EDR이란? (Endpoint Detection and Response, 엔드포인트 탐지 및 대응), EDR 솔루션

EDR(Endpoint Detection and Response)이란?

 

 아직까지 일반적인 클라이언트에서 가장 많이 활용화 되고 있는 것은 단연 일반적인 백신이다. 그러나 사이버 공격은 나날이 지능화 되어 가고 있기 때문에, 기존의 백신으로는 제로데이 공격, APT 공격을 비롯한 현 공격 추세에 적절한 솔루션이라고 말하기에는 무리가 있다. 그래서 이러한 한계점을 어느정도 보완할 수 있는 클라이언트 보안 솔루션이 바로 EDR이다. Endpoint Detection and Response 단어 그 자체에서도 알 수 있듯이, 엔드포인트 위주의 보안 솔루션을 일컫는다.

 

 EDR이란 클라이언트 자체에서의 보안을 말하는데, 클라이언트에 설치되어 특정한 행동이나 이상징후가 보이면 바로 탐지 그리고 그것에 대한 대응을 한다. 이러한 특징을 가지는 것에 대표는 백신이라고 할 수 있다. 그러나 백신과 다른 이유는 백신이 시그니처와 패턴 위주로 악성 공격을 탐지한다고 하면, EDR은 머신러닝과 인공지능을 활용해 탐지를 한다. 그렇다고 EDR이 패턴과 시그니처 탐지를 안 한다고 한다면 그것 또한 아니다. 클라이언트에 깔려 있는 EDR의 에이전트는 클라이언트의 거의 모든 행동을 관찰하고 분석하며, 그러한 관찰한 내용들을 서버에 있는 DB와 대조를 하고, 일치하는 것이 없으면 머신러닝과 인공지능을 이용해 위협을 대응해 가기 시작한다. (예를 들어 클라이언트가 메일을 보고 행위를 취할 때 메일을 분석하고 위협을 차단하거나 문서를 읽을 때 적절한 문서인지 판단하는 역할을 한다.)

 

 EDR은 HIPS(호스트 침입 방지 시스템)의 성질 또한 가지고 있다. EDR은 에이전트가 설치 된 클라이언트의 네트워크 트래픽을 분석하여 위협을 감지 및 처리한다.(HIPS는 네트워크와 프로세스를 기반으로 위협을 탐지하고 이 또한 솔루션 자체의 알고리즘으로 기존의 없던 공격을 차단하는 기능을 포함하고 있다.)

 

 에이전트에 수많은 행동들을 다 분석하기 때문에, 당연히 무거운 프로그램이 될 수밖에 없으며, 클라이언트뿐 만 아니라 서버 입장에서도 수 많은 정보를 수용하고, 지시를 내리기에는 많은 노력과 능력을 요구한다. 때문에 클라우드 형식으로, 기업에 직접적인 서버를 설치하여 관리하는 것이 아닌, 전문적인 관리 서버에 연결해 사용하는 방식을 선호한다.

 

  백신의 기능적인 부분에서 EDR은 한 단계 업그레이드되었다고 볼 수 있으며, 그렇기 때문에 기존 백신을 만들던 기업에서 강세를 보이는 추세이다.