EDR과 세그멘테이션의 차이점 이해하기
EDR(Endpoint Detection and Response)과 세그멘테이션은 고객에게 지속적으로 가치를 제공하기 위한 필수 보안 툴이며 두 가지 모두 도입률이 증가하고 있습니다. 각 범주에 속하는 벤더사들은 랜섬웨어와 제로데이 위협 차단 등 고객에게 유사한 장점을 제공하는 경우가 많습니다.
그렇다면 EDR과 세그멘테이션이 모두 해결할 수 있는 유사한 문제는 무엇이며, 그러한 과제를 해결하는 데 있어 각각의 접근 방식은 어떻게 다릅니까? 자세히 알아보세요.
EDR과 세그멘테이션은 어떻게 유사합니까?
EDR 솔루션과 세그멘테이션 솔루션은 모두 유출 전 관리는 물론 유출 후 방어 조치를 제공합니다. 또한 서버, 클라우드 인스턴스, 사용자 디바이스, 컨테이너 등 네트워크의 동일한 영역에서의 사용이 증가하고 있습니다. 유출은 불가피하지만두 솔루션 모두 유출로 인해 네트워크 전체가 광범위한 피해를 입기 전에 그 영향을 차단하거나 감소시킬 수 있습니다. 하지만 두 솔루션은 서로 다른 접근 방법으로 유출 가능성과 확산을 막습니다.
EDR과 세그멘테이션은 어떻게 다를까요?
EDR의 목적은 악성 공격을 탐지하는 데 있습니다. 악성 공격은 최초 디바이스나 서버를 노리기 때문에 EDR은 원치 않는 암호화 이벤트를 경고하고, 사이버 범죄 조직에 연결된 IP 연결을 탐지하고, 의심스러운 활동을 관리자에게 통보합니다. 인공 지능과 머신 러닝의 발전으로 EDR은 알려진 공격에 대한 파일 시그니처의 유사성을 기반으로 제로데이 공격을 식별하는 기능도 향상되었습니다.
세그멘테이션 솔루션은 네트워크를 분산된 버킷으로 분할하여 EDR이 탐지하지 못한 공격이 측면이나 동서 방향으로 이동하는 것을 제한합니다. 세그멘테이션 솔루션을 적절히 설정하여 중요한 애플리케이션 링펜싱, 정밀한 접속 제어, 위협 방어 정책을 활용하면 공격이 네트워크에 침투하더라도 장애물에 막히게 됩니다.
EDR은 공격의 시작을 탐지할 수 있지만 악성 이벤트를 100% 탐지할 수 있는 EDR 솔루션은 없습니다. 공격자가 탐지되지 않고 디바이스에 침투한 경우 공격 규모는 공격자가 다음으로 이동할 수 있는 위치, 즉 세그멘테이션이 실행될 때 정의됩니다.
세그멘테이션 솔루션과 네트워크 보안 제어는 해킹된 디바이스가 제한된 디바이스나 애플리케이션과만 연결할 수 있도록 보장할 수 있습니다. 예를 들어, 네트워크 보안 정책이 도난당한 인증정보의 데이터센터 연결을 금지하는 경우, 세그멘테이션은 도난당한 노트북 인증정보를 이용한 데이터 센터 침입을 막을 수 있습니다.
EDR과 세그멘테이션의 사용 사례 비교
사용 사례 |
EDR |
세그멘테이션 |
가시성 |
디바이스 내 가시성을 제공하고 상태를 보여 줍니다 |
디바이스 간, 애플리케이션, 네트워크, 워크로드 가시성을 제공합니다 |
랜섬웨어 방어 |
디바이스나 서버에 대한 공격을 탐지하는 것을 목표로 합니다 |
정밀한 동서 보안 조치를 구현하여 유출의 영향을 제한합니다 |
위협 조사 |
디바이스나 서버에서 이상 징후, 위협, 멀웨어 서명을 검색합니다 |
네트워크 전반에 걸쳐 쿼리 및 정책 업데이트를 수행하여 활성 또는 비활성 취약점을 식별합니다 공격 발생이나 확산 위치에 관계없이 전체 공격 체인을 조사합니다 |
진화하는 경계 보안 |
디바이스 위치에 관계없이 유사한 기능을 제공합니다 |
직원들이 애플리케이션에 원격 접속할 때 강력한 네트워크 세그멘테이션을 유지합니다 |
사용 사례: 가시성
EDR
EDR 솔루션은 설치된 디바이스의 행동에 대한 가시성을 제공합니다. EDR은 지속적으로 디바이스를 모니터링하여 알려진 위협과 잠재적으로 알려지지 않은 위협을 파악하고, 때로 머신 러닝을 사용해 정상적인 디바이스 행동을 이해한 다음, 비정상적인 행동이 발생하면 경고를 보냅니다. 지속적인 모니터링으로 인해 CPU 사용량이 증가할 수 있습니다.
세그멘테이션
환경을 철저히 분할하려면, 세그멘테이션 솔루션은 서버, 사용자 디바이스, 클라우드 인스턴스, 컨테이너, 이들 간의 연결을 비롯한 전체 네트워크에 대해 완전한 가시성을 제공해야 합니다. 이러한 가시성에는 자산 간 활성 데이터 흐름, 위험을 야기하는 숨겨진 연결, 정책 변경이나 감염된 서버의 영향에 영향을 미치는 네트워크 의존성이 포함됩니다. 이러한 정보를 사용하여 모든 취약점을 고려하는 세그멘테이션 정책을 생성할 수 있으므로 측면 이동 가능성을 크게 줄일 수 있습니다.
사용 사례: 랜섬웨어 방어
랜섬웨어 공격 대부분은 잘못된 암호 관리나 피싱 이메일의 클릭스루 같은 사용자 오류로 인해 발생합니다. 이러한 이벤트에서 EDR과 세그멘테이션은 여러 단계와 다양한 방법으로 확산되는 공격을 차단합니다.
EDR
EDR 솔루션은 모니터링 중인 디바이스에서 작동 중이거나 실행 중인 랜섬웨어의 존재를 탐지하는 것을 목표로 합니다. EDR은 랜섬웨어를 탐지하면, 프로세스를 중단시키고, 디바이스를 격리하고, 발생한 모든 암호화를 롤백할 수 있습니다.
세그멘테이션
공격 전: 디바이스, 연결, 프로세스를 포함한 단일 UI의 전체 환경을 매핑함으로써 적절한 보안 정책이 적용됩니다. 이를 통해 매핑되지 않는 경우에는 관리자가 볼 수 없는 디바이스와 데이터 센터 간 연결이 랜섬웨어 공격에 활용되는 것을 막을 수 있습니다.
공격 후: 랜섬웨어가 환경에 침투한 경우, 중요 애플리케이션 격리, 데이터베이스에 대한 원치 않는 연결 제거, 측면 이동 경로 제한 등의 세그멘테이션 솔루션을 사용하여 취한 조치가 유출의 영향을 효과적으로 최소화합니다. 사전 정의된 랜섬웨어 대응 조치도 사용자가 나머지 환경을 방해하지 않고 전략적으로 자산을 격리하거나 특정 데이터 흐름을 제한하고, 비즈니스 연속성을 보장하는 데 도움을 줄 수 있습니다.
사용 사례: 위협 조사
EDR
EDR의 '탐지 및 대응' 기능에는 솔루션이 직접 위협을 탐색하는 것과 같은 관리자나 보안 운영 센터팀의 노력이 종종 포함됩니다. 검증된 EDR을 갖춘 유능한 팀은 디바이스에 숨어 있는 악성 공격자를 발견할 수 있습니다.
세그멘테이션
숙련된 보안 분석가라면 세그멘테이션 솔루션을 사용해 레거시 OS를 실행하는 온프레미스 서버부터 퍼블릭 클라우드 환경의 PaaS(Platform as a service) 인프라에 이르기까지 전체 네트워크에서 쿼리를 쉽게 실행할 수 있습니다.
또한 세그멘테이션 솔루션의 UI에서 모든 연결과 네트워크 이벤트에 접속할 수 있기 때문에 세그멘테이션 솔루션은 유출 후 공격 체인 조사 시 우수한 성능을 발휘합니다. 따라서 유출이 발생한 경우 짧은 시간 내에 상세한 공격 보고서를 매핑하고 생성할 수 있으므로 훨씬 간편하게 컴플라이언스를 달성할 수 있습니다.
사용 사례: 진화하는 경계 보안
EDR
직원이 사무실 네트워크에 연결되어 있든, 집에 있는 라우터에 연결되어 있든, EDR은 사용자 디바이스에서 악성 활동을 계속 모니터링할 수 있습니다. 그러나 네트워크 활동에 대한 가시성은 여전히 사각 지대며 엔드포인트를 오가는 네트워크 트래픽에 대한 제어는 제한적입니다.
세그멘테이션
세그멘테이션은 유출의 발생지에 관계없이 유출을 제한할 수 있기 때문에 진화하는 경계에 대한 근본적인 보안 조치입니다. 세그멘테이션 정책은 사용자 디바이스를 고려하고, 조직의 주요 장비로 쉽게 연결되는 경로를 제거하여, 네트워크를 심각한 유출으로부터 안전하게 보호합니다.
EDR과 세그멘테이션은 서로 어떻게 보완합니까?
EDR과 세그멘테이션은 모두 당면한 보안 과제를 해결하지만 작동하는 공격 체인의 단계와 방식이 다릅니다. EDR은 새로운 공격을 파악하는 데 뛰어난 솔루션이지만 네트워크의 공격 표면을 대폭 줄이고 멀웨어가 침투하여 디바이스를 장악하는 경로를 제한하려면 세그멘테이션 솔루션이 필요합니다.
두 솔루션 모두 에이전트를 기반으로 구축하여, 에이전트별로 목표를 다르게 설정하고, CPU 사용을 최소화할 수 있습니다. 경우에 따라 하나의 통합 솔루션이 해당 디바이스에 EDR 기능과 세그멘테이션 기능을 모두 제공할 수 있습니다.
자세히 보기
세그멘테이션 솔루션이 디바이스에서 발생한 공격으로부터 네트워크를 보호하는 데 어떤 장점이 있는지 자세히 알아보려면 솔루션 설명서를 확인하세요.
