게시일: 2023년 12월 20일
기고자: Gregg Lindemulder, Amber Forrest
차세대 안티바이러스(NGAV)는 인공 지능, 머신 러닝, 행동 분석을 사용해 멀웨어와 기타 유형의 사이버 위협으로부터 엔드포인트를 보호하는 클라우드 기반 기술입니다.
시그니처 기반 탐지를 사용해 기존에 알려진 위협을 식별하는 전통적인 안티바이러스 소프트웨어와는 달리 NGAV는 알려지지 않은 멀웨어 위협과 악의적인 행동을 거의 실시간으로 탐지할 수 있습니다. 이 방식은 랜섬웨어, 스크립팅 공격, 파일리스 멀웨어, 제로데이 취약점 등의 최신 위협을 해결하는 보다 효과적인 방법을 제공합니다.
최신 데이터 유출 비용 보고서를 통해 데이터 유출 위험을 더 잘 관리할 수 있는 인사이트를 확보하세요.
X-Force Threat Intelligence Index 등록하기
레거시 AV 솔루션은 멀웨어 시그니처와 휴리스틱 데이터베이스를 활용해 데스크톱 컴퓨터, 노트북, 태블릿, 스마트폰 등의 엔드포인트 디바이스에서 바이러스를 탐지합니다. 시그니처는 바이러스가 존재할 수 있음을 알리는 파일 내 문자열을 말합니다.
이 접근 방식의 경우, 아직 식별되거나 분류되지 않은 잠재적인 위협으로 인해 시그니처 데이터베이스의 엔드포인트가 취약해집니다. 시그니처를 자주 업데이트하더라도 새로운 악성 파일이나 알려지지 않은 악성 파일은 탐지되지 않을 수 있습니다.
반면, 차세대 안티바이러스 솔루션은 행동 탐지 기술을 사용해 사이버 공격과 관련된 전략, 전술, 절차(TTP)를 식별하며, 머신 러닝 알고리즘이 지속적으로 이벤트, 프로세스, 파일, 애플리케이션에서 악의적인 행위를 모니터링합니다.
알려지지 않은 취약점이 제로데이 공격의 첫 번째 표적이 되는 경우, NGAV는 이러한 시도를 탐지하고 차단할 수 있습니다. 또한, NGAV는 Windows PowerShell과 문서 매크로를 악용하는 공격이나, 파일리스 멀웨어를 실행하는 링크를 클릭하도록 유도하는 피싱 이메일 등의 파일리스 공격을 차단할 수 있습니다.
클라우드 기반 기술인 NGAV는 전통적인 안티바이러스 솔루션보다 배포와 관리가 더 빠르고, 더 간편하며, 비용 효율성도 더 높습니다. 엔드포인트 활동을 모니터링하고 즉각적인 사고 대응을 제공하는 기능이 탑재되어 있어 해커가 시스템에 침투할 때 사용하는 다양한 공격 벡터를 차단할 수 있습니다.
클라우드 기반 NGAV는 전통적인 AV보다 더 적은 리소스를 사용해 훨씬 빠르고 쉽게 배포하고, 업데이트하고, 관리할 수 있습니다. 추가 하드웨어나 소프트웨어를 설치하고 구성할 필요가 없고, 지속적으로 관리해야 할 서명 업데이트도 없으며, 엔드포인트 성능에 거의 또는 전혀 영향을 미치지 않습니다.
레거시 안티바이러스는 이미 식별되어 데이터베이스에 입력된 멀웨어 시그니처만 탐지할 수 있습니다. NGAV는 거의 실시간으로 엔드포인트 동작을 모니터링하고 분석해 제로데이 공격을 비롯한 알려진 위협과 알려지지 않은 위협을 모두 탐지하고 차단합니다.
NGAV는 보안팀에 빠르게 진화하는 지능형 위협을 선제적으로 방어할 수 있는 기능을 제공합니다. 시간이 지남에 따라 머신 러닝 알고리즘은 정상적인 엔드포인트 동작과 사이버 공격의 위험을 높이는 동작을 구별하는 데 더 효과적이 됩니다.
공급업체마다 제공하는 기능이 다르지만, 대부분의 NGAV 솔루션은 다음과 같은 기능을 제공합니다.
NGAV는 전통적인 안티바이러스 소프트웨어보다 더 효과적이지만 완벽하지는 않습니다. 경우에 따라 오탐을 반환하거나 바이러스를 감지하지 못할 수 있습니다. 사이버 범죄자와 해커들은 최신 안티바이러스 보호 기술을 피하는 새로운 방법을 지속적으로 개발하고 테스트합니다.
엔드포인트 기기에서 NGAV 방어가 뚫릴 경우 조직은 엔드포인트 탐지 및 대응(EDR), 통합 엔드포인트 관리(UEM), 보안 정보 및 이벤트 관리(SIEM) 등의 다른 기술을 사용할 수 있습니다. 이러한 보안 솔루션은 다양한 엔드포인트에서 사이버 위협을 예방하고 완화하는 보다 광범위하고 시스템 전반에 걸친 접근 방식을 제공합니다.
UEM은 IT팀과 보안팀이 하나의 도구를 사용해 일관된 방식으로 네트워크의 모든 최종 사용자 디바이스를 모니터링하고, 관리하고, 보호할 수 있도록 지원합니다.
SIEM은 보안팀이 사용자 행동에서 이상 징후를 탐지하고, AI를 사용해 위협 탐지 및 사고 대응과 관련된 수동 프로세스를 자동화할 수 있도록 지원합니다.
네트워크의 첫 번째 사이버 보안 방어선인 엔드포인트 보안은 사용자와 디바이스(데스크톱, 노트북, 모바일 디바이스, 서버)를 사이버 공격으로부터 보호합니다.