UEBA와 EDR에 관해서

오늘날 사이버 공격은 과거와 비교할 수 없을 정도로 지능화되고 있습니다. 단순히 알려진 악성코드나 취약점을 이용하는 수준을 넘어, 정상적인 시스템 행위 속에 숨어들거나 내부자의 신뢰를 악용하는 등 예측하기 어려운 형태로 진화하고 있습니다. 시그니처 기반의 전통적인 보안 솔루션만으로는 이러한 위협에 효과적으로 대응하기 어렵게 되었고, 기업들은 새로운 보안 패러다임을 요구받고 있습니다.

 

 

 

 

이러한 환경 변화 속에서 최근 주목받고 있는 두 축이 바로 UEBA(User and Entity Behavior Analytics)와 EDR(Endpoint Detection and Response)입니다. 이 두 기술은 각각 다른 접근 방식을 통해 복잡한 사이버 위협을 탐지하고 대응하는 데 핵심적인 역할을 수행합니다. 이번 글에서는 UEBA와 EDR의 개념이 무엇인지, 어떻게 작동하는지, 그리고 왜 이 두 기술이 현대적인 보안 전략에서 필수적인 요소가 되었는지 알아볼까요..

1. 진화하는 위협, 새로운 보안 전략의 필요성

과거 사이버 공격은 주로 대량의 악성코드를 유포하거나 시스템의 알려진 취약점을 이용하는 방식이었습니다. 이러한 공격은 백신 프로그램이나 침입 방지 시스템(IPS)과 같은 전통적인 보안 솔루션으로 상당 부분 방어할 수 있었습니다. 이 솔루션들은 주로 이미 알려진 공격 패턴(시그니처)이나 악성 파일의 해시값을 기반으로 위협을 탐지했습니다.

하지만 공격자들은 이러한 방어 체계를 우회하기 위해 끊임없이 새로운 기술을 개발했습니다.

• 지능형 지속 위협(APT, Advanced Persistent Threat): 특정 목표를 정해 장기간에 걸쳐 은밀하게 공격을 수행합니다. 초기 침투 후 시스템 내부에 잠복하며 정보를 수집하고 명령 및 제어(C2) 서버와 통신하며 점진적으로 권한을 상승시키고 다른 시스템으로 확산합니다. 이 과정에서 정상적인 툴이나 스크립트를 악용하는 경우가 많아 시그니처 기반 탐지가 어렵습니다.
• 내부자 위협(Insider Threat): 합법적인 접근 권한을 가진 내부자가 악의적인 목적으로 정보를 유출하거나 시스템을 손상시키는 경우입니다. 또는 외부 공격자에 의해 내부자 계정이 탈취당하여 악용되는 경우도 있습니다. 이들은 이미 시스템에 접근할 수 있기 때문에 외부 침입 탐지 시스템으로는 탐지하기 어렵습니다. 이들의 행위는 겉보기에 정상적인 작업처럼 보일 수 있으나, 평소와 다른 비정상적인 패턴을 보입니다.
• 파일리스 악성코드(Fileless Malware): 실행 파일을 사용하지 않고 메모리나 스크립트, 운영체제의 정상적인 프로세스를 악용하는 공격 방식입니다. 디스크에 흔적을 남기지 않아 파일 스캔 기반이나 시그니처 기반의 탐지를 회피하는 데 효과적입니다. PowerShell, WMI, Mimikatz 등 정상적인 툴이 악용되는 경우가 대표적입니다.
• 제로데이 공격(Zero-Day Attack): 소프트웨어의 알려지지 않은 취약점을 이용한 공격입니다. 해당 취약점에 대한 정보나 시그니처가 존재하지 않으므로 전통적인 보안 솔루션으로는 거의 탐지가 불가능합니다.

이러한 공격들은 기존의 방어 체계만으로는 한계가 명확합니다. 단순히 '무엇'이 악성인지 아는 것을 넘어, '어떻게' 시스템이 사용되고 '누가' 어떤 행동을 하는지에 대한 행위를 분석하고, 이들의 상관관계를 파악하는 것이 중요해졌습니다. 여기에서 UEBA와 EDR의 역할이 부각됩니다.

2. EDR(Endpoint Detection and Response): 기기의 눈과 귀 행위 분석가

EDR은 Endpoint, 즉 PC, 서버, 노트북, 가상 머신 등 사용자가 직접 사용하거나 네트워크에 연결된 말단 기기에 초점을 맞춘 보안 솔루션입니다. EDR은 단순히 악성 파일을 탐지하고 삭제하는 전통적인 백신을 넘어, 엔드포인트에서 발생하는 모든 활동을 실시간으로 모니터링하고 기록하며, 이 데이터를 분석하여 의심스러운 행위를 탐지하고 즉각적으로 대응하는 기능을 제공합니다.

EDR은 어떻게 작동하는가?

EDR의 핵심 기능은 다음과 같습니다.

1. 데이터 수집: 엔드포인트에서 발생하는 모든 중요한 활동 데이터를 상세하게 수집합니다. 수집 대상에는 프로세스 생성 및 종료, 파일 생성/삭제/수정, 레지스트리 변경, 네트워크 연결 시도 및 활동, 사용자 로그인/로그아웃, 외부 장치 연결 시도 등의 정보가 포함됩니다. 마치 비행기의 블랙박스처럼 시스템에서 일어나는 모든 일을 기록합니다.
2. 실시간 모니터링 및 분석: 수집된 데이터를 실시간으로 분석합니다. 이 과정에서 단순한 시그니처 비교뿐만 아니라, 행위 기반 분석(Behavioral Analysis)이 핵심적인 역할을 합니다. 예를 들어, 일반적으로 문서 파일은 실행되지 않는데 문서 파일에서 파워쉘(PowerShell) 프로세스가 실행되거나, 특정 프로세스가 시스템 파일에 접근하여 내용을 변경하는 등의 비정상적인 행위를 탐지합니다. 머신러닝이나 규칙 기반 분석을 통해 알려지지 않은 위협이나 파일리스 공격을 탐지하는 데 강점을 보입니다.
3. 위협 탐지 및 경고: 분석 결과 의심스러운 행위나 알려진 위협과 일치하는 패턴이 발견되면 즉시 관리자에게 경고를 발생시킵니다. 경고에는 해당 행위와 관련된 상세한 정보(프로세스 ID, 사용자, 파일 경로, 네트워크 연결 정보 등)가 포함되어 조사에 필요한 맥락을 제공합니다.
4. 조사/포렌식 지원: 탐지된 위협에 대해 깊이 있는 조사를 수행할 수 있는 기능을 제공합니다. 특정 프로세스의 전체 실행 경로, 관련된 파일 변경 내역, 네트워크 통신 상대 등을 시간 순서대로 시각화하여 공격의 전체 흐름(Kill Chain)을 파악할 수 있도록 돕습니다. 이는 공격의 근본 원인을 파악하고 확산 경로를 추적하는 데 필수적입니다.
5. 신속한 대응(Response): 위협이 탐지되거나 조사 결과 악성 행위임이 확인되면 즉각적인 대응 조치를 취할 수 있습니다. 감염된 시스템을 네트워크로부터 격리시키거나(Network Isolation), 악성 프로세스를 강제 종료하고, 악성 파일을 삭제하며, 시스템 설정을 복구하는 등의 원격 조치가 가능합니다. 이는 공격이 더 이상 확산되거나 피해를 확산시키는 것을 막는 데 매우 중요합니다.

EDR의 주요 장점

• 뛰어난 가시성: 엔드포인트에서 일어나는 모든 일에 대한 상세한 가시성을 확보할 수 있습니다.
• 신속한 탐지: 행위 기반 분석을 통해 알려지지 않은 위협이나 파일리스 공격도 빠르게 탐지할 수 있습니다.
• 효율적인 조사: 사고 발생 시 공격의 전 과정을 쉽게 파악하고 근본 원인을 분석할 수 있도록 돕습니다.
• 신속한 대응: 원격에서 즉각적인 대응 조치를 취하여 피해 확산을 최소화할 수 있습니다.
• 체류 시간 단축: 공격자가 시스템 내부에 머무는 시간(Dwell Time)을 획기적으로 줄여 피해 규모를 줄입니다.

EDR의 고려 사항

• 엔드포인트에 에이전트를 설치해야 하므로 시스템 자원을 일부 사용합니다.
• 수집되는 데이터 양이 방대하여 분석 및 관리에 전문 인력이 필요할 수 있습니다.
• 기본적으로 엔드포인트 중심의 탐지입니다. 네트워크 전체나 클라우드 환경에서의 행위를 파악하기 위해서는 다른 솔루션과의 연동이 필요합니다.

EDR은 현대적인 사이버 공격, 특히 엔드포인트를 목표로 하거나 엔드포인트를 거쳐 확산되는 공격에 대응하기 위한 필수적인 솔루션으로 자리 잡았습니다.

3. UEBA(User and Entity Behavior Analytics): '정상'과 '이상'의 경계 분석

UEBA는 사용자와 엔티티(시스템, 애플리케이션, 네트워크 장치, IP 주소 등)의 행동에 초점을 맞춰 위협을 탐지하는 기술입니다. EDR이 엔드포인트 '내부'에서 일어나는 일을 깊이 파고든다면, UEBA는 다양한 시스템에서 수집된 로그 데이터를 바탕으로 '누가', '무엇을', '언제', '어디서', '어떻게' 하는지에 대한 행위를 종합적으로 분석하고, 해당 행위가 정상적인 패턴에서 벗어나는지 판단합니다. 이는 특히 내부자 위협 탐지나 계정 탈취 탐지에 강력한 효과를 발휘합니다.

UEBA는 어떻게 작동하는가?

UEBA의 작동 과정은 다음과 같습니다.

1. 다양한 데이터 소스 통합: UEBA는 특정 시스템에 종속되지 않고, 기업 환경 내 다양한 솔루션과 시스템으로부터 로그 데이터를 수집합니다. 여기에는 보안 정보 및 이벤트 관리(SIEM) 시스템, EDR, 네트워크 장비(방화벽, Proxy 등), 애플리케이션 로그, 디렉터리 서비스(Active Directory 등) 로그, 데이터베이스 접근 로그 등 사용자와 엔티티의 행위를 파악할 수 있는 모든 데이터가 포함됩니다.
2. 정상 행동 기준선 설정: 수많은 로그 데이터를 분석하여 각 사용자나 엔티티의 정상적인 행동 패턴에 대한 기준선(Baseline)을 설정합니다. 예를 들어, '특정 사용자는 주로 오전 9시부터 오후 6시 사이에 회사 내부망에서 특정 서버에 접속하여 ERP 시스템을 사용한다', '특정 서버는 주로 특정 IP 대역에서 접근하며, 특정 유형의 트래픽을 발생시킨다'와 같은 패턴을 학습합니다. 이 과정에서 머신러닝(Machine Learning)과 통계 분석 기술이 핵심적으로 사용됩니다.
3. 이상 행위 탐지: 설정된 정상 행동 기준선과 현재 발생하고 있는 행위를 비교하여, 정상 패턴에서 벗어나는 이상 행위를 탐지합니다. 예를 들어, '평소 해외 지사에 있던 사용자가 갑자기 국내 IP에서 밤늦게 민감한 정보가 저장된 서버에 접속을 시도하는 경우', '평소에는 사용하지 않던 계정이 갑자기 대용량 파일 서버에 접근하여 파일을 다운로드하는 경우', '정상적인 업무 시간에는 발생하지 않는 대량의 네트워크 트래픽이 특정 서버에서 나가는 경우' 등이 이상 행위로 탐지될 수 있습니다.
4. 위험 점수 부여 및 우선순위 지정: 탐지된 개별 이상 행위에 대해 심각성이나 이상 정도에 따라 위험 점수(Risk Score)를 부여합니다. 그리고 여러 시스템에서 발생하는 사용자의 다양한 이상 행위를 통합하여 해당 사용자의 총체적인 위험 점수를 산출합니다. 이는 보안 담당자가 수많은 경고 속에서 실제로 심각한 위협일 가능성이 높은 것을 우선적으로 조사할 수 있도록 돕습니다.
5. 시각화 및 조사 지원: 사용자와 엔티티의 행위 패턴, 이상 행위 발생 내역, 위험 점수 변화 등을 직관적인 대시보드나 그래프 형태로 시각화하여 제공합니다. 이를 통해 보안 담당자는 사용자의 행위 변화 추이를 쉽게 파악하고, 이상 행위 발생 시 관련 로그를 연관 분석하여 상세한 조사를 수행할 수 있습니다.

UEBA의 주요 장점

• 내부자 위협 탐지: 합법적인 접근 권한을 가진 내부자의 비정상적인 행위를 효과적으로 탐지합니다.
• 계정 탈취 탐지: 탈취된 계정이 정상적인 사용자와 다른 행위를 보이는 것을 포착하여 탐지합니다.
• 알려지지 않은 위협 탐지: 시그니처 없이 행위 자체의 이상성을 판단하므로 '제로데이'나 새로운 유형의 공격 탐지에 기여할 수 있습니다.
• 오탐률 감소: 수많은 경고 중 실제 위협 가능성이 높은 것을 우선순위화하여 오탐률을 줄이고 보안 담당자의 피로도를 경감시킵니다.
• 종합적인 맥락 제공: 다양한 시스템의 데이터를 연관 분석하여 사용자와 엔티티의 행위에 대한 종합적인 이해를 돕습니다.

UEBA의 고려 사항

• 정상 행동 기준선을 설정하기 위해 충분한 양의 과거 데이터가 필요합니다. 초기 학습 기간('콜드 스타트' 문제)이 필요할 수 있습니다.
• 데이터 소스의 품질과 통합 여부가 UEBA 성능에 큰 영향을 미칩니다.
• 머신러닝 모델을 주기적으로 업데이트하고 튜닝하는 작업이 필요할 수 있습니다.
• 복잡한 행위 분석 결과를 해석하고 적절히 대응하기 위한 전문적인 지식과 인력이 필요합니다.

UEBA는 전통적인 보안 솔루션이 놓치기 쉬운 '사람'과 '시스템'의 비정상적인 상호작용을 탐지함으로써, 내부자 위협이나 탈취된 계정을 이용한 공격 등 최신 위협에 대응하는 데 필수적인 역할을 수행합니다.

4. UEBA와 EDR: 차이점과 상호 구분되는 특징

UEBA와 EDR은 모두 행위 분석을 통해 위협을 탐지한다는 공통점을 가지고 있지만, 초점과 주요 데이터 소스, 탐지 방식 등에서 차이를 보입니다.

구분	EDR	UEBA
대상	엔드포인트 (PC, 서버 등)	사용자 및 엔티티 (사용자 계정, 서버, 애플리케이션, IP 등)의 행동
데이터 소스	엔드포인트 내부 활동 로그 (프로세스, 파일, 네트워크 연결 등)	다양한 시스템 로그 (SIEM, EDR, 네트워크 장비, 애플리케이션, AD 등)
탐지 방식	엔드포인트 활동에 대한 행위 분석, 시그니처, IOC, 위협 인텔리전스 기반	다양한 소스에서 수집된 데이터를 바탕으로 정상 행동 기준선 대비 이상 행위 분석 (머신러닝/AI)
주요 역할목표	엔드포인트 가시성 확보, 엔드포인트 위협 탐지 및 조사/대응, 체류 시간 단축	이상 행위 탐지 (특히 내부자/계정 탈취), 다양한 시스템 로그 연관 분석, 위험 점수 기반 우선순위 지정
탐지 대상 예시	특정 악성 프로세스의 활동, 파일리스 공격 스크립트 실행, 랜섬웨어 파일 암호화 행위	밤늦게 평소 사용하지 않던 서버에 접근하여 대용량 파일 다운로드, 해외 IP에서 로그인 시도 후 민감 데이터 접근 시도

이러한 차이점에도 불구하고, UEBA와 EDR은 서로를 완벽하게 보완하는 관계에 있습니다. 오히려 이 둘이 통합되거나 연동될 때 더욱 강력한 보안 체계를 구축할 수 있습니다.

5. UEBA와 EDR의 시너지로 통합 보안 강화

UEBA와 EDR은 각자의 강점을 가지고 있지만, 서로의 데이터를 공유하고 분석 결과를 연동할 때 훨씬 효과적인 위협 탐지 및 대응이 가능해집니다.

• UEBA, EDR 데이터로 시야를 넓히다: UEBA는 다양한 소스의 로그 데이터를 통합 분석하여 사용자와 엔티티의 행위를 파악합니다. 이때 EDR이 수집하는 엔드포인트의 상세 활동 데이터는 UEBA의 분석에 매우 중요한 input이 됩니다. EDR 데이터는 특정 사용자가 어떤 프로세스를 실행했고, 어떤 파일에 접근했으며, 어떤 네트워크 연결을 시도했는지 등 구체적인 행위 정보를 제공합니다. UEBA는 이러한 EDR 데이터를 다른 로그들과 결합하여 사용자의 전체적인 행위 맥락을 파악하고 더욱 정확하게 이상 행위를 탐지할 수 있습니다. 예를 들어, UEBA가 'User A'가 평소와 다른 서버에 접근하는 이상 행위를 탐지했을 때, 해당 서버의 EDR 데이터는 'User A' 계정으로 실행된 프로세스가 어떤 악성 행위를 시도했는지 구체적으로 보여줄 수 있습니다.
• EDR, UEBA 경고로 우선순위를 높이다: UEBA는 다양한 이상 행위를 탐지하고 사용자/엔티티에 위험 점수를 부여합니다. 보안 담당자는 UEBA에서 발생한 고위험 경고를 바탕으로 어떤 사용자나 어떤 엔드포인트에서 발생하는 행위를 우선적으로 조사해야 할지 결정할 수 있습니다. UEBA에서 특정 사용자의 위험 점수가 급격히 상승했다는 경고가 발생하면, 보안 담당자는 해당 사용자가 사용하고 있는 엔드포인트의 EDR 수집정보를 통해 추가 분석이 가능합니다.

5. 정리하면

사이버 위협은 더 이상 과거의 단순한 공격 방식에 머무르지 않습니다. 은밀하고 지능적인 위협, 내부자 공격, 탈취된 계정을 이용한 공격 등은 전통적인 경계 방어만으로는 막아낼 수 없습니다. 이러한 환경에서 조직의 중요한 핵심 자산을 보호하기 위해서는 위협을 '탐지'하고 '대응'하는 다양한 방법을 통해 상호 보완적인 열할을 수행하며 자산을 지키는 것이 더욱 더 중요해 지고 있습니다.