EDR이라는 것이다. 배 상무는 “과거엔 백신만 깔아두면 괜찮다고 생각했지만 이제는 백신만으론 역부족”이라고 말했다.

한 마디로, 백신이 탐지하지 못하는 언노운에 대한 대응이 EDR이라는 말. IT 시장조사 전문기업 가트너(Gartner)는 작년 11월 발표한 ‘EDR 솔루션 시장 가이드’에서 EDR 시장이 급속하게 성장하고 있으며, 내부자 위협과 계정 탈취 공격 등 계속해서 복잡해지는 위협 환경에 적용할 수 있는 솔루션이 EDR이라고 서술했다.

가트너에 따르면 2016년 EDR 시장 규모는 6억 4,000만 달러(약 6,900억 원)였으며, 2017년에도 두 자릿수 성장을 거뒀다. 가트너는 EDR 시장 총 수익의 80% 이상을 EDR 업체 상위 10곳이 가져갔는데, 작년 11월 분석 당시 EDR 시장의 침투율이 15%였다고 밝혔다. EDR 수요는 계속해서 높아질 것이나 그만큼 매우 경쟁적인 틈새시장이 될 것이라는 예측이다. 시스코는 당시 가트너가 대표적인 EDR 제공업체로 명시한 기업 중 한 곳으로 이름을 올렸다.

시스코 보안의 원천, 시스코 탈로스
그렇다면 시스코의 EDR 솔루션은 어떻게 다를까? 배민 상무는 “어제의 공격이 오늘의 공격과 다르다”면서 “위협 정보를 얼마나 갖고 있느냐가 기업의 경쟁력”이라고 말했다. 시스코가 갖고 있는 위협 정보의 절대적인 양과 분석 능력이 타사에 비해 압도적이라는 자부심이 묻어났다.

시스코에는 ‘탈로스(Talos)’라는 독보적인 보안 인텔리전스 및 위협 연구 조직이 있다. 시스코 탈로스에는 전 세계 약 300명의 보안 전문가들이 실시간으로 위협을 파악하고 대응하고 있다. 배 상무는 “시스코 탈로스에서 하루에 대응하는 위협의 수가 구글 하루 검색량(40억 건)의 4배에 달하는 190억 건”이라고 말했다.

시스코가 이번 평창 동계올림픽을 겨냥한 사이버 공격이 외부로 드러나기 전에 탐지하고 제품에 반영한 사실, 작년 워너크라이 랜섬웨어 발발 전 마이크로소프트에서 패치가 발행된 즉시 제품에 반영한 사실, 작년 해킹그룹 셰도우 브로커스(Shadow Brokers)가 미국 국가안보국(NSA)에서 빼돌린 익스플로잇 킷을 공개한 당시 대응 솔루션을 제품에 즉각 반영한 사실 등은 모두 탈로스라는 굴지의 인텔리전스 그룹이 있어서 가능했다는 것이 배 상무의 설명이다.

배 상무는 “시스코 보안의 원천은 탈로스에서 나온다”면서 “EDR 솔루션도 결국 위협 정보에 대한 데이터베이스가 노하우로 작용하는 만큼 시스코 EDR 솔루션의 경쟁력이 크다”고 강조했다. 탈로스는 그리스 신화에서 크레타섬을 지키는 청동 거인의 이름이기도 하다.

탈로스가 탄탄하게 받쳐주는 시스코의 EDR, ‘AMP4EP’
시스코는 ‘AMP4EP(Advanced Malware Protection for End Point)’라는 EDR 솔루션을 갖고 있다. AMP4EP는 위협을 100% 차단하는 것은 불가능하다는 전제 하에, 알려지지 않은 위협들을 ‘골든타임(Golden Time)’ 내에 탐지하고 대응할 수 있도록 설계된 EDR 솔루션이다.

AMP4EP는 서비스형 소프트웨어(SaaS)로 제공되면서, △윈도우즈 △맥 △리눅스 △안드로이드 △iOS 등 폭넓은 운영체제(OS) 스팬을 갖고 있다. 위협 유입 시 해당 이벤트에 대한 심층적인 가시성을 제공하고 엔드포인트에서 위협을 억제 및 격리시킨다.

시스코는 AMP4EP를 “파일 평판에 관계없이 지속적으로 모든 파일을 모니터링·기록·분석하면서 내부로 유입된 위협을 탐지하는 솔루션”이라고 정의하면서, 위협 탐지에 소요되는 시간을 크게 줄여준다고 강조한다. ‘2017년 시스코 연례 중간 보안 보고서’에 따르면, 위협 탐지에 소요되는 시간은 업계 평균 100일이나 시스코의 AMP4EP를 이용할 경우 3.5시간 이하까지 줄어든다.

배 상무는 AMP4EP가 “네트워크와 엔드포인트 전반에 걸쳐 알려지지 않은 위협에 대한 대응을 하는 제품”이라고 덧붙였다. 여기서 시스코의 강점이 다시 부각된다. 시스코는 설립 당시 네트워크 전문기업으로 출발했으나 현재는 네트워크 방화벽뿐만 아니라 △IPS(Intrusion Prevention System) △엔드포인트 △클라우드까지 아우르는 강력한 보안 포트폴리오를 갖추고 있다. 배 상무가 “세계적으로 보안 솔루션을 엔드-투-엔드(end-to-end)로 모두 갖고 있는 기업은 시스코 밖에 없다”고 말할 수 있는 이유다.

그래서 배 상무는 “고객들의 고민에 대한 답을 갖고 있는 회사가 시스코”라고 말했다. 기업들이 디지털 트랜스포메이션 과정에서 별개로 사들였지만 상호간 소통이 되지 않는 보안 제품들을 종합한 뒤, 전체적인 포트폴리오를 제시할 수 있는 기업이 시스코라는 것. 그런 바탕 위에다 탈로스의 인텔리전스를 통해 알려지지 않은 위협들을 골든타임 내 탐지하고 대응한다는 것이 시스코 EDR만의 강점이라고 배 상무는 말했다.

“고객사가 본업에 집중할 수 있도록 최대한의 보안을 제공해 주는 것”이 목표라는 배민 상무. 보안은 보이지 않는 기업의 생존 요건이라는 사실이 그의 말에서 다시 떠올랐다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

오다인기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...