EDR 탐구생활

코로나로 인한 재택근무와 디지털전환에 따라 지능형 위협이 지속적으로 증가하고 있습니다. 이제 랜섬웨어는 개인을 넘어 기업으로 확대되고 있습니다. 이미 기업의 비즈니스 위협요인으로 인식되고 있으며 실제 40% 넘는 기업에서 공격을 경험하였다고 합니다. 재택/원격 근무로 인한 정보유출 사례는 증가하고 있으며 기업 내부 접속을 위한 VPN(가상사설망) 연결 계정정보 등이 버젓이 거래되고 있습니다.

이러한 지능형 위협에 대응하기 위한 솔루션으로 EDR(Endpoint Detection & Response)이 주목받고 있습니다. 이미 다수의 고객이 EDR을 도입하여 지능형 위협을 사전에 차단하고 진행중인 위협의 확산을 탐지/대응하고 있습니다.

지니언스(주)에서는 앞으로 몇 회에 걸쳐 EDR 솔루션을 도입하여 활용중인 고객의 사례를 소개할 예정입니다. 해당 내용은 인터뷰 또는 서면 질의를 통해서 확인된 내용을 재구성한 것이며 담당자 및 기관명, 스크린샷 등은 고객 및 고객사의 정보보호를 위하여 알려드릴 수 없거나 유사한 내용으로 대체되었음을 양해 부탁드립니다.

오늘 첫 번째로 소개드릴 고객사는 중앙부처/공공기관 입니다. EDR 도입 및 활용을 고민하고 계시는 분들께 많은 도움이 되기를 희망 합니다.

Q. 주무관님 안녕하세요. 인터뷰에 응해 주셔서 감사합니다. 먼저 보안을 담당하는 조직구성이 어떻게 되어 있는지 알려주실 수 있을까요?

정책을 담당하는 관리팀 과 사이버 침해 위협 대응 및 관제 업무를 수행하는 보안팀, 2개 팀으로 구성되어 있습니다.

Q.주무관님께서는 주로 어떠한 업무를 담당하고 계시나요?

저는 의심/악성 이메일, 악성코드 등 사이버 침해 및 위협 등에 대한 포괄적인 대응 업무를 수행하고 있습니다. 주로 어떠한 위협이 탐지/보고되면 대응을 어떻게 할지, 추가로 무엇을 찾아볼지, 수집된 정보를 어떻게 판단해야 하는지 등을 고민하고 결정하는 업무를 주로 수행하고 있습니다.

Q. EDR 도입을 검토하시게 된 계기는 무엇이었을까요?

APT 등 지능형 공격이 지속적으로 발생하는 가운데, 지금보다 능동적 대응이 필요하다고 판단했습니다. 또한 저희는 많은 지사(Branch)를 보유하고 있는데 지사에서 운용되는 인터넷 PC에 대한 정보보안을 강화하기 위한 목적으로도 도입이 검토 되었습니다.

Q. EDR을 검토하시고 제품을 선정할 때 가장 중요한 기준은 무엇이었습니까?

의심스러운 행위나 어떠한 위협이 탐지되면 관련된 조사와 분석 등이 필요합니다. 특히 PC를 조사해야 하는 일이 있는데 다수의 사용자들은 저희의 요청사항이나 보안점검 등을 어렵고 귀찮다고 생각합니다. 그래서 PC의 보안 점검을 위해 PC에 직접 접속하지 않고 관련 기능을 수행할 수 있으면 좋겠다. 라고 생각했고요......

특정 PC에서 어떠한 이벤트가 발행했을 때, 전체 PC를 대상으로 동일한 이벤트를 검색하고 대응하는 것은 매우 효과적인 방법입니다. 그래서 다양한 형태나 방법을 지원하는 통합검색등이 가능한지 등을 기준으로 삼았습니다.

마지막으로 이러한 작업이 업무에 영향을 주면 안 되기 때문에 검색속도나 낮은 자원점유(CPU, MEM 등)율 등을 검토 했습니다.

Q. 악성코드 탐지 등은 EDR의 역할이 아니었을까요?

저희는 별도로 백신(안티바이러스)을 사용하고 있습니다. 그리고 백신 개발사의 지원도 잘 되는 편이어서 EDR에서 핵심적인 부분은 아니라고 생각했습니다.

Q. EDR 도입을 검토하실 때, 몇 개 정도의 솔루션을 검토하셨나요?

외산제품 2개, 국내 제품 5개를 검토 했습니다.

Q.지니언스(주)의 EDR 제품(인사이츠 E)을 선택한 이유는 무엇이었습니까?

많은 제품을 보았는데 저희에게 필요한 기능 관점에서는 외산 제품과 비교했을 때 크게 차이가 난다고 생각하지 않았습니다. 오히려 생각보다 많은 기능을 제공하고 있어서 솔직히 놀랐습니다.

도입 이후에도 관제 및 실제 사용을 위해서 다양한 요구사항이 있었는데 다행히 개발사에서 관심을 가지고 꾸준히 커스터마이징 개발 등을 진행해 주셨습니다.

Q.도입하신 EDR을 어떻게 사용하고 계시는지 구체적으로 설명해 주실 수 있을까요?

저희는 크게 세 가지 용도로 EDR을 사용하고 있다고 볼 수 있습니다.

가장 주된 용도는 PC에서 악성행위가 발생하는지 관제목적으로 사용하고 있습니다. 로그를 보거나 대시보드의 위젯을 봅니다. 업무와 관련된 특정한 이벤트를 탐지하기 위해서 다양한 위젯을 만들 수 있습니다. 위젯을 보면 한눈에 전체를 파악할 수 있어 유용합니다.

다양한 위젯 및 통합 대시보드 지원

의심스럽거나 모니터링이 필요하다고 생각되는 단위 행위/이벤트를 위젯으로 만들어서 빠른 확인이 가능합니다. 통합 대시보드를 통해 단말(PC)의 가시성을 최대화 할 수 있습니다.

[다양한 단말행위 및 이벤트를 위한 위젯, 전체현황과 예외상황의 빠른 확인이 가능]

 

둘째는 악성 이벤트가 탐지되면 조사 및 분석툴로 사용합니다. EDR 자체의 탐지 기능을 활용하기도 하지만 방화벽이나 IPS등 타 보안제품에서 탐지된 이벤트를 바탕으로 EDR에서 추가 또는 교차로 조사를 하는 경우가 있는데 의미 있는 정보를 찾는 경우가 꽤 있습니다. 이를 통해서 종전 대비 분석 및 대응능력이 향상되었다고 내부에서 평가하고 있습니다.

통합검색 및 분석

탐지된 위협의 세부정보 및 연관정보를 확인할 수 있으며 동시에 프로세스 킬, 덤프(dump) 등의 즉시 대응이 가능합니다. 이상행위(Fileless)의 경우 MITRE ATT&CK 정보를 확인할 수 있습니다.

[ 탐지된 위협에 대한 세부정보 및 연관정보 확인]

 

마지막으로 전체 PC를 대상으로 악성코드 감염 및 보유 여부 등을 확인하기 위해 사용합니다. 사용자 정보나 부서, 위치 등을 확인할 수 있는데 이를 통해서 피해 확산에 대한 여부를 가늠할 수 있습니다. 기존에는 확인이 불가능 했던 부분입니다.

Q.실제 위협을 탐지하거나 대응하신 사례가 있다면 알려주시겠습니까?

지사에서 주기적으로 문서파일을 인터넷에 업로드 하는 PC를 탐지한 경우가 있었습니다. 해당 PC를 조사해 보니 악성코드가 설치되어 2019년부터 활동하고 있어 조치한 경우가 있습니다.

C&C로 추정되는 서버에 접속하는 PC를 탐지하여 차단한 경우도 있습니다. 관계기관에서 악성 URL을 받았는데 IP가 아니다 보니 보유하고 있는 방화벽이나 침입차단시스템(IPS)에서는 조사가 불가능 했습니다. EDR에서 전체PC를 대상으로 접속여부를 검색하여 몇 대의 PC를 찾아서 조치했습니다.

공격스토리라인 (EDR 위협탐지의 꽃)

위협이 탐지되면 관련된 파일/프로세스 등의 실행 관계 표시하여 위협의 전체를 빠르게 확인할 수 있으며, 프로세스제어 및 파일수집 등의 제어 기능을 수행할 수 있습니다.

[유입경로 및 활동을 한눈에 파악할 수 있는 공격 스토리라인]

 

Q. 지니언스 EDR 제품(인사이츠 E)에서 가장 만족스러운 기능은 무엇인가요?

앞에서 말씀 드린 것 같이 이벤트를 검색하고 교차로 분석할 수 있는 기능이 가장 만족스럽습니다.

Q.반대로 아쉬운 기능도 있을까요?

악성코드 감염 시, 유입경로를 찾아 원인분석 및 대응을 해야 하는데 일부 동작 방식에 따라 최초 유입경로를 확인할 수가 없는 경우가 있습니다. 이 경우 종전과 같이 PC를 직접 점검하는 방식을 계속 사용하고 있습니다. 기술적인 어려움이 있는 부분이지만 개발사도 인지하고 있는 내용이고 해결의 의지도 있어서 개선 될 것이라고 기대하고 있습니다.

머신러닝 탐지 기능이 악성코드 탐지에만 국한되어 있는 점도 아쉽습니다. 저는 오히려 발생하는 이벤트에 머신러닝이 적용되면 실제 사용에 매우 도움이 될 수 있을 것이라고 생각합니다. 이 부분 역시 개발사에 적극 요청해 둔 상태입니다.

Q.내부 직원들은 EDR 사용에 대해서 어떻게 생각하나요? 단말에 설치되는 제품이라서 불만이나 불편함을 토로하는 분은 없으신가요?

특별히 불만이나 불편함이 접수된 경우는 없는 것 같습니다. EDR 설치에 대해서 공지/공문 등은 발송한 상태입니다. 그런데 다수의 직원들은 인지하지 못하고 있는 것 같습니다.

Q.혹시 재택/원격 근무자에게도 EDR을 적용하고 있습니까?

현재는 재택이나 원격 근무자에게는 EDR을 적용하지 않고 있습니다. 저희는 별도의 시스템으로 해결해야 한다고 생각하고 있습니다. 이를 위한 보안정책 등은 향후에 준비할 예정입니다. EDR을 적용할지 여부는 추후에 검토할 예정입니다.

Q. 끝으로 EDR 도입을 고려하거나 사용 중이신 분들께 해 주실 말씀이 있을까요?

목적을 명확하게 하시는 게 중요하다고 생각합니다. 저희는 단말에서 발생하는 이벤트를 검사하고 타 보안 솔루션과의 교차조사를 통해서 위협을 탐지하고 대응하기 위한 목적으로 EDR을 도입했고요 현재 만족하면서 사용하고 있습니다.

주무관님 오늘 귀한시간 내 주셔서 감사합니다. 도입 및 활용을 검토하시는 분들께 많은 도움이 될 것으로 예상됩니다. 다시 한 번 감사의 말씀을 드립니다.

지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!