EDR( Endpoint Detection Response )

EDR 솔루션 이란?

말 그대로 엔드포인트 위협 탐지 및 대응을 목적으로 하는 솔루션입니다. 여기서 엔드포인트란 단말기를 의미합니다. 즉 클라이언트 pc, 스마트폰, 태블릿 등을 의미합니다. EDR의 영역은 컨슈머 보안 영역(일반 사용자 영역)과 엔터프라이즈 보안 영역(기업 시스템을 사용하는 사용자들의 영역)으로 나뉘며, 현재는 기업 시스템을 사용하는 사용자들을 위한 보안이 일반적입니다. 이 영역에서 EDR 솔루션은 정보의 인증이나 암호화가 아닌 공격에대한 탐지와 그것에 대한 대응하는 영역입니다. 그렇다고 EDR이 백신이나, HIPS는 아닙니다. 백신도 단말기 안에 설치된 어플, 악성코드, 바이러스 등르 탐지하고 제거, 격리 하는 역할을 합니다. 둘이 같은 거 아냐? EDR에 일부 아니야 라고 생각 될 수 있지만 다릅니다. 백신같은 경우 아직까지 시그니쳐, 패턴 매칭 방식으로 파일을 백신의 패턴과 비교해 바이러스를 판단하여 제거, 격리 하는 역할을 합니다. 이러한 패턴이나 시그니처는 이미 피해를 입은 단말기를 분석해서 뽑아내는데, 사후 처리 방식으로 새로운 패턴의 악성코드나 바이러스에는 대응하지 못한다는 문제점을 가지고 있습니다. 지식 기반 탐지가 아닌 행위 기반, 즉 바이러스나 악성코드라고 의심이 되는 상황을 예측하는 백신들도 있지만 오탐율이 굉장히 높아 안쓰는 상황입니다. 공격이 아닌데 공격으로 판단하는 상황이 많다는 의미입니다. HIPS( 호스트 침입 방지 시스템 )은 단말기로 들어오는 네트워크를 검사해서 대응하는 솔루션입니다. 백신은 파일을 기준으로 검사한다는 점에서 차이가 있습니다. 하지만 HIPS 역시 룰 기반으로 시그니처, 패턴을 비교해서 맞거나 비슷하면 차단하는 시스템입니다. IPS와 달리 HIPS는 시스템 인프라에 설치 되되는 것이 아닌 PC에 설치 됩니다. HIPS 역시 백신과 같이 새로운 공격에는 대응 하기 어렵다는 문제점을 갖습니다. 이 두 솔루션 뿐만 아니라 인프라 보안 쪽 솔루션들(IPS, IDS, FW) 역시 룰 기반으로 선제 대응에 어려움을 가집니다. 이러한 솔루션들은 새로운 공격에는 업데이트 전까지 속수 무책으로 공격을 당해야하는 상황입니다. 이로인해 EDR 솔루션이 각광 받고 있습니다.   EDR의 가장 큰 특징은 탐지하는 방식이 한가지 방식이 아니라는 것입니다.  앞서 말한 솔루션 들도 탐지하는 방식 2~3개 이상이 되지만 EDR은 사용자의 활동과 행동을 관찰하고 뿐만아니라 백그라운드에 동작하는 어플들의 활동을 관찰하여 위협을 판단하는 능동적 탐지를 수행합니다. 이러한 탐지 수행을 위해 빅데이터 기법, 머신러닝 기법, 인공지능 기법 등이 활용됩니다.    즉 EDR 솔루션이 앞서 언급한 백신이나 HIPS와 완전 다른 솔루션이 아닌 이들 솔루션들을 적극적으로 활용하면서 그 시그니처나 패턴, 룰, 정책을 머신러닝과 인공지능을 통해, 또는 외부의 다양한 채널을 통해 들어온 데이터를 기반으로 만들어서 업데이트를 함으로 알려지지 않은 악성코드나 바이러스, 혹은 해킹 기법 등을 선제적으로 대응하게 하는 것이 EDR 솔루션이라고 할 수 있습니다.