엔드포인트 보호 플랫폼(EPP)은 위협으로부터 보호하기 위해 엔드포인트 기기에 구축된 포괄적인 보안 솔루션입니다.

엔드포인트 보호 플랫폼의 정의

EPP 솔루션은 일반적으로 클라우드로 관리되며 클라우드 데이터를 활용하여 고급 모니터링 및 원격 문제 해결을 지원합니다.
EPP 솔루션은 광범위한 보안 기능을 사용하지만 기본 수준에서의 기능은 다음과 같습니다.

• 파일 기반 멀웨어를 방지합니다.
  
• 침해 지표(IOC)부터 동작 분석에 이르는 다양한 기술을 사용하여 의심스러운 활동을 감지합니다.
• 조사 및 문제 해결 툴로 동적 인시던트 및 알림을 처리합니다.

엔드포인트 보호 플랫폼은 엔드포인트 보안의 최신 버전입니다. 기존 엔드포인트 보안을 우회하는 공격자를 식별하고 복잡한 보안 스택을 통합하기 위해 개발되었습니다. 통합을 통한 향상된 데이터 공유 기능으로 분석 기능이 향상되어 의심스러운 동작을 감지할 수 있습니다. 또한 보안 운영을 대폭 간소화합니다.

엔드포인트 보호 플랫폼의 또 다른 중요한 이점은 클라우드로의 전환입니다. 클라우드 네이티브 EPP는 단일 경량 에이전트를 사용하여 모든 엔드포인트를 모니터링할 수 있습니다. 또한 수집하고 활용할 수 있는 데이터가 단일 회사의 엔드포인트를 훨씬 뛰어 넘습니다. 공격자 전술을 알려주는 글로벌 공유 데이터를 흡수하여 공격자 동작 감지를 개선할 수 있습니다.

Gartner는 “Critical Capabilities for Endpoint Protection Platforms(엔드포인트 보호 플랫폼의 중요 기능)” 연구에서 “클라우드 기반 EPP 솔루션이 더 빠른 가치 실현 시간을 제공하고 관리 비용을 절감하며 기존의 온프레미스 배포보다 제품을 민첩하게 개선합니다.”라고 언급하면서 클라우드 기반 EPP의 중요성을 알렸습니다.

Gartner는 Gartner의 최신 Magic Quadrant for Endpoint Protection Platforms(엔드포인트 보호 플랫폼 관련 매직 쿼드런트)에서 EPP가 발전하여 “자동화 및 조정된 인시던트 조사 및 침해 대응”을 제공할 수 있다고 밝혔습니다. 또한 보안 및 리스크 관리 책임자에게 “최신 위협에 대응할 수 있도록 EPP 벤더가 빠르게 발전해야 한다”고 조언합니다.

IR을 넘어 클라우드 기반 엔드포인트 보호 플랫폼으로 실시간 동작 분석을 할 수 있습니다. 최첨단 EPP는 신용 카드 사기 감지에 사용하는 것과 동일한 기술인 이벤트 스트림 프로세싱을 활용하여 엔드포인트 보안을 혁신합니다. 이를 통해 공격자가 전술을 숨기기 위해 의도적으로 ‘정상적으로 보이게’ 하려는 동작을 감지할 수 있습니다. 오늘날 VMware Carbon Black Cloud는 이벤트 스트림 프로세싱을 활용하는 유일한 엔드포인트 보호 플랫폼이며 이미 유출이 발생하기 전에 공격자를 감지하는 탁월한 결과를 보여주고 있습니다.

엔드포인트 보호 플랫폼을 개발하게 된 주요 계기는 공격자가 기존 솔루션을 사용하는 SecOps 팀을 더 쉽게 피할 수 있다는 사실이었습니다. 기본적으로 공격자는 기존 엔드포인트 보안의 기능을 뛰어 넘을 정도로 발전하여 이제는 네트워크에 오랜 시간 동안 감지를 피한 채 머무를 수 있게 되었습니다.

공격자가 기존 엔드포인트 보안을 우회하는 5가지 방법

• 파일리스 랜섬웨어 - 감지 및 차단할 파일이 없이 파일리스 기술로 제공한 랜섬웨어는 기존 엔드포인트 보안의 영향을 거의 받지 않습니다. SecureWorld의 사이버 보안 보고서에 따르면 파일리스 공격이 2018년 하반기에 비해 2019년 상반기에 18% 증가했습니다. EPP를 통해서만 동작을 추적하여 파일리스 공격 방법을 알려주는 패턴을 찾을 수 있습니다.
  
• 새로운 공격 기술 이용 가능 - 사이버 범죄자가 훔쳤거나 개발한 고급 공격 기술 이 인터넷 및 다크 웹에서 판매 또는 오픈 소스로 제공되고 있습니다. 이러한 스크립트와 전술을 활용하면 공격자의 활동이 ‘정상적으로 보이기’ 때문에 네트워크 내에 숨어있을 수가 있습니다.
• 오래된 엔드포인트 - 위협 환경이 빠르게 변화하고 있습니다. 이는 보안 벤더가 새로운 위협에 대응하기 위해 가능한 한 빨리 패치와 업데이트를 개발하고 있음을 의미합니다. 특히 패치 관리 및 자동화가 부족한 경우 업데이트 속도가 SecOps 팀의 기능을 넘어서는 경우가 많습니다. 또한 엔드포인트 에이전트에 장애가 발생하여 개별 엔드포인트가 안전하지 않은 경우가 많습니다. 2019년 글로벌 엔드포인트 보안 동향 보고서에 따르면 엔드포인트 침해의 35%는 기존 취약점으로 인해 발생합니다. 엔드포인트 보호 플랫폼은 일반적으로 클라우드 기반이므로 지속적으로 최신 상태를 유지하여 최신 위협으로부터 엔드포인트를 보호할 수 있습니다.
• 여러 데이터 소스 - 기존 엔드포인트 보안 솔루션은 나머지 보안 스택과 상대적으로 분리되어 실행됩니다. 즉, 조사 중에 여러 시스템에서 단일 엔드포인트의 활동을 확인하고 네트워크 전체에서 의심스러운 활동을 추적해야 합니다. 엔드포인트 보호 플랫폼은 플랫폼 전반에서 모든 보안 솔루션의 데이터를 결합하여 간편한 데이터 액세스 및 알림 조사를 제공하는 단일 ‘정보’ 출처를 제공합니다.
• 필터링된 엔드포인트 데이터 - 많은 엔드포인트 보안 솔루션이 알려진 동작 패턴 및 IOC에 따라 위협과 관련이 없는 것으로 간주하는 엔드포인트 데이터를 필터링합니다. 공격자가 고급 기술을 보유하고 있기 때문에 엔드포인트 데이터 필터링을 사용하여 자신의 활동을 필터링합니다. 이는 SecOps 팀에서 새로운 패턴을 볼 수 없음을 의미합니다. 엔드포인트 활동 데이터를 지속적으로 캡처하면 이러한 새로운 기술을 확인하고 새로운 위협을 예측할 수 있습니다.

애널리스트와 보안 전문가는 EPP가 고급 위협으로부터 네트워크를 보호하는 가장 좋은 방법이라는 데 동의합니다. Gartner와 Forrester 모두 엔드포인트 보호 플랫폼에 대한 Gartner 매직 쿼드런트와 엔드포인트 보안 제품군에 대한 Forrester Wave를 통해 이 솔루션 분야를 다루고 있습니다. EPP 검증은 Forrester에서 수행한 ROI 분석을 통해 이루어집니다. 엔드포인트 보호 플랫폼의 Forrester 총 경제 효과 평가 연구에 따르면 EPP로 전환한 7개 회사의 평균 ROI는 204%였습니다. 이는 3년간 평균 210만 달러의 비용 절감 효과에 해당합니다.

다음은 엔드포인트 보호 플랫폼으로 전환한 보안 전문가들이 EPP의 가치로 언급한 사항입니다.

대폭적인 시간 절약
“이제 24시간 연중 무휴로 운영되는 SOC를 통해 팀에 연락할 필요없이 언제나 발생하는 문제를 즉시 파악하고 조치를 취할 수 있습니다.”
- Cozy Lavalle, IT 인프라 관리자, Progress Residential

단일 창 방식
“IR 및 위협 수색 기능을 사용하면 팀원들이 신속하고 확실하게 움직이면서 단일 창 방식으로 클라우드 기반 콘솔의 이점을 누릴 수 있습니다. 이는 팀의 판도를 바꾸는 역할을 합니다.”
- Eric Samuelson, 수석 IT 관리자, Lithium

위협 대응
“[EPP]는 기업이 오늘날 가장 큰 사이버 위협에 직면한 상황에서 연속성을 유지하는 데 필요한 요소입니다. [EPP]를 통해 오래된 AV 솔루션을 신속하게 조사, 대응, 제거할 수 있습니다.”
- Steven Lentz, CISO, Samsung Research Americas