[AhnLab 보안솔루션 알아보기] 1탄 V3 vs MDS vs EDR 비교

 

최근 사이버 위협이 점차 고도화 됨에 따라 이에 대응하기 위한 다양한 방안이 논의 되고 있습니다.
기업들은 기존 네트워크 보안, 안티 바이러스 중심의 보안 체계에서 벗어나 새로운 보안 체계를 구축해야 한다는 당면 과제를 안고 있는데요. 그 중심에 있는 보안 모델이 바로 엔드포인트에서 사이버 위협요소를 탐지하고 대응하는 EDR 솔루션입니다.
그런데 기존 안티바이러스 제품인 V3와 랜섬웨어 대응 솔루션 MDS, 새롭게 대두된 EDR 솔루션의 차이점에 대해 궁금하시는 분들이 있습니다.
그러한 분들을 위해 V3 vs MDS vs EDR 이 어떠한 차이점이 있는지 자세하게 알려드리겠습니다!

 

그에 앞서 V3, MDS, EDR 의 정의에 대해서 알아볼까요?

V3, MDS, EDR 이란?

1. V3 : V3는 안랩의 대표적인 클라이언트용 안티 바이러스  백신 제품으로 대표적인 클라이언트 제품으로는 V3 Internet Security 9.0이 있다. V3 Internet Security 9.0은 새로운 진단법과 보안 기능이 강화되어, 현재는 다차원 분석으로 알려지지 않은 악성코드를 진단하고 미끼파일을 사용한 랜섬웨어를 진단할 수 있는 기능을 갖추게 되었습니다!

2. MDS : MDS 는 독자적인 기술의 멀티엔진을 이용해 고도화된 지능형 위협을 정밀하게 탐지하는 샌드박스 기반의 지능형 위협 대응 솔루션으로 직관적인 위협 가시성과 ‘수집-분석/탐지-모니터링-대응’ 프로세스를 기반으로 네트워크와 엔드포인트 레벨의 유기적인 대응을 제공해 다양한 경로를 통해 유입되는 지능형 위협을 효과적으로 차단합니다

3. EDR : EDR은 위협 정보 수집/분석 및 대응 관점의 변화가 반영된 진일보한 보안 기술로 엔드포인트 영역 전반에 대한 지속적인 모니터링을 통해 위협 가시성을 제공하며, 차세대 엔드포인트 보안 플랫폼 AhnLab EPP를 기반으로 다양한 보안 솔루션과의 연계를 통해 확장된 엔드포인트  위협 가시성과 함께 실질적인 위협 대응을 제공합니다.

 

그렇다면 V3, MDS, EDR은 어떤 부분에서 차이가 있을까요?

V3 vs. MDS vs. EDR  비교

V3 MDS EDR
제품개요 엔드포인트 상에서 악성코드를 탐지하여 차단 또는 격리하는 가장 기본적이며 근본적인 보안솔루션 신/변종 악성 코드에 대한 효과적인 대응을 위해 의심파일 ‘수집-탐지/분석-모니터링-대응’ 프로세스를 시스템적으로 구현한 보안 솔루션 엔드포인트 시스템의 운영체제 상에서 발생하는 행위 정보를 수집/분석하며, 기존 보안 솔루션과의 시너지를 통해 더 강력한 위협 대응력을 갖기 위한 도구.
대응범위 악성코드 탐지, 치료 수짐, 탐지/분석, 모니터링, 대응 보안침해 탐지, 조사, 통제, 치료
대응영역 엔드포인트

  • 엔드포인트 상에서 악성코드 탐지 및 차단.
  • 엔드포인트 로그수집 제한으로 악성코드 유입 경로 추적 및 가시성 제공 미흡
네트워크

  • 가상머신 환경에서 악성코드를 실행하여 분석
  • 엔드포인트의 성능과 무관하게 행위 정보를 분석
엔드포인트

  • 실제 엔드포인트 상에서 행위를 분석
  • 엔드포인트 시스템의 성능 및 안정성을 고려
대응방법 기본적으로 행위 기반 및 평판 기반 진단을 통해 잠재적인 위협까지 철저하게 대응 네트워크 샌드박스(가상머신)기반으로 위협에 대한 동적 분석을 제공 행위분석엔진 기반 위협관련 정보를 지속적으로 수집/분석하여 가시성을 확보하여 대응

 

그림1) 보안솔루션 대응영역 구분

 

 

여전히 어려우신가요?
그렇다면 아래 FAQ에서 궁금증을 해결해보세요!

FAQ

Q. EDR이 백신을 대신할 수 있다는데 맞나요?
A.  백신은 백신 고유의 역할이 있으며, EDR로 대제될 수 없습니다

백신은 엔드포인트 상에서 악성코드를 탐지하여 자단/격리하는 가장 기본적이고 근본적인 보안 솔루 션입니다,
하지만 악성코드 감염 경로를 주적하고 가시성을 제공하기에는 엔드포인트 로그 수집 등에 제한이 있으며, 주가적인 대응력 확보에 제약이 있을 수 있습니다.
이 부분을 보완하고 더 강력한 대응 을 위해 필요한 것이 EDR 이며,  EDR은 기존 보안 솔루션과의 시너지를 통해 더 강력한 위협 대응력을 갖기 위한도구 입니다.

 

Q. EDR은 행위정보 기반 제품인데, 사후 대응만 가능한 것이 아닌가요?
A.  전사적으로 발생할 수 있는 잠재 위협의 피해를 예방하고 대응 시간을 최소화한다는 점에서 사전대응을 제공한다고 할 수 있습니다.
특히 의심 프로세스, 파일 등의 분석을 통해 위협의 잠복 기간을 최소화하여 잠재적인 피해를 방지할 수있습니다

 

Q. EDR이 기존 출시된 Ahnlab MDS 와 다른 점은 무엇인가요?
A.  Ahnlab MDS 는 지능형 위협 대응 솔루션으로 네트워크 샌드박스(가상머신) 기반으로 위협에 대한 동적 분석을 제공합니다.
반면, Ahnlab EDR은 엔드포인트 시스템의 운영제제 상에서 발생하는 행위 정보를 수집, 분석하는 제품으로 탐지 및 대응 영역이 다릅니다.

 

Q.  V3만 있으면 EDR을 사용할 수 있나요? 사용을 위한 제약사항이 있나요?
A.  Ahnlab EDR을 사용하기 위해서는 기본적으로 V3(1S 9.0, ES 9.0, Net 9.0) 와 Ahnlab EPP사용이 필수 입니다. 그 외에 행위 정보를 수집하기 위해 다음과 같은 제약 사항이 존재합니다.
1.  V3 행위기반 진단 옵션 ‘On’ 필요
2.  V3 최초 설치 시 ‘다자원 분석’ 구성 요소를 제외한 경우 V3 재설치 필요

 

Q. 현재 V3는 사용하고 있지 않지만 Ahnlab EDR을 도입하고 싶은데, 가능한가요?
A.  Ahnlab EDR은 V3를 기반으로 동작하기 때문에 V3를 사용하지 않는 고객사에서는 Ahnlab EDR을 이용할 수 없습니다.
Ahnlab EDR을 V3와 연계되도록 구현한 가장 큰 이유는 EDR 솔루션의 특성과 엔드포인트 시스템 운 영 안정성 때문입니다.
EDR 솔루션은 엔드포인트의 모든 행위 정보를 수집, 분석함으로써 위협을 탐 지하고 대응하기 때문에 엔드포인트 시스템의 운영제제 커널 레벨에 행위 정보의 수집, 분석을 위한 드라이브가 주가로 필요합니다.
V3는 안랩의 독자적인 행위 분석 엔진인 MDP 엔진을 사용하고 있으며,  Ahnlab EDR은 V3를 통해 엔드포인트 시스템의 실제 운영제제 상에서 모든 행위정보를 수집하기 때문에 커널 드라이브의 주가 설지가 필요하지 않아 시스템 성능에 별다른 영향을 주지 않습니다.

 

 

점차 고도화 되는 사이버 위협에 대한 대응, AhnLab 보안 솔루션이 해답입니다!