EDR 탐구생활 - 카카오편

• 카카오, 서비스 경쟁력 제고 위해 엔드포인트 위협 가시성·대응 능력 강화
• 보안성·편의성 높은 ‘지니안 EDR’… 빠르고 정확한 탐지로 지능적 위협 대응 역량 강화

지니언스는 국내 최초로 AI 기반 위협 분석과 대응을 탑재한 EDR 솔루션 ‘지니안 EDR’을 개발, 국내 다양한 산업군 고객에게 제공해왔다. 2022년 1월 누적 고객 100곳을 돌파하며 국내 최고·최대 EDR 솔루션 공급 사례를 거두었다.

‘지니안 EDR’을 도입·운영하고 있는 대표 고객 중 한 곳인 카카오는 엔드포인트 전반의 가시성을 확보해 위협 대응 능력을 향상시키는 한편, 엔드포인트 멀웨어 오케스트레이션·네트워크, 로그 등 다양한 위협 정보와 연계한 통합 보안을 완성하는데 ‘지니안 EDR’이 도움이 됐다고 밝혔다.

김동영 카카오 차장은 “카카오는 EDR 시장 초기부터 솔루션을 도입해 성공적으로 운영해왔으며, 2020년 해당 솔루션의 계약 만료를 기점으로 보다 편리한 관리와 운영이 가능한 솔루션을 검토, ‘지니안 EDR’을 도입하게 됐다”며 “지니안 EDR’은 직관적인 관리 환경으로 보안 관리자의 업무를 크게 줄이며, 다른 솔루션과 쉽게 연동될 수 있어 회사 전체의 위협을 관리할 수 있다는 점이 좋은 평가를 받았다”고 말했다.

SOAR 통합으로 회사 전반 보안 가시성 제공

카카오가 ‘지니안 EDR’을 선택한 배경에는 높은 보안성을 유지하면서 관리 편의성을 보장한다는 점이 있다. 지니언스는 NAC를 제공하면서 축적한 엔드포인트 관리 역량을 보유하고 있으며, 엔드포인트 안정성 문제없이 EDR 솔루션을 운영할 수 있게 한다. 또한 ‘지니안 NAC’과 에이전트와 통제 서버를 통합할 수 있어 관리 편의성이 높을 뿐 아니라 위협 탐지 기능도 크게 개선할 수 있다.

카카오는 네트워크 센서, 로그, 엔드포인트를 통합한 전사 위협 탐지·대응 프레임워크를 마련해 SOAR를 통해 위협을 체계적으로 관리하고 있었으며, 이 관리체계 내에 통합되면서 원활한 기술지원과 엔드포인트 장애·충돌 없는 EDR 솔루션을 찾고 있었는데, 안정성과 유연성, 다른 기술과의 통합 역량이 뛰어난 ‘지니안 EDR’이 최적의 솔루션으로 평가됐다.

김동영 차장은 “지니언스의 ‘지니안EDR’은 카카오가 원하는 요구를 만족하는 솔루션이었다. 국산 업체의 강점인 신속한 기술지원이 가능했으며, 오랫동안 보안 시장에서 검증받은 기술력의 강점이 있었다. 특히 엔드포인트 안정성이 높다는 것이 가장 큰 장점인데, 1년 반 이상 사용하면서 단 한번도 ‘지니안 EDR’의 장애로 인한 문제를 겪지 않았다”고 말했다.

첫번째 의심스러운 통신도 확인·대응

지니안 EDR은 엔드포인트 이벤트의 실시간 수집·분석 능력이 탁월하다고 평가받는다. 또한 클라이언트가 필요한 이벤트 수집 기능을 요구할 경우, 이를 적극 받아들여 탐지·대응 역량을 개선시켰다.

지니안 EDR을 사용하면서 탐지·대응한 대표적인 사례를 설명한다면, 해외 의심스러운 IP로 기계적 패턴으로 접속하는 PC가 감지된 경우다. 기존 환경이었다면 이 PC를 감지하고 원인 파악하는데 상당한 시간이 필요한데, EDR에서 단한번의 쿼리만으로 의심 프로세스를 확인했고, 보안팀이 즉시 분석해 차단했다.

김동영 차장은 “EDR이 등장한 지 상당히 시간이 지났기 때문에 실제 운영 환경에서 체감하는 EDR 자체의 성능과 기능은 큰 차별점이 없다고 본다. 다만 SOAR 관점에서 이종 솔루션과 얼마나 원활하게 연동할 수 있는지, 관리 편의성이나 장애·충돌, 벤더의 기술지원 등에서 차이가 있다고 본다”며 “EDR 도입 시 이런 점을 고려하는 것이 좋다”고 조언했다.

▲’지니안 EDR’ 대시보드

보안 요구 맞춰 개선되는 솔루션

지니안 EDR은 단말에 대한 위협 가시성 확보와 내·외부 위협 탐지와 대응, 정보유출 방지 등의 효과가 있다고 평가 받는다. 또한 다른 보안 솔루션과 연동으로 위협이 어떻게 시작되고 진행됐는지 파악할 수 있어 더 정확한 대응이 가능해졌으며, 관리 업무 효율성을 높였다.

지니안 EDR의 또 다른 장점은 직관적인 UI와 리포트다. 한 눈에 파악 가능한 관리 환경을 제공해 더 높은 위협에 보다 적극적으로 대응할 수 있으며, 탐지된 위협의 상세한 분석 보고서를 제공해 보안 탐지·대응 체계를 고도화하는데 도움을 준다.

김동영 차장은 “지니안EDR은 보안 환경의 요구에 맞춰 지속적으로 개선되는 솔루션”이라며 “EDR의 기술 자체는 상향평준화 됐다고 보지만, 얼마나 많은 보안 기술과 통합·연계되는가, 편의성이 높은가 등이 중요한 차별점이라고 할 수 있다. 지니안 EDR은 이런 점에서 좋은 대안 중 하나라고 할 수 있다”고 말했다.

EDR은 백신과 같은 자동 차단 솔루션이 아니라 정밀한 위협을 탐지하고 분석해 대응하는 솔루션이다. 일정 수준 이상 보안 전문성을 갖추고 있어야 운영할 수 있다. 다수의 이벤트가 발생하기 때문에 이벤트 분석이 가능한 인력이 필요하고, 이벤트에 대한 가치 판단이 필요하다.

김동영 차장은 “EDR은 백신이 아니기 때문에 관리업무가 증가할 수밖에 없으며, 보안 전문성을 필요로 하는 것은 맞다. 그래서 보안운영센터(SOC)가 잘 조직된 기업에서 도입하는 것이 예산낭비 없이, 지능적인 위협을 관리할 수 있을 것이라고 생각한다”고 강조했다.

이어 “그러나 EDR에서 요구하는 보안 전문성이 시니어 급의 보안 전문가는 아니다. 보안관제센터에서 어느 정도 근무한 경력이 있다면 충분히 운영 가능한 수준이다. 지니안 EDR을 포함해 최근 EDR 솔루션이 오케스트레이션과 자동과 역량을 강화하고 있기 때문에 많은 기업이 큰 어려움 없이 운영할 수 있을 것으로 본다”고 덧붙였다.

[인터뷰]

“통합·자동화·편의성과 조직의 보안 역량 고려해 EDR 선택”

▲김동영 카카오 정보보안실 정보보안팀 인프라 보안파트 차장

Q: EDR 솔루션 도입 배경은 무엇인가.

A: EDR은 2016년에 도입했는데, 당시 카카오는 네트워크, 로그, 엔드포인트 전반에 걸친 보안 프레임워크를 만들고 지능적인 위협에 효과적으로 대응하고자 했다. EDR을 위협 정보수집을 위한 센서로 활용해 엔드포인트 위협 정보를 수집했으며, 다른 보안 솔루션과 연계해 더 높은 수준의 위협에 대응하고자 했다. 또한 엔드포인트 가시성 확보로 내부보안을 철저히 해 공격 가능한 통로를 줄이고자 했다.

처음 도입한 EDR 솔루션은 이러한 요구에 가장 적합한 것으로 판단했으며, 5년여 운영 기간 중 기능 면에서 충분히 만족할 만한 기술을 제공했다. 다만 외산 솔루션이어서 원활한 기술지원이 안됐으며, 장애가 잦아 업무에 불편이 생겼다.

2020년 계약 만료에 따라 기존에 구축한 보안 프레임워크에 통합되면서 보안성을 개선하는 한편, 원활한 기술지원과 장애 없는 환경을 제공하는 EDR을 찾게 됐다. 국내외 EDR 솔루션을 다각도로 검토했으며, 카카오의 환경에 가장 잘 맞는 제품을 도입하는데 중점을 두었다.

Q: 지니안 EDR을 선택한 이유는.

A: 지니안 EDR은 경쟁사에 비해 안정성이 매우 높았다. 처음 구축한 시점부터 지금까지 지니안EDR로 인한 장애는 단 한번도 발생하지 않았다. 그리고 지니안 NAC와 에이전트·통제 서버를 통합해 관리 편의성이 높았으며, 직관적인 UI와 리포트를 제공한다는 점이 강점이었다.

Q: EDR 운영 중 어려웠던 점과 효과는.

A: EDR은 위협을 자동으로 차단하는 솔루션이 아니다. 어떻게 운영하는가에 따라 투자 효과에 있어 큰 차이를 볼 수 있다. 카카오는 EDR에서 발생하는 이벤트를 분석해 공격이 어떻게 시작됐고, 어떤 시스템에 영향을 미쳤는지 확인하고 필요한 조치를 취하고 있다. 지니안 EDR은 위협 행위에 대한 즉각적인 조치를 API를 통해 진행할 수 있어 위협 대응이 편리하다. 백신·SOAR 등 다른 시스템과 연동이 편리해 전사 관점의 위협 관리 효과가 매우 높다.

Q: EDR 도입을 고려하는 기업·기관에 조언을 해 준다면.

A: EDR은 백신과 달리 이벤트가 다수 발생하며, 이벤트가 가진 의미를 알 수 있는 통찰력과 전문성이 필요하다. 이벤트를 처리할 수 있는 인력을 충분히 고용해야 한다는 것도 반드시 고려해야 한다.

그렇다고 해서 시니어급의 고급 보안 전문가가 필요하다는 뜻은 아니다. 침해대응이나 보안관제 업무를 어느정도 해 본 경력이면 어렵지 않게 EDR을 운영할 수 있으므로, 고도화된 침해대응 체계가 필요한 기업이라면 EDR 도입을 추진하는 것이 좋다고 본다. 다만 EDR이 운영되는 환경과 도입 목적을 정확히 파악하고 체계적으로 진행하는 것이 바람직하다.

출처 : 데이터넷 3월호 (http://www.datanet.co.kr)

지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!

지니언스 뉴스레터 구독 신청