엔드포인트 감지 및 대응(EDR)이란?

엔드포인트 감지 및 대응(EDR)은 엔드포인트 보안 데이터의 실시간 모니터링 및 수집과 자동화된 위협 대응 메커니즘을 포함하는 엔드포인트 보안 솔루션입니다.

EDR은 보안 팀에 정보를 제공하고 신속한 대응을 가능하게 하는 고도의 자동화를 활용하여 달성할 수 있는, 호스트와 엔드포인트 모두에서 의심스러운 활동을 감지하고 조사하는 새로운 보안 시스템 클래스를 설명하기 위해 Gartner가 제안한 용어입니다.

EDR 시스템은 다음을 수행하는 5가지 주요 기능을 제공합니다.

  1. 엔드포인트를 적극적으로 모니터링하고 위협이 나타날 수 있는 활동에서 데이터 수집
  2. 수집된 데이터를 분석하여 알려진 위협 패턴 식별
  3. 식별된 모든 위협에 대한 자동 대응을 생성하여 위협을 제거 또는 억제
  4. 보안 담당자에게 위협이 감지되었음을 자동으로 통보
  5. 분석 및 포렌식 도구를 활용하여 다른 의심스러운 활동으로 이어질 수 있는 식별된 위협을 연구

하이브리드 배포를 위한 위협 수색 및 인시던트 대응

엔터프라이즈 EDR 사용 사례 - 위협 수색 및 인시던트 대응

EDR의 이점

EDR 시스템은 현대 보안 팀의 필수 점검 요소로 자리잡고 있습니다. EDR은 알려졌거나 진화 중인 위협 및 보안 문제를 상대로 다양한 방법으로 디지털 경계를 보호합니다.

첫 번째로, EDR 시스템은 포괄적인 모니터링 데이터 수집을 바탕으로 잠재적 공격을 완전히 확인할 수 있게 합니다. 온라인과 오프라인을 비롯한 모든 엔드포인트를 지속적으로 모니터링하면 분석 및 인시던트 대응을 쉽게 수행할 수 있습니다. 이를 통해 심층 분석과 통찰력을 확보하면, 전문가는 조직 네트워크의 이상 및 취약점을 이해하여 향후 사이버 범죄 사건에 더 잘 대비할 수 있습니다. 모든 엔드포인트 위협 감지는 기존 바이러스 백신으로는 불가능한 일이며, 다양한 위협 어레이에 대한 실시간 대응을 제공하는 EDR 기능을 사용하면 보안 팀은 진화 중인 잠재적인 공격과 위협까지도 실시간으로 시각화할 수 있습니다.

이렇게 하면 심각한 손실이나 손상이 발생하기 전 초기 단계에서 공격을 차단하여 손실을 방지할 수 있습니다. 또한 조직은 실시간 대응을 통해 네트워크에서 의심스럽거나 승인되지 않은 동작을 발견하여, 운영이 영향받기 전에 위협의 근본 원인을 찾을 수 있습니다. 마지막으로, 엔드포인트 감지 및 대응 시스템은 다른 보안 도구를 통합하여 엔드포인트, 네트워크 및 SIEM의 데이터 상관관계를 파악함으로써 디지털 자산에 대한 무단 액세스를 시도하는 해커가 적용하는 관행과 기술을 심층적으로 이해할 수 있습니다.

EDR이 중요한 이유는 무엇입니까?

매일 새로운 바이러스, 멀웨어 및 기타 사이버 위협이 등장하면서 위협 환경이 끊임없이 변화하고 있습니다. 이렇게 진화하는 위협에 대처하기 위한 이상 징후의 실시간 수집 및 감지가 점점 더 중요해지고 있습니다.

이러한 당면 과제는 모바일 인력이 증가하면서 더욱 심화되고 있습니다. 코로나19 팬데믹 상황 때문에 가속화되고 있는 직원의 원격 연결의 경우, 조직의 디지털 자산에 액세스하는 데 사용하는 대부분의 엔드포인트는 직원 소유입니다. 이러한 BYOD 기기는 직원의 가족이 공유하거나 가족이 공유하는 네트워크를 사용할 수 있으며, 따라서 직원 본인이 모르는 사이에 멀웨어에 감염될 수 있습니다.

EDR을 채택하면, 조직은 다음과 같은 방법으로 이러한 당면 과제를 개선할 수 있습니다.

  • 악의적인 행위를 수행할 수 있는 실행 파일을 식별하고 차단
  • 승인되지 않은 데이터에 액세스하거나 기밀 정보 또는 보호 대상 정보를 다운로드하는 데 USB 기기를 사용하지 못하게 함
  • 엔드포인트 기기를 감염시킬 수 있는 파일 없는 멀웨어 공격 기술 차단
  • 스크립트 실행 제어
  • 악성 e-메일 페이로드가 첨부 파일을 파괴하지 못하게 함
  • 제로데이 공격으로부터 보호하고 피해를 입지 않게 함

EDR은 타사 위협 인텔리전스 서비스와 함께 작동하여 엔드포인트 보안 솔루션의 효율성을 개선할 수도 있습니다. 이러한 서비스의 집단 지성을 바탕으로 제로데이 공격 및 기타 다중 계층 공격을 식별하는 EDR의 능력이 개선되기 때문입니다. 현재 많은 엔드포인트 감지 및 대응 솔루션이 머신 러닝과 인공 지능(ML/AI)을 통합하여, 조직의 기준선이 되는 동작을 '학습'하고 이 정보를 사용하여 공격 감지 시 결과를 해석함으로써 프로세스를 더욱 자동화하고 있습니다.

EDR 작동 방식

EDR은 네트워크 및 엔드포인트의 트래픽을 모니터링하고 보안 문제와 관련된 정보를 나중에 분석할 수 있도록 중앙 데이터베이스에 수집하는 방식으로 작동하며, 위협 이벤트에 대한 보고 및 조사를 용이하게 합니다.

EDR 솔루션은 저마다 다른 방식으로 생성됩니다. 솔루션에서 수행하는 활동의 범위는 벤더마다 다를 수 있습니다. 일반적인 EDR 솔루션의 주요 구성 요소는 다음과 같습니다.

  • 데이터 수집 에이전트 엔드포인트에 설치되는 이러한 에이전트는 실행 중인 프로세스에서의 데이터 수집, 네트워크 및 기기에 대한 연결, 활동 볼륨 및 데이터 전송을 모니터링하고 수행합니다.
  • 중앙 허브.  이 통합 허브는 엔드포인트 데이터를 수집하고, 상관 관계를 파악하고, 수집된 데이터를 분석합니다. 또한 중앙 허브는 즉각적인 위협에 대한 경고와 대응을 조정하는 역할도 합니다.
  • 응답 자동화. EDR 시스템은 대부분 사전에 구성되는 규칙을 활용하여 수집된 데이터가 알려진 위협을 나타내는 경우를 인식하고, 보안 담당자에게 경고하거나 시스템에서 사용자를 로그오프하는 등의 자동 응답을 트리거합니다.
  • 포렌식 및 분석. EDR에는 위협 근절과 사후 분석 수행을 지원하는 포렌식 도구와, 기존 사전 구성된 규칙과 일치하지 않는 위협을 신속하게 발견하는 실시간 분석 지원이 포함될 수 있습니다.

EDR과 바이러스 백신의 차이점

EDR 솔루션은 새로운 EDR 솔루션에 비하면 범위가 제한적인 기존 바이러스 백신 프로그램의 상위 집합이라 할 수 있습니다. 따라서 바이러스 백신은 EDR 솔루션의 일부가 됩니다.

바이러스 백신은 바이러스 검사, 감지 및 제거 같은 기본 기능을 수행하며, EDR은 다른 많은 기능을 수행합니다. EDR에는 바이러스 백신 외에 모니터링, 화이트리스트/블랙리스트 같은 다양한 기능이 포함될 수 있으며, 이 모든 기능은 알려진 위협과 새로운 위협에 대한 더욱 포괄적인 보호를 제공하도록 설계되었습니다.

디지털 네트워크 경계가 전방위로 확장되면서, 기존 바이러스 백신만으로는 기업 리소스에 액세스하는 데 사용하는 다양한 기기를 보호할 수 없게 되었습니다. 엔드포인트 감지 및 대응 시스템은 첨단 사이버 공격을 방어하는 데 더 적합하며, EDR 자동 응답을 사용하면 IT 팀은 공격으로부터 조직을 보호하느라 과부하가 걸리지 않게 됩니다.

위협 환경의 급속하게 발전하면서 이 기능이 점점 더 중요해지고 있습니다. 해커들은 공격을 지속적으로 개선하고 첨단 위협을 활용하여 네트워크에 진입하기 때문에, 단순한 서명 기반 바이러스 백신은 제로데이 또는 다중 계층 위협을 적시에 감지하지 못하게 될 것입니다. 하지만 EDR 시스템은 모든 유형의 엔드포인트 위협을 감지하여, 식별된 위협에 대한 실시간 대응을 제공합니다.

관련 솔루션 및 제품

VMware Carbon Black EDR

온프레미스 엔드포인트 감지 및 대응(EDR)