안녕하세요. ES컨설팅팀 곽희주입니다.
최근 사이버 위협은 점점 더 지능적이고 정교한 형태로 진화하고 있습니다. 특히 엔드 포인트를 겨냥한 공격은 기존의 정형화된 악성코드 유포에서 벗어나 파일을 생성하지 않는 파일리스(Fileless) 공격, 정상 시스템 도구를 악용하는 Living off the Land(LoL) 공격, 그리고 예측이 어려운 제로데이 위협 등 고도화된 형태로 빠르게 변화하고 있습니다. 이러한 환경에서는 시그니처 기반의 전통 백신만으로는 탐지와 대응에 한계가 있으며, 이에 따라, 행위 기반 탐지 및 실시간 대응을 제공하는 EDR(Endpoint Detection & Response) 솔루션의 필요성이 함께 부각되고 있습니다.
지니언스는 EDR 솔루션을 통해 국내 엔드 포인트 보안 시장에서 축적해온 기술력과 운영 경험을 바탕으로 최근 높아진 EPP(Endpoint Protection Platform) 통합 요구에 대응하고자 AV(Anti-Virus) 기능을 자체 플랫폼에 통합하게 되었습니다. AV와 EDR 기능을 하나의 에이전트와 플랫폼 내에서 통합 운영할 수 있도록 구성하여 사전 예방부터 사후 대응까지 하나의 흐름으로 연결된 통합 보안 체계를 제공합니다.
본 내용에서는 Genian AV 도입의 배경과 주요 기능 그리고 Genian EDR과의 통합을 통해 기대할 수 있는 보안 시너지와 운영 효율성에 대해 소개 드리고자 합니다.
지니언스는 2017년 Genian EDR 출시 이후, 국내 엔드 포인트 보안 시장에서 선도적인 입지를 구축하며 다양한 산업군과 조직의 보안 환경에 안정적으로 적용되어 왔습니다. 특히 Genian EDR의 행위 기반 탐지와 위협 가시성은 고도화된 공격에 효과적으로 대응할 수 있는 수단으로 자리 잡았습니다.
하지만 최근 보안 시장에서는 AV와 EDR 기능을 하나의 플랫폼 내에서 통합 운영하려는 수요가 증가하고 있습니다. Gartner 역시 EDR을 중요한 보안 기능으로 분류하고 있지만, 별도의 시장으로 구분하지 않고 EPP의 핵심 구성 요소 중 하나로 통합하여 평가하고 있습니다. 국내 주요 기업 또한 단말에 다수의 보안 솔루션이 설치되면서 발생하는 안정성 및 성능 저하 문제를 해결하고자 AV와 EDR을 단일 에이전트 및 콘솔로 통합 운영하려는 요구가 증가하고 있는 추세입니다.
[이미지1] Gartner Magic Quadrant
Genian AV는 Genian EDR과 연동하여 통합 운영이 가능할 뿐만 아니라, 단독 운영 환경에서도 효과적인 위협 탐지 및 분석 기능을 제공합니다. 글로벌 탐지력과 국내 대응력을 결합한 이중 탐지 체계를 통해 광범위한 커버리지와 신속한 대응력을 동시에 제공합니다. 또한, 악성 파일이 생성된 경위와 연관된 실행 흐름을 체인 이벤트 기반으로 시각화하여 EDR이 없는 환경에서도 위협의 맥락을 직관적으로 파악하고 조치할 수 있는 가시성을 제공합니다. 아울러, AV 단독 환경에서도 Autorun, 브라우저 기록, 레지스트리, 시스템 로그, Prefetch, $MFT 등 주요 아티팩트 수집이 가능하여 이를 기반으로 G-Report를 통한 포렌식 분석 및 후속 대응까지 지원합니다.
글로벌 AV 엔진은 폭넓은 악성코드 커버리지를 기반으로 강력한 진단력을 제공하지만 국내 환경에 특화된 위협이나 긴급한 보안 이슈에 대한 대응은 상대적으로 제한적일 수 있습니다. 이러한 한계를 보완하기 위해 글로벌 엔진과 더불어 자체 엔진에 GSC(Genians Security Center)에서 제공하는 국내 특화 위협 인텔리전스를 결합하여 운영하고 있습니다. 이를 통해 국제적인 탐지 기술력과 국내 환경에 최적화된 보안 대응 능력을 동시에 확보합니다. 특히 북한, 중국으로부터의 위협에 대응할 수 있도록 국내 환경에 최적화된 위협 정보를 지속적으로 업데이트 하고 있습니다.
이를 통해 다음과 같은 국내 특화 위협에 신속하게 대응할 수 있습니다.
Genian AV는 글로벌 탐지력과 민첩한 국내 대응력을 결합한 하이브리드 탐지 체계를 제공합니다.
Genian AV는 단순히 악성코드 탐지에 그치지 않고 악성 파일이 어떤 경로를 통해 생성되었는지를 체인 이벤트 기반으로 시각화하여 제공합니다. EDR이 없는 환경에서도 AV 단독으로 체인 이벤트 기반 위협 분석이 가능하며 AV를 통해 탐지된 이벤트는 악성 파일의 실행 주체 프로세스, 다운로드 경로, 파일 생성 경위 등과 함께 흐름도 형태로 제공합니다. 이러한 체계적인 위협 흐름 제공은 EDR이 없는 환경에서도 보안 담당자가 단순 탐지를 넘어서 위협의 전체 맥락을 빠르게 파악하고 조치할 수 있도록 지원합니다.
Genian AV는 단독 운영 환경에서도 EDR 수준의 아티팩트 수집 기능을 제공합니다. 악성코드 탐지 시, 해당 단말에서 다양한 행위 및 시스템 정보를 수집할 수 있습니다. (수집 대상 : Autorun, 브라우저 방문 기록, 레지스트리, 윈도우 이벤트, Prefetch 파일, FileSystem 정보($MFT/$UsnJrnl/$LogFile), 네트워크 패킷 덤프)
수집된 아티팩트는 간편하게 검색이 가능한 G-Report 보고서 형태로 제공되며 포렌식 분석 및 후속 대응 조치에 활용 가능한 자료로써 신속한 상황 파악을 지원합니다.
[이미지4] 아티팩트 수집 및 G-Report 화면
Genian AV와 EDR의 통합 운영은 보안 체계의 사전 예방과 사후 대응을 유기적으로 연결합니다. 알려진 위협은 AV로 빠르게 차단하고, 알려지지 않은 공격은 EDR로 분석·대응하여 보안의 깊이와 범위를 동시에 강화할 수 있습니다. AV 탐지 내역 역시 EDR의 행위 기반 분석과 연계되어 전체 공격 흐름을 추적하고, 사후 위협 헌팅이 가능해짐에 따라 대응 속도와 가시성이 크게 향상됩니다.
하나의 통합 에이전트를 통해 보안 담당자는 모든 위협 대응 주기를 단일 플랫폼 내에서 관리할 수 있습니다. 도입과 구축 프로세스가 단순화 되며 탐지, 삭제를 넘어서 위협 발생 → 탐지 → 분석 → 대응 → 사후 추적까지 전 주기에 걸친 가시성을 확보할 수 있습니다. 관리 콘솔의 유기적 통합을 통해서 운영 효율성은 높이고 대응 속도는 단축할 수 있습니다. 관리 콘솔이 분리되어 있는 타사 EPP와 비교해 인적 리소스 부담을 최소화 하면서도 강력한 보안 체계를 유지할 수 있는 강점이 있습니다.
단일 에이전트 구조와 최적화된 엔진 설계로 시스템 자원(CPU, 메모리 등) 점유율을 최소화하였습니다. AV와 EDR의 프로세스를 통합 운영함으로써, 추가적인 자원 부담 없이 이중 보안 기능을 안정적으로 제공할 수 있습니다. 실사용 환경에서도 단말 부하나 성능 저하 없이 운영되어 사용자 경험을 보장합니다. 또한 타 프로그램의 동작에 영향을 최소화 하도록 충돌 방지 기술을 적용하여 복수 보안 솔루션이 함께 존재하는 환경에서도 안정적인 운영이 가능합니다.
전통 백신은 주로 파일 기반의 정형화된 공격에 대응하도록 설계되어 있으며, 정상 도구를 악용하거나 메모리 상에서 동작하는 파일리스 공격에 대해서는 탐지 및 대응이 어렵습니다. 반면, Genian AV + EDR 통합 환경에서는 파일 유무에 관계없이 프로세스, 네트워크, 메모리 등 실행 중 발생하는 다양한 행위 패턴을 기반으로 위협을 탐지합니다. 이로써, 제로데이 공격이나 LoL 기반 위협, 스크립트 기반 침해 행위 등 다양한 최신 공격 기법에 대한 선제적 대응이 가능해집니다.
Genian AV는 Genian EDR과의 통합을 통해 정형화된 악성코드 탐지와 비정형 위협 행위 분석을 유기적으로 연결합니다. AV가 악성코드를 탐지한 순간부터 해당 위협이 어떤 경로로 유입되었는지, 어떤 사용자 또는 프로세스가 실행했는지, 다른 단말로 확산됐는지(lateral movement) 등을 자동으로 연계 분석할 수 있습니다. 이를 통해 위협의 실행 흐름을 하나의 화면에서 직관적으로 파악하고 신속한 대응과 사후 조치까지 일관된 방식으로 수행할 수 있습니다. 특히, 단말 내에서 여러 탐지 이벤트가 발생한 경우 전후 맥락 기반의 정황 분석이 가능하여 단순 탐지 이상의 보안 인사이트를 제공합니다. 반면, 타사 백신과 EDR을 별도로 운영하는 경우에는 콘솔과 에이전트가 분리되어 있어 데이터 연계가 단절되고 분석 및 대응에 반복적인 수작업이 필요해져 보안 담당자의 업무 효율성이 크게 저하될 수 있습니다.
또한, 국내 위협에 특화된 전문 위협 분석 조직인 GSC(Genians Security Center)와의 연계를 통해 실제 침해 사례와 최신 위협 트랜드에 대한 심층 분석 리포트를 기반으로 정황 분석의 신뢰도를 높이고, 실시간 대시보드를 통해 고객 환경 내 유사 위협 존재 여부를 빠르게 확인할 수 있어 한층 정밀한 대응이 가능합니다.
Genian AV와 Genian EDR은 단일 설치 및 통합 운영이 가능한 에이전트 형식을 제공하며, 안티랜섬과 매체제어 기능을 포함한 통합 엔드 포인트 보안 솔루션으로도 운영할 수 있습니다. 고객 환경에 따라 유연하게 선택할 수 있어 에이전트 설치, 운용 등 도입에 따른 부담을 줄이고 단일 에이전트 및 관리 콘솔 기반의 효율적인 보안 운영이 가능합니다.
현재 Genian EDR은 중동, APEC, 일본, 미국 등 다양한 국가 및 지역에서 사업을 전개하고 있으며, 글로벌 환경에 적용할 수 있도록 각국의 요구 사항을 반영한 업그레이드를 지속하고 있습니다. 매체 제어 기능은 전용 솔루션을 대체할 수 있을 정도의 성능을 목표로 고도화가 진행 중입니다.
지니언스는 통합 보안 플랫폼 Genian Insights E를 통해 단순한 위협 차단을 넘어, 사전 예방부터 사후 대응까지 전 주기를 아우르는 통합 보안 체계를 완성해가고 있습니다. 단일 에이전트, 단일 콘솔 기반의 통합 운영 구조는 보안 운영의 복잡성을 줄이고, 실제 고객 환경에서의 관리 효율성과 대응 속도를 획기적으로 향상시킵니다. 나아가 안티랜섬, 매체 제어 등 부가 기능까지 하나의 에이전트에 담아냄으로써, 보안 투자 대비 효과를 극대화할 수 있습니다.
지니언스는 앞으로도 국내외 다양한 고객 환경의 요구 사항을 반영한 지속적인 기술 고도화를 통해 더 고도화된 통합 보안 플랫폼, XDR 연동, 클라우드 보안 등 미래형 보안 체계로 확장해 나갈 계획입니다.
지니언스 ES기술부에서 국내외 고객을 대상으로 Genian Insights E 기반의 보안 컨설팅 및 기술 지원을 수행하고 있습니다.