“계속 바뀌는 사이버 위협에 EDR·MDR로 대응해야”

박영진 사이버리즌 글로벌 SOC 아시아태평양지역 센터장 강연

‘최신 사이버 보안 공격으로 보는 기존 패턴 일치형 보안 한계와 EDR/MDR 서비스 필요성’

“사이버 위협 환경이 진화함에 따라, 기존 안티바이러스(AV) 솔루션에 한계가 왔다”

박영진 사이버리즌 글로벌 SOC 아시아태평양지역 센터장은 25일 바이라인네트워크가 개최한 ‘사이버보안 기술 전략 컨퍼런스 2025’ 강연에서 이같이 말했다.

팬데믹 이후 재택근무를 병행하는 회사가 늘어나고, 집에 가져온 업무용 노트북으로 개인 일을 보는 등 일하는 환경이 달라지면서 새로운 보안 위협 요소가 등장했다. 박영진 센터장은 “전통적인 보안 솔루션은 이런 환경에 제대로 대응하기 어렵다”고 진단했다.

특히 이미 알려진 보안 위협 패턴과 일치하는 공격만 방어하는 ‘패턴 일치형 AV 솔루션’은 더욱 취약하다. 변종 위협이나 제로데이(미처 인지하지 못한 취약점을 공격하는 보안 위협)에 대처하기 어렵기 때문이다.

박 센터장은 기존 AV 솔루션이 제대로 대응하기 어려운 사례로 2022년 8월 등장한 서비스형 맬웨어(MaaS) ‘루마 스틸러’를 언급했다. 상용 소프트웨어나 파일로 위장한 데이터 탈취 맬웨어로, 기본적인 보안 지식만 갖췄다면 누구나 구매해 유포하기 쉽다.

온갖 기관과 기업의 공식 홈페이지를 사칭한 피싱 사이트로 유포되는데, 사이트의 완성도가 점점 높아지고 가짜 ‘캡챠(CAPTCHA)’ 페이지까지 만들어 접속자를 속이는 등 확산 수법이 점차 교묘해지고 있다. 루마 스틸러가 보안 솔루션의 탐지를 피하는 수법도 날로 발전하고 있다.

2024년 하반기 루마 스틸러 탐지 건수는 상반기에 비해 369%나 증가했다. 2025년 5월 일제 소탕 작전을 통해 2300개가 넘는 루마 관련 도메인을 차단했으나, 불과 며칠 만에 루마 스틸러는 다시 등장했다. 100% 박멸하기 어렵다는 이야기다. 즉, 언제 어디서 발생할지 모를 루마 스틸러 같은 위협 요소에 미리 대응할 필요가 있다.

박 센터장은 기존 AV 솔루션을 보완하기 위해 EDR(Endpoint Detection & Response)과 MDR(Managed Detection & Response)이 필요하다고 주장했다.

EDR의 핵심 기능은 ▲실시간 모니터링 ▲머신 러닝 ▲대응 자동화다. 엔드포인트에서 발생하는 모든 이벤트를 눈에 보이는 기록으로 남기고, 수집한 로그를 분석해 이상 징후를 학습한다. 또한 랜섬웨어를 비롯한 보안 위협의 특징이 포착되는 즉시 엔드포인트를 물리적으로 격리하는 등 자동으로 대처한다. 이외에 보안 사고가 발생하면 관련 데이터를 수집해 원인 분석을 수월하게 돕는다.

MDR은 보안 전문가와 위협 인텔리전스, 고급 도구가 한데 모인 완전 관리형 사이버 보안 솔루션이다. 보안 관련 업무를 외부에 맡기는 일종의 아웃소싱이다. 24시간 위협 보호 서비스를 제공해 언제 발생할지 모를 사이버 공격에 대응한다.

핵심 기능은 ▲전문 보안팀의 24시간 모니터링 ▲보안 사고 전문가의 대응관리 ▲전문가를 지원함으로써 기업의 보안 인력 부족 문제 해결이다. 기술, 프로세스, 전문 지식을 결합해 알려지지 않은 위협을 먼저 식별하고 EDR만 사용할 때의 한계를 보완한다.

박영진 센터장은 보안 시스템을 외적의 침입을 막는 요새에 비유했다. 요새의 성벽은 적이 침입하지 못하게 막는 AV 솔루션, 요새 내부에 설치한 감시카메라는 침입한 적을 탐지하는 EDR, 감시카메라 화면을 지켜보는 감시관은 적의 행동을 파악하는 MDR을 의미한다. 박 센터장은 적이 요새 내부로 침입하더라도 감시카메라(EDR)와 감시관(MDR)이 있으면 대처할 수 있다며 통합적 보안 접근법의 중요성을 강조했다.

그는 기업이 사이버 보안에 돈을 과하게 아끼지 말아야 한다고 당부했다. 이미 감염된 랜섬웨어를 해결하거나 포렌식 복구를 통해 데이터를 살리는 비용은 매우 비싸 기업 이익에 타격을 줄 수 있다며, “의료 보험에 든다고 생각하고 든든한 보안 솔루션을 갖추는 게 중요하다”고 말했다.

글. 바이라인네트워크

<이병찬 기자>bqudcks@byline.network