보안업계, EDR ·EPP 단말 통합보안 '박차'

[아이뉴스24 최은정 기자] 단말 위협탐지·대응(EDR)과 단말 보호플랫폼(EPP) 기능을 통합 제공하는 보안기업이 늘고 있다.

EDR은 기업 내부 시스템에 침투한 악성코드의 체류시간을 늦춰 피해를 최소화하는 데 목적이 있다. PC, 서버, 가상 데스크톱 환경(VDI) 등 단말에 설치돼 위협정보 탐지, 수집·분석을 해 일종의 '백신' 역할을 한다.

다만 사람이 직접 수십만개 이상의 로그를 확인, 비정상 로그를 찾아내야 하는 등 번거로운 작업이 수반된다. 이에 따라 이에 더해 EPP를 보완재로 활용하려는 수요도 늘고 있는 것.

EPP는 기업 내부에 악성코드가 침투하기 전 사전에 이를 탐지·차단·격리하기 때문이다. 시그니처, 머신러닝(ML), 블랙리스트 등 기술이 기반이 된다.

3일 업계에 따르면 최근 EDR과 EPP 기능을 동시에 활용하려는 기업들이 늘면서 외산 보안기업을 중심으로 단말 통합보안 시장 공략도 본격화되는 양상이다.

파이어아이는 이미 2017년 11월 EDR에 EPP가 탑재된 제품 '파이어아이 HX'를 국내 정식으로 선보였다.

앞서 2014년 침해사고 조사 전문기업 맨디언트를 인수, 이후 3년뒤 글로벌 안티바이러스 엔진을 OEM 도입하면서 EDR+EPP 공략을 예고했다.

오진석 파이어아이 코리아 상무는 "내부 규정상 구체적인 도입사례 언급은 어려우나 2014년부터 지금까지 다양한 산업군에 약 50여개 이상 고객사가 도입해 운영중"이라며 "이들 고객사는 EDR+EPP 기능을 사용하고 있다"고 말했다.

블랙베리 사일런스는 국내 총판사 파고네트웍스를 통해 EPP 제품 '사일런스 프로텍트'에 EDR 기능을 접목해 하나의 모듈로 제공하고 있다. 지난 연말 국내 공식 출시했다.

사일런스 프로텍트는 ML을 사용해 스크립트, 파일리스, 메모리·외부 디바이스 기반 공격으로부터 보호하고, 멀웨어 감염을 차단하는 제품이다.

최신철 파고네트웍스 이사는 "먼저 EPP로 99%까지 최대한 방어율을 높이고, 여기서 우회한 파일리스(Fileless) 멀웨어 등 위협은 EDR에서 탐지할 수 있다"며 "원 벤더 싱글 에이전트 방식으로 이용할 수 있다"고 설명했다.

카본블랙은 EDR과 EPP 두 제품으로 나눠 공급중이다. 지난 2014년 EPP를 제공하는 비트나인을 인수하면서 EDR과 별도로 EPP도 함께 제공하고 있는 것.

카본블랙 관계자는 "현재도 클라우드 부문에서는 EDR과 EPP를 하나의 모듈에서 제공할 수 있다"면서도 "다만 아직 국내는 이에 대한 시장수요는 아직 크지 않은 상황"이라고 덧붙였다.

한편, 카본블랙은 지난해 8월 클라우드 컴퓨팅·플랫폼 업체 VM웨어에 인수된 바 있다.