[EMSISOFT] 클라우드 기반 보호와 엔드포인트 보호의 차이

[EMSISOFT] 클라우드 기반 보호와 엔드포인트 보호의 차이

[EMSISOFT] 클라우드 기반 보호와 엔드포인트 보호의 차이

 

 

개인용 컴퓨터는 존재해 온 기간과 거의 같은 기간 동안 악성 소프트웨어의 표적이 되어 왔습니다. 예상대로, 범죄자들이 목표를 달성하기 위해 노력함에 따라 위협은 지속적으로 진화해 왔으며, 엔드포인트 보호도 이에 맞춰 진화해 왔습니다.

현재 위협은 악성 소프트웨어에서만 비롯되는 것이 아니지만, 이 위협은 여전히 매우 현실적입니다. 위협 행위자들은 피해자의 장치에 접근하고 합법적인 소프트웨어를 활용해 탐지를 회피하는 점점 더 정교한 전략을 사용합니다. 엔드포인트 보호는 상대적으로 단순한 안티바이러스에서 고급 행동 분석으로 진화했으며, 최근에는 엔드포인트 보호 및 대응(EDR)으로 발전했습니다.

최신 분석 기술은 클라우드 기반 서비스의 채택을 이끌어냈으며, 이는 다음과 같은 질문을 제기합니다: 엔드포인트 기반 탐지에는 여전히 역할이 있을까요? 짧은 대답은 현지 및 클라우드 기반 탐지 모두 장점이 있으며, 최적의 솔루션은 두 가지를 모두 포함한다는 것입니다.

엔드포인트 보호(EDR 포함)의 주요 기능과 현지 vs 클라우드 탐지의 상대적 강점을 살펴보겠습니다:

 

시그니처 기반 악성 소프트웨어 탐지

전통적인 탐지 방법은 파일 시그니처와 매우 효율적인 알고리즘을 사용하여 알려진 악성 소프트웨어 변종으로부터 장치를 보호합니다. av-atlas.org에 따르면 2025년까지 매일 수억 대의 컴퓨터를 감염시키는 약 9억 6천만 개의 악성 소프트웨어 변종이 존재합니다. Emsisoft를 포함한 수십 개의 안티바이러스 엔진을 사용하여 의심스러운 파일을 분석하는 온라인 서비스인 VirusTotal은 20억 개 이상의 파일을 분석한 데이터셋을 보유하고 있습니다.

이러한 수치를 고려할 때, 정기적인 업데이트를 통해 현지에서 실행되는 시그니처 기반 탐지는 강력한 사이버 보안 전략에서 핵심적인 역할을 합니다. 알려진 위협을 신속하고 효율적으로 식별하는 데 가장 우수한 성능을 제공합니다. 이 탐지는 클라우드 솔루션의 내재된 지연 시간으로 인해 악성 소프트웨어에 유리한 상황을 제공할 수 있으며 사용자 경험을 저해할 수 있으므로 현지에서 실행되어야 합니다.

 

행동 분석  

탐지 및 복구 측면에서 실제 데이터는 전통적인 안티바이러스가 방어 전략으로서의 지속적인 가치를 입증합니다. 그러나 사이버 범죄자들은 이 성공에 대응해 새로운 방어 계층이 개발되었습니다: 지난 10년간 시중의 거의 모든 엔드포인트 보호 제품은 어떤 형태의 행동 분석 기능을 구현했습니다. 이 기능은 악의적인 의도를 나타내는 특정 활동 패턴을 탐지합니다.

시그니처 기반 탐지와 보완되지만, 악의적인 의도를 식별하는 데 있어 합법적인 소프트웨어가 가짜 양성 탐지를 유발할 수 있다는 도전 과제가 있습니다. 기존 애플리케이션의 업데이트는 합법성을 식별하기 위한 디지털 서명이 없는 경우가 많으며, 다중 읽기/쓰기 작업을 수행합니다. 이는 악성 소프트웨어의 행동과 매우 유사합니다. 가짜 양성은 최종 사용자에게 불편을 초래하지만, 탐지 필터를 조정하여 이를 제거하면 일부 악성 소프트웨어가 탐지되지 않을 수 있으므로 적절한 균형을 찾는 것이 핵심입니다.

허위 경보를 허용 가능한 수준으로 줄이는 것은 최근 몇 년간 많은 주목을 받은 기술인 머신러닝(ML)에 특히 적합합니다. 대규모 데이터셋으로 훈련된 엔드포인트 기반 ML은 악의적인 행동과 무해한 행동을 구분하고 허위 경보를 수십 배 줄입니다. 새로운 데이터셋으로 모델을 훈련하는 것은 매우 계산 집약적이지만, 모델을 사용하여 새로운 데이터를 테스트하는 것은 그렇지 않으며, 로컬에 배치하기에 적합합니다.

EDR  

엔드포인트 탐지 및 대응(EDR)은 위협의 복잡성이 증가함에 따라 진화하는 다층 보호 전략의 일환으로 지난 10년 동안 발전해 왔습니다. 이 약어는 마케팅에 의해 빠르게 채택되고 변형되며 훼손되었지만, 강력한 보안 아키텍처의 핵심 구성 요소로 입증되었습니다. EDR은 엔드포인트 데이터를 지속적으로 수집하여 분석하며, 장치 격리나 악성 프로세스 종료와 같은 적절한 조치를 자동으로 수행하도록 구성될 수 있습니다. EDR 시스템이 수집한 데이터는 무단 액세스와 같은 공격의 초기 징후를 탐지하는 데 유용하며, 사고 발생 후 철저한 포렌식 분석을 수행하는 데도 활용됩니다.

여러 엔드포인트의 데이터를 전체적으로 볼 때, 놓칠 수 있는 문제성 트렌드와 활동이 수면 위로 올라와 명확하게 드러날 수 있습니다. 모든 엔드포인트에서 수집된 데이터, 해당 데이터의 장기간 저장, 모든 데이터를 전체적으로 보고 드릴다운할 수 있는 기능으로 인해 EDR은 클라우드에 이상적으로 적합합니다.

 

 

관리 및 가시성  

가정이나 소규모 사무실 환경에서 몇 대의 장치에 엔드포인트 보호를 설치하는 것은 큰 부담이 되지 않으며, 일부 경우 중앙 관리가 필요하다는 점이 불필요한 부담이 될 수 있습니다. 그러나 장치 수가 몇 대를 넘어 성장하면, 중앙 애플리케이션에서 엔드포인트를 배포, 구성 및 모니터링할 수 있는 능력은 게임 체인저가 됩니다. 동일한 구성 템플릿을 생성하고 배포할 수 있을 뿐만 아니라, 모든 장치를 단일 뷰에서 모니터링할 수 있습니다. 다중 엔드포인트에 걸쳐 발생하는 활동은 식별, 조사, 대응이 훨씬 용이합니다. 클라우드에 캡처되고 저장된 EDR 데이터는 악의적인 침해나 손상으로부터 훨씬 덜 취약하며, 사고 후 포렌식 조사를 지원합니다. 요약하자면, 다중 기기의 중앙 관리는 클라우드 기반 아키텍처에 가장 적합합니다.

 

요약  결론

클라우드 기반 솔루션이 현대 IT 환경에서 표준이 되었지만, 로컬 엔드포인트 감지는 강력한 보안 태세를 유지하는 데 여전히 중요한 역할을 합니다.

각 감지 방법은 독특한 강점을 제공합니다:

 

• 로컬 보호는 알려진 위협에 대해 지연 시간 없이 빠르고 효율적인 방어를 제공합니다.
• 클라우드 기반 솔루션은 확장성, 중앙 집중형 가시성, 복잡하고 조정된 공격을 탐지하는 데 적합한 고급 분석 기능을 제공합니다.

 

하이브리드 접근 방식(로컬 탐지의 속도와 클라우드의 지능 및 확장성을 결합한)은 가장 효과적인 다층적 엔드포인트 보호를 제공합니다. 이 전략은 조직이 위협이 발생하거나 나타나는 방식이나 장소에 관계없이 실시간으로 예방, 탐지, 대응할 수 있도록 보장합니다.

EMSISOFT EDR은 현실적이면서도 비용 효과적인 차세대 AI EDR 제품입니다. 자세한 정보는 아래 홈페이지를 통해 더욱 확인해 보실 수 있습니다.

 

감사합니다.

 

EMSISOFT (주)소프트메일

https://www.emsisoft.co.kr

EMSISOFT 안티랜섬웨어 & EDR - 랜섬웨어 감염 예방