BLOG

[기사 - 공유] [XDR①] 통합·자동화로 SOC 개선
2021.06.04

- 여러 보안 솔루션 통합해 위협 탐지·대응 기능 개선
- 더 전문화된 위협 분석으로 지능형 공격 선제 대응

[데이터넷] XDR이 유행이다. XDR에 대해 ‘보안 시장이 발전하는 방향’이라는 전망과 ‘마케팅 용어일 뿐’이라는 진단이 나온다. 두 시각 모두 어느 정도 설득력 있다.

기업·기관은 평균 50여 종에 이르는 보안 솔루션을 운영한다. 제각각 발생시키는 이벤트가 너무 많아 관리할 수 없다. AI를 이용한 보안 분석 솔루션을 도입하면 이벤트는 기하급수적으로 늘어난다. 너무 많은 이벤트로 피로도가 높아진 보안조직은 높은 수준의 위협 이벤트도 집중하지 못해 위협을 방치할 수 밖에 없게 된다. 그래서 통합보안 솔루션을 찾게 됐고, 네트워크, 엔드포인트, 클라우드의 위협 탐지와 대응 기술을 통합한 XDR이 등장하게 됐다.

‘마케팅 용어’라는 주장은 보안 벤더의 입장에서 접근한 것이다. 많은 종류의 보안 솔루션을 제공하는 벤더들은 자사 솔루션의 장악력을 높이기 위해 자사 솔루션만으로 보안을 구축하면 훨씬 더 효율적이라고 주장한다. 통합 솔루션을 구성하는 개별 보안 기술이 업계 최고 수준이 아니라도, 모두 통합해 관리하면 실질적인 최고 수준의 보안을 제공할 수 있다는 주장이다. 통합 솔루션은 비용을 절감할 수 있고 관리가 쉬우며 사용자 환경도 개선할 수 있다. 여러 솔루션을 한 번에 제공하니 고객은 비용을 아낄 수 있고 벤더는 추가 매출을 올릴 수 있다.

SOC 개선 위한 다양한 방법 제안

XDR의 정의와 범위에 대한 논쟁도 뜨겁다. 네트워크 보안 기술을 제공해 온 기업들은 네트워크와 엔드포인트 이벤트를 통합 분석할 수 있어야 XDR이라고 주장한다. 엔드포인트 보안 기업들은 특정 솔루션의 결합이 아니라 탐지와 분석의 깊이·넓이를 확장하는 것이라고 주장하면서 전문화된 포렌식, 위협 헌팅, 위협 인텔리전스 역량을 강조한다.

XDR이 아직 초기 시장이기 때문에 어떤 시각이 맞다고 단언할 수 없다. XDR의 ‘X’는 ‘확장된’이라는 의미를 갖고 있지만, 솔루션의 영역을 확장한 것인지 기술의 깊이를 확장한 것인지에 대해서는 해석이 분분하다.

XDR과 SOAR를 혼돈해 말하는 경우도 있다. 둘 다 통합을 이야기하며, SOC를 효율화하기 위해 제안된 다는 점은 동일하다. 그러나 XDR과 SOAR는 도입 목적이 다르다. 단순하게 설명한다면 XDR은 ‘한 벤더가 자사 솔루션으로 통합해 제공’하는 것이고 SOAR는 ‘이미 구축된 이종 보안 솔루션들이 제 역할을 하도록 지휘(Orchestration)한다’는 개념이다.

XDR과 SOAR를 혼돈시키는 것은 SIEM 때문이다. SIEM은 보안 솔루션이 생성하는 이벤트를 분석해 위협을 찾아내는 솔루션으로, XDR, SOAR의 핵심 기능에 모두 SIEM이 포함된다. 차세대 SIEM이 SOAR라는 주장도 있지만, SOAR는 솔루션이 아니라 SOC 프로세스를 개선하는데 초점이 맞춰져 있으므로, 차세대 SIEM 역시 SOAR가 지휘하는 솔루 션 중 하나라고 보는 게 더 정확하다.

차세대 SIEM에 대한 의미가 부정확해서 이를 XDR로 포장하는 경우도 있다. SIEM은 여러 시스템의 로그를 분석해 위협 수준을 파악하고 대응 우선순위를 알 수 있게 한다. XDR은 앞서 말한 것처럼 엔드포인트·네트워크 위협 탐지·대응을 통합하거나, 위협 이벤트 수집·분석의 넓이와 깊이를 확장시키는 통합 솔루션이다.

그러나 현장의 보안 담당자 입장에서 XDR, SIEM/차세대 SIEM, EDR, NDR, SOAR의 정의와 목적이 무엇인지 정확하게 구분하는 것이 아주 중요한 것은 아니다. 이들은 모두 통합과 연계, 자동화, AI를 이용해 SOC 개선을 위해 제안되고 있다. 이 개념들이 또다시 통합·진호하며, 관련 전문기업이 인수되면서 새로운 개념이 다시 등장하고 있다. 따라서 수시로 변하는 용어와 정의에 신경쓰기 보다, 그 제품과 서비스가 정확하게 무엇을 제공하는지 들여다보는게 필요하다.

XDR_Enterprise Strategy Group.jpeg

▲ 설문조사 결과 - 가장 매력적인 XDR 기능

XDR, 보안 이벤트 90% 줄여

SOAR는 관제 프로세스가 표준화돼 있어야 하고, 다양한 플레이북이 충분히 마련돼 있어야 해 도입이 쉽 지 않다. XDR은 솔루션의 관점에서 접근하기 때문에 SOAR보다 도입이 쉽다. XDR을 NDR·EDR 대신, SIEM 대신, 혹은 UTM 대신 검토하는 기업도 있다. XDR로 통합된 솔루션은 비용이 적게 들고 관리 포인트를 줄일 수 있으며, 이벤트 노이즈를 감소시킬 수 있어서 도입 효과를 즉시 볼 수 있다.

왕정석 스텔라사이버 한국지사장은 “스텔라사이버 도입 고객은 이벤트를 10%로 줄였다고 평가한다. 그동안 90%의 불필요한 이벤트를 처리하는데 보안 분석가들이 어려움을 겪어왔다는 뜻”이라며 “전체 탐지된 위협 중 실제로 확실하게 위협이 되는 것만 분석하고 대응하기 때문에 보안조직의 업무가 줄고 위협을 가시 화하며 대응전략을 짜는데 도움이 된다”고 말했다.

스텔라사이버는 오픈XDR를 표방하는 XDR 전문벤더로, 자사 솔루션에 대한 폐쇄성이 강한 경쟁사와 달리 타사 연동이 자유롭다. 오픈XDR이 제공하는 개별 탐지 모듈 대신 타사 솔루션을 연동시켜도 오픈XDR 플랫폼에서 분석하고 자동으로 대응할 수 있다.

일부 고객들은 SIEM을 대체하거나 SIEM 및 보안관제 시스템의 위협정보를 정제하기 위해 도입하기도 한다. 발생한 이벤트를 AI를 이용해 상관관계 분석하기 때문에 노이즈를 줄이고 가장 높은 수준의 위협에 대응할 수 있다.

멀티·하이브리드 클라우드와 온프레미스 환경을 모두 지원하며, 도커 위에 설치되는 전용 컨테이너를 통해 개별 컨테이너 환경에서 발생하는 위협까지 탐지하여 분석할 수 있다.

국내에서 금융, 엔터프라이즈, 공공 시장에서 수요가 많은 편인데, 금융·엔터프라이즈는 사이버 공격이 상시적으로 일어나고, 공격당했을 때 피해를 많이 입기 때문에 새로운 보안 기술 투자에 적극적인 편이다. 공공분야에서는 SIEM 교체 및 고도화하면서 ‘탐지와 대응 능력이 뛰어난 통합 솔루션’으로 비용을 절감할 수 있는 제품에 대한 수요가 높다. 스텔라사이버는 이러한 요구를 만족시키는 솔루션으로 인정받으면서 국내 시장을 공략한다.

왕정석 지사장은 “국내 많은 기업·기관이 클라우드 전환을 서두르고 있는데, 클라우드는 반드시 XDR이 필요하다. 개별 솔루션으로는 클라우드까지 통합된 가 시성을 제공받지 못하며 자동화된 위협 탐지·대응도 어렵다”며 “오픈XDR로 기존의 보안 투자를 보호하면서 진화하는 공격에 대응해야 한다”고 강조했다.

스텔라사이버 XDR은 국내 매니지드 보안 서비스 기업(MSSP) 파고네트웍스의 ‘딥액트(DeepACT)’ 플랫폼에 통합돼 MDR로도 제공된다. 파고네트웍스는 블랙베리와 딥인스팅크트의 AI 엔드포인트 보안 솔루션, 스텔라사이버의 오픈XDR을 딥액트에 통합 시켜 엔드포인트부터 클라우드·네트워크까지 AI 기반 위협 탐지, 자동화된 대응, 전문가 대응 서비스까지 제공한다.

파고네트웍스의 MDR 서비스는 발생하는 보안 이벤트를 정책에 따라 차단-허용을 결정하는 수준이 아니다. 탐지된 모든 이벤트에 공격을 촉발할 수 있는 트리거가 있는지 확인하고 실제로 이 이벤트가 공격으로 발전했을 때 어떤 피해가 발생할지 분석하고 최적의 대응할 수 있도록 지원한다.

여러 소스 정보 연계 분석으로 공격 가시화

XDR의 개념은 팔로알토네트웍스가 가장 앞장서서 주장하고 시장을 개척해왔다. 오케스트레이션과 자동화 기술을 가진 스타트업 데미스토를 인수한 후 네트워크 보안, 엔드포인트 보안, IoT 보안, 클라우드 보안을 통합했으며, ‘코어텍스 XDR’, ‘코어텍스 XSOAR’를 출시했다.

코어텍스 XDR은 네트워크, 엔드포인트, 클라우드, 써드파티 데이터 전체에서 위협을 탐지하고 분석한다. SOC 인력들이 요구하는 모든 기능을 하나의 플랫폼으로 통합했으며, 머신러닝 기능을 통해 하나의 위협이 탐지되고 자동화 대응까지 짧게는 몇 초, 길어야 몇 분 내에 끝나도록 했다. 첫 번째 침투 시도부터 차단까지 최대 몇 분 안에 완료되기 때문에 공격이 실제로 발생하기 전에 차단할 수 있다.

‘코어텍스 XSOAR’는 SOAR 기능에 위협 인텔리전스까지 내장시켜 훨씬 더 정확한 SOC 운영이 가능하도 록 한다. 사용이 쉬운 플레이북과 관제 프로세스를 지원하며, 탐지된 위협에 대한 빠른 조사와 실행 가능한 관리된 인시던트를 제공한다.

RSA ‘넷위트니스’는 자사 플랫폼이 진정한 XDR의 이상을 가장 먼저 완성했다고 주장한다. 넷위트니스는 넷위트니스는 네트워크 패킷을 분석하는 NDR 솔루션 ‘넷위트니스 패킷’, 로그를 분석하는 SIEM 솔루션 ‘넷위트니스 로그’, 엔드포인트 이상행위를 분석하는 EDR 솔루션 ‘넷위트니스 엔드포인트’, 클라우드 위협 탐지 지원까지 단일 플랫폼으로 통합했다. 머신러닝 기반 분석, 사용자·계정 행위 분석으로 탐지 정확도를 높였으며, 쓰렛커넥트의 SOAR 솔루션을 OEM으로 공급받아 자동화된 대응 기능까지 녹여냈다.

조남용 RSA코리아 이사는 “XDR은 단순히 개별 솔루션을 결합하는 것이나 위협을 탐지하는 것에 머물러서는 안 된다. 각각의 영역에서 탐지한 정보를 연계해 깊이 있게 분석하고 IOC를 추출하며, 전체 공격을 가시화하고 최적의 대응 방안을 찾아 자동으로 대응할 수 있도록 하는 단계까지 발전해야 한다”며 “RSA 넷위트니스는 개별 솔루션 모듈만으로도 공급될 수 있으며, 기존 도입된 넷위트니스 혹은 다른 솔루션과도 유연하게 연계된다. 완전히 통합된 XDR 플랫폼 내에서 실제 위협을 탐지하고 확실한 위협을 차단해 SOC 업무를 크게 줄일 수 있다”고 말했다.

o 원문 기사 링크 --> [XDR①]통합·자동화로 SOC 개선