News/ Event

김대환 소만사 대표 “싱글에이전트 엔드포인트 보안전략”

[보도자료] | 2020-05-29

소만사, 현재 DLP를 넘어 EDR 시장으로 진입 상반기 최대 개인정보보호 정보보안 컨퍼런스 G-PRIVACY 2020이 5월 28일 더케이호텔서울 가야금홀에서 성황리에 개최됐다. 이 자리에서 소만사 김대환 대표는 ‘싱글에이전트 엔드포인트 보안전략’을 주제로 키노트 발표를 진행했다. 회사 업무용 PC에는 너무나도 많은 보안 에이전트들이 설치되어 있다. 어림잡아 6~10개의 에이전트가 깔려있다. 엔드포인트 보안 에이전트의 과다한 설치는 다음과 같은 문제를 일으킬 수 있다. 부팅 시간은 지연되며, PC 성능은 저하된다. 후킹 장애로 인해 블루스크린이 뜰 때도 있다. 의도적으로 충돌을 피하기 위해 회피기능을 탑재하게 된다면, 보안의 허점이 발생할 수도 있다. 각기 탐지하는 개인정보 패턴 탐지율이 달라 같은 파일을 검출하더라도 USB 매체제어 솔루션은 100의 주민번호를, 출력제어 솔루션은 200개의 주민번호를 탐지할 수도 있다. 모든 기능이 탑재된 싱글에이전트를 사용할 경우 위와 같은 문제는 사라진다. 부팅은 빨라지고, PC 성능은 가벼워진다. 하나의 프로세스로 움직이기에 후킹장애, 충돌회피의 문제에서 벗어나게 된다. 같은 제품이기에 개인정보 패턴 검출에도 일관성을 가질 수 있게 된다. ​ 그렇다면, 싱글에이전트 통합 전략은 실현 가능성이 있는 기술일까? 소만사는 12년 이상을 고민해왔다. 개인정보 검출·파기부터 매체통제, 빅데이터 검색엔진 개발, 맥OS 지원, 그리고 EDR까지 하나의 에이전트에서 일관된 정책 하에 보안이 가능하도록 개발해왔다. ​ 소만사는 현재 DLP를 넘어, EDR 시장으로 진입하고 있다. 바이러스 변종 대응, APT샌드박스 우회, 클라우드 시대의 도래로 인해 기존 솔루션으로는 효과적으로 대응하기 어려워졌다. ​ 안티바이러스가 활용하고 있는 시그니처 기반 보안방식은 단순한 변종에 취약하다. 샌드박스는 우회가 가능하기에 무용론이 대두되고 있다. 사내 네트워크는 더 이상 안전하지 않다. 제로데이 공격이 발생할 경우 신속하게 확산을 막아야 피해가 최소화된다. 따라서 엔드포인트 PC에서 발생하는 모든 프로세스들의 행위를 실시간으로 수집한 후에 이에 따라 보호하는 것이 주류로 떠오르게 되었다. ​ EDR은 행위 기반으로 악성코드를 식별한다. 프로세스, 레지스트리, 파일생성 등 실제 행위정보를 토대로 수집하기 때문에 악성행위에 대한 정확도가 높다. 따라서 변종 식별능력과 제로데이 대응능력이 높은 편이다. 따라서 조직 내의 엔드포인트에서 발생하는 위협행위를 탐지하고 이에 대해 빠르게 대응할 수 있다. 이것이 EDR의 방식이다. ​ 탐지된 위협 중 이미 데이터베이스에 기록된 위협은 엔드포인트 단에서 차단된다. 그러나 의심스러운 정황이 포착될 경우에는 상위 서버로 악성여부를 조회하고 사내 PC 및 EDR 데이터베이스를 공유하고 있는 다른 기업·기관의 서버로 전송된다. 악성행위 데이터베이스 공유는 사내에 국한되지 않기 때문에 알려지지 않은 위협이 타 기관에서 발생하더라도 적시에 대응할 수 있다. 소만사는 EDR과 DLP 에이전트를 통합한 제품으로 차별화하고자 한다. 개인정보·컨텐츠 분석기술을 토대로 주요정보부터 우선 식별해 악성코드 감염부터 정보유출까지 모두 통제하고자 한다. ​ 김대환 소만사 대표의 G-PRIVACY 2020 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. ​ ★정보보안 대표 미디어 데일리시큐!★ ​ 저작권자 © 데일리시큐 무단전재 및 재배포 금지 ​ https://www.dailysecu.com/news/articleView.html?idxno=109267

목록