보안 장비의 역사 : EDR의 등장

1세대 방화벽

초기 해킹사고는 공격자가 목표 서버에 직접 접근하여 서버 취약점을 공격하는 방식이었다. 때문에 보안 솔루션은 포트 스캔을 기반으로 하는 services based attack을 방어하기 위해 서비스(프로세스)를 제어하는 형식으로 발전했다.

 

솔루션 초기에는 PC나 서버에 Agent를 설치하고 포트 기반 방어를 수행(TCP Wrapper 등) 했으나, 호스트에서 직접 보안 이벤트를 관리해 퍼포먼스가 느려지는 문제점이 발생했다.

 

이후 보안 솔루션을 네트워크 구간에 설치하여 트래픽을 모니터링 하는 방화벽 개념이 등장했다. 1세대 방화벽은 포트와 아이피 주소를 필터링해 서비스(프로세스) 접근을 제어했다.

 

하지만 1세대 방화벽에서 다음과 같은 한계점이 발생했다.

· 불특정 다수에게 제공되는 웹서버/웹 어플리케이션 서버 해킹
· 외부로 나간 후 다시 들어오는 패킷 필터링
· 세그멘테이션된 패킷을 모두 검사해 시스템 과부하 발생

1. 불특정 다수에게 제공되는 웹서버/웹 어플리케이션 등 서비스는(TCP 80, UDP 53 등) 항상 열려있어야 하는 서비스로 접근제어가 불가능하다.
2. 해당 패킷이 차단되는 문제점이 발생했다.
3. 패킷이 세그멘테이션되는 경우 각 세그먼트를 모두 검사해 시스템 과부하가 발생했다.

 

 

2세대 방화벽

1세대 방화벽의 문제를 해결하기 위해 StateFull Inspection이 추가된 2세대 방화벽이 사용되었다.

패킷의 상태 값을 저장해 통신 중인 패킷이 차단되거나 세그먼트 검사로 시스템 과부하가 발생하는 문제점이 해결되었다.

 

하지만 여전히 다음과 같은 문제점이 남아있었다.

· 애플리케이션 공격 발생
· 정형화된 정책으로 새로운 공격 탐지 어려움

1. 포트와 아이피를 기반으로 필터링하는 방화벽 방식은 패킷의 4 계층(OSI Layer)을 검사하기 때문에 7 계층 애플리케이션에서 시도하는 공격은 탐지가 불가능하다.
2. 정상적인 패킷처럼 보이는 등 진화한 공격은 탐지가 불가능하다.

 

보안솔루션에 의해 공격자는 내부망에 있는 서버나 PC에 직접 접근하는 것이 어려워졌다. 공격의 대상이 이메일, 웹서버, DNS 등 DNZ에 위치한 서버로 변화하였다.

 

공격의 형태는 방화벽 이전에는 악성코드를 유입 시켰다면 방화벽 이후에는 악성코드를 불특정 다수 또는 특정 기업, 기관을 대상으로 유포하는 형태로 변화하였다.

 

 

3세대 방화벽

아이피·포트 필터링 방화벽에서 확장되어 7계층(OSI 7 Layer)에서 패턴과 시그니처를 기반으로 공격을 탐지하는 3세대 방화벽 침입탐지 시스템/침입방지 시스템(IDS/IPS)이 등장했다.

오용 탐지와 이상 탐지로 제로데이 공격이 탐지 가능하지만 오탐과 미탐이 발생하기 시작했다. 

 

현재는 WAF, UTM, Virus-Wall, S/B, Anti-DDos 등 기본 침입 탐지·방지 시스템에서 기능이 추가되거나 특정 공격에 특화된 솔루션과 ESM/SIEM 등 관리 모니터링 솔루션이 제공되고 있다.

 

 

 

---

보안 솔루션의 한계

탐지와 차단

기존 보안 솔루션의 목적은 공격을 탐지하고 차단하는 것이다. 역으로 기존 솔루션은 공격을 탐지하지 못한다면 차단 또한 불가능하다. 탐지율을 높이기 위해 다양한 탐지 기법과 보안솔루션이 개발되고 있지만 최근의 공격 기술은 근본적으로 변화하였다.

 

APT(Adcanced Persistence Threat) 공격은 공격 대상을 지속적으로 관찰, 조사, 분석해 지능적으로 공격하는 기술이다. 짧게는 3개월, 길게는 1년 이상 보안 솔루션의 탐지를 피해 내부망의 정보를 수집하면서 목표 시스템으로 이동한다.

 

악성코드는 Alware Based Attack에서 Non-malware based Attack으로 진화하고 있다. 악성코드를 시스템 메모리에서 바로 실행시켜 악성파일의 흔적이 남지 않는 Fileless 공격과 타겟 호스트에 설치되어 있는 도구로 공격하는 Living off the land 형태를 띠고 있다.

 

이처럼 진화한 해킹사고는 다양한 시나리오를 바탕으로 알려지지 않은 위협(Unknown Threat)이 발생한다.하지만 기존 보안 플랫폼은 여전히 패턴과 시그니처를 기반으로 공격을 탐지하고 있다.

 

기존의 방식은 공격의 탐지가 불가능할 뿐만 아니라 공격 차단, 탐지하지 못한 이벤트의 로그 또한 수집하지 못하는 한계점이 있다.

 

 

로그 호환성

SIEM, ESM은 통합 로그분석 기능을 제공하는 솔루션이다. 하지만 이기종 솔루션 간의 로그는 호환이 되지 않는 문제점이 있다.

 

솔루션간 호환성이 떨어지면 누락되는 로그가 발생해 타임라인에 공백이 생길 수 있다.

침해사고의 정확한 분석은 데이터 가시성이 확보되어야 가능하다.

 

 

---

EDR의 등장

기본 보안 솔루션의 한계를 해결하기 위해 EDR이 고안되었다.

EDR(Endpoint Detection & Response)은 APT 공격은 완벽하게 차단할 수 없다는 개념에서 출발했다.

 

Endpoint에서 발생하는 이벤트(파일, 레지스트리, 프로세스, 네트워크 등)를 지속적으로 수집하여 보안 위협을 파악하고 사고를 빠르게 대응하는 솔루션으로 차단보다 사후 대응에 초점을 맞춘다.

 

Endpoint에서 수집한 목록을 바탕으로 알려지지 않은 위협(Unknown Threat)을 탐지하기 때문에 해당 위협이 실제 공격 행위인지 분석하는 과정이 필요하다. 공격 행위를 분석하고 대응하는 과정은 Threat Intelligence를 기반으로 한다.

 

Threat Intelligence란 공격자의 전술(Tactics), 기법(Techniques), 절차(Procedures) 등 과거의 공격 정보를 수집한 공유지식(OSINT)으로, 보안 위협을 분석하거나 대응 방법을 결정할 근거가 된다.

 

다만, EDR은 탐지되는 위협 이벤트가 방대하고 이벤트를 분석할 수 있는 고급인력이 부족해 SOAR와 함께 사용되기도 한다.

SOAR(Security Orchestration, Automation & Response)는 보안 위협 중앙관리 및 자동화 솔루션이다. Endpoint에서 발생한 위협 이벤트를 중앙에 모아 자동으로 위협 종류와 오탐·정탐·미탐을 분석한다.