SE Labs 평가로 입증된 AhnLab EPP/EDR, 이벤트가 아닌 ‘공격 맥락’ 탐지
글로벌 보안 평가 기관 SE Labs가 실시한 ‘Advanced Security Test’에서 AhnLab EPP/EDR이 탐지 정확도 100%, 종합 정확도 95%를 기록하며 최고 등급 ‘AAA’를 획득했다. 이번 평가는 단순 악성코드 차단 여부를 넘어, 실제 공격자가 사용하는 전술과 행위를 얼마나 전 과정에서 추적하고 가시화할 수 있는지, 그리고 정상 업무 환경에서의 운영 정확성까지 균형 있게 확보했는지를 검증하는 데 초점을 맞췄다.
1. 테스트 개요: 현실 공격을 그대로 재현
SE Labs는 이번 테스트에서 위자드 스파이더(Wizard Spider) 공격 그룹의 실제 전술·기법·절차(TTP)를 기반으로, 기업 환경에서 발생할 수 있는 공격 시나리오를 그대로 재현했다.
피싱 이메일을 통한 초기 침투(Delivery·Execution)부터 내부 정찰(Action), 권한 상승(Escalation), 횡적 이동(Lateral Movement), 데이터 수집 및 외부 유출(Post-Escalation)까지 이어지는 공격 전 과정(Full Attack Chain)을 하나의 시나리오로 구성해 평가를 진행했다.
SE Labs는 단일 악성 파일 탐지 여부가 아니라, 공격자가 내부에 침투한 이후 어떤 단계까지 활동을 확장할 수 있는지를 가정하고 테스트를 설계했다. 이를 통해 EDR이 공격 초기뿐 아니라, 공격이 진행·확장되는 전 단계에서 일관된 가시성과 추적 능력을 제공하는지를 종합적으로 검증했다.
2. 탐지 및 대응(Detection & Response): 공격 흐름 전체를 놓치지 않는 탐지
AhnLab EPP/EDR은 위자드 스파이더 기반 4개 공격 시나리오 전부에서 공격 체인 전체를 탐지하며, 탐지 정확도(Detection Accuracy) 100%를 기록했다. 이는 공격 단계별로 구성된 모든 탐지 그룹에서 최소 하나 이상의 탐지를 성공적으로 수행했음을 의미한다.
이 제품은 초기 피싱 이메일을 통한 악성 파일 전달과 실행 단계는 물론, 이후 이어지는 시스템 정보 수집, 파일·프로세스 탐색, 원격 명령 실행 등 공격자의 정찰 및 내부 장악 시도를 연속적으로 식별했다.
또한, 권한 상승 시도와 SMB 기반 횡적 이동, 데이터 스테이징 및 C2 채널을 통한 정보 유출 시도까지 단계별로 추적했다.
SE Labs는 AhnLab EPP/EDR이 개별 이벤트 단위 탐지를 넘어, 공격 시나리오 전체를 맥락 기반으로 추적하고 가시화하는 탐지 역량을 갖췄다고 평가했다.
3. 종합 정확도: 탐지 성능과 운영 정확성의 균형
이 같은 탐지 결과를 종합해 AhnLab EPP/EDR은 종합 정확도(Total Accuracy Rating) 95%를 기록했다. 종합 정확도는 공격 탐지 성능뿐 아니라 정상 행위에 대한 오탐 여부까지 함께 반영해 실제 운영 환경에서의 효율성을 평가하는 지표다. 즉, 위협을 얼마나 폭넓고 깊이 탐지했는지와 동시에, 정상 업무를 불필요하게 방해하지 않고 안정적으로 운영할 수 있는지를 함께 평가한 결과다.
SE Labs는 이 점에서 AhnLab EPP/EDR이 실제 기업 환경에 적합한 균형 잡힌 EDR 성능을 보였다고 분석했다.
4. 정상 행위 탐지: 업무 연속성을 고려한 탐지
정상 애플리케이션과 파일을 대상으로 한 평가에서도 AhnLab EPP/EDR은 정상 행위 탐지율 90%를 기록했다. 이는 테스트에 포함된 정상 파일과 애플리케이션 대부분을 올바르게 분류했음을 의미한다.
SE Labs는 특히 마이크로소프트 워드(Microsoft Word)와 같은 사용 빈도가 높은 애플리케이션에 대해 오탐이 발생할 경우 높은 패널티를 부여하는 방식으로 평가를 진행했다. AhnLab EPP/EDR은 이런 조건에서도 비교적 안정적인 결과를 보이며, 높은 탐지 성능과 업무 연속성 간의 균형을 고려한 탐지 정책 설계가 반영된 것으로 평가됐다.
보안 담당자가 주목해야 할 핵심 포인트 3가지
1) 실전과 동일한 ‘Full Attack Chain’ 검증
이번 테스트는 ‘위자드 스파이더’ 공격 그룹의 실제 공격 흐름을 그대로 반영해, EDR이 공격 전 과정에서 얼마나 일관되게 공격자를 추적할 수 있는지를 검증했다. 단편적 탐지가 아닌, 실제 침해 사고 시나리오 대응 능력을 확인했다는 점에서 의미가 크다.
2) 단 하나의 빈틈도 허용하지 않는 100% 탐지 정확도
AhnLab EPP/EDR은 모든 공격 시나리오에서 초기 침투부터 권한 상승, 횡적 이동, 정보 유출까지 전 단계를 탐지했다. SE Labs는 이를 통해 안랩이 ‘공격 시나리오 전체를 관통하는 통합적 탐지 역량’을 갖췄음을 공식적으로 확인했다.
3) 보안과 운영의 균형을 입증한 95% 종합 정확도
강력한 보안은 업무 연속성과 양립할 때 진정한 가치를 갖는다. 95%의 종합 정확도는 과도한 경고나 오탐으로 인한 운영 부담을 최소화하면서도, 실제 위협에는 강력하게 대응할 수 있음을 보여주는 지표다.
결론
SE Labs는 AhnLab EPP/EDR이 현실적인 공격 시나리오 전반에서 100% 탐지 정확도에 기반한 일관된 공격 추적 능력과 안정적인 정상 행위 처리 능력을 동시에 제공한다고 평가했다.
AhnLab EPP/EDR은 Advanced Security EDR Detection 부문에서 ‘AAA’ 등급을 획득하며, 현재는 물론 향후 공격 환경에서도 신뢰할 수 있는 EDR 솔루션임을 입증했다.
출처 : AhnLab
