보안/백신 프로그램

[1] EPP란 무엇인가? - 안티바이러스의 진화

통촏하여주시옵소서 2025. 4. 15. 16:52

EPP란 무엇인가? — 안티바이러스의 진화

저게 다 어떻게 만들어진걸까

제가 처음 경력을 쌓던 곳은 관공서였습니다. 통합유지보수실에서 PC 유지보수를 하면서 여러 책상들 밑으로 들어가서 문제 원인을 찾고 해결하곤 했는데, 관제실은 항상 여러 개의 모니터가, 그리고 다양한 솔루션이 존재해 늘 신기한 곳이었습니다.여러 솔루션이 있고 다 각자 중요한 솔루션이겠지만, 그중에서도 오늘은 보안 솔루션 중에서 가장 기본적이면서도 중요한 역할을 하는 EPP(Endpoint Protection Platform)에 대해 이야기해보려 합니다.

1. EPP는 무엇인가?

EPP는 Endpoint Protection Platform의 약자로, 말 그대로 엔드포인트를 보호하는 통합 보안 솔루션입니다.

여기서 엔드포인트(Endpoint)란 무엇일까요?

→ 우리가 사용하는 PC, 노트북, 서버, 모바일 디바이스 등을 의미합니다. 즉, 사용자의 가장 말단에 위치한 장비들이죠. 과거에는 이러한 엔드포인트 장비에 단순히 백신(Anti-Virus)을 설치하는 것으로 충분하다고 여겨졌습니다. 하지만 지금은 그렇지 않습니다. 해킹 기법은 정교해졌고, 사용자 단에서 발생하는 보안 사고는 전체 인프라를 무너뜨릴 수 있는 시작점이 되었기 때문이죠.

그래서 기존의 단순 백신을 넘어, 다음과 같은 기능들을 통합한 플랫폼이 필요해졌습니다. :)

EPP의 핵심 구성 요소

  • 악성코드 탐지 및 치료 (기본 백신 기능)
  • 실시간 보호 (Real-Time Protection)
  • 행위 기반 탐지 (파일이 아닌 행동으로 악성 여부 판단)
  • 취약점 방어 기능 (Exploit 방어 등)
  • 디바이스 제어 (USB, 프린터 등 장치 사용 제어)
  • 방화벽/네트워크 보안 기능
  • 중앙 관리 기능 (콘솔에서 다수의 엔드포인트를 관리)

2. 왜 기존 백신만으로는 부족해졌을까?

과거의 백신은 시그니처 기반 탐지(Signature-based Detection)가 주력이었습니다.
즉, 이미 알려진 악성코드의 해시값, 문자열 패턴 등을 기반으로 탐지하는 방식이죠.

하지만 공격자들은 이 방식을 우회하기 위해 다음과 같은 기법들을 사용합니다:

  • 폴리모픽/메타모픽 악성코드: 실행할 때마다 모양이 달라져서 탐지를 회피
  • 파일리스(Fileless) 공격: 파일이 아니라 메모리나 PowerShell 등으로만 동작
  • 제로데이(Zero-Day) 공격: 아직 패치되지 않은 취약점을 노리는 공격

이러한 위협은 정적 분석으로는 걸러내기 어렵기 때문에, 행위 기반, 머신러닝 기반 등의 지능형 탐지 기법이 필요하게 되었고, 이 기능들이 통합된 것이 바로 EPP입니다.

3. EPP vs EDR — 뭐가 다를까?

요즘은 EPP만큼이나 EDR도 많이 언급되죠. 간단히 비교해볼게요.

항목 EPP EDR
주 목적 위협 차단 (사전 방어) 침해 탐지 및 대응 (사후 분석)
탐지 방식 시그니처 + 행위 기반 행위 분석 + 이벤트 추적
운영 방식 주로 자동화된 탐지/차단 운영자가 직접 분석 및 조치
예시 백신 + 방화벽 + 디바이스 제어 등 감염 원인 분석, 이벤트 타임라인 재구성

→ 쉽게 말하면, EPP는 예방(Prevention) 중심이고, EDR은 수사(Detection & Response) 중심입니다.

악성코드가 들어와도 백신이나 EPP로 커버될 수 있을 거라 사고하면 정말... 큰 사고가 납니다. (꺄륵)

악성코드가 들어오면 침입을 차단하지 못하는 순간 바이러스는 전 시스템으로 퍼져나갑니다.

EPP는 그걸 막기 위한 1차 방어선이고,
EDR은 문제 원인을 파악할 수 있는 기록물로 보아도 좋을 것 같습니다.

요즘엔 두 가지 기능이 통합된 XDR(Extended Detection and Response)도 많이 쓰이지만, 그건 나중에 따로 다루겠습니다.

4. 실무에서는 어떻게 사용되고 있을까?

EPP는 단순한 보안 제품이 아니라 운영 전략의 일부로 자리잡고 있습니다.

  • 보안 정책 배포 (예: USB 사용 제한)
  • 악성코드 발생 시 알림 및 자동 치료
  • 폐쇄망에서는 수동으로 업데이트 관리
  • 인사발령에 따라 부서별 정책 분리 운영

그리고 중요한 건, EPP 하나만으로 완벽한 보안을 이룰 수 없다는 점입니다.
항상 다른 보안 도구들과 연계되어야 하며, 사용자의 보안 인식 개선도 함께 이루어져야 합니다.

예를 들면, 사용자의 입력에 따라 잘못된 정보가 떠돌아다닐 수도 있고, 시스템의 허점을 노려 기업 자산을 침탈해갈 수도 있죠. 아마 대부분의 엔드포인트 통합 솔루션대기업이나 관공서와 같은 단말기가 많은 곳에서 사용될 것입니다.

  • 기업은 기업 자산을 지키기 위해
  • 관공서는 보다 안전한 실무 환경 조성을 위해

이런 솔루션을 도입하겠죠.

시간이 흐를수록 기술은 발전하고, 해킹과 보안 기술은 나날이 올라갈 텐데…
위에 있는 실력자들이 새로운 기술을 아래로 뿌릴 수도 있지만
그 또한 책임감 있는 인프라단의 엔지니어들의 노력 없이는 불가능할 것입니다.

마무리하며

EPP는 더 이상 단순한 백신이 아닙니다.
진화한 보안 위협에 맞서기 위해, 다양한 보안 기능이 통합된 플랫폼으로 발전한 것이죠.

  • 보안 운영자에게는 첫 방어선이자,
  • 보안 개발자에게는 지속 개선의 대상이 되는,
  • 그리고 일반 사용자에게는 보이지 않는 보호막인 존재.

앞으로 이러한 EPP 분석글을 써가면서
개인적으로 이런 EPP 플랫폼을 만들려면 어떻게 해야 할지

Java로 승부를 봐야겠습니다...

자바 만세다!