check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[RSA 컨퍼런스 2018] 카운터텍이 말하는 "EDR 기술의 현재와 미래"

"머신러닝 기반 EDR 기술과 예측기반 위협행위 식별 기술 적용해 나갈 것"
한국 시장, 파고네트웍스와 MSSP 파트너 계약 맺고 시장 본격 확대 기대

길민권 기자 mkgil@dailysecu.com 2018년 04월 24일 화요일

▲ [RSA 컨퍼런스 2018] 카운터텍 라지 도디아와라 CPO(Chief Product Officer. 사진 오늘쪽)와 인터내셔널 영업총괄 빌 론카 부사장(사진 왼쪽)
▲ [RSA 컨퍼런스 2018] 카운터텍 라지 도디아와라 CPO(Chief Product Officer. 사진 오늘쪽)와 인터내셔널 영업총괄 빌 론카 부사장(사진 왼쪽)
세계 최대 규모의 보안 컨퍼런스 RSA Conference 2018이 미국 샌프란시스코 모스콘 센터(Moscone Center)에서 4월 16일부터 20일까지 5일간 개최됐다. RSA는 전세계 정보보안 기업 및 정부, 민간 보안실무자 4만3천여 명 이상이 참석한 가운데 550개의 크고 작은 주제 발표와 미국을 비롯한 전세계 보안 벤더 580여 개 기업들이 총 출동한 자리였다.

데일리시큐는 RSA 컨퍼런스 2018 현장에서 글로벌 기업들의 EDR 기술 흐름을 파악해 보기 위해 EDR 개념을 처음 글로벌 시장에 내놓은 카운터텍(CounterTack) 부스를 찾았다. 그들이 말하는 EDR 기술은 무엇인지 그리고 비즈니스 전략 등에 대해 들어보는 시간을 가졌다. 인터뷰 자리에는 카운터텍 라지 도디아와라 CPO(Chief Product Officer)와 인터내셔널 영업총괄 빌 론카 부사장이 참석했다. 다음은 그들과 인터뷰 내용이다.

-카운터텍이 어떤 기업인지 한국 독자들에게 소개를 부탁한다.

△라지=CPO(Chief Product Officer)로서 제품기술 마케팅과 고객접점에서 제품을 소개하는 역할을 수행하고 있다. 카운터텍은 엔드포인트 보안 기업이며, 행위기반으로 위협을 식별하고 대응하는EDR(Endpoint Detection and Response) 엔터프라이즈 솔루션을 기반으로 지능화된 언노운(Unknwon) 공격과 타겟팅 공격을 방어하는 제품을 제공하고 있다.

△빌=엔터프라이즈 기업을 공격하는 지능형 보안제품을 공급하고 있으며 제품 자체는 엔터프라이즈 엔드포인트에 대한 강력한 가시성을 확보함으로써, 시스템에 존재하는 핵심 리스크를 식별해 내는 기능을 제공한다. 더불어 메모리기반 분석기술을 사용해 다양한방식으로 위협을 식별할 수 있는 특화된 기술을 제공하고 있으며, 기업의 다양한 구성환경에 기술을 제공할 수 있도록 매니지드 서비스 아키텍트, 온프레미스 아키텍트 그리고 단독 호스트기반으로 작동하는 기술까지 제공하고 있다.

△라지=카운터텍은 2011년 회사를 설립할 때부터 현재 많이 알려진 EDR 기술을 최초로 시장에 소개한 기업이다. 최근 몇 년 사이에 EDR이라는 기술용어가 정립되고 있고 EDR 보안기업이 상당히 많이 생겨나고 있다. 그 기업들 중에서도 가장 오래된 EDR 기술력을 보유한 기업으로, 기술적인 부문에서는 카운터텍의 EDR 기반 기술이 선두에 있는 리딩컴퍼니라고 말해도 과언이 아니라고 생각한다. 카운터텍은 마케팅 활동으로 성장해 온 기업이 아니다. 순수 기술력을 바탕으로 고객을 확보해 나가는 기업이다. 최근 치열한 경쟁이 존재하는 EDR 시장에서도 기술 자체는 상당히 우수한 평가를 받고 있다.

◇"행위기반 EDR 기술 뿐만 아니라 예측기반 EDR 기술 동시 제공"

-카운터텍이 EDR 리딩컴퍼니라고 한다면, 다른 EDR 기업들과 어떤 차별화 기술을 보유하고 있나?

△라지=두 가지 차별화 된 포인트를 말 할 수 있다. 첫 번째는 타경쟁사 대비 방대한 양의 데이터를 엔드포인트로부터 수집하는 기술이다. 모든 프로세스 데이터, 모든 파일의 생성, 삭제, 변경, 이동데이터, 다운로드-업로드 데이터, 접속된 URL 데이터, 모든 네트워크 연결 데이터, 모든 레지스트리 활동 데이터, 시스템 설정 변경 데이터 등을 포함한다. 상당히 종합적이고 상세한 데이터를 수집해 엔드포인트에서 발생하는 방대한 활동에 대한 가시성을 그 어떤 벤더 제품보다 상세히 제공한다.

두 번째는 메모리 분석기술로써, 다른 EDR 기업들은 제공하지 않는 완전히 차별화된 영역이다. 이 기술은 특허받은 기술로 '프로세스(Process)'가 실행되면, 이 프로세스에 대한 리버스 엔지니어링이 실시간으로 실행되고 포렌식 관점에서 이 프로세스가 어떤 행위를 하는지 분석 및 결과를 예측해 준다. 즉 프로세스가 실행된 이후의 모든 행위를 모니터링해서 일반적인 행위기반으로 결과를 보여주는 기술이 아니라, 프로세스 자체를 리버스엔지니어링 기법으로 분석해 행위 없이도 이 프로세스의 유형을 분석해 주는 기술이다.

즉, 기존 행위기반의 EDR 기술 뿐만 아니라 예측기반의 EDR 기술을 동시에 제공하는 것이 경쟁 솔루션 대비 차별화 된 기술이다.

-카운터텍 회사 규모와 레퍼런스는 어느 정도인가?

△라지=카운터텍은 약 100여 명의 임직원으로 구성되어있다. 본사는 미국 보스턴에 위치하고 있다. R&D 엔지니어링팀은 새크라멘토와 산타모니카에 있고, 미국 이외의 오피스는 싱가폴과 일본 도쿄에 있다. 현재 250여 개 글로벌 고객사를 확보하고 있다

◇"파고네트웍스와 MSSP 파트너 계약 체결하고 한국 비즈니스 본격 공략"

-한국 시장에 대한 카운터텍의 생각과 향후 비지니스 계획은 어떤가?

△빌=먼저 카운터텍의 고객 분포와 고객을 확대해 나가는 방법론에 대해서 먼저 의견을 공유하고 싶다. 카운터텍은 미국 기반 기업이지만, 미국 이외의 국가에서 약 50% 이상의 고객을 확보하고 있다. 바로 이 부분이 상당히 중요하다. 카운터텍이 보유한 기술 자체가 글로벌 고객들의 이슈를 해결해 왔고, 자연스럽게 카운터텍의 기술을 필요로하는 글로벌고객을 확보할 수 있었다.

현재 글로벌 고객사의 분포 중 아시아지역을 보면 일본, 태국, 한국, 필리핀, 싱가포르, 말레이시아, 인도네시아, 홍콩 그리고 이외의 국가에 골고루 기술과 제품이 퍼져있다.

그리고 각 나라별로 보안에 대한 장벽과 로컬라이제이션 이슈가 존재한다는 것을 충분히 이해하고 있고, 이를 해결해 나가면서 카운터텍의 핵심 기술로 고객을 확보해 나가고 있다.

글로벌 시장을 확대한다는 것은 그저 마케팅 측면이나 자금을 투자한다는 의미가 아니며, 각 국가별 고객사에서 직면한 이슈를 기술적으로 해결하도록 방법론을 제시하고, 각 해결되는 과정을 공유하는 체계를 제공하는 것이라고 생각한다. 이에 카운터텍은 실제 고객사를 통한 '바이럴 비지니스(고객 경험에 의해 확대되는 비지니스 전략)'을 더 중요하게 생각하고 있다. 실제로 고객이 직접 비지니스 확대를 위해 도움을 많이 주고 있고, 같은 산업업종에서의 확대에 큰 도움이 되고 있다.

카운터텍 전략은 마케팅 전략뿐만 아니라 기술적인 측면에서 접근하고 있다. 카운터텍은 이슈 해결을 위한 기술투자와 기술 인원에 대한 투자를 강화함으로써 고객사의 이슈를 해결하는 곳에 더 중점을 둔다.

즉, 우리의 기술이 실패하면 고객이 실패하게 되고 결국 카운터텍도 실패하게 된다는 점을 명심하고 있다. 다시 정리하면 카운터텍의 비즈니스 성장은 모두 고객으로부터 나오고 있으며, 카운터텍의 역량과 동시에 고객을 지원하는 파트너사의 역량도 상당히 중요한 포인트로 다가온다.

이제 질문에 대한 답변으로, 한국에 대한 비즈니스 계획을 말해보겠다.

▲ RSA 컨퍼런스 2018 현장에서 카운터텍은 파고네트웍스(대표 권영목. 사진 오른쪽 두번째)와 MSSP 파트너 계약을 맺고 한국시장 본격 확대를 추진.
▲ RSA 컨퍼런스 2018 현장에서 카운터텍은 파고네트웍스(대표 권영목. 사진 오른쪽 두번째)와 MSSP 파트너 계약을 맺고 한국시장 본격 확대를 추진.
한국 시장에는 이미 파트너가 형성되어 있는 상태지만, 이번 RSA 컨퍼런스 2018에서 한국의 특정 시장 분야를 위해 '파고네트웍스'(대표 권영목)와 강력한 파트너쉽 관계를 맺게 됐다. 카운터텍의 기술을 SMB 고객부터 대형고객까지 포함한 잠재 시장에 접근하는 방법을 논의하고 있다.

사실 EDR 분야는 제품을 공급하는 자체만으로 접근해서는 안되고, 고객 또한 진정으로 EDR 기술을 사용하기 위한 충분한 리소스가 없는 것이 사실이다. 바로 이 부분이 특별한 파트너가 필요한 상황이다. 파고네트웍스는 고객사에 EDR 기술을 적용하고 관리하는MDR(Managed Detect and Response)팀이 존재하며, 고객사의 이슈를 해결하면서 EDR의 진정한 가치를 전달하는 역량이 있는 것으로 판단한다. 파고네트웍스는 한국시장에서 카운터텍의 MSSP(Managed Security Service Provider) 파트너로 활동하게 될 것이다.

-카운터텍 EDR은 사고 이후의 Incident Response에만 집중하는가, 아니면 진행중인 On-going 위협에 모니터링 및 대응방법론도 제공하는가?

△라지=위협이라는 것은 단 한번의 행위로 발생하는 것은 아니라고 본다. 카운터텍은 엔드포인트에 대한 전체 가시성을 확보하는 기술을 제공하면서, 얼마나 빨리 대응하느냐에 대해 기술을 집중하고 있다. 더불어 실시간 상황과 대용량 이벤트 처리에 대한 빠른 검색 및 응답속도가 관건이 된다.

100% 실시간이라기 보다는 거의 실시간에 가까운 속도로 위협을 식별하고 대응하는 방법론을 제공하기 때문에 '사고 이후, 사고 이전'의 구분 보다는 얼마나 빨리 위협을 식별하고 대응할 수 있나를 고려하는 것이 카운터텍 EDR에 대한 이해를 더 높여줄 것이라고 생각한다.

카운터텍은 내부적으로 'Active Threat Mitigation(능동적인 위협 제거)'라는 방법론을 제시하고 있다. EDR 제품 자체와 보안관리자의 협업관계를 통한 빠른 대응방법론을 제시하고 있으며, 사후처리냐 또는 사전방어도 가능하냐는 접근법에서 기술을 적용하지는 않는다.

△빌=EDR이라는 용어 자체에 대해서 좀더 의견을 나누고 싶다. 'Endpoint Detection and Response'는 도대체 무슨 의미인가? 많은 벤더들이 서로 다른 정의를 내리고 있고 많은 고객이 혼동하고 있다. 모든 고객의 위협은 서로 다른 상황에서 발생하고 있고, 직면하고 있는 위협자체도 다르다.

가장 중요한 것은 고객이 어떤 위협을 해결하기 원하는지 파악해야만 한다. 그리고 나서 EDR이라는 제품군을 적용하고 활용하는 방법을 다르게 가져가야만 한다. 즉 EDR은 상당히 다양한 목적으로 활용할 수 있다는 것을 꼭 알려드리고 싶다. 이미 30여 종이 넘는 엔드포인트 보안솔루션 종류가 존재하고 있다. 모두 기능적으로 접근하다 보니 제대로 운영하는 것이 상당히 힘들 때가 많다. 바로 기능으로 접근하는 것이 문제를 해결하는 것이 아니기 때문이다. EDR은 상당히 많은 엔드포인트 이벤트에 대한 가시성을 제공하기때문에 고객의 이슈를 좀 더 이해한다면, EDR 적용방법과 운영방법을 적합하게 선택해 이슈를 해결해 나갈 것으로 판단한다.

◇"고객의 요구에 의해 형성되고 있는 EDR 시장"

-RSA 컨퍼런스를 보면 EDR 보안기업이 상당히 많이 참가했다. 왜 많은 엔드포인트 보안기업이 EDR을 적용한다고 생각하는가?

△라지=다중 보안이 잘 적용되어 있지만, 많은 위협들이 발생하고 있는 상태에서 최종 위협이 엔드포인트까지 도달하는 확률은 여전히 높고, 새로운 위협에 대응하는 속도가 점점 더 늦어지고 있는 것으로 보인다. 즉 Prevention과 Protection에 대한 부재로부터 신기술이 필요하게 되었다.

이에 새로운 개념의 엔드포인트 보안기업이 출현했고, 기존 기술을 가진 엔드포인트 보안 기업도 신기술을 적용한 EDR이라고 하는 시장에 합류할 수 밖에 없는 상황이 만들어 진 것으로 보인다.

사실 지난 1년여 시간을 돌아보면, 시장 자체 또는 고객 자체에서 새로운 기술을 요구하고 있었으며, 이에 편승해서 EDR이라는 기술이 시장으로 형성되고 있는 것으로 보인다. 즉, 고객의 요구에 의해 형성되고 있는 시장이기 때문에 많은 엔드포인트 보안기업이 EDR을 적용하는 것으로 판단한다.

단, 한 가지 확실한 사항은 이렇게 많은 EDR 기업들의 기술이 모두 동일한 것은 아니라는 것이며, 누가 기술을 리딩하고 있고, 누가 기술을 따라 하고 있는지 살펴볼 필요가 있다.

△빌=좀더 중요한 포인트는 엔드포인트의 시초는 안티바이러스다. 그리고 현재는 시그니쳐, 행위기반, 휴리스틱 등의 멀티 레이어 엔드포인트 보안으로 발전해 오고 있었다. 하지만 앞서 말한 행위기반과 카운터텍에 적용되어있는 '행위기반의 애널리틱스'는 명확히 다르다.

EDR의 정의를 명확히 하는 것은 쉽지 않다. 명확한 것은 엔드포인트에서 발생하는 모든 위협이슈에 대응하는 방향성을 가져가야 할 것이다. 단순히 우리도 EDR이라고 접근하는 것은 보안기업과 고객 모두 실패할 수 있다는 것을 명심해야 한다.

◇"머신러닝 기반 EDR 기술과 예측기반 위협행위 식별 기술, 로드맵에 포함돼"

-앞으로 EDR 제품들이 나아가야 할 방향성과 카운터텍의 EDR 로드맵은 무엇인가?

△라지=카운터텍의 EDR 로드맵은 지속적으로 '탐지'의 범위를 더욱 넓히는 것이다. 위협은 계속 변하기 때문에 엔드포인트 가시성 확보를 높이기 위해서는 '탐지'의 범위도 계속 변하면서 넓혀 나가야만 한다.

즉 EDR 가시성의 탐지범위를 높이는 방법은 '머신러닝 기반 EDR'의 기술정립으로 판단한다.

이를 통해 행위기반의 애플리케이션 포렌식 기술도 강화하고, 예측기반의 위협행위 식별기술이 로드맵에 포함되어 있다.

목적은 언노운(Unknown) 공격과 타겟팅(Targeting) 공격을 더 빨리 식별하고 대응할 수 있는 방안을 제공하는 것이다.

-EDR의 경우, 엔드포인트에서 발생하는 모든 이벤트를 식별할 수 있는데, 임직원 입장에서 '감시'에 대한 반발은 없는가? 특히 이런 관점에서, 일본 시장은 어떻게 접근했는가?

△라지=보안과 감시의 두 갈래길에 놓여 있는 질문으로 보인다. 먼저 제품을 도입하는 고객 입장에서 모니터링되는 이벤트의 범위를 명확히 이해하는 것이 좋다. 언노운(Unknown) 공격과 타겟팅(Targeting) 공격에 대비하기 위한 현실적인 보안방법론으로써 EDR이 대두되고 있는 시점에서 제품 사용방법론과 기능선택권은 고객에의해 결정되어야 한다. 잘못 사용하면 감시툴이 될 수도 있지만, 보안관점에서 사용하면 새로운 위협에 대한 대응체계를 구축하는 최선의 방법이 될 수 도 있는 것이다.

△빌=일본의 경우, NTT Security와 협업하고 있다. NTT Security가 일본 자체에 대한 컴플라이언스 등을 잘 이해하고 있기 때문에, 이 부분에 대해서 카운터텍 제품의 사용범위를 고객과 협의 및 권고기능을 제시하고 있으며, 최종 사용에 대한 판단은 고객이 하고 있다.

한국의 경우도 컴플라이언스 관련된 내용을 파트너와 고객과 함께 논의하면서, 사용해야 할 기능과 모니터링의 범위 등을 논의하는 것이 맞을 것으로 판단된다.

-카운터텍의 일본시장 규모는 어느 정도인가?

△빌=일본시장은 NTT Security와 함께 파트너쉽을 맺고 시장에 접근하고 있는데, 24개 이상의 EDR 벤더사와 장기간 경쟁 BMT와 POC를 통해서 최종적으로 NTT Security에 의해서 EDR 사업자로 선정되었다.

그리고 Managed Service 형태로 일본시장을 확대해 나가고 있으며, 글로벌 고객사를 많이 확보한 상태다. NTT Securty가 카운터텍을 선택하고 고객사에 전달하는 가치는 확장성(Scalability), 위협탐지성능(True Detection)이었으며, 실제로 현재 시장에서 상당히 호평을 받고 있다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록