7월 발생한 크라우드스트라이크 장애 사태 후 엔드포인트 탐지 및 대응(EDR) 시장에선 안정성과 신뢰성의 중요성은 더욱 부각되었다. 그러나 업계 분석가들은 7월 19일 크라우드스트라이크의 콘텐츠 업데이트 오류가 큰 혼란을 야기했음에도 불구하고, 대다수 기업이 크라우드스트라이크의 팰콘 EDR 솔루션을 계속 사용할 것으로 전망하고 있다.
EDR 기술은 서버, PC, 기타 기기 등의 엔드포인트를 모니터링하여 악성 위협을 탐지하고 완화한다. 이 기술은 엔드포인트 데이터를 지속적으로 모니터링하고 수집하며, 이를 분석하고 자동으로 대응하는 기능을 갖추고 있다. 사전 설정된 규칙에 따라 특정 사용자를 로그아웃시키거나 경고 알람을 보내주는 식이다. EDR 시스템은 일반적으로 행동 분석과 머신러닝을 활용해 의심스러운 활동의 징후를 감지한다.
EDR 시장의 주요 기업으로는 카본블랙, 시스코, 크라우드스트라이크, 마이크로소프트, 팔로알토 네트웍스, 센티넬원, 시만텍, 트렌드 마이크로 등이 있다.
재앙의 시작
크라우드스트라이크 사태의 시작은 팔콘 센서(Falcon Sensor)다. 크라우드스트라이크의 EDR 솔루션인 팔콘 센서에 설정 업데이트 과정에서 오류가 있었는데, 이는 윈도우 PC와 서버에서 시스템 충돌과 부팅 반복 문제를 일으켰다. 문제를 발생시킨 업데이트 자체는 신속히 제거됐지만, 이로 인한 서비스 중단은 항공사, 은행, 병원을 포함한 여러 분야의 전 세계 조직에 영향을 미쳤다.
업데이트 관련 문제는 안티멀웨어와 EDR 제품에서 흔히 발생하는 취약점으로 알려져 있다. 그러나 7월 크라우드스트라이크 사태는 유사한 선례들보다 훨씬 더 심각한 영향을 미쳤다.
포레스터의 수석 애널리스트 앨리 멜렌은 CSO와의 인터뷰에서 “크라우드스트라이크의 브랜드는 신뢰를 기반으로 운영되는데, 이번 사건으로 인해 그 신뢰가 훼손되었다”라며 “하지만 고객은 보안 기술력과 확고한 시장 입지를 고려해 크라우드스트라이크를 계속 사용할 것으로 보인다”라고 밝혔다.
장애 이후 크라우드스트라이크는 사전 테스트 절차를 강화하고 품질 관리 개선을 통해 고객들의 불만을 해소했다. IDC의 연구 책임자인 마이크 주드는 “크라우드스트라이크는 테스트를 더 많이 하겠다고 약속했고, 고객 스스로 업데이트를 배포하는 방법을 선택할 수 있도록 지원했다”라며 “고객이 특정 릴리스 설치를 ‘취소’해 이전 단계로 돌이킬 수 있는 선택권을 제공한다”고 덧붙였다.
주드는 이번 서비스 중단 사태가 크라우드스트라이크의 평판에 타격을 주긴 했지만, 대규모 고객 이탈이나 시장 점유율 감소를 가져오진 않을 것으로 분석했다.
포레스터의 멜렌은 “가동 중단으로 고객사는 모든 EDR 벤더에 대한 면밀한 조사를 실시했으며, 크라우드스트라이크는 다른 벤더보다 더 많은 관심을 받았다”라고 “앞으로 다른 EDR 벤더들 역시 소프트웨어 업데이트나 간단한 구성 파일 업데이트가 커널에 어떻게, 그리고 언제 전송되는지에 대해 고객에게 질문을 받을 것이다. 또한, 고객은 소프트웨어 품질 보증, 테스트 절차, 업데이트 관리 방식에 대해 벤더에게 묻고 확인할 것이다”라고 설명했다.
커널 보안 기술의 미래
지난달 마이크로소프트가 주최한 엔드 포인트 주제의 보안 서밋에서는 다수의 벤더가 참석한 가운데 커널 내 엔드포인트 보안 소프트웨어의 미래에 대해 논의가 이루어졌다.
일반적인 윈도우 애플리케이션 개발자와 달리 보안 벤더들은 악성 소프트웨어를 더 잘 감지하고 사용자 애플리케이션 레이어 아래에서 작동하는 부트로더(장치가 켜질 때 운영체제를 시작하기 위해 필요한 프로그램) 관련 보안 조치를 위해 커널 드라이버를 로드할 수 있는 권한을 가지고 있다.
이때 커널(Ring 0) 드라이버를 로드하는 것은 문제가 될 수 있는데, 그 이유는 시스템 전체가 아닌 개별 애플리케이션이 충돌할 위험이 있기 때문이다. 서밋에서 마이크로소프트는 윈도우 보안 소프트웨어가 커널과 상호작용하는 방식을 변경하고자 한다는 의사를 밝혔지만, 구체적인 세부 사항이나 일정은 제공하지 않았다.
IDC의 주드는 “마이크로소프트는 커널 위에 추상화 계층을 추가하려고 제안하고 있으며, 이 방식은 성능에 영향을 주지 않고도 가능할 수 있다”라고 밝혔다. 이러한 접근 방식은 사고 방지 기능을 강화할 수 있지만, 마이크로소프트가 자체 보안 솔루션인 윈도우 디펜더를 보유하고 있다는 점에서 우려가 제기된다. 새로운 방식이 도입될 경우, 마이크로소프트가 다른 보안 벤더들에 비해 유리한 위치를 선점할 수 있어 EDR 시장에서 공정한 경쟁 환경이 훼손될 가능성이 있다는 것이다.
테스트 강화하는 벤더
게임 전문 매체 GTA 붐(GTA Boom)의 수석 기술 기고자인 마이클 로버트는 보안 분야의 리셀러, 기술통합업체, 총판사 등이 크라우드스트라이크의 사태 이후 고객에게 신뢰성과 백업 계획의 중요성을 더 강조하고 있다고 전했다.
로버트는 “EDR 솔루션 관련 채널 파트너가 안정성과 백업 기능에 대한 질문을 더 많이 받는 상황이다”라며 “많은 고객이 테스트 절차와 점진적인 백업과 관련한 까다로운 질문을 하고 있다”라고 설명했다.
또한 EDR 솔루션 업체는 고객에게 자체적인 테스트 절차가 업데이트 문제를 사전에 발견할 수 있을 만큼 충분히 안전하다는 점을 강조하고 있다. 로버트에 따르면 “보안 벤더들이 더 높은 수준의 신뢰성을 강조하고 있으며, 그들의 테스트 절차에 대해 더 투명하게 설명하고 있다”라고 설명했다.
AI 기반 소프트웨어 테스트 플랫폼을 개발하는 버추어소QA(VirtuosoQA) 설립자 휴고 파리냐는 크라우드스트라이크 중단 사태로 ” 강력한 테스트 절차와 비상 계획의 중요성을 업계에 각인시켰다”라고 언급했다.
파리냐는 CSO에게 “크라우드스트라이크 장애는 EDR 솔루션의 신뢰성뿐만 아니라 전체 IT 인프라의 복원력을 재검토해야 할 필요성을 일깨워준 사건”이라며 “기능 및 성능 측면에서 정기적인 시스템 테스트는 앞으로 필수적이며, 탄탄한 테스트로 예기치 못한 공급업체의 장애 상황에서도 서비스가 원활히 운영될 수 있도록 보장할 수 있을 것”이라고 밝혔다.
통합되는 시장 그리고 AI
EDR 시장은 계속해서 진화하고 있으며, 주요 기업들은 자사의 솔루션을 강화하기 위해 소규모 기업을 인수하고 있다.
클라우드 보안 기업 아머 디펜스(Armor Defense)의 GRC/P 보안 자문가인 테미 아킨레이드는 “기업들은 AI 기반 자동화와 인간 감독 사이의 균형을 맞추고, 자사의 보안 태세가 신뢰성을 유지하도록 하는 데 집중하고 있다”고 전했다.
포레스터의 멜렌은 “XDR(확장 탐지 및 대응) 기술을 중심으로 한 제품 혁신이 현재 엔드포인트 보안 시장에서 중요한 동력이 되고 있다”라며 “벤더들은 엔드포인트를 넘어 기능을 확장하고 있으며, 혼란스러운 SIEM(보안 정보 및 이벤트 관리) 시장에서 시장 점유율을 높이기 위해 노력하고 있다”라고 전했다.
[email protected]
Read More from This Article: 장애 사태 후 오히려 입지 강화한 크라우드스트라이크··· EDR 시장 향후 동향은?
Source: News