EDR(Endpoint Detection & Response)과 안티바이러스 차이점

EDR(Endpoint Detection & Response)

EDR은 앤드 포인트 기기들을 프로세스, 파일, 네트워크 통신 기록 등을 저장하고 분석할 수 있는 보안 솔루션이다. 여기서 엔드포인트는 단어 그대로 단말기이다. 최근 네트워크를 이용하는 여러 단말기들이 있다. 스마트폰, PC, IoT 등 이러한 단말기들의 상태를 확인하고 악성행위들을 분석하여 위협 탐지를 위한 시그니처를 확보하며 여러 공격들을 예방하는 것이 목적이다.

엔드포인트는 공격자들이 가장 쉽게 접근할 수 있는 공격 경로이다. 우리는 단말기를 통하여 네트워크 통신을 하며 여러 서비스를 이용하기 때문에 단말기에서 하는 행동에 따라 공격자들의 공격에 쉽게 노출될 수 있다. 예를 들어 공격 방식으로 자주 활용되는 이메일의 경우 최근 일반 사용자가 의심없이 열어보게끔 더욱 고도화되고 있으며 해당 이메일을 열어 파일을 다운받거나, 링크를 접속할 경우 악성코드에 노출되거나 악성행위에 노출될 수 있다. 이외에도 단말기에 여러 프로그램들을 설치하여 활용할 때 공식적인 프로그램이 아닌 경로의 프로그램을 설치하는 경우도 있다. 이처럼 단말기는 여러 공격에 비교적 쉽게 노출되어있는 상황이다.

EDR은 앤드포인트 영역에 설치하는 보안 솔루션이다. 앤드포인트 영역에서 일어나는 전반적인 행위와 프로그램, 프로세스, 네트워크 통신을 탐지, 분석, 저장하여 시각화하고 해당 분석을 바탕으로 공격자들의 공격을 대응할 수 있게하는 솔루션이다. 단순히 특정 단말기 하나에서 이루어지는 것이 아닌 EDR이 설치된 단말기 간의 정보 공유를 통해 다수의 단말기에서 일어나는 모든 행위를 분석하여 새로운 공격 유형, 변종 등을 미리 탐지하고 다른 단말기들을 보호하는 역할을 한다.

 

안티바이러스

안티바이러스는 V3, 알약과 같은 바이러스 탐지, 차단 솔루션이다. 안티바이러스는 대부분 시그니처 기반으로 이루어져 있다. 안티 바이러스를 제공하는 서버에서 여러 악성코드들에 대해 분석하고 분석 결과를 시그니처화 하여 서버에 올리면 해당 시그니처를 기반으로 악성코드를 탐지하고 차단한다. 이런 방식으로 악성코드를 탐지할 경우 오탐율은 매우 줄어들지만 미탐율이 줄어들긴 힘들다. 여기서 오탐율은 정상 코드를 악성코드로 잘못 판단하는 것이며 미탐율은 악성코드인데 정상코드라고 판단하는 경우이다. 즉, 시그니처 기반이기 때문에 해당 시그니처를 띄는 악성코드의 경우 확실히 잡아내지만 서버에서 아직 분석하지 못한 시그니처의 경우 즉, 알려지지 않은 악성코드의 경우 분석하지 못하고 단말기로 침투할 수 있는 것이다.

최근에는 이러한 안티바이러스에 AI를 탑재하여 여러 시그니처를 학습시켜 해당 시그니처에서 변종된 악성코드도 잡아낼 수 있는 안티 바이러스도 생겨나고 있다. AI를 이용한 바이러스 탐지 시 해당 바이러스가 가진 패턴과 그 패턴에 대한 여러 경우가 학습을 통해 예측할 수 있다. 대부분의 악성코드는 기존의 코드에서 약간 수정된 형태로 배포되기 때문에 어느 정도 효과는 있지만, 아에 새로운 악성코드의 경우 탐지율이 떨어진다. 또한, AI를 사용할 경우 드물게 정상파일도 악성코드로 오판하는 경우도 있다.

 

EDR과 안티바이러스의 차이점

EDR과 안티바이러스의 가장 큰 차이점은 단말기의 행위를 분석하는 기능이 있느냐 없느냐이다. 안티 바이러스의 경우 단말기의 행위를 분석하는 것이 아닌 파일을 분석하여 해당 파일이 악성코드인지 아닌지를 판단한다. 즉, 파일에만 집중되어 있는 것이다. 하지만 EDR의 경우 단말기의 행위, 프로세스, 네트워크 통신 등을 저장하고 분석하는 기능을 하고 해당 기록들을 EDR 이 설치된 단말기 끼리 공유한다. 파일에만 집중된 것이 아니기 때문에 단말기의 환경 변화, 트래픽 등을 분석하고 시각화 하므로써 공격을 탐지하고 분석하는 것이다. 즉, 알려지지 않은 공격에도 대응할 수 있게 하는 것으로 최종적으로 EDR이 설치된 단말기들 중 하나라도 악성 행위가 분석 되면 해당 악성 행위에 대하여 다른 EDR이 설치된 단말기는 보호 대책을 세울 수 있는 것이다.

EDR은 알려지지 않은 공격에도 대응할 수 있는 성능을 보이고 안티바이러스는 시그니처 기반으로 알려지지 않은 공격에 대해 대응하는 시간이 비교적 오래 걸린다.

 

최근 공격자 동향

보안에서 자주 인용되는 말인 "쇠사슬은 가장 약한 부분의 쇠사슬 만큼의 강도를 지닌다"는 말이 있다. 즉, 다른 부분들이 아무리 강력하게 보안을 유지하여도 취약한 부분이 하나라도 있으면 견고한 보안은 무너질 수 있다는 뜻이다. 여기서 가장 약한부분은 엔드포인트 영역으로 공격자들이 주요 목표로 세우는 영역도 엔드포인트 영역이다.

독일 IT 보안 연구기관 AV-TEST Institute가 지난 2020년 8월 26일 발표한 ‘The AV-TEST Security Report 2019/2020’에 따르면 지난 2019년에 새롭게 생성된 악성코드는 1억 1,431만 2,703개며, 주로 이메일과 인터넷을 통해 유포된 것으로 나타났다. 2020년 1분기에만 AV-TEST에 새롭게 등록된 악성코드 샘플은 4,300만 개 이상이다. 특히 악성코드들 중에서 가장 많이 사용되는 형태는 트로이목마이다. 트로이목마는 정상 프로그램 속에 악성코드를 심어서 접근하는 방식으로 안티 바이러스의 탐지를 피하기 위해 자주 사용된다. 2019년 새로 개발된 악성코드 유형 그래프는 다음과 같다.

2019년 새로 개발된 악성코드

이러한 악성코드는 기존의 악성 코드에서 C&C 통신을 할 수 있게 추가 기능을 탑재하는 등의 개조를 하여 더욱 강력한 악성코드들이 생겨나고 있다.

최근의 공격자의 공격 성향은 경제적 원칙에 따라 움직인다. 지난 해 주요 사례에서 알 수 있는 부분은 랜섬웨어를 이용한 협박이 큰 수익을 냈다. 최근 랜섬웨어는 단순히 해당 PC를 사용하지 못하도록 하는 것이 아닌 민감, 중요 정보들을 탈취하고 해당 시스템을 마비시키는 형태로 공격한다. 즉, 공격자들이 원하는 금액을 주지않으면 회사의 기밀이 노출됨과 동시에 시스템을 복구할 수 없는 치명적인 형태의 공격이다.

 

[2021년 EDR 리포트] 사이버보안의 최전선, 엔드포인트를 지켜라! (boannews.com)

[2021년 EDR 리포트] 사이버보안의 최전선, 엔드포인트를 지켜라!