[논문]Smart EDR 시스템구축을 위한 보안전략과 발전방안

유승재

doi:10.33778/kcsa.2020.20.1.041

초록
AI-Helper

기업 시스템 환경에서 실제업무의 적용단계인 단말(Endpoint)에서 발생하는 의심스러운 행위를 탐지하고 통제하는 것은 조직의 비즈니스 환경을 안전하게 하는 가장 핵심적인 영역이라 할 것이다. 내외부로부터의 위협을 정확하게 탐지하고 차단하기 위해서는 조직 내 모든 단말의 모든 영역을 모니터링하고 관련 정보를 수집할 수 있어야 한다. 즉 끊임없는 악성코드의 도전으로부터 기업조직의 안전한 비즈니스 환경을 유지하기 위해서는 기존 보편화 되었던 알려진 패턴이나 시그니처, 정책, 룰 기준의 탐지와 방어 중심의 클라이언트 보안을 넘어 PC등 업무용 단말에서 발생하는 모든 일을 파악하고 모니터링 할 수 있도록 하는 EDR 솔루션 도입은 이제 보안의 필수적인 요소가 되고 있다. 이에 본 연구에서는 EDR솔루션에 요구되는 필수적인 기능을 살펴보고, 보안문제에 대한 능동적인 선행적 탐지를 기반으로 하는 지능적인 EDR시스템의 설계와 발전방안에 대해 연구하고자 한다.

Abstract ▼ AI-Helper

In the corporate information system environment, detecting and controlling suspicious behaviors occurring at the end point of the actual business application is the most important area to secure the organization's business environment. In order to accurately detect and block threats from inside and ...

In the corporate information system environment, detecting and controlling suspicious behaviors occurring at the end point of the actual business application is the most important area to secure the organization's business environment. In order to accurately detect and block threats from inside and outside, it is necessary to be able to monitor all areas of all terminals in the organization and collect relevant information. In other words, in order to maintain a secure business environment of a corporate organization from the constant challenge of malicious code, everything that occurs in a business terminal such as a PC beyond detection and defense-based client security based on known patterns, signatures, policies, and rules that have been universalized in the past. The introduction of an EDR solution to enable identification and monitoring is now an essential element of security. In this study, we will look at the essential functions required for EDR solutions, and also study the design and development plans of smart EDR systems based on active and proactive detection of security threats.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

CONCERT(한국침해사고대응팀협의회)는 한국CPO포럼과 공동으로 발표한 Security Consumer Report에서 EDR솔루션의 필요성과 도입의 효과성을 통해 EDR솔루션을 운영하고 있거나 향후 도입을 계획하는 기업에게 유용한 정보를 제공하기 위해 주요 제품들에 대한 비교 평가를 실시하고 그 결과를 발표하였다.
이 연구에서는 이미 보편화 되었던 미리 만들어진 패턴이나 시그니처, 정책, 룰 기준의 탐지와 방어 중심 의 클라이언트보안에서 보안문제에 대한 능동적인 선행적 탐지를 기반으로 하는 스마트 EDR시스템으로의 발전방안에 대해 연구하고자 한다.

제안 방법

EDR솔루션이 제공하는 탐지와 대응, 엔드포인트단에서 의 가시화부분에 초점을 맞추어 EDR 솔루션의 평가항목으로 탐지엔진 및 기술(9), 인스턴트 분석정보(24), EDR Endpoint(13), 인스턴트 처리(6), 관리(3), 리포팅(3) 등의 6개 영역에서 총 58개의 항목을 세분화 하여 제시 하고 사이버리즌, 시만텍, 엔피코어, 지니언스, 카스퍼스 키, 트렌드마이크로, 파이어아이, 팔로알토 등 8개 업체 의 제품을 대상을 평가를 실시하여 EDR의 도입 운영에 대한 주요한 참고정보를 제공하였다. 그리고 EDR솔루션이 반드시 가져야 할 기능으로서 엔드포인트 시스템레벨 동작으로 이벤트를 기록하고 중앙데이터베이스에 저장 하고, 알려진IOC(침해지표)와 행위분석기술을 사용하여 침해를 조기에 식별하기 위한 지속적인 검색을 수행하며 공격의 범위를 신속하게 조사하고 빠른 대응 등을 제시 하고 있다.
글로벌 기업 C사에서는 조사 발표한 2016 NSS Labs BDS테스트보고서에 포함된 엔드포인트보안솔루션 성능비교를 제시하였는데, 이 자료는 4개의 솔루션 (자사솔루션1, 경쟁사 솔루션3개)에 대해 탐지(12), 대응 (5), 아키텍처(4), 위협인텔리전스(7) 등 4개의 영역에 서 28개의 항목에 대한 성능과 기능을 비교 평가하였다.[14]
구체적으로 보면, (그림 4)에서 참고할 수 있듯이. 소프트웨어 이상요소, 메모리 이상요소, 사용자이상요소, 네트워크 이상요소 뿐만 아니라 신경망머신러닝 기반 탐지와 보안위협 인텔리전스 소스기반 탐지를 수행한다. 시각적 링크 분석을 통해 서로 다른 데이터 유형 간의 복잡한 관계를 분석하고 개념적으로 연결하는 기능을 수행한다.
소프트웨어 이상요소, 메모리 이상요소, 사용자이상요소, 네트워크 이상요소 뿐만 아니라 신경망머신러닝 기반 탐지와 보안위협 인텔리전스 소스기반 탐지를 수행한다. 시각적 링크 분석을 통해 서로 다른 데이터 유형 간의 복잡한 관계를 분석하고 개념적으로 연결하는 기능을 수행한다. 자동화(Automation)로는 자동화된 침해 사고 플레이북 규칙에 따른 분석, 자동화된 아티 팩트 수집으로 엔드포인트 활동에 대한 심도 있는 가시성 확보 등 숙련된 조사 팀의 베스트 프랙티스 활용하는 기능이다.

후속연구

즉 능동적인 탐지와 대응을 통해 이전의 오진 및 오탐으로 인한 피해와 부작용 최소화하고, 기존 악성코드로부터 새로운 악성코드로의 변형을 예측하는 과정에서의 발생되는 오탐과 에러를 줄이기 축적된 많은 악성코드 로-데이터를 빅데이터 시스템과 인공지능 머신러닝과 결합하여 엔드포인트 공격의 요소를 보완하고 취약점을 해결하며, 개인 이용자와 소규모 기업 에 적합한 환경으로 구현하도록 제공해야 할 것이다. 더 나아가 초연결사회를 지향하는 지능정보사회에서 수많은 디바이스들 간의 연결로 생산되는 엄청난 양의 정보를 안전하게 관리하는 문제는 미래의 중요한 보안이슈를 고려하여 단말의 부하를 최소화한 수집과 탐지가 가능하며 기 알려진 위협은 물론 비정상적인 행위(위협 의심파일 및 File-less 공격 기반 등)분석과 네트워크상의 위협 의심 정보와의 연동하여 네트워크상의 이상이 엔드포인트에서의 악성행위나 악성파일 생성으로 이어졌는지 분석&반대 상황도 분석이 가능하도록 구현되어야 할 것이다. 아울러 인공지능머신러닝 기술을 기반으로 진화하는 엔드포인트보안은 실시간 탐지와 선제적 차단을 가장 우선으로 하고 있으며 그 기법의 안정적 운용과 적합성에 대해 명확하게 수학적모델과 알고리즘으로의 증명이 필수적인 요건이라 할 것이다.
즉 능동적인 탐지와 대응을 통해 이전의 오진 및 오탐으로 인한 피해와 부작용 최소화하고, 기존 악성코드로부터 새로운 악성코드로의 변형을 예측하는 과정에서의 발생되는 오탐과 에러를 줄이기 축적된 많은 악성코드 로-데이터를 빅데이터 시스템과 인공지능 머신러닝과 결합하여 엔드포인트 공격의 요소를 보완하고 취약점을 해결하며, 개인 이용자와 소규모 기업 에 적합한 환경으로 구현하도록 제공해야 할 것이다. 더 나아가 초연결사회를 지향하는 지능정보사회에서 수많은 디바이스들 간의 연결로 생산되는 엄청난 양의 정보를 안전하게 관리하는 문제는 미래의 중요한 보안이슈를 고려하여 단말의 부하를 최소화한 수집과 탐지가 가능하며 기 알려진 위협은 물론 비정상적인 행위(위협 의심파일 및 File-less 공격 기반 등)분석과 네트워크상의 위협 의심 정보와의 연동하여 네트워크상의 이상이 엔드포인트에서의 악성행위나 악성파일 생성으로 이어졌는지 분석&반대 상황도 분석이 가능하도록 구현되어야 할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	EDR이 핫한 솔루션으로 평가되었던 이유는 무엇인가?	즉 기존 방화벽, IDS, 접근제어시스템 등 대부분의 보안제품들은 외부에서 내부로의 트래픽에 대한 보안강화가 목적이므로 내부 사용자들의 다양한 단말 디바 이스 이용으로 인해 발생할 수 있는 보안위협에 대해서는 적절한 대응이 어렵다는 문제점을 갖고 있다. 한 편 엔드포인트에서의 위협 탐지 및 대응 솔루션으로 일려진 EDR은 내부 사용자들의 단말기에서 발생하는 여러 상황을 탐지하고 대응할 수 있는 행위 위주의 보안솔루션으로서 사용자 어플리케이션을 통한 악성 코드 유입, 제로데이와 같은 패치되지 않은 신규 취약점에 대한 능동적인 대처에 최적화된 대응으로 평가 되어 지난 해 세계 보안 분야에서 가장 핫 했던 솔루 션으로 평가되고 있다.[8]
	BYOD 장치는 무엇인가?	또한 기업업무 환경을 구성에 있어서 이러한 BYOD 장치(PC, 노트북, 휴대폰, 각종 모바일 디바이스 등)들은 단말(Endpoint)에 해당되며 이곳에서 수많은 위협 요소와 취약점이 노출되고 있어 어에 대한 대응이 중요한 이슈로 자리매김하고 있다. 즉 기존 방화벽, IDS, 접근제어시스템 등 대부분의 보안제품들은 외부에서 내부로의 트래픽에 대한 보안강화가 목적이므로 내부 사용자들의 다양한 단말 디바 이스 이용으로 인해 발생할 수 있는 보안위협에 대해서는 적절한 대응이 어렵다는 문제점을 갖고 있다.
	기업업무 환경에서 기존 보안제품들의 문제점은 무엇인가?	또한 기업업무 환경을 구성에 있어서 이러한 BYOD 장치(PC, 노트북, 휴대폰, 각종 모바일 디바이스 등)들은 단말(Endpoint)에 해당되며 이곳에서 수많은 위협 요소와 취약점이 노출되고 있어 어에 대한 대응이 중요한 이슈로 자리매김하고 있다. 즉 기존 방화벽, IDS, 접근제어시스템 등 대부분의 보안제품들은 외부에서 내부로의 트래픽에 대한 보안강화가 목적이므로 내부 사용자들의 다양한 단말 디바 이스 이용으로 인해 발생할 수 있는 보안위협에 대해서는 적절한 대응이 어렵다는 문제점을 갖고 있다. 한 편 엔드포인트에서의 위협 탐지 및 대응 솔루션으로 일려진 EDR은 내부 사용자들의 단말기에서 발생하는 여러 상황을 탐지하고 대응할 수 있는 행위 위주의 보안솔루션으로서 사용자 어플리케이션을 통한 악성 코드 유입, 제로데이와 같은 패치되지 않은 신규 취약점에 대한 능동적인 대처에 최적화된 대응으로 평가 되어 지난 해 세계 보안 분야에서 가장 핫 했던 솔루 션으로 평가되고 있다.

참고문헌 (15)

Seung Jae Yoo, "Study on Improving Endpoint Security Technology", 융합보안논문지 제18권 제3호 pp.19-25, 2018.

원문보기 상세보기
John R. Vacca, Computer and Information Security Handbook, Elsevier, 2013
박원형 외 3인, "보안관제 위협 이벤트 탐지규칙 표준 명명법 연구", 융합보안논문지 제15권 제4호 pp.89-96, 2015.
김귀남 외1명, "데이터 마이닝 기반 보안관제시스템", 정보보안논문지 제11권 6호, 3-8, 2011.

원문보기 상세보기
시만텍 인터넷 보안 위협 보고서(ISTR), 제22호, 2017.
이스트시큐리티 보안동향보고서 No.126 2020.
The Evolution of ED_Acceleration of Intelligence and Actions, 2019. www.cylance.com.
Genian Insights E v2.0, http://genians.co.kr/
What is Endpoint Detection and Response (EDR)? 2019. www.crowdstrike.com/
EPP VS EDR-WHAT'S THE DIFFERENCE?, 2019, https://www.redscan.com/
이스트시큐리티, www.estsecurity.com
가트너, www.gartner.com
안랩, www.ahnlab.com
2016 NSS Labs BDS 테스트보고서, 2016, Cisco
"Security Consumer Report-EDR 솔루션", CONCERT & 한국CPO포럼, 2019.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

Smart EDR 시스템구축을 위한 보안전략과 발전방안
A Study on Smart EDR System Security Development 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

후속연구

질의응답

참고문헌 (15)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

Smart EDR 시스템구축을 위한 보안전략과 발전방안 A Study on Smart EDR System Security Development 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

후속연구

질의응답

참고문헌 (15)

이 논문을 인용한 문헌

저자의 다른 논문 :

유승재 (34)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

Smart EDR 시스템구축을 위한 보안전략과 발전방안
A Study on Smart EDR System Security Development 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper