엔드포인트·클라우드·신원 보안 통합하는 AI 위협 탐지 플랫폼 '크라우드스트라이크 팔콘'

[솔루션 가이드]크라우드스트라이크 팔콘, 단일 에이전트 기반 NGAV·EDR·XDR 통합 제공

랜섬웨어, 공급망 공격, 파일리스 공격, 계정 탈취 기반 침해가 증가하면서 엔드포인트 보안 운영 환경도 빠르게 변화하고 있다. 기존 백신 중심 보안은 알려진 악성코드 탐지에는 효과적이었지만, 정상 프로세스를 악용하는 공격이나 메모리 기반 침투, 자격 증명 탈취, 클라우드 연계 공격 대응에는 한계가 있었다.

공격자는 파워셸(PowerShell), 윈도우 관리 도구(WMI), 스크립트 기반 실행, 정상 관리 도구를 활용해 탐지를 우회하고 있다. 생성AI 기반 자동화 공격까지 확대되면서 보안 조직은 단순 악성코드 차단보다 행위 기반 탐지와 실시간 대응 역량 확보를 우선 과제로 검토하고 있다.

이 같은 변화로 엔드포인트 탐지·대응(Endpoint Detection and Response, EDR) 시장도 빠르게 확대되고 있다. 크라우드스트라이크(CrowdStrike)는 자사가 속한 사이버보안 시장 규모를 2023년 760억 달러로 평가했으며, 2025년에는 1000억 달러에 근접할 것으로 전망하고 있다. 국내 역시 금융·공공·제조 산업을 중심으로 차세대 엔드포인트 보안 전환이 확대되고 있다. 복수의 보안 제품을 각각 운영하던 방식에서 벗어나 단일 플랫폼 기반 통합 운영과 자동화 대응 환경 구축 수요도 증가하고 있다.

이러한 환경에서 클라우드 네이티브 기반 AI 통합 보안 플랫폼 크라우드스트라이크의 팔콘(Falcon) 플랫폼은 엔드포인트 보호, 위협 탐지, 위협 헌팅, 침해 조사, 클라우드 워크로드 보호, 신원 보호 기능을 단일 플랫폼으로 제공한다.

크라우드스트라이크 팔콘 플랫폼

단일 경량 에이전트 기반 통합 보안 운영 지원

팔콘 플랫폼은 차세대 안티바이러스(Next-Generation Antivirus, 이하 NGAV), 엔드포인트 탐지·대응, 확장 탐지·대응(Extended Detection and Response, 이하 XDR), 디바이스 제어, 위협 인텔리전스, 포렌식 기능을 하나의 플랫폼으로 통합 제공한다. 기존 엔드포인트 보안 환경에서는 백신, 엔드포인트 탐지·대응, 디바이스 제어, 로그 분석 제품마다 별도 에이전트와 관리 서버를 운영하는 경우가 많았다. 이 과정에서 단말 성능 저하와 정책 관리 복잡도 증가 문제가 발생했다.

팔콘 플랫폼은 단일 경량 에이전트를 통해 여러 보안 기능을 통합 운영할 수 있도록 구성됐다. 관리자는 단일 콘솔에서 정책 적용, 위협 탐지, 대응 현황, 단말 상태를 확인할 수 있다. 크라우드스트라이크는 클라우드 네이티브 방식으로 빠른 배포와 운영 단순화를 지원한다고 설명한다.

팔콘 프리벤트(Falcon Prevent)는 AI 및 머신러닝(Machine Learning, ML) 기반 차세대 안티바이러스 기능을 제공한다. 알려진 멀웨어뿐 아니라 파일리스 공격, 제로데이 공격, 정상 프로세스 악용 행위를 탐지한다. 공격 지표(Indicators of Attack, IOA) 기반 탐지 기술을 통해 공격 행위를 조기에 식별한다. 스크립트 제어와 메모리 스캔 기능은 파워셸 기반 공격, 메모리 인젝션, 자격 증명 탈취 탐지에 활용된다.

팔콘 인사이트 XDR(Falcon Insight XDR)은 엔드포인트, 신원, 클라우드, 데이터 영역 이벤트를 연계 분석한다. 공격 흐름과 마이터 어택(MITRE ATT&CK) 기반 전술·기술 정보를 함께 제공해 보안 담당자가 침해 범위와 연관 행위를 확인할 수 있도록 지원한다. 팔콘 플랫폼은 실시간 대응(Real-Time Response, 이하 RTR)을 통해 단말 격리, 프로세스 종료, 파일 제거, 스크립트 실행 기능도 제공한다.

팔콘 플랫폼은 크라우드스트라이크 쓰렛 그래프(CrowdStrike Threat Graph) 기반 분석 기능도 제공한다. 쓰렛 그래프는 엔드포인트와 클라우드 환경에서 수집된 대규모 이벤트 데이터를 분석한다. 크라우드스트라이크는 하루 약 1조 건의 엔드포인트 관련 이벤트 데이터를 분석한다고 설명한다. 머신러닝과 그래프 분석 기술을 활용해 공격 연관성과 행위 흐름을 분석하며, 위협 인텔리전스 데이터와 연계해 탐지 정확도를 높인다.

위협 헌팅 서비스인 팔콘 오버워치(Falcon OverWatch)도 함께 제공된다. 오버워치는 크라우드스트라이크 보안 전문가가 24시간 위협 탐지와 헌팅을 수행하는 관리형 서비스다. 내부 보안 인력이 부족한 조직도 지속적인 위협 분석과 침해 탐지 지원을 받을 수 있다.

팔콘 플랫폼은 엔드포인트 보호를 넘어 클라우드 워크로드와 신원 보호 영역까지 확대되고 있다. 팔콘 클라우드 시큐리티(Falcon Cloud Security)는 멀티클라우드 환경의 취약점과 설정 상태를 점검하며, 팔콘 아이덴티티 프로텍션(Falcon Identity Protection)은 계정 탈취와 비정상 인증 행위를 탐지한다. 단일 플랫폼 기반으로 엔드포인트, 클라우드, 신원 영역 이벤트를 함께 분석할 수 있다.

통합 운영과 대응 시간 단축 효과

팔콘 플랫폼 도입 기업은 기존 다수 보안 제품을 단일 플랫폼으로 통합해 운영 복잡도를 줄이고 있다. 개별 백신, 엔드포인트 탐지·대응, 위협 분석 솔루션을 각각 관리하던 환경에서 단일 콘솔 기반 운영 환경으로 전환하면서 정책 관리와 이벤트 분석 효율성을 높인다.

AI 및 머신러닝 기반 탐지 기능은 위협 탐지 자동화에도 활용된다. 파일 실행 이전 행위 분석과 실시간 이벤트 연계 분석을 통해 침해 탐지 속도를 높이고, 반복적인 분석 업무 부담을 줄일 수 있다. 팔콘 실시간 대응 기능은 원격 대응 작업을 지원해 보안 담당자가 단말 격리와 악성 프로세스 종료를 신속하게 수행할 수 있다.

오버워치 서비스는 전담 보안 조직 운영이 어려운 기업 환경에서도 활용되고 있다. 크라우드스트라이크 전문가가 24시간 위협 헌팅과 분석을 수행하며, 실제 위협 여부를 검토하고 대응 권고를 제공한다. 이를 통해 보안 운영 인력 부족 문제를 줄이고 지속적인 탐지 체계를 유지할 수 있다.

AI 기반 탐지·대응 영역으로 확장

크라우드스트라이크는 AI 기반 탐지·대응(AI Detection and Response, 이하 AIDR) 영역 확대도 추진하고 있다. 기업이 생성AI와 AI 에이전트를 업무 환경에 연결하면서 AI 모델, AI 애플리케이션, AI 데이터 보호 수요도 증가하고 있다. 크라우드스트라이크는 팔콘 플랫폼을 기반으로 AI 환경의 위협 탐지와 가시성 확보 기능을 확대하고 있다.

AI 네이티브 보안 운영 센터(Security Operations Center, SOC) 운영 기능도 강화하고 있다. 샬럿 AI(Charlotte AI)는 자연어 기반 보안 분석 기능을 제공하며, 팔콘 플랫폼 내 보안 이벤트와 위협 정보를 분석하는 데 활용된다. 팔콘 차세대 보안정보이벤트관리(Falcon Next-Gen Security Information and Event Management, SIEM)는 엔드포인트와 클라우드, 신원 데이터를 통합 분석하는 기능을 제공한다.

국내에서는 다온기술이 크라우드스트라이크 팔콘 플랫폼 구축과 운영 서비스를 지원하고 있다. 다온기술은 금융·공공·제조 산업을 중심으로 엔드포인트 보안 구축 경험과 운영 지원 역량을 제공하고 있다. 구축 이후 정책 운영, 유지보수, 위협 대응 지원까지 함께 수행하며 고객 환경에 맞춘 보안 운영 체계 고도화를 지원하고 있다.

다온기술은 크라우드스트라이크 플랫폼 구축 경험을 기반으로 국내 고객 환경에 맞춘 엔드포인트 보안 운영 서비스를 확대할 계획이다. 생성AI와 자동화 기반 공격이 증가하는 환경에서 엔드포인트, 클라우드, 신원 영역을 함께 관리하는 통합 보안 플랫폼 수요도 지속 확대될 전망이다.

[알림] 'GTT KOREA'와 '전자신문인터넷'이 오는 5월 28일 웨스틴 서울 파르나스 호텔에서 공동으로 주최하는 “SECaaS Summit 2026”에서는 “AI 위협 시대, 방어를 넘어 성장으로”를 주제로 글로벌 보안 기업과 전문가들이 기업의 신뢰 구축과 사업 확장으로 연결되는 보안 전략의 실질적인 사례를 공유하고 전시 부스를 통해 각 솔루션을 직접 체험해볼 수 있는 기회가 제공된다.

유은정 기자 judy6956@etnews.com