소만사 (대표 김대환) ‘Privacy-i EDR’이
전자신문 2019년 하반기 인기상품에서 품질우수 상품으로 선정됐다.
지능화된 악성코드는 소스 안에 의미없는 행동인 노이즈를 섞어 악성코드의 농도를 옅게 만든다. 이를 통해 안티바이러스 솔루션을 회피한다. 때때로 APT 솔루션 탐지기능을 탑재하거나 초기 접속 후 일정 시간이 지난 후 활동을 개시하도록 악성코드를 만들기도 한다. APT 대응 솔루션을 우회하기 위해서다.
악성코드를 심은 해커는 초기 접속 성공하게 된다. 이후 PC내에서 권한상승을 조작하고 중요정보를 획득하게 된다. 해커는 PC, 서버와 같은 엔드포인트에서 대량의 개인정보/기밀정보를 유출하거나 파일을 변조, 파괴, 암호화시킨다. 이는 기업의 가치를 하락시킨다. 형사소송, 손해배상 소송 등 금전적 손해와 동시에 고객의 신뢰와 브랜드 이미지를 추락시킨다.
새로운 악성코드 공격방식은 매우 치밀하고 영리하다. 기존의 솔루션으로 일거에 방어하기란 사실상 어려워졌다. 신기술이 제시되었다. 악성행위가 실제로 발생하는 엔드포인트 단에서 행위정보를 수집하는 것이다. 실제 정보를 수집한 후 실시간으로 대응해 신규 악성코드, 변종바이러스, 이미 알려진 바이러스에 대응하는 기술이 바로 EDR(엔드포인트 위협 탐지 및 대응) 솔루션이다.
정보가 공격받는 양상은 크게 두가지로 나뉜다. 첫번째는 외부공격에 의한 정보유출이다. 두번째는 정보의 파괴, 변조, 암호화이다. 우리에게 익숙한 랜섬웨어를 떠올리면 된다. 소만사는 정보유출차단에 관한 문제에서는 적극적으로 대응해왔다. 다만 랜섬웨어 공격을 통해 정보가 파괴, 변조, 암호화되는 문제에서는 적극적으로 대응하지 못했다. 기존 유해사이트 차단 솔루션으로 네트워크부터 엔드포인트까지 통제하는데 한계가 있었기 때문이다.
소만사는 자사 엔드포인트 DLP(내부정보 유출방지) 솔루션 ‘Privacy-i’에 EDR 기능을 탑재했다. 이를 통해 다음과 같은 강점을 가질 수 있게 되었다.
첫번째, 데이터의 중요도에 따라서 보호수준을 차별화한다. 주기적으로 엔드포인트 안에 보관된 주요 기밀, 개인정보를 식별한다. 악성행위 등 보안위협 감지될 경우 엔드포인트에 설치된 탐지엔진이 기밀정보/개인정보 같은 중요정보부터 우선 보호한다. 회사기밀정보, 고객정보 등 중요정보의 랜섬웨어 감염, 정보탈취 및 유출에 신속하게 대응할 수 있다.
두번째, ‘Privacy-i’를 보유 중인 기업은 에이전트 추가없이 기존 ‘Privacy-i’ 에이전트에 EDR 기능을 추가하여 사용할 수 있다. 이를 통해 엔드포인드 DLP만 설치했던 기업도 에이전트 업그레이드 하나만으로 악성코드 차단부터 유출통제까지 전 구간의 데이터보호를 수행할 수 있게 된다. 기존 설치된 에이전트에 EDR을 추가하는 방식을 사용하기 때문에 프로젝트 기간도 단축시킬 수 있다.
세번째, 통합 사이버 킬체인 보고서인 ‘MITRE ATT&CK’ 프레임을 반영했다. 악성행위의 전술부터탐지방법, 피해경감기법까지 모두 적용해 탐지 및 대응을 고도화했다. 최근의 추세는 ‘EDR 솔루션’에 ‘MITRE ATT&CK’을 얼마나 많이 적용하였는지에 따라 ‘솔루션의 성능’이 평가되고 있다.
소만사 최일훈 부사장은 “소만사는 창립이래로 23년간 정보보호에 집중투자하고 있다. DLP, DB접근제어, 악성코드 차단 등 개인정보보호 솔루션만 만들어 왔다. 회사 내 모든 곳에 저장된 정보의 중요도를 구분하고 통합 관리할 수 있는 기업은 소만사 하나뿐” 이라며 “이후로도 모바일 EDR, EDR 빅데이터 분석 플랫폼 개발 등 기존제품을 고도화할 수 있는 기술을 개발해 고객들에게 제공하고자 한다.” 고 말했다.
‘Privacy-i EDR’은 기존 엔드포인트 DLP 솔루션을 사용중인 기업, 공공, 금융기관 중심으로 레퍼런스를 확보하고자 한다. 2020년 하반기에는 신규고객 확보에도 힘을 쏟고자 한다.