[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] °ÅÀÇ ¸ðµç ¿£µåÆ÷ÀÎÆ® ŽÁö ¹× ´ëÀÀ ½Ã½ºÅÛ(EDR)¿¡ Á¸ÀçÇÏ´Â ±¸Á¶Àû Ư¼º ¶§¹®¿¡ °ø°ÝÀÚµéÀÌ ¸Ö¿þ¾î¸¦ ¹«»çÈ÷ ½Ã½ºÅÛ¿¡ ¾ÈÂø½Ãų ¼ö ÀÖ´Ù´Â ¿¬±¸ °á°ú°¡ ³ª¿Ô´Ù. ÀÌ°ÍÀÌ ¡®±Ùº»Àû °áÇÔ¡¯ ȤÀº ¡®¼³°è»ó °áÇÔ¡¯ÀÌ¶ó ½±°Ô °íÄ¥ ¼öµµ ¾ø¾î¼ ¹®Á¦°¡ ´õ ½É°¢Çϸç, ½ÃÀå¿¡ ³ª¿Í ÀÖ´Â EDR ½Ã½ºÅ۵鿡 ÀûÀÝÀº º¯È°¡ ¿¹°íµÈ´Ù°í º¸¾È ¾÷ü ¿ÉƼºê(Optive)°¡ ¹ßÇ¥Çß´Ù.
[À̹ÌÁö = utoimage]
EDR Á¦Ç°µéÀº ¿£µåÆ÷ÀÎÆ® Àåºñµé¿¡¼ ¹ß»ýÇÏ´Â ¼ö»óÇÑ Çö»óµéÀ» ŽÁöÇÏ°í, ±×¿¡ ¸Â´Â ´ëÀÀÀ» Çϵµ·Ï ¸¸µé¾îÁø º¸¾È ¼Ö·ç¼ÇÀÌ´Ù. ´ëºÎºÐ ½Ã±×´Ïó ±â¹Ý ¸Ö¿þ¾î ŽÁö ±â¼ú°ú ÈÞ¸®½ºÆ½ ºÐ¼®, »÷µå¹Ú½Ì µî°ú °°Àº ±â¼úÀ» ÇÔ²² žÀçÇÏ°í ÀÖ´Ù. ÀÌ·± ¼Ö·ç¼ÇÀ» ¼³Ä¡ÇØ µÎ¸é º¸¾È ´ã´çÀÚµéÀº ħÅõÇØ µé¾î¿Â À§Çù ¿ä¼Ò¸¦ À绡¸® °Ý¸® ¹× Â÷´ÜÇÔÀ¸·Î½á ³×Æ®¿öÅ© ³» È®»êÀ» ¹æÁöÇÒ ¼ö ÀÖ°í, µû¶ó¼ º¹±¸µµ ´õ ½±°Ô ÀÌ·ï³¾ ¼ö ÀÖ°Ô µÈ´Ù.
¶Ç EDR Á¦Ç°µé¿¡¼´Â Çൿ ÆÐÅÏ ºÐ¼®À» À§ÇØ ¼ö»óÇÑ È°µ¿ ³»¿ª°ú Á¤º¸°¡ ¼öÁýµÇ±âµµ Çϴµ¥, ÀÌ ±â¼úÀ» ÈÄÅ·(hooking)À̶ó°í ºÎ¸¥´Ù. ¿ÉƼºêÀÇ ±â¼ú °ü¸®ÀÚÀÎ ¸ÅÆ© ¾ÆÀ̵¨¹ö±×(Matthew Eidelberg)¿¡ ÀÇÇÏ¸é ¡®ÈÄÅ·¡¯Àº ¡°ÄÄÇ»ÅÍ ÇÁ·Î±×·¥ÀÌ ½ÇÇàµÇ´Â µ¿¾È ¸ð´ÏÅ͸µÀ» ÇÒ ¼ö ÀÖ°Ô ÇØ ÁÖ´Â ±â¼ú¡±À̶ó°í Ç¥ÇöÇϱ⵵ ÇÑ´Ù.
ÈÄÅ·À» °¡´ÉÄÉ ÇØ ÁÖ´Â ¿ä¼Òµé ȤÀº ÈÄÅ·À¸·Î »ý¼ºµÈ ¿ä¼ÒµéÀ» ÈÄÅ©(hook)¶ó°í Çϴµ¥, ÀÌ ÈÄÅ©µéÀº ½Ã½ºÅÛ ÄÝ(System Call, syscall)À̶ó´Â ÀÎÅÍÆäÀ̽º¿¡ À§Ä¡ÇÑ´Ù. ¶§¹®¿¡ ¸Þ¸ð¸® ±¸¿ª ÇÒ´ç°ú °°Àº ¼ºñ½º¸¦ ¿äûÇϰųª ÆÄÀÏ »ý¼ºÀ» ÇÏ´Â µî OS¿Í »óÈ£ÀÛ¿ëÇÏ´Â ÇÁ·Î¼¼½º¸¦ ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
¾ÆÀ̵¨¹ö±×¿¡ µû¸£¸é ´ëºÎºÐÀÇ EDR Á¦Ç°µéÀÌ »ç¿ëÀÚ°¡ ÇÁ·Î±×·¥À» ½ÇÇàÇÏ´Â ½ÃÁ¡ºÎÅÍ ÈÄÅ©µéÀ» syscall¿¡ °¡Á®´Ù ³õ±â ½ÃÀÛÇÑ´Ù°í ÇÑ´Ù. ÀÌ ÈÄÅ©µéÀÌ ÀÖ¾î ¿£µåÆ÷ÀÎÆ® Àåºñ¿¡ ÀÖ´Â EDR ¿¡ÀÌÀüÆ®´Â Àåºñ ³»¿¡¼ ½ÇÇàµÇ´Â ¸ðµç ÇÁ·Î¼¼½ºµéÀ» ¸ð´ÏÅ͸µÇÒ ¼ö ÀÖ°í, À̸¦ ÅëÇØ º¯°æ »çÇ×À» ŽÁöÇÒ ¼ö ÀÖ´Ù. EDR ¿¡ÀÌÀüÆ®µéÀº ÀÌ·± µ¥ÀÌÅ͸¦ ¼öÁýÇÏ¿©(Áï, ÈÄÅ·À» ÅëÇØ ¸ðÀº µ¥ÀÌÅ͸¦) EDR °³¹ß»çÀÇ Ç÷§ÆûÀ¸·Î Àü¼ÛÇØ Ãß°¡ ºÐ¼®ÀÌ °¡´ÉÇϵµ·Ï ÇÑ´Ù.
¿©±â¼ ¹®Á¦´Â ÈÄÅ©°¡ »ç¿ëÀÚ ¿µ¿ª¿¡ Á¸ÀçÇÑ´Ù´Â °ÍÀÌ´Ù. µû¶ó¼ ÇÁ·Î¼¼½º°¡ »ý¼ºµÉ ¶§ ¸Þ¸ð¸® ¿µ¿ª ³»¿¡¼ ¸¸µé¾îÁø ¸ðµç °ÍµéÀÌ, ÇØ´ç ÇÁ·Î¼¼½º¸¦ »ý¼ºÇÑ »ç¿ëÀÚ¿Í µ¿ÀÏÇÑ ±ÇÇÑÀ» °®°Ô µÈ´Ù. ¡°¾Ç¼º ÄÚµå ¿ª½Ã ½Ã½ºÅÛ DLL°ú µ¿ÀÏÇÑ ±ÇÇÑÀ» °®°Ô µÈ´Ù´Â ¶æ¡±À̶ó°í ¾ÆÀ̵¨¹ö±×°¡ Ç®¾î ¼³¸íÇÑ´Ù.
±×·¯¹Ç·Î °ø°ÝÀÚ´Â ½Ã½ºÅÛ DLL ³»¿¡ ÀÖ´Â ÈÄÅ©µéÀ» Á¶ÀÛÇÔÀ¸·Î½á ¾Ç¼º Äڵ尡 EDR Á¦Ç°ÀÇ Å½Áö ¹× Â÷´Ü ±â¼ú¿¡ °É¸®Áö ¾Êµµ·Ï ¸¸µé ¼ö ÀÖ°Ô µÈ´Ù. ¶ÇÇÑ ÈÄÅ©°¡ ½Ã½ºÅÛ ÄÝ¿¡ À§Ä¡ÇØ Àֱ⠶§¹®¿¡ °ø°ÝÀÚµé ¿ª½Ã ¾Ç¼º ½Ã½ºÅÛ ÄÝ ÇÔ¼öµéÀ» ¸¸µé¾î ÇÁ·Î¼¼½º¿¡ ÁÖÀÔÇÒ ¼ö ÀÖ´Ù. ÀÌ·² °æ¿ì OS°¡ °ø°ÝÀÚµéÀÇ ¾Ç¼º Äڵ带 ½ÇÇà½ÃÅ°°Ô µÈ´Ù. EDR Á¦Ç°µé·Î¼´Â ÀÌ·± ¾Ç¼º ¿ä¼ÒµéÀ» ¹ß°ßÇÒ ¼ö ¾ø°Ô µÈ´Ù. µû¶ó¼ ¸ð´ÏÅ͸µÀ̳ª ÈÄÅ· ¸ðµÎ ºÒ°¡´ÉÇÏ´Ù.
¿ÉƼºê´Â º¸°í¼(https://www.optiv.com/explore-optiv-insights/source-zero/endpoint-detection-and-response-how-hackers-have-evolved)¸¦ ÅëÇØ ³× °³ÀÇ ¡®¸ÞÀÌÀú±Þ¡¯ EDR º¥´õ»çµéÀÇ Á¦Ç°µéÀ» ¾î¶² ½ÄÀ¸·Î ÇÇÇØ ¾Ç¼º ÆäÀ̷ε带 ¿£µåÆ÷ÀÎÆ®¿¡ ÁÖÀÔÇÒ ¼ö ÀÖ´ÂÁö Áõ¸íÇØ ÁÖ´Â ÀͽºÇ÷ÎÀÕÀ» °ø°³Çϱ⵵ Çß´Ù.
ÀÌ¿¡ µû¸£¸é °ø°ÝÀÚ¿¡°Ô ÇÊ¿äÇÑ °Ç ¿ø°Ý ¿£µåÆ÷ÀÎÆ®¿¡ ´ëÇÑ Á¢±Ù ¹æ¹ýÀÌ´Ù. Áï, À̹ø¿¡ ¿ÉƼºê°¡ Á¦½ÃÇÑ ¡®±¸Á¶Àû °áÇÔ¡¯À» ÅëÇØ ÃÖÃÊ Ä§Åõ¸¦ ÀÌ·ï³¾ ¼ö´Â ¾ø´Ù´Â °ÍÀÌ´Ù. ÃÖÃÊ Ä§Åõ¿¡ ¼º°øÇÑ ÀÚµéÀÌ Ãß°¡ °ø°ÝÀ» Çϱâ À§ÇØ ÀͽºÇ÷ÎÀÕ ÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡µéÀ̶ó°í ¿ÉƼºê´Â °Á¶Çß´Ù. ¶ÇÇÑ Ä¿³Î ¿µ¿ª¿¡¼ ÀÛµ¿ÇÏ´Â EDR ¼Ö·ç¼ÇµéÀÇ °æ¿ì, À̹ø ¿¬±¸ °á°ú¿¡ Å« ¿µÇâÀ» ¹ÞÁö ¾Ê´Â´Ù°í ÇÑ´Ù. ¡°Ä¿³Î ¿µ¿ª¿¡ ÀÖ´Â ÈÄÅ©µéÀº °ø°ÝÀÚµéÀÇ ¼Õ±æÀÌ ´ê±â Èûµì´Ï´Ù. Ä¿³Î ¿µ¿ª¿¡¼ Äڵ带 ½ÇÇà½ÃÅ°´Â °Ç ²Ï³ª ¾î·Á¿î ÀÏÀÌÁö¿ä.¡±
¾ÆÀ̵¨¹ö±×´Â ¡°EDR ¾÷üµéÀÌ ÀÌ·± ½ÄÀÇ °ø°ÝÀ» ÀÌÇØÇÏ´Â µ¥ µµ¿òÀ» ÁÖ·Á´Â ³ë·ÂÀ» °è¼ÓÇؼ ÀÌ·ï°¡°í ÀÖ´Ù¡±°í ¹àÇû´Ù. ¡°½ÇÁ¦·Î ÀϺΠ¾÷üµéÀº Á¦Ç°À» ´Ù½Ã ¼³°èÇϱ⵵ ÇßÀ¸¸ç, ÈÄÅ·ÀÇ ±â¼ú·ÂÀ» º¸¿ÏÇØ ½Ã½ºÅÛ DLLÀÇ Á¶ÀÛ ÇàÀ§µµ ŽÁöÇÒ ¼ö ÀÖµµ·Ï Çß½À´Ï´Ù. ¾Æ¿¹ ÈÄÅ©µéÀ» Ä¿³Î·Î ¿Å°Ü¹ö¸° º¥´õµéµµ ÀÖ½À´Ï´Ù. ÇÏÁö¸¸ ÀÌ·± ¿òÁ÷ÀÓµéÀÌ »ç¿ëÀÚµé »çÀÌ¿¡µµ º¸ÆíÀûÀ¸·Î Àû¿ëµÇ·Á¸é ½Ã°£ÀÌ Á» ´õ °É¸± °ÍÀÔ´Ï´Ù.¡±
ÀÌ ¶§¹®¿¡ »ç¿ëÀÚ Á¶Á÷µéÀº ÇöÀç »ç¿ëÇÏ°í ÀÖ´Â EDR Á¦Ç°ÀÇ º¥´õ»çµé°ú »ó´ãÀ» ÁøÇàÇÒ ÇÊ¿ä°¡ ÀÖÀ¸¸ç, EDR ¿ÜÀÇ Å½Áö ±â¼úÀ» ±¸ÃàÇØ¾ß ÇÑ´Ù°í ¾ÆÀ̵¨¹ö±×´Â ±ÇÀåÇß´Ù. ¡°ÀÌ Ãë¾àÁ¡Àº ÀÏ´Ü Ä§Åõ¿¡ ¼º°øÇÑ °ø°ÝÀڵ鸸ÀÌ ³ë¸± ¼ö ÀÖ½À´Ï´Ù. ±×·¯´Ï ÀÌ ÃÖÃÊ Ä§Åõ¿¡ ´ëÇÑ °æ°è¸¦ ´õ »ï¾öÇÏ°Ô ÇÑ´Ù¸é EDRÀ» ¿ìȸ½ÃÄÑ ¾Ç¼º Äڵ带 ½É´Â °ø°ÝÀ» ÇÒ ¼ö ¾ø°Ô µË´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ´ëºÎºÐ EDR Á¦Ç°µé¿¡ ÀÖ´Â ±¸Á¶Àû °áÇÔÀÌ ¹ß°ßµÊ. ¾Ç¿ëÇÒ °æ¿ì EDR ŽÁö¸¦ ÇÇÇØ°¥ ¼ö ÀÖÀ½.
2. ±¸Á¶Àû °áÇÔÀ̶õ, ÈÄÅ· ±â¼ú°ú °ü·ÃµÈ °ÍÀ¸·Î ¸Þ¸ð¸® ³» ¸¹Àº ¿ä¼ÒµéÀÌ »ç¿ëÀÚ¿Í µ¿ÀÏÇÑ ±ÇÇÑÀ» °®°Ô µÈ´Ù´Â Á¡. ¾Ç¼º ÄÚµå Æ÷ÇÔ.
3. ÇöÀç ÈÄÅ· ±â¼úÀÇ ÀÛµ¿ ¿ø¸®¿¡ »ç°¢ÀÌ Á¸ÀçÇÑ´Ù´Â °ÍÀ¸·Î, EDR º¥´õ»çµéÀº À̸¦ ÇϳªÇϳª ¼öÁ¤ÇÏ´Â Áß.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>