카스퍼스키, 사이버 보안 탐지 분야 선두로 나서다: 새로운 독립 검증 시대의 시작
오스트리아, 인스브루크 — 오스트리아 알프스의 조용한 심장부에서 사이버 보안 세계에 지각 변동이 일어났음을 확인했습니다. 디지털 위협이 그 어느 때보다 빠르게 진화하는 시대에 보안 소프트웨어 테스트 분야에서 세계적으로 존경받는 기관인 AV-Comparatives가 획기적인 새로운 평가인 EDR(Endpoint Detection and Response) 탐지 검증 테스트를 시작했습니다. 가장 먼저 참여하여 인증을 획득한 회사는 카스퍼스키의 Next EDR Expert 플랫폼입니다.
이번 개발은 단순한 기술적 성과 이상의 의미를 지닙니다. 사이버 보안 산업이 예방에서 사전 탐지로 전환되는 추세를 반영하며, 이는 침해를 완전히 막는 것이 더 이상 보장되지 않는 시대에 매우 중요한 변화입니다.
사이버 보안 테스트의 조용한 혁명
수년 동안 사이버 보안 업체들은 예방을 약속하며 안심을 팔았습니다. 그러나 공격자들은 더욱 교활해져 가장 강력한 방화벽조차 뚫고 지나갑니다. 바로 이러한 이유 때문에 AV-Comparatives의 새로운 EDR 탐지 검증 테스트는 분석가들 사이에서 중요한 방향 수정으로 간주되고 있습니다. 즉, 침해를 막는 사람을 판단하는 것이 아니라 실제 피해가 발생하기 전에 침해를 발견하는 사람을 판단하는 테스트입니다.
EDR(Endpoint Detection and Response)과 기존 안티바이러스는 모두 엔드포인트를 보호하지만 EDR은 보다 포괄적인 접근 방식을 제공합니다. EDR은 위협을 사전에 탐색하고, 의심스러운 활동을 조사하고, 대응 기능을 제공하는 반면, 안티바이러스는 주로 알려진 시그니처 기반 탐지에 의존합니다. "Endpoint Detection and Response explained"라는 검색어는 EDR 기능의 깊이와 폭에 대한 이해가 필요함을 시사합니다.
"이러한 환경에서는 탐지가 사치가 아니라 필수입니다."라고 테스트 설계에 정통한 한 사이버 보안 분석가는 말했습니다. "이번 평가에서 예방 기능을 완전히 비활성화했다는 사실이 혁명적인 이유입니다. 우리는 마침내 방화벽이 뚫린 후에 발생하는 상황을 테스트하고 있습니다."
이번 첫 평가에서 카스퍼스키는 단순히 참여하는 데 그치지 않고 뛰어난 성과를 거두었습니다. Next EDR Expert 제품은 시뮬레이션된 14단계 APT(Advanced Persistent Threat) 시나리오에서 다양한 고급 공격 기술을 성공적으로 식별하여 업계에서 새로운 금본위제로 간주하는 인증을 획득했습니다.
테스트 내부: 실제 위협 시뮬레이션
이 테스트는 이론적인 매개변수만 있는 무균 실험실에서 수행되지 않습니다. EDR 탐지 검증 테스트는 보안 제품을 실제 사이버 공격을 시뮬레이션한 환경에 투입합니다. 침투 테스터와 점점 더 위협 행위자들이 선호하는 오픈 소스 사후 악용 도구인 Empire 프레임워크를 사용하여 정교한 공격자의 전술, 기술 및 절차(TTP)를 모방합니다.
APT(Advanced Persistent Threat) 공격의 일반적인 단계.
| 단계 | 설명 |
|---|---|
| 정찰 / 정보 수집 | 공격자는 인프라, 직원 및 취약점을 포함하여 대상에 대한 정보를 수집합니다. 여기에는 OSINT, 사회 공학 및 취약점 검색이 포함될 수 있습니다. |
| 초기 침해 / 침투 | 공격자는 스피어 피싱, 소프트웨어 취약점 악용 또는 웹사이트 손상을 통해 대상 네트워크 또는 시스템에 대한 초기 액세스 권한을 얻습니다. |
| 권한 상승 및 측면 이동 | 일단 내부에 들어가면 공격자는 권한을 상승시키고 네트워크 내에서 측면으로 이동하여 중요한 자산을 식별하고 백도어를 설정하려고 시도합니다. |
| 명령 및 제어 | 공격자는 손상된 시스템과 통신 채널을 설정하여 원격으로 관리하고 제어합니다. |
| 데이터 유출 | 공격자는 터널링 또는 암호화된 채널과 같은 기술을 사용하여 대상 네트워크에서 중요한 데이터를 은밀하게 추출합니다. |
| 지속성 | 공격자는 대상 네트워크 또는 시스템 내에서 장기적인 존재를 확립하려고 시도합니다. 그들은 백도어를 만들고, 맬웨어를 설치하거나, 손상된 사용자 계정을 활용하여 초기 액세스 지점이 발견되고 차단되더라도 액세스를 유지할 수 있도록 합니다. |
| 정리 | 데이터 유출 후 공격자는 탐지를 피하기 위해 자신의 존재 흔적을 제거하려고 시도합니다. |
참가하는 모든 제품은 예방 기능이 제거되고 모니터링 전용 모드로 설정되어 평가가 탐지 기능의 순수한 측정 기준으로 이루어집니다. AV-Comparatives는 도구가 실시간 경고를 얼마나 효과적으로 생성하는지, 원격 측정을 해석하는지, 위협 헌팅을 지원하는지 (현대 사이버 방어의 최전선을 정의하는 요소)를 모니터링합니다.
APT(Advanced Persistent Threat)는 침입자가 민감한 데이터를 훔치기 위해 네트워크에서 탐지되지 않은 상태로 장기간 존재하는 정교한 사이버 공격 캠페인입니다. 기회주의적 공격과 달리 APT는 일반적으로 표적화되고 자금 지원이 잘 되며 숙련된 행위자가 수행하며 종종 국가의 지원을 받습니다. 목표는 빠른 공격이 아니라 지속적인 액세스입니다.
"이것은 시그니처 일치를 통해 맬웨어를 막는 것이 아닙니다."라고 테스트 프로토콜을 검토한 한 보안 연구원은 언급했습니다. "측면 이동, 권한 상승, 명령 및 제어 통신, 즉 APT를 매우 위험하고 은밀하게 만드는 모든 것을 식별하는 것입니다."
카스퍼스키의 인증: 기술적 및 전략적 신호
이러한 종류의 평가에서 카스퍼스키의 성과는 단순한 배지 이상의 의미를 지닙니다. 이는 의지의 표현입니다. 최근 몇 년 동안 사이버 보안 업체인 카스퍼스키는 AV-Comparatives의 EPR(Endpoint Prevention and Response) 테스트에서 지속적으로 "전략적 리더"로 선정되었습니다. 이제 훨씬 더 엄격한 탐지 검증 프로세스에 첫 번째 참가자로 참여함으로써 회사는 투명성과 혁신에 대한 약속을 강화했습니다.
카스퍼스키의 위협 연구 책임자인 알렉산더 리스킨은 회사의 발표에서 "이번 인정은 고급스럽고 효과적인 사이버 보안 솔루션을 제공하겠다는 약속을 재확인합니다."라고 말했습니다. 그는 해당 제품이 엄격한 테스트 과정에서 다양한 공격 기술을 성공적으로 탐지했다고 언급했습니다.
이 인증은 강력한 기술적 성능뿐만 아니라 독립적인 평가자와 공개적으로 소통하려는 의지를 반영합니다. 업계 베테랑들은 더 많은 업체가 그렇게 해야 한다고 말합니다.
한 분석가는 "카스퍼스키는 테스트를 받을 의지가 있었을 뿐만 아니라 도전을 받기를 열망했습니다."라고 말했습니다. "일부 업체가 여전히 블랙 박스와 마케팅 슬라이드를 선호하는 업계에서 이는 중요한 문화적 차이입니다."
경쟁 환경: 정상으로 가는 경쟁
카스퍼스키가 탐지 테스트의 새로운 단계에서 선두를 차지했지만 우위를 확보하기 위한 경쟁은 카스퍼스키만이 아닙니다. AV-Comparatives는 보다 광범위한 EPR 프레임워크에서 다른 주요 업체(CrowdStrike, Palo Alto Networks, ESET, Bitdefender 및 Check Point)를 테스트했으며 이러한 많은 업체가 높은 점수를 받았습니다. 이제 각 업체는 더욱 힘든 EDR 탐지 분야에서 유사한 우수성을 입증해야 한다는 압력을 받고 있습니다.
엔드포인트 보안 분야에서 주요 사이버 보안 업체의 시장 점유율.
| 업체 | 설명/강점 |
|---|---|
| Palo Alto Networks | 네트워크, 엔드포인트 및 원격 자산 공격에 대한 최고의 보호 기능을 제공합니다. |
| Fortinet | 네트워크 보안 경계 보호에 가장 적합합니다. |
| CrowdStrike | 엔드포인트 보안 및 서비스, XDR, MDR, 취약점 관리 및 클라우드 보안에 가장 적합합니다. |
| Bitdefender | 엔드포인트 보안 및 랜섬웨어 방지에 가장 적합합니다. |
| Cisco | 통합 네트워크 보안에 가장 적합합니다. |
| Trend Micro | 중소기업에 가장 적합합니다. |
카스퍼스키를 차별화하는 것은 타이밍과 주도성입니다. 먼저 참여하고 통과함으로써 아직 경쟁하기를 꺼리는 분야에서 리더십에 대한 조기 주장을 펼쳤습니다.
한 독립 업계 컨설턴트는 "이것이 연쇄 반응을 일으킬 것입니다."라고 예측했습니다. "이제 기준이 공개적으로 정의되었으므로 모든 진지한 업체가 나서야 할 것입니다. 그렇지 않으면 고객이 이유를 물을 것입니다."
탐지가 그 어느 때보다 중요한 이유
Ransomware-as-a-service, 국가 지원을 받는 스파이 활동 및 AI 지원 피싱 시대에 위협 환경이 극적으로 변화했습니다. 침해는 더 이상 만약의 문제가 아니라 언제의 문제입니다. 따라서 강조점이 이러한 침해를 얼마나 빠르고 철저하게 탐지할 수 있는지로 이동했습니다.
AV-Comparatives 테스트는 이러한 현실에 직접적으로 대응합니다. 실시간 탐지 및 포렌식 추적 가능성에 중점을 두어 기존 안티바이러스 및 예방 전용 도구가 종종 간과하는 엔터프라이즈 방어의 중요한 격차를 해소하는 것을 목표로 합니다.
이 영역에서 카스퍼스키의 성공은 명확한 신호를 보냅니다. 효과적인 탐지는 더 이상 선택 사항이 아닙니다. 이는 디지털 방어의 미래에 매우 중요합니다.
광범위한 영향: 기술에서 시장 영향으로
수백만 달러의 보안 예산을 관리하는 CISO(Chief Information Security Officer)에게 타사 인증은 겉치레가 아니라 조달 기준입니다. 카스퍼스키의 인증은 특히 금융, 의료 및 정부와 같은 고위험 부문에서 의사 결정을 유리하게 바꿀 수 있습니다.
분석가들은 또한 이 인증을 투자자에게 보내는 신호로 보고 있습니다. 사이버 보안 부문을 담당하는 한 금융 분석가는 "이것은 단순한 제품 이야기가 아니라 시장 이야기입니다."라고 말했습니다. "총 소유 비용이 저렴한 고급 위협을 일관되게 탐지할 수 있는 제품은 점유율을 높일 것입니다. 카스퍼스키는 방금 무시하기 더 어렵게 만들었습니다."
카스퍼스키가 이러한 모멘텀을 활용하여 MDR(Managed Detection and Response) 서비스로 확장하거나 새로운 위협 인텔리전스 제품을 개발할 것이라는 추측도 있습니다. 둘 다 보안 생태계에서 빠르게 성장하는 부문입니다.
업계에 대한 행동 촉구
AV-Comparatives는 평가에 더 많은 업체의 참여를 환영한다는 의사를 분명히 밝혔습니다. 이 조직의 COO인 Jan Brilke는 보다 광범위한 참여를 장려하며 이 프로세스가 업체와 고객 모두에게 귀중한 통찰력을 제공한다고 언급했습니다.
일부는 공개적인 실패가 자신의 평판을 손상시킬 수 있다는 우려 때문에 주저할 수 있지만 전문가는 투명성이 사이버 보안에서 점점 더 신뢰성의 대가가 되고 있다고 주장합니다.
한 전문가는 "모호성을 통한 보안은 끝났습니다."라고 단호하게 말했습니다. "제품이 작동한다는 것을 증명하거나 무관하다고 여겨질 위험을 감수해야 합니다."
향후 전망: 결과가 있는 인증
이 순간은 엔드포인트 보안의 새로운 시대의 시작을 알립니다. 예방만으로는 더 이상 충분하지 않으므로 탐지가 중심 무대를 차지하고 있으며 독립적이고 경험적인 검증이 이제 효과성을 측정하는 기준이 되고 있습니다.
카스퍼스키는 기회를 포착하여 인증을 획득하고 중요한 산업 변화의 최전선에 자리매김했습니다. 다른 업체가 따르는지 여부와 그 속도는 앞으로 몇 년 동안 사이버 보안의 경쟁 환경을 재편할 수 있습니다.
전 세계 조직이 점점 더 정교해지는 위협을 능가하려고 노력함에 따라 한 가지 진실은 무시할 수 없게 되었습니다. 위협을 보는 것이 위협을 막는 것만큼 중요하다는 것입니다.
그리고 인스브루크의 엄격한 새로운 표준 덕분에 세상은 이제 누가 지켜보고 있는지 알게 되었습니다.