탐지와 분석, 대응을 동시에 감행, “완벽한 섹옵스(SecOps) 추구”
자동화와 여러 인텔리전스, 원격 측정 데이터를 분석, 통합
[애플경제 이보영 기자] 해킹이나 각종 사이버공격을 미리 탐지한 후에도 이를 분석하거나, 대응책을 마련하려면 시간이 걸린다. 또 담당 부서 간의 사일로 현상을 극복하고 통합된 대응을 하다보면 공격에 뚫리기 십상이다. 이에 새삼 강조되고 있는게 확장된 탐지 및 대응(XDR, Extended Detection and Response)이다. 이는 완벽한 사이버보안의 대안으로 평가되고 있다. 특히 금년 들어 랜섬웨어, 피싱, DDoS 등이 기승을 떨면서 사이버위협을 예방하고, 탐지하며 대응을 함꺼번에 할 수 있는 XDR의 효용성이 날로 부각되고 있다.
보안업계 전문가들은 “XDR 솔루션은 국내 기업들도 사이버보안의 완결편으로 선택할 만한 최선의 선택이 될 수 있다”고 권한다. 회사의 보안 기술 스택의 도구에서 데이터를 수집, 보안 운영 센터(SOC) 팀이 더 빠르게 위협을 탐지하고, 조사한 후 효율적으로 대응할 수 있는 상황을 만들 수 있다.
XDR은 특히 보안 사고 탐지, 대응 기능 자동화, 여러 소스의 인텔리전스, 그리고 원격 측정 데이터를 보안 분석과 통합하는 것이 특징이다. 이를 통해 보안 경고를 ‘상관관계화’하고 ‘맥락화’하는 것이 포함된다. 또 최소 두 개의 기본 보안 센서가 포함되어야 하며, 기업이나 조직의 보안 생태계와의 원활한 통합이 특히 중요하다는 지적이다.
XDR의 차별화된 장점과 기능
XDR은 이런 특성을 바탕으로 우선 통합 가시성을 크게 개선한다. 흔히 사일로형 보안 솔루션에서 데이터가 수집되므로, 그 분석도 느리고 수동적인 프로세스에 의존할 수 밖에 없다. 그러나 XDR은 그런 대량의 데이터에서 자동화된 분석을 통해 결과를 표면화할 수 있다. 이 과정에서 특히 단일한 콘솔에서 결과를 통합하기 위한 단일한 지점이 가시화되는 것이다.
이는 또 더 빨리 조사를 하면서 한층 생산적인 섹옵스(SecOps)가 가능하다. 분석과 함께 데이터와 현 상황과의 상관 관계를 통해 사이버위협을 우선 순위별로 구분한다. 그 순위에 따란 ‘경고 수위’를 조절할 수 있다. 이에 따라 가장 중요한 위협 대상에 집중하고 자동화를 활용, 반복되는 공격에 대응할 수 있게 된다.
비용 절감도 중요하다. XDR을 도입한 기업은 즉시 사용 가능한 단일 공급업체의 보안 스택을 도입, 표준화함으로써 비용을 절감할 수 있다. 또한 개방형 통합을 제공함으로써 보안도구와 XDR공급업체의 데이터를 잠금 해제할 수도 있다. 즉 “여러 보안 도구를 통합함으로써 통합된 보안 사고 탐지와 대응이 가능하다”는 설명이다.
XDR은 여러 개의 원격 측정 스트림을 수집, 상관관계를 분석, 맥락화하는게 특징이다. 또한 전술이나 기술, 절차, 기타 위협 벡터를 분석한다. 이를 통해 고도로 맞춤화된 포인트 솔루션이 필요하지만, 리소스가 없는 보안 팀이 복잡한 보안 대책을 실행할 수 있게 한다. 특히 탐지와 조사에 필요한 방대한 시간과 주기를 단축한다. 오로지 사이버위협 중심의 비즈니스 컨텍스트를 제공함으로써 신속하게 보안 역량이 작동할 수 있게 한다.
남다른 첨단 위협 탐지와 대응 기능 발휘
해커나 사이버공격자들을 미리 탐지, 대응하는 한편, 이를 위해 사용자의 행위나 기술 자산의 작동을 철저히 분석한다. 사내 인텔리전스와, 외부의 공격 징후를 결합한 ‘위협 인텔리전스 알림’을 자동으로 분석하고 확인한다. 더 빠르고 정확한 인시던트 분류를 위해 관련 데이터를 통합한다. 가중치가 매겨진 가이드를 포함한 중앙 집중식 시스템을 구성하고 강화한다. 이를 통해 외부 사이버공격의 우선 순위를 정할 수 있게 한다.
또한 조사를 수행하고 공격에 대응하기 위한 중앙 집중식 인터페이스를 구축한다. 모범 사례를 수립할 수 있는 자동화 기능이 있는 플레이북을 구축하고, 다중 벡터와 다중 공급업체를 분석한다. 특히 많은 SOC 프로세스를 간소화하기 위한 자동화와 오케스트레이션를 실행하기도 한다.
보안 전문가들이 추천하는 보안 툴은 XDR 외에도, MDR(Managed Detection and Response), EDR(Endpoint Detection and Response) 등이 있다. 그러나 후자는 XDR과 상당한 차이가 있다.
EDR은 엔드포인트에 대한 탐지 및 대응을 제공한다. 이를 통해 많은 기업가 조직이 EDR로 시작하여 XDR로 진행하는게 보통이다. MDR은 탐지와 대응을 관리하는 것이다. 이에 비해 XDR은 여러 보안 제어 기능이나, 데이터 소스를 통해 탐지하고 외부 위협에 대응한다.
폭증하는 사이버위협 속 기업에겐 “반드시 필요”
전문가들은 기업으로선 XDR 보안이 반드시 필요하다고 권한다. 국내 보안기업인 이스트시큐리티의 한 관계자는 “SOC에는 모든 관련 보안 데이터를 지능적으로 통합하고 고급 적대자를 드러내는 플랫폼이 필요하다”면서 “해커나 공격자들은 날로 더 복잡한 전술과 기술, 절차(TTP)를 통해 기존 보안 제어를 교묘히 우회하고 악용한다”고 지적했다. 이에 따라 “기존 네트워크 경계 내부와 외부를 막론하고, 날로 늘어나는 취약한 디지털 자산을 보호하려는 노력이 중요하다”는 것이다.
실제로 기업 보안팀은 그 어느 때보다 힘든 상황이다. 특히 재택근무가 증가함에 따라 사이버보안에 대한 부담이 크게 늘었다. 특히 ‘외톨이’ 공격자나, 해킹 그룹, 국가, 심지어 악의적인 내부자에 이르기까지 보안을 해치는 요인은 너무나 많다. 보안팀은 또 과부하를 초래하는 엄청난 양의 데이터, 넘쳐나는 거짓 정보와 잘못된 분석 도구, 또는 사고 대응과 데이터 통합의 어려움에 시달리고 있다.
이에 기업은 직원과 사내 관리 리소스에 과도한 부담을 주지 않으면서 완벽한 보안대책을 서둘러야 한다는 주문이다. 앞서 이스트시큐리티 관계자는 예를 들어 “레거시 엔드포인트나, 모바일, 네트워크 및 클라우드 워크로드를 망라한 통합적이고, 사전 예방적인 보안 조치가 필요하다”고 강조했다.