.gif)
‘2023년 XDR 솔루션 기획특집 간담회’ 주요 논의 내용 요약
[인터뷰] 한국인터넷진흥원 사이버침해대응본부 침해사고분석단 박용규 단장
[설문조사] ‘XDR 인식 및 선택 기준’ 결과, 기관·기업 40% 악성 이메일 공격받아
국내외 XDR 대표플랫폼 분석 : 넷위트니스, 엔피코어, 스텔라사이버, 브로드컴(이테크시스템), 트렌드마이크로, 두산디지털이노베이션, 엘라스틱, 트렐릭스
[보안뉴스 김경애 기자] “XDR이 도대체 뭡니까?” “한마디로 정의하면 뭔가요?” “그렇게 정의한 근거는 무엇인가요?” 개념을 두고 말도 많고 탈도 많은 솔루션이 있다. 바로 XDR(eXtended Detection and Response)이다. 내로라하는 보안 솔루션을 결합하고 연동해 시선을 사로잡고 있지만 보안 기업마다 XDR의 해석이 다르다. 어떤 기업은 EDR의 확장 개념이라고 정의하기도 하고, 어떤 기업은 NDR에서 발전한 모델로 설명하기도 한다. 또 어떤 기업은 이미 오래전부터 있던 통합보안에 근거를 두고 봐야한다고 주장하기도 한다. 이처럼 ‘귀에 걸면 귀걸이 코에 걸면 코걸이’ 식의 해석으로 XDR에 대한 대중의 혼동은 날로 커지고 있다.
[이미지=gettyimageBank]
XDR 시장, 보안 위협 변화에 방어도 진화하며 폭풍 성장
고도화되는 보안 위협에 방어 기술도 한층 두터워지고 있다. 지금 보안 시장은 단일 보안 솔루션을 결합하고 연동하는 협업 모델로 변화하고 있다. 그 중심엔 XDR이 있다. 사이버 공격 규모가 커지며 XDR의 필요성은 점점 높아지고 사이버 위협 환경에 더 나은 가시성과 탐지, 대응이 요구되며 XDR이 그 대안으로 떠올랐다.
이미 보안업계는 인수합병 활성화로 경쟁력을 높여 고도화되는 보안 위협에 맞대응하고 있다. XDR 역시 이러한 흐름에 맞춰 빠르게 진화하고 있다. 네트워크, 엔드포인트, 클라우드 등 IT 전반에 걸쳐 EDR, MDR, NDR, SIEM, SOAR, TI, AI, ML 등 기술과 솔루션을 XDR에 적용해 활용하고 있다.
이 같은 추세에 글로벌 XDR 시장은 향후 10년 동안 폭풍 성장할 전망이다. 월드와이드테크놀로지에 따르면 XDR은 2021년에서 2028년까지 연평균 약 20%씩 성장해 20억 6천만 달러에 이르고, IDC는 XDR 시장을 총 30억 달러 규모로 추산하며 연평균 성장률을 69.5%로 높게 예측했다. 가트너는 시장에서 XDR의 기대치가 정점에 근접했다며 XDR 시장을 긍정적으로 내다보고 있다.
XDR 개념 두고 ‘갑론을박’, 소비자는 ‘혼동’
그러나 이러한 기대치에도 불구하고 XDR의 개념이 대중에겐 제대로 인식되지 못하고 있다. 최근 XDR 트렌드에 발맞춰 보안기업이 인수합병하며 XDR의 개념 및 정의를 자사에 유리하게 해석하거나 마케팅에 활용하기 때문이다.
XDR 용어는 2018년 Palo Alto Networks의 CTO인 Nir Zuk에 의해 등장했다. 당시 그는 보안 사일로(Silo)를 무너뜨려 모든 데이터 소스에서 탐지 및 대응할 수 있다는 의미로 XDR 개념을 제안했다. 2019년 XDR은 가트너 리포트 ‘보안 관제 가시성 3대 요소’에서 언급됐으며, 이후 가트너에선 XDR을 여러 보안기술과 보안 솔루션을 단일 플랫폼으로 포함시켜 확장성과 제어 기능을 제공하는 보안 솔루션으로 정의했다.
XDR의 유형은 Open XDR, Native 또는 Closed XDR, Anchored XDR로 구분된다. Open XDR은 최소화된 파트너(벤더) 종속으로 기존에 구축된 보안 제품과 연계가 가능하고, 기존의 보안 제품(툴) 교체 없이 구축 및 활용이 가능하다. Native or Closed XDR은 단일 공급 업체(벤더)의 보안 장비와 통합 및 연계가 가능하다.
그러나 타 제품과 연동하고 분석하는데 제약이 발생할 수 있어 모든 구성 요소를 재구매해야 하는 상황이 발생할 수 있다. Anchored XDR은 개방형과 폐쇄형의 중간 형태다. 원격 분석을 위해 서드파티와의 통합에 의존하고, EDR에 높은 의존도를 보인다.
XDR의 아키텍처는 전략에 따라 프론트엔드와 백엔드로 구분된다. XDR 프론트엔드는 EPP·EDR, NDR, DLP, SEG, CWPP, CASB, SWG, UEM, IAM, 방화벽 등이 포함된다. XDR 백엔드는 클라우드 제공, 데이터 레이크, 자동화, 위협 인텔리전스, API, 조정 고급 분석, 사고조사, 대응 워크플로우가 해당된다.
이처럼 기술 발전과 보안 솔루션 간의 연동 확대로 XDR의 발전은 현재진행형이다. 그러다 보니 이용자 입장에선 XDR 개념을 두고 혼동만 커지고 있다.
2020년 11월 발표된 ESG 리포트 ‘XDR이 현대 SOC에 미치는 영향’에 따르면 XDR을 ‘다양한 데이터 소스로부터 보안 정보를 수집, 처리, 분석, 대응함’이라고 이해한 응답자가 36%, ‘기존의 보안 솔루션과 운영 기술을 보완하고 강화시킴’ 18%, ‘보안 데이터 관리, 분석 및 자동화된 응답을 포함하는 통합 기술’ 16%, ‘차세대 EDR 기술’ 15%, ‘알려지지 않은 정교한 사이버 공격을 탐지하도록 설계된 기술’ 9%, ‘이러한 응답이 모두 그럴듯 하지만 아직 개념을 정확히 이해 못하겠음’ 5% 순으로 집계됐다.
‘2023년 XDR 솔루션 기획특집 간담회’ 논의 내용
이와 관련 <보안뉴스>와 <시큐리티월드>는 2023년 7월 5일 오후 2시 보안뉴스 리더스홀에서 ‘2023년 XDR 솔루션 기획특집 간담회’를 개최했다. 간담회는 XDR 전문기업 총 10개사가 참여한 가운데, 각사마다 추구하는 XDR에 대해 발표하고 공통된 내용을 통합해 정의하는 시간을 가졌다. 이와 함께 주목되는 하반기 보안 위협에 대해서도 들어봤다.
참여기업 및 발표자는 △RSA Security의 넷위트니스(NETWITNESS) 보안사업부 조남용 이사, 김용범 이사, 김현철 이사, △두산디지털이노베이션 마기평 팀장, 임지훈 수석, △브로드컴(BROADCOM) 김기명 부장, △이테크시스템(ETECH SYSTEM) 이승훈 상무, 백창렬 수석연구원, △스텔라사이버(STELLAR CYBER) 왕정석 지사장, △에스케어(ESCARE) 윤우희 부대표, △센티넬원(SentinelOne) 구자만 이사, △안랩 이건용 부장, △엔피코어(NPCore) 방효섭 차장, △트렐릭스(Trellix) 김현섭 상무가 참석했고, △엘라스틱(Elastic) 김문식 컨설팅 아키텍트, △트렌드마이크로(TRENDMICRO) 윤명익 이사는 서면으로 답변했다.
넷위트니스, ‘다차원 데이터 수집+고도화된 탐지+강력한 대응=XDR’
조남용 이사 XDR을 한마디로 표현하자면 ‘다차원 데이터 수집+고도화된 탐지+강력한 대응’이다. 2021년 11월 8일 가트너 발표에 따르면 XDR은 여러 보안 예방·탐지·대응 구성 요소의 데이터와 경보를 통합, 연계분석 및 컨텍스트화 하는 플랫폼이다. 넷위트니스 역시 이 같은 개념에 공감하며 정의하고자 한다.
넷위트니스는 지난 2010년부터 SIEM, NDR, EDR에 이르기까지 XDR 포트폴리오에 해당하는 모듈을 모두 검증된 보안 솔루션으로 전세계 고객사에 제공하고 있다. 넷위트니스 플랫폼 XDR은 네트워크, 로그, 엔드포인트 등 모든 데이터를 단일 데이터로 통합해 탐지 체계를 제공한다. 모든 보안 데이터에서 작동하는 모듈식 인텔리전스를 기반으로 위협 탐지 및 대응하는 플랫폼으로 조직의 모든 정보를 볼 수 있어 위협을 즉시 파악하고 대응할 수 있다.
두산디지털이노베이션, XDR은 ‘통합 탐지 및 대응 플랫폼’
임지훈 수석 XDR은 EDR 기능의 확장뿐만 아니라 엔드포인트, 애플리케이션 제품군, 사용자 페르소나, 온프레미스 데이터센터 및 클라우드에서 호스팅되는 워크로드에 걸쳐 통합 탐지 및 대응하는 플랫폼이다.
어드밴스드 XDR(Advanced XDR)은 AI와 ML을 활용한다. 서로 다른 자산의 원격 분석을 자동으로 상호 연관해 이전에는 볼 수 없었던 공격을 식별한다. 원격 분석의 상관관계를 파악하여 근본 원인의 공격을 타임라인에 표시한다.
이처럼 XDR의 핵심 요건은 보안팀이 빠르고 효율적으로 대응할 수 있도록 하는 자동 수행이다. 즉 어느 부분까지를 자동 수행할 수 있는지가 관건이다. 전체 공격 체인에 필요한 가시성도 제공한다. 공격이 어떻게 진행됐고, 어떤 자산과 사용자가 영향을 받았는지 정보를 제공한다.
브로드컴, “XDR은 확장된 탐지·대응 C레벨 의도에 따라 범위 달라”
김기명 부장 XDR은 확장된 탐지 및 대응이며 기업 C레벨의 의도에 따라 범위가 달라진다. CEO 관점에서 XDR을 구현하면 ESG나 원가 절감을 측정하고 가시화해 대응할 수 있다. CIO 관점에서 XDR은 서비스, 시스템, 인프라 또는 네트워크 등을 측정하고 가시화해 대응할 수 있다. CISO 관점에서 XDR은 위험요소를 측정해 가시화하고 대응하도록 시스템을 구성할 수 있다.
XDR에선 엔드포인트 보안, 웹보안, 이메일 보안 등의 위협정보를 EDR로 수집·통합·분석한다. 그리고 각 영역에 맞는 엔드포인트 DLP, 웹 DLP, 이메일 DLP, 클라우드 DLP, OCR, Proxy, CASB 등 솔루션으로 보안을 강화해 대응한다. 이처럼 XDR은 경영자가 기업을 운영하는데 가시성을 확보해 적절한 시점에 조치할 수 있도록 도와준다.
센티넬원, “XDR은 타 제품과 연동 가능한 솔루션간 연결 프레임워크”
에스케어 윤우희 부대표 XDR은 타 제품과 연동 가능한 솔루션 간의 연결 프레임워크로 보안 공급업체에서 제공하는 새로운 기술 세트다. 각 벤더의 XDR 플랫폼이 결합되어 확장된 XDR을 구축하는 것이다.
XDR은 여러 보안 솔루션과 IT 소스에서 데이터 수집과 자동으로 필요한 기능을 통합해 위협 탐지 및 대응 플랫폼 동작을 목표로 한다. 여러 보안 도구의 경고를 단일 사고로 결합해 보안 활동의 능률과 효율성을 극대화한다. 파악된 공격 경로에 존재하는 보안 솔루션을 통해 Cyber Kill Chain을 기동해 각 솔루션의 방어 기술을 가동한다.
센티넬원 총판사로 에스케어가 추구하는 XDR은 개방형 XDR로 어떤 솔루션도 포함될 수 있고 연동될 수 있어야 한다. 그런 측면에서 센티넬원은 개방형 XDR로 개발한 ‘Singularity XDR’을 출시했다. 이렇듯 개방형 XDR 프레임워크와의 연동 범위는 앞으로 중요한 선별요소가 될 것이다.
스텔라사이버, “XDR, 모든 정보 기반으로 확장된 기술 연동 통해 분석·대응”
왕정석 지사장 XDR은 기존의 솔루션, 툴 위주의 단위보안 장비를 통한 보안 위협 탐지 및 대응의 프로세스에서 벗어나 트래픽부터 각종 단위보안 솔루션, 사용자 행위 및 TI에 이르기까지 모든 정보를 기반으로 분석·대응하는 플랫폼이다. PC, 모바일 등 사이버 보안 분류 기술을 통해 공격행위 전반을 단계별로 분류해 탐지 기술과 방어 전략을 제공한다.
사이버 공격은 각 공격 단계에서 조직에 가해지는 위협 요소를 파악하고, 공격자의 목적과 의도, 활동을 분쇄, 완화시켜 조직의 회복 탄력성을 확보한다. 이를 위해 XDR은 다양한 장비, 보안기술, 위협 인텔리전스(TI) 등 확장된 기술 연동을 통해 서비스 로그, 네트워크 트래픽 등 최대한 많은 정보를 수집한다. 수집된 정보 기반으로 머신러닝, AI 등의 최신 기술을 이용해 연관 관계를 분석하고 보안 위협을 탐지한다. 또한, SOAR 기능 등을 통해 즉각적인 대응을 수행한다.
안랩 XDR, ‘보안업무 효율화’와 ‘보안의 사일로’에 중점
이건용 부장 XDR은 조직에서 운영하는 다양한 이기종의 보안 솔루션의 데이터를 수집, 정규화하고 다양한 이벤트의 상황 정보를 분석해 리스크를 식별·탐지·대응할 수 있도록 지원하는 플랫폼이다. 보안 위협이 IT 환경의 전 영역에서 전개되고 고도화됨에 따라 보안 솔루션 또한 엔드포인트, 네트워크 등 전 영역에서 그 종류와 수가 증가했다. 이로 인해 ‘보안의 효율화’에 대한 요구가 증가했고, 이런 배경에서 XDR이 탄생했다.
안랩이 올 하반기 출시할 XDR은 기획단계부터 조직의 보안 관리자의 편의와 수요를 고려한 ‘보안업무 효율화’ 제공이 특징이다. 우선순위 판단의 어려움을 줄여주는 ‘보안의 사일로(Silo)’에 중점을 둔다. 기존에는 보안 솔루션이 탐지한 이벤트에 대한 대응에 초점을 뒀다면, XDR은 탐지된 이벤트가 어느 정도의 리스크를 가지고 있는지 파악하고, 보안 관리자에게 우선순위와 연계정보를 제공한다.
엔피코어, “XDR, 각각 탐지된 위협의 조각을 전체 그림으로 만들어 대응”
방효섭 차장 XDR은 전사적인 사이버 보안 체계 구축을 위해 확장된 탐지 및 대응이다. EDR, NDR 등 각각 탐지된 조각의 보안 위협을 통합하고, 이렇게 탐지된 보안 위협을 AI 기술을 활용해 상관 분석하며 전체 그림의 퍼즐을 맞춰 대응하는 것이다.
정보 수집 대상은 엔드포인트, 호스트, 네트워크 등으로 확장해 분리된 솔루션을 단일 플랫폼으로 통합해 연동한다. 가시성, 투명성, 모든 구성 요소를 포함한 측면 수준에서 알려지거나 알려지지 않은 위협 감지, 전체적인 모니터링 및 완화, 취약성 평가, 경고 및 대응, 이벤트 단순화 및 통합 등을 대응한다.
특히 기계 학습, 공격 지표(IoA), 이상 탐지, 사용자 행위, 악의적 행위, 침해 지표 등 보안 요소를 통합하고 위협의 실체를 가시화해 효과적으로 대응한다. 여러 보안계층 전반에 대해 원격 측정 및 동작 분석정보를 제공해 보안팀이 전체적으로 상황을 파악하도록 지원한다.
엘라스틱, 자산 보호 위한 기술적 공격 대응방안
김문식 컨설팅 아키텍트 XDR은 엔드포인트, 네트워크, 이메일 보안 등 IT 환경 전반의 데이터를 상호 연결하고, 환경 전반의 사이버 위협을 탐지 및 대응한다. 엘라스틱의 Elastic Security Platform은 Endpoint(EPP,EDR)+SIEM+Cloud(CSPM,CWP)+SOAR로 구성돼 있다.
유연한 아키텍처를 통해 대용량 데이터에 대해 최적화된 모델 구성이 가능하다. 기업의 보안담당자는 하나의 플랫폼으로 보안 사각지대 제거, 엔드포인트에서의 멀웨어와 랜섬웨어 방어, 자동화된 보안 위협 탐지, 보안 분석과 대응 연계 등으로 효율적인 보안체계를 구성할 수 있다.
보안 위협은 MITRE ATT&CK에서 배포한 TTPs에 대응하는 탐지 룰을 자체 개발해 제공하고 있다. 특히, 머신러닝의 Anomaly 탐지를 보안 위협 탐지에 손쉽게 연동해 사용할 수 있다.
트렌드마이크로, XDR IT 인프라 전반에 대한 탐지·대응 플랫폼
윤명익 이사 XDR은 확장된 탐지·대응이다. XDR은 백신의 고급 보호 기능인 EPP가 다루지 못하는 IR, 엔드포인트에 국한되어 탐지·분석·대응하는 EDR, 최근에는 NDR, CDR, DDR 등 IT 인프라 전반에 대한 확장된 탐지·대응 플랫폼으로 발전하고 있다. XDR의 또 다른 명칭은 계층 간을 교차해 상관관계를 제시할 수 있는 Cross-Layered Detection and Response로 표현하고 있다.
트렌드마이크로의 XDR 비전원(Vision One)은 엔드포인트 외에도 이메일, 네트워크, 클라우드, 계정, OT, 모바일 등 업계에서 가장 광범위한 계층의 센서 솔루션을 즉시 배포하고 XDR에 적용할 수 있다. 특히, 엔드포인트의 경우 EDR 전용 센서를 배포해 사용할 수 있고, 타사 EDR과 함께 사용해도 기술지원을 제공한다. 또한, EPP와 EDR이 통합된 Vision One Endpoint Security를 사용할 수 있다.
트렐릭스코리아, SaaS 기반의 보안 위협 탐지 및 사고 대응 플랫폼
김현섭 상무 XDR은 SaaS 기반의 보안 위협 탐지 및 사고 대응 플랫폼이다. Trellix XDR은 엔드포인트, 네트워크, 이메일, 클라우드 등의 보안 솔루션을 통합하는 포괄적인 보안 운영 시스템이다.
Trellix XDR은 다양한 정보 수집과 제품 연구, 위협 인텔리전스, 적대적 복원력 & 옹호, 데이터 사이언스 ML·AI 연구 공학 등을 통해 통찰력 있는 가시성과 단순화된 분석, 빠르고 정확한 탐지, 자동화 공격 완화 및 방지, 위협을 해결한다. 특히, 다양한 보안 장비에서 발생한 이벤트에 대해 위협 기반으로 상관관계를 분석한다. 이를 통해 대응 해결시간은 몇 주에서 며칠로 단축할 수 있고, SOC 자원이 낭비되지 않고 효율적이고 최적화해 처리할 수 있다. 상위 경보에 대한 빠르고 정확한 탐지 및 완화와 간소하고 통찰력 있는 보안 운영 환경을 통해 보안 위협을 신속하게 차단할 수 있다.
XDR, IT 전반에 대한 확장 탐지·분석·대응 플랫폼
지금까지 XDR 플랫폼 제공 기업 10곳의 얘기를 들어봤다. 본지는 지금까지 논의된 공통된 의견을 중심으로 XDR의 개념을 정리하고자 한다.
첫째, XDR은 특정 영역에 한정된 보안 솔루션이 아닌 어떤 보안 솔루션도 적용할 수 있는 플랫폼이어야 한다. 물론 XDR 유형에 따라 단일 보안 벤더 솔루션에 한정될 수 있다. 하지만 이날 간담회에서 논의된 XDR의 발전 방향은 어떤 보안 솔루션도 적용할 수 있어야 한다는 의견이 지배적이었다.
둘째, XDR은 어떤 보안 솔루션도 유연하게 연동될 수 있어야 한다. 많은 보안 솔루션을 적용해야 하는 만큼 연동성은 XDR의 중요 핵심 요소다.
셋째, 가시성이 확보된 확장된 탐지·분석·대응이다. 모든 계층과 영역에서 탐지된 모든 데이터를 수집해 통합하고, AI·ML 등 신기술을 활용해 상관 분석 및 자동 대응을 할 수 있어야 한다.
이에 본지에서는 10개사의 공통된 의견과 논의를 거쳐 XDR을 IT 전반에 대한 확장된 탐지·분석·대응 플랫폼으로 정의하고자 한다. 특히, 이날 간담회에선 XDR에 대한 표준, 정잭·제도적인 뒷받침, 시장에서의 공동 대응 및 협업, XDR 협의체 구축, XDR 보안포럼 등 다양한 논의가 이뤄졌다. 향후 본지는 XDR 시장 확대를 위해 XDR 제공 기업 10개사를 중심으로 다양한 의견 수렴과 논의를 진행해 나갈 계획이다.
▲ ‘XDR 인식 및 선택 기준에 대한 설문조사’ 결과[이미지=보안뉴스]
[설문조사] XDR 인식 및 선택 기준
기관·기업 40% 악성 이메일 공격받아
XDR의 등장은 지능적이고 고도화된 보안 위협이 깔려있기 때문이다. 본지는 기관·기업의 보안담당자를 대상으로 2023. 6. 29(목) ~ 7. 7(금)까지 ‘XDR 인식 및 선택 기준에 대한 설문조사’를 실시했다.
‘기관·기업에서 가장 많이 받는 사이버 공격’에 대해 ‘악성코드 실행 및 클릭을 유도하는 스피어피싱 등과 같은 악성 이메일 공격’이 40%로 1위를 차지했다. 2위는 ‘랜섬웨어 공격’ 17.9%, 3위 ‘취약점 공격’ 9.8%, 4위 ‘계정정보 및 개인정보 탈취를 위한 피싱 공격’ 7.7%, 5위 ‘디도스 공격’ 6% 순으로 집계됐다.
‘XDR 구성 모듈 중 가장 관심 있는 솔루션’에 대해선 ‘EDR’이 31.1%로 1위를 차지했다. 2위는 ‘APT’ 20.9%, 3위는 ‘SOAR’ 13.6%, ‘NDR’ 12.3%, ‘MDR’ 10.2% 순으로 집계됐다.
=============================================================================
[인터뷰] 한국인터넷진흥원 사이버침해대응본부 침해사고분석단 박용규 단장
“하반기 주목되는 보안 위협, 디도스 공격과 랜섬웨어”
사이버침해대응본부 침해사고분석단을 소개해 주신다면?
침해사고분석단은 사이버 침해사고가 발생한 최일선 현장에서 만날 수 있는 조직입니다. 침해사고대응 등 디지털 역기능에 대응하는 조직으로 사이버침해대응본부의 중추 역할을 합니다.
주요 업무는 시스템·악성코드·취약점을 분석해 사고 발생 원인을 규명하고, 유사한 피해 사례가 발생하지 않도록 조치를 취하는 것입니다. 또한, 다양한 사고 케이스를 다른 기업·기관에 공유해 사전에 예방하도록 지원합니다.
기관과 기업을 타깃으로 한 해커들의 주요 해킹 경로는 어디인가요?
인터넷에 연결된 시스템으로 홈페이지가 가장 대표적입니다. 인터넷에 연결되어 있어 언제든 접근할 수 있고 취약점 패치가 안 된 허술한 곳이 많아 쉽게 접근할 수 있습니다. 연초에 발생한 국내 학술단체를 노린 대규모 웹변조 해킹 공격이 그 대표 사례입니다.
미상의 중국 해커그룹에 의한 공격으로 드러났는데요. 시스템 운영을 위해서는 관리자 권한이 필요한데, 이때 쉽게 유추할 수 있는 낮은 수준의 비밀번호 사용이 문제가 될 수 있습니다. 내부 관리자만 이용해야 할 기능을 외부에서도 쉽게 이용할 수 있으면 안 되니까요.
이외에도 메일서버, 그룹웨어, 중앙관리 서버도 주요 표적 대상입니다. 해커는 기업 내부 환경에 침투해 저장된 주요 정보, 기업 내 다른 시스템들의 정보, 운영 중인 백업 서버까지 접속해 자료 유출과 랜섬웨어 감염 등의 침해사고를 일으킵니다.
보안 솔루션 악용에 어떤 점을 유의해야 할까요?
100% 완벽한 솔루션은 존재하지 않아요. 안전을 지원하는 다양한 유형의 보안 솔루션뿐만 아니라 기업 내부에 존재하는 수많은 시스템(서버, NAS 등) 모두 취약점이 존재할 수 있어 공격 표적이 될 수 있습니다. 이 때문에 사용·운영 중인 솔루션과 시스템에 대한 모니터링이 매우 중요합니다. 이용자마다 어떤 기능을 수행하는지, 어떤 자료에 접속하는지, 어떤 시스템으로 접속이 시도되는지 등 다양한 행위에 대한 로그를 저장, 분석해 이상행위 등을 판단하고 대응해야 합니다. 물론, 모든 기업이 로그 분석과 대응 능력을 보유하지 않아 민간 전문 보안조직의 도움을 받거나 스스로 역량을 키워야 합니다.
하반기 주의해야 할 보안 위협 3가지와 이유를 설명해 주신다면?
하반기에도 기업이나 기관을 대상으로 내부정보나 개인정보 등의 정보유출과 랜섬웨어 공격이 주요 보안 위협이 될 것입니다. 특히, 2023년엔 디도스 공격이 심심찮게 발견되고 있는데요. 연초엔 LGU+ 인터넷망을 대상으로 한 디도스 공격이 있었고 이후 크고 작은 규모의 디도스 공격이 지속적으로 발생하고 있습니다.
최근엔 해외 블리자드 게임사를 대상으로 대규모 디도스 공격도 있었죠. 해커는 공격에 대한 파급력과 그로 인해 얻어낼 수 있는 이익에 초점을 맞춥니다. 특히, 기업의 중요 기밀정보가 유출되면 해커는 기업의 신뢰도가 하락되는 걸 노리는데요. 랜섬웨어나 디도스 공격에 의한 서비스 장애 등이 외부로 알려질 경우 고객 이탈이나 기업 서비스에 대한 불신 등 이미지 손상으로 이어져 해커는 금전적인 협박이 매우 용이합니다. 어쩔 수 없이 협상에 응하도록 유도하는 것이죠. 이러한 보안 위협은 계속될 전망입니다.
업무에 있어 가장 큰 애로사항은 무엇인가요?
동시다발적 사고 발생에 따른 대응 인력 운영에 어려움이 있습니다. 사고조사 대상은 증가한 반면 인력은 충원되지 못했어요. 사이버 공격 사고가 커지고 있는 만큼 이를 해소하기 위한 인력 증원이 추진돼야 합니다.
정보통신망법 개정(시행: 2022.12.11.)으로 침해사고 관련 자료보전 명령, 자료제출 요구권 등이 신설되어 신고된 침해사고 전체에 대해 분석 및 검증은 필수입니다. 현재 경찰청 사이버안전국 사이버테러대응과는 5개 팀(32명), 디지털포렌식센터 10개 팀(41명)이 운영되고 있습니다. 하지만 한국인터넷진흥원은 2022년 기준 1개 팀(13명)이 연간 1천 5백여 건을 조사하고 있어 인력 충원이 필요합니다.
침해사고 분석단에선 보안사고 예방을 위해 어떤 노력을 하고 있나요?
발생한 침해사고의 원인을 분석하여 사고가 재발하거나 확산되지 않도록 알리는 노력을 기울이고 있습니다. 예를 들면, 악성코드를 배포하는 서버를 조사해 조치나 차단하며, 발견된 취약점은 즉시 조치하고, 해킹사고에 사용된 악성코드는 삭제합니다. 그리고 사이버 위협정보 분석공유 시스템인 C-TAS를 통해 관련 위협 정보를 기업에 즉시 공유하고 있습니다. 또한, 해킹사고에 사용되는 취약점 발굴을 위해 보안 취약점 신고포상제나 자체 분석을 통해 발굴·조치에 노력하고 있습니다.
최근에는 프로파일링 기법을 통해 해커가 사용하는 공격기법이나 특정 해킹 그룹들이 사용하는 공격기법을 분석하고 TTP(목적, 방식, 기법) 보고서로 발간해 최신 해킹 공격 트렌드를 기업에 공유하고 있습니다. TTP 보고서는 보호나라 사이트에 게재되어 누구나 다운로드해 활용할 수 있습니다.
=============================================================================
올 하반기 주목해야 할 주요 보안 위협
그렇다면 XDR 전문기업이 뽑은 하반기에 주목해야 할 보안 위협은 무엇일까. 본지는 XDR 기업 10개사를 통해 앞으로 주목해야 할 주요 보안 위협에 대해 들어봤다.
넷위트니스, 생성 AI 이용한 보안 위협 ‘주의’
조남용 이사 하반기 주목해야 할 보안 위협은 첫째, 공격자의 생성 AI를 이용한 빠르고 광범위한 공격 능력이다. 생성 AI를 통해 개별 전문분야에 최적화된 피싱 이메일 작성과 가짜 웹 사이트 개설 등 사회공학적인 공격기법도 더욱 정교해질 전망이다.
둘째, Digital Transformation으로 인한 공격 표면(Attack Surface) 증가에 따른 보안 관제의 복잡도 증가다. 공격자는 다양한 침투 경로를 확보해 손쉽게 주요 정보에 접근할 수 있게 됐다. 다양한 환경에 대한 보안 관제 구축은 이전보다 훨씬 복잡한 과제가 되었다.
셋째, 남북관계 긴장 고조로 인한 북한 해킹그룹의 활동 증가다. 최근 남북관계 긴장 고조로 인해 북한의 도발 위험이 커지고 있다. 사이버 공격을 통한 도발 가능성도 증가하고 있다.
두산디지털이노베이션, 신규 랜섬웨어 출몰+랜섬웨어 이용 공격 ‘활발’
임지훈 수석 하반기도 2022년~2023년 상반기와 동일한 형태의 랜섬웨어 공격이 활발해질 전망이다. 신규 랜섬웨어는 자바스크립트 기반의 알려진 랜섬웨어 형태와 비슷한 ‘범블비(Bumblebee)’, 일종의 다운로더로 랜섬웨어를 심는 ‘아이스드아이디(IcedID)’ 등 그동안 비밀리에 전파된 랜섬웨어다.
최근에는 중소기업을 괴롭히는 ‘에잇베이스(8base)’ 랜섬웨어 공격도 활발해 앞으로도 기승을 부릴 것으로 예상된다.
알려진 랜섬웨어 공격 기술도 방어가 쉽지 않다. 이전에 발생했던 수많은 공격 기술을 답습해도 막기 어려운 게 현실이기 때문이다. 따라서 과거 발생된 공격 기술의 방법론을 익히고, 동일 공격이 발생하지 않도록 방어하는 게 시간과 비용 절감에 가장 좋은 방법이다.
브로드컴, 모바일 보안 위협과 랜섬웨어 ‘기승’
김기명 부장 하반기 주목되는 보안 위협은 모바일 보안 위협과 랜섬웨어다. 윈도우의 엔드포인트 점유율이 40% 이하로 하락한 반면 애플 기기 사용자는 25% 내외로 성장했다. 안드로이드 사용자 역시 40% 이상 증가해 모바일기기 사용 비중이 늘고, 인터넷 기업 중심으로 맥 사용 비중이 높아지고 있다. 모바일 보안 위협 역시 증가하고 있어 이에 대한 보안 요구는 더욱 커질 전망이다.
최근에는 Play 랜섬웨어가 활개를 치고 있다. 2022년 중반 처음 등장한 Play 랜섬웨어는 가장 활발하게 활동하는 랜섬웨어 중 하나로, LockBit, Mallox, Clop 등 변종과 호환된다. 해커조직은 몸값을 지불하지 않으면 이미 암호화된 데이터 외에도 다른 중요 데이터를 팔아버리겠다며 협박하는 이중 갈취 전술로 유명하다.
센티넬원, 실행 시점에 악성코드 생성하는 ‘Black Mamba’ 주의
에스케어 윤우희 부대표 하반기 주목되는 보안 위협인 ‘Black Mamba’는 실행 시점에 정상적인 Source API(Open AI)를 통해 일반적인 결과값을 제공받아 악성코드를 생성한다. 악성코드를 파일로 저장하지 않고 메모리상에서 동작시킬 수 있는 게 특징이다. 실행될 때마다 악성코드에 변화를 줘 구성 요소도 다형성 객체로 만들 수 있다. 이러한 동작 구성 요소에 Auto-py-to-exe를 이용하면 파이썬 설치 없이 실행될 수 있는 실행형 파일 작성도 가능하다. 이는 젠킨스와 같이 파이썬 라이브러리가 포함되어 있는 서비스 서버의 취약점을 활용한 것이다.
보안 관리자 관점에선 무해한 원격 소스에서 페이로드가 생성되고, 조각화된 코드 조합과 실행 시점에 악성코드와 결합돼 탐지가 어렵다. 악성코드로 수집된 정보는 MS 팀즈 웹훅을 통해 공격자의 팀즈 채널로 전송된다.
스텔라사이버, 랜섬웨어·타깃형 공격·OT 보안 위협 ‘증가’
왕정석 지사장 랜섬웨어, 개인정보 탈취 목적 악성코드 등의 타깃형 공격이 하반기에도 주를 이룰 것으로 예측된다. 다양한 오픈소스의 생태계가 확장돼 보안 위협도 급증하고 있다. 실제 서비스에 적용된 오픈소스 기반의 플랫폼에서 기업 서비스에 치명적인 위협이 발견된 바 있다. 또 생산·제조망(OT)에 대한 보안 위협도 증가하고 있어 이러한 보안 위협에 XDR의 필요성이 부각되고 있다.
사이버 보안 킬체인, MITRE ATT&CK 등 발전된 대응전략을 기반으로 정확한 보안 위협을 탐지하고 대응하기 위해 XDR을 통한 통합 관제 모델의 구축이 그 어느 때보다 필요한 시점이다.
안랩, 랜섬웨어 공격과 라자루스 보안 위협 ‘지속’
이건용 부장 먼저 랜섬웨어 지속 공격에 주목해야 한다. 안랩의 자체 분석에 따르면 작년 말부터 수집되는 랜섬웨어 신규 샘플 수 자체는 감소 중이지만, 피해 규모는 비슷한 수준으로 유지되어 랜섬웨어 공격은 계속되는 것으로 보인다.
랜섬웨어 공격 양상은 특정 조직을 노린 정교한 타깃형 공격으로 변화하고 있다. 기존에 많이 활용되던 스피어피싱이나 워터링홀 외에 최근에는 취약점 활용 공격이 증가하고 있다.
특히, 올해는 ‘라자루스’와 관련된 위협이 이어질 것으로 보여 주의가 필요하다. 2009년부터 시작된 라자루스의 공격은 매년 이어지고 있다. 수법 또한 고도화되고 있어 기업은 보안 모니터링 및 대응 체계 마련에 힘써야 한다.
엔피코어, 국가 사이버 안보 위협 및 서비스형 피싱 공격 ‘주의’
방효섭 차장 최근 북한의 사이버 공격과 러-우크라이나 사태와 같이 국가 사이버 안보 문제가 화두다. 이태원 사고 이슈 악용, 카카오 서비스 장애 이슈 등 국가 안보와 관련된 사이버 보안 위협은 국제 정세의 불안을 증가시키고 있다. 따라서 사이버 안보 체계를 확립해야 한다.
최근 문자나 이메일만 읽어도 악성코드가 실행되는 신종 공격 방법도 발생했다. 또한, 사회적 이슈를 악용한 서비스형 피싱 공격을 통한 사이버 보안 위협 사태도 발생했다. 특히, 국내외 사회정치적 흥미를 유발하는 파일명을 악용해 사용자의 클릭을 유도하는 ‘바로 가기(LNK)’ 공격이 계속 증가하고 있다.
엘라스틱코리아, 윈도우와 리눅스 노린 공격 증가
김문식 컨설팅 아키텍트 전체 멀웨어 감염의 39%는 리눅스 엔드포인트다. 이는 기업이 리눅스 기반 엔드포인트를 백엔드 인프라로 구현하고 있기 때문이다. 공격자는 아키텍처에 대한 바이너리를 무기화하고 이를 사용자 정의 제공 기술을 통해 배포한다. 멀웨어의 81%는 트로이목마 기반이다.
트로이목마는 스테이저와 드로퍼 배포에 제공되는 바이너리를 무기화할 수 있고, 공격자는 기술을 추가해 다목적으로 활용할 수 있어 더욱 선호한다. 트로이목마 기반의 멀웨어 감염 80%는 윈도우로 이를 노린 공격도 증가하고 있다.
방어 회피 기술도 지능적으로 고도화되고 있다. 전체 방어 회피 기술의 총 72%는 가장(masquerading) 및 시스템 바이너리 프록시 실행이다. 이는 합법적으로 서명된 유틸리티 악용으로 식별이 어렵다.
트렌드마이크로, 클라우드 노린 공격과 잘못된 설정 ‘주의’
윤명익 이사 클라우드 환경의 잘못된 설정이나 구성은 매우 중요한 보안 위협이 되고 있다. 또한, 클라우드 개발자는 보안을 신경쓰지 않고 개발해 취약점을 발생시킨다. 이를 노리고 공격자는 내 외부 서비스에 대한 취약점을 악용한다.
클라우드를 노린 랜섬웨어 공격도 기승을 부리고 있어 각별히 주의해야 한다. 클라우드 워크로드의 취약점 패치 검토 및 적용이 신속히 진행돼야 한다. 이어 공격자가 오래전부터 사용해 온 ‘LotL(Living off the Land. 공격을 위해 피해자의 자체 리소스를 활용)’ 보안 위협에도 주의를 기울여야 한다.
그런 측면에서 ‘LotC(Living off the Cloud)’는 피해자의 시스템에 대한 접근 권한을 공격자가 탈취한 후 피해자의 합법적 툴을 악의적으로 활용하는 것으로 각별히 유의해야 한다.
트렐릭스코리아, 윈도우와 리눅스를 노린 보안 위협 증가
김현섭 상무 윈도우와 리눅스를 노린 보안 위협이 증가하고 있다. 요즘 해커들은 리눅스 전문, 윈도우 전문해커 등을 섭외한 후 서로 연합해 공격한다.
특히, 공격자는 모의 해킹 툴인 코발트 스트라이크 공격 도구를 선호하고 있어 하반기에도 코발트 스트라이크를 이용한 보안 위협은 이어질 것으로 보인다.
랜섬웨어 공격은 금전적 이득을 얻기 위해 기업을 타깃으로 하반기에도 기승을 부릴 전망이다. 중국 해킹그룹 APT의 활동은 가장 적극적으로 탐지의 79%를 차지하고 있다. APT 그룹은 물리적 군사 활동, 사이버 스파이 활동, 파괴적인 사이버 공격 시도 등을 할 것으로 전망된다.
==============================================================================
▲넷위트니스 XDR 구성 요소[이미지=넷위트니스]
[XDR 대표 플랫폼 집중분석-1]
넷위트니스, 국내외 주요 기업·기관이 활용하는 검증된 XDR 플랫폼
네트워크에서 로그, 엔드포인트까지 실시간 위협 행위 탐지 및 분석
2023년 RSA Conference에서 가장 뜨거운 화두는 단연코 XDR(eXtended Detection Response)이었다. 가트너에서 보안 관제 가시성의 3대 요소를 SIEM, NDR, EDR로 정의한 바와 같이, 단일 영역이 아닌 전반적인 인프라 영역에 대한 사이버 공격 및 이상 행위를 실시간으로 탐지·대응하고, 이러한 공격에 이상행위의 경로·원인 분석에 대한 필요성이 높아졌다.
넷위트니스(NetWitness)는 비즈니스 피해가 발생하기 전에 보안팀이 네트워크에서 로그, 엔드포인트 영역까지 정교한 위협과 침해를 실시간으로 탐지, 이해하고 자동으로 대응하도록 지원하는 XDR 플랫폼이다. 온프레미스에서 가상화환경, 클라우드환경까지 기업의 다양한 인프라 환경을 지원한다.
넷위트니스 네트워크, 전세계에서 가장 검증되고 선진화된 NDR
넷위트니스 네트워크는 온프레미스, 클라우드 및 가상 인프라 전반에서 실시간으로 네트워크 데이터를 수집하고 분석해 즉각적이고 심층적인 가시성을 제공한다. 넷위트니스 네트워크는 미국 국토안보부 산하 국가사이버안전센터에서 개발한 후 상용화된 NDR 솔루션으로서, 전 세계에서 가장 보안에 민감한 기업 및 기관에서 사용 중인 검증된 솔루션이다. 미국 및 주요 동맹국 정부, 국방, 국제기구, 정보기관, 방산기업, 글로벌 대기업 및 금융기관에서 널리 사용되고 있으며, 국내에서도 다수의 대기업 및 주요 공공기관, 금융기관에서 폭넓게 활용 중이다.
아울러, 각 기업 및 기관의 보안팀은 넷위트니스 네트워크를 국내외 사이버 공격에 대비한 보안 관제, 사내 컴플라이언스 준수 여부 확인, 감사를 대비한 증적 데이터 제공, APT 및 SASE 등 기 보유한 보안 솔루션의 활용성 제고 등의 용도로 다양하게 사용하고 있다.
넷위트니스 로그, 보안 관제의 효율성 제고하는 SIEM
넷위트니스 로그는 외산 및 국산 애플리케이션, 네트워크 장비 및 보안 디바이스, 각종 운영 체제를 포함해 모든 관련 로그 소스에 대한 가시성을 확보한다. 넷위트니스 로그는 중앙 집중식 로그 관리, 퍼블릭 클라우드 및 SaaS 애플리케이션에서 생성된 로그 모니터링, 시그니처 기반 보안 툴을 우회하는 의심스러운 활동의 식별을 지원하는 글로벌 주요 SIEM 솔루션 중 하나다.
넷위트니스 로그는 넷위트니스 네트워크와 함께 단일 데이터베이스 및 유저 인터페이스를 활용해 넷위트니스 네트워크 및 엔드포인트와 함께 사용할 경우 보안 관제의 효율성을 제고하고 XDR 플랫폼으로서의 가치를 강화할 수 있다.
넷위트니스 엔드포인트, 보다 깊이 있는 탐지를 위한 EDR
넷위트니스 엔드포인트는 엔드포인트 디바이스에 대한 지속적인 모니터링과 풍부한 대응 구성 요소를 통해 인시던트 대응 비용, 시간 및 범위를 줄이는 EDR 솔루션이다. 넷위트니스 엔드포인트는 메모리 포렌식을 활용해 호스트에 대한 전체적인 가시성을 제공하고, 시그니처에 의존하지 않고 시스템 운영체계(OS) 영역까지 악성코드 행위를 탐지한다.
따라서, 신종 공격, 표적 공격, 알려지지 않은 공격, 파일리스 공격까지 신속하게 식별 및 탐지해 공격 체류 시간을 줄이고 보다 깊이 있고 정확한 분석을 제공한다. 아울러 넷위트니스 엔드포인트는 사용자 엔드포인트 디바이스에 에이전트를 설치하지 않고 별도 중앙 관리 서버를 운용하기에 임직원들의 업무 연속성에 부담을 주지 않는다.
▲엔피코어 ZombieZERO XDR[이미지=엔피코어]
[XDR 대표 플랫폼 집중분석-2]
EDR의 선두주자 엔피코어, 차세대 사이버보안 솔루션 XDR 개발
급증하는 위협의 다양성·복잡성에 따라, SOC에서 포괄적인 위협 대응 필요
최근 확장된 탐지 및 대응(eXtended Detection and Response 이하 XDR) 플랫폼인 XDR의 등장은 글로벌 사이버보안 분야에서 큰 주목을 받고 있다. 급증하는 위협의 다양성과 복잡성에 따라, 보안 운영 센터(SOC)에서는 점점 더 넓어지는 공격 표면과 포괄적인 위협 대응이 필요해졌다.
2022년 실시한 한 조사에 따르면 보안팀이 평균 76개의 각기 다른 보안 도구를 관리하는 것으로 나왔다. 이는 클라우드 도입과 원격 작업 요구사항에 맞춰 다양한 보안 도구 도입이 폭증했기 때문이다. 이러한 도구의 막대한 증가로 인해 보안 전문가들은 보고서 작성과 여러 격리된 소스로부터 데이터를 통합하는데 많은 시간을 할애해 사용해야 했다.
이러한 상황에서 XDR은 여러 보안 도구로부터 데이터를 중앙 집중화하고 연계해 가시성을 향상 시키고 운영 효율성을 높인다.
엔피코어, AI와 ML 독자 연구 경험 기반으로 오픈 XDR 제품 개발 중
한국 사이버보안 엔드포인트 분야의 주요 업체인 엔피코어(대표 한승철)는 인공지능과 머신러닝에 대한 광범위한 독자적인 연구 경험을 바탕으로 오픈 XDR 제품을 개발 중이다. XDR은 인공지능과 머신러닝을 활용해 위협 탐지, 대응 및 조사 과정을 자동화하고 대량의 데이터를 실시간으로 분석해 정교한 위협을 빠르게 식별하고 완화하는 기능을 갖추고 있다. 이를 통해 보안팀은 효율적으로 사이버 위협에 대응할 수 있다.
XDR은 인공지능과 머신러닝을 활용해 위협 탐지, 대응 및 조사 과정을 자동화할 수 있다. 대량의 데이터를 실시간으로 분석하는 능력을 갖추어 기존의 보안 방식에서 놓치는 정교한 위협을 신속히 식별하고 완화하는 역할을 한다.
XDR 플랫폼은 원시 데이터(Raw Data)를 중앙 집중화하고 직관적인 사용자 인터페이스를 통해 SOC 분석가들에게 명확하고 실행 가능한 인사이트를 제공해 신속한 의사결정을 가능하게 한다. 또한, XDR은 다양한 소스의 데이터를 통합하고 상호 연관 지어 정교한 위협을 식별해 뛰어난 위협 탐지를 제공하며, 프로세스를 자동화하고 간소화해 보안 사건을 신속하고 효과적으로 탐지·조사·대응할 수 있도록 도와준다.
알림 우선순위는 지정해 필터링할 수 있어 알림 피로를 줄여주고, 보안팀은 더 중요한 위협에 집중할 수 있다. 이뿐만 아니라 XDR은 한층 확장된 가시성과 인사이트를 제공해 선제 위협 수색을 가능하게 하며 확장성과 적응성을 갖추어 데이터양과 진화하는 위협에 대응할 수 있다.
한승철 대표는 “엔피코어는 기술적 우수성과 직관적인 사용자 인터페이스를 결합한 포괄적인 오픈 XDR 제품을 제공할 수 있는 역량을 갖췄다”며 “XDR의 AI·ML 기능을 통해 조직이 보안 체제를 강화하고 진화하는 사이버 위협에 효과적으로 대응할 수 있을 것”이라고 말했다.
▲스텔라사이버 Open XDR[이미지=스텔라사이버]
[XDR 대표 플랫폼 집중분석-3]
스텔라사이버-‘Open XDR’, 지능형 통합 보안 분석 플랫폼으로 ‘주목’
고객의 모든 데이터, 통합 보안위협 분석으로 차세대 보안관제 제공
보안위협이 기업 및 공공 서비스부터 주요 자산, 개인정보에 이르기까지 지속 확대되고 있다. 고객 사이트 영역에서 클라우드와 설비에 이르기까지 보안이 필요한 영역이 갈수록 증가하고 있다. 이에 기존 보안 분석 및 관제 체계를 뛰어넘는 차세대 보안 관제에 대한 요구도 커지고 있다.
Open XDR의 시초, 개방형 플랫폼을 통해 서드파티 통합 지원
스텔라사이버는 2019년부터 ‘Open XDR’ 플랫폼을 통해 네트워크 트래픽부터 보안장비 로그, 엔드포인트, 애플리케이션, 파일 및 클라우드 등 모든 데이터를 통합해 수집하고, 이를 연관 분석하는 지능형 통합 보안 분석 플랫폼으로 차세대 보안 관제 시장을 리드하고 있다.
스텔라사이버의 ‘Open XDR’은 상관관계 분석 수행을 위해 빅데이터 기반의 데이터 통합(NG-SIEM), 트래픽 분석 엔진(NDR), 악성 행위 및 코드에 대한 탐지(IDS & Sandbox), 사용자 행위 분석(UEBA), 최신 글로벌 위협 정보(Threat Intelligence)에 대한 자동 분석 등 다양한 분석 기능을 포함하고 있다.
탐지된 보안 이벤트에 대한 인시던트 통합 관리 및 즉각적인 대응을 위한 SOAR 기능까지 전방위적인 탐지 및 대응 체계 구축에 필수 기능을 제공한다. 스텔라사이버는 XDR의 필요성을 제기하던 시기부터 이러한 모든 기능을 단일 라이센스를 통해 통합 제공했던 회사로써, 다른 XDR 제조사와 차별점을 보이고 있다.
On-Prem, 클라우드부터 OT 보안까지 보안 분석 영역 확대
스텔라사이버는 최근 공공 및 금융 시장을 넘어 클라우드와 제조·생산망(OT)에 대한 보안 위협 탐지까지 영역을 확대하며, 다양한 고객을 대상으로 차세대 보안 관제 체계 구축을 지원하고 있다.
왕정석 스텔라사이버 한국 지사장은 “상반기에 이어 랜섬웨어, 개인정보 탈취 목적 악성코드 등의 타깃형 공격이 하반기에도 주를 이룰 것으로 예측된다”며 “다양한 오픈소스를 향한 보안 위협 역시 크게 증가하고 있으며, 고객 서비스에 치명적인 위협이 될 가능성 역시 늘고 있다. XDR을 통한 통합 위협 탐지가 그 어느 때 보다 중요한 시점”이라고 강조했다.
이어 “제조·생산망(OT)에 대한 위협도 급격히 증가해 기업의 각별한 주의가 필요하다. 이제 OT망은 기존의 IT망이 겪었던 보안위협을 그대로 다시 받고 있고 다양한 보안 위협이 상존하는 상태로 보다 적극적인 대응이 필요하다”고 분석했다. 또한 “XDR에 대한 제품의 종류와 정의가 혼재되고 있는 시점에서 통합된 보안 가시성 및 상관관계 분석을 통한 지능형 위협 탐지가 필요하다”며, “Open XDR의 원조로써, 오랜 경험과 연동을 통해 차세대 보안관제를 지원한다”고 강조했다.
▲브로드컴 Symantec XDR[이미지=이테크시스템]
[XDR 대표 플랫폼 집중분석-4]
시만텍, 벤더 드리븐 보안 XDR 솔루션 제공 ‘시만텍 세카스’가 답
‘시만텍 세카스’, Generative AI시대 중소·중견·준대기업 위한 XDR 제공
XDR은 기업의 CEO, CIO, CISO와 같은 최고책임자의 관심에 맞춰 확장되는 탐지 가시화와 대응하기 위한 플랫폼이다. 기업의 XDR 구현을 위해서는 적합한 데이터소스가 필요하며 이를 분석하는 AI엔진이 필요하다.
XDR은 데이터소스에서 오는 양질의 데이터와 AI엔진에서 오는 품질 높은 결과물이 핵심이다. 시만텍은 국내 중소·중견·준대기업에서 간편하게 XDR을 구현할 수 있도록 하는 XDR 솔루션 시만텍 세카스를 제안한다.
‘시만텍 세카스’, 양질의 데이터 생성·에이전트 통합과 항상 최신 버전 유지
시만텍 세카스는 기업 내, 다양한 엔드포인트의 최신성을 유지하도록 도와준다. 최근 윈도우 단말의 비중이 40% 이하로 감소했다. 반면 Apple MacOS·iOS(25% 미만), 안드로이드 (40%내외) 등은 확대되며 단말기가 다양화됐고, 최근 기업의 업무환경은 HTTP API기반 앱과 웹으로 집중되고 있다.
또한 OS와 웹브라우저 제조사의 버전 업그레이드 주기가 짧아져 기업의 엔드포인트 담당자의 업무량은 2013년 대비 최소 7배 증가했다. 이에 더해 기업의 보안 담당자는 최근 확산된 Chat GPT와 같은 Generative AI 사용 대비를 위해 고심이 깊어지고 있다.
효율성과 기능성이 중요한 시대, 시만텍 SECaaS에 포함되는 시만텍 에이전트 원은 하나의 에이전트에서 안티바이러스, DLP, 웹보안 그리고 사용자 경험 측정 기능을 제공한다. 추후, 클라우드 앱컨트롤을 위한 Cloud SOC와 클라우드앱의 데이터 취급 제어를 위한 클라우드 DLP로 확장해 기업의 클라우드 여정도 함께한다.
시만텍 세카스는 보안 담당자들의 고민을 쉽게 해결할 수 있도록 도우며 기업 XDR 구현을 위해 양질의 보안 탐지 데이터를 시만텍 XDR 플랫폼으로 전송한다.
시만텍 ICDm, 위협 요소의 빠른 판단
CISO 관점의 XDR은 기업의 안티바이러스, DLP 그리고 웹과 이메일 보안 솔루션에서 수집된 정보를 통합 분석하고 위협 요소에 대한 인사이트를 가질 수 있는 제품이어야 한다. 브로드컴은 2020년 AI업체 Bay Dynamics를 인수해 시만텍 사업부에 통합했다.
이를 통해 ICDm에서 안티바이러스, DLP 그리고 웹과 이메일 보안 로그를 ICDm 플랫폼에서 AI엔진을 통해 분석하여 위험도가 높은 사용자 또는 단말을 담당자에게 안내한다. AI를 통해 기존 위험요소 분석에 소요되는 비용과 시간을 단축하고 탐지의 유효성을 증가시켜 기업의 생산성을 증대시킨다.
▲트렌드마이크로 XDR의 커버리지[이미지=트렌드마이크로]
[XDR 대표 플랫폼 집중분석-5]
트렌드마이크로 사이버 보안 플랫폼 - Vision One
Vision One - EDR의 기본에 충실하면서 가장 광범위한 계층 커버하는 XDR
EDR을 시작으로 텔레메트리 수집을 통한 탐지와 분석 그리고 대응을 수행하는 ‘Detection and Response’는 이제 Network DR, Cloud DR, Identity Threat DR, Data DR 등 다양한 계층에서의 탐지 및 대응을 포함하는 eXtended Detection and Response(XDR)로 확장하고 있다.
트렌드마이크로의 Vision One은 XDR에 공격 표면 위험 관리(Attack Surface Risk Management)와 제로 트러스트 보안 접근 제어를 통합함으로써 진정한 사이버 보안 통합 관리 플랫폼으로 진화했다.
XDR을 논하기에 앞서, Vision One은 EPP와 EDR 기능이 모두 통합된 에이전트와 기존의 EPP를 교체하지 않고도 사용할 수 있는 EDR 에이전트를 자유롭게 선택해 사용할 수 있다. MITRE ATT&CK의 Tactic·Technique가 충실히 반영된 약 700여 가지의 다양한 탐지 모델을 제공해 조직 내의 의심스러운 행위를 탐지한다.
탐지 모델 외에도 트렌드마이크로 자체 위협 인텔리전스와 다양한 외부 위협 인텔리전스를 자동으로 입수해 조직 내에서 위협의 흔적을 찾아 워크벤치에 경고를 제시한다. 이러한 위협 경고는 파일, 프로세스, 주소, 계정 등 다양한 객체 간의 상관관계를 도식화해 체인 형태로 풍부한 데이터와 함께 제공해 SOC팀이 인시던트의 원인과 진행과정의 분석을 가능하게 한다. 특히 LLM방식의 Companion AI가 적용됐다.
인시던트에 대한 상세 해설이 필요할 경우, 정적인 방식의 Knowledge Base가 아닌 대화형 쿼리와 응답 기능을 사용할 수 있다. 이는 SOC팀의 스킬이 낮더라도 인시던트 분석을 매우 쉽게 이해하도록 돕는다.
Vision One XDR은 엔드포인트 격리, 원격셀 접속, 파일 수집, 샌드박스 분석, 커스텀 스크립트 배포 등의 다양한 대응기능을 제공한다. SOC팀이 이들 대응기능을 직접 수행할 수 있지만, Play Book을 작성해 미리 지정한 기준에 부합하는 경고가 발생하면 자동으로 대응기능이 동작한다. 시나리오에 의해 대응이 수행되고, 대응의 최종 결과를 지정한 관리자가 확인할 수 있다.
이처럼 Vision One은 EDR로서 필요한 모든 기능을 제공하면서, 이메일, 네트워크(NDR), 클라우드(CDR), 계정(ITDR), OT 등 다양한 계층에서 센서를 활용하거나 계층간 솔루션과 연동해 탐지 및 대응을 구현할 수 있다. 업계에서 광범위한 계층을 포괄하는 XDR이다.
Vision One - Attack Surface Risk Management(공격 표면 위험 관리)
Vision One 플랫폼의 공격 표면 위험 관리는 크게 세 가지 방법으로 위험 자산을 파악하며, 동시에 위험 완화를 수행한다. 첫 번째로 모든 자산을 신속하게 탐색해 사각지대를 제거하고 최첨단 내부 및 외부 자산 탐색을 통해 공격 표면을 감소할 수 있다. 두 번째로 동적 평가를 통해 분석가의 노력에 초점을 맞추고 해결 조치의 우선순위를 지정하기 위해 지속적 위험 평가를 활용한다. 세번째로 선제적 대응을 수행한다. 고급 AI 및 ML 기법을 사용해서 위험을 경감하고 위협에 대응하기 위해 대응 조치를 자동화하고 조율하며 가속화한다.
이와 같이 취약점, 잘못된 보안 구성, 자산 중요도, XDR 연계를 통해 이상 행위 및 클라우드 활동의 위험을 측정하여 지속 대응이 가능하게 된다. 보안 계층 전반의 위험을 해결하고 플레이북을 통한 각각 부서의 필요에 맞게 대응해 위험의 완화가 자동으로 진행되도록 적용할 수 있다.
Vision One - 제로 트러스트 보안 접근 제어
트렌드마이크로 제로 트러스트 기본 원칙은 ‘사용자에게 반드시 필요한 접근 이외에는 어떤 접근도 허용하지 않는다’로 보안 접근 제어를 제공하며 이 기본 원칙을 넘어서 사용자 계정 또는 디바이스의 위험에 기반한 지속적인 동적 접근 제어를 제공한다.
또한 트렌드마이크로 제로 트러스트 보안 접근 제어는 XDR을 통해 다양한 표면의 텔레메트리(엔드포인트, 이메일, 네트워크 그 외 여러 제조사 솔루션 등)와 상관관계 분석을 통한 표면 위험을 인지하고 공격과 위협 영향 가능성에 기반한 접근 제어를 수행한다. 그리고 누가, 어떤 애플리케이션에 접속하는지 제한하기 위한 세부 권한 정책을 적용한다. 접근 허용 이후에도 사용자나 디바이스가 위험 레벨 변경사항에 대한 모니터링을 지속해 접속을 제어한다.
▲사이버리즌 XDR[이미지=두산디지털이노베이션]
[XDR 대표 플랫폼 집중분석-6]
사이버리즌, 악의적인 공격 선제적으로 예측·대응하는 AI 기술 갖춰
사이버 공격에 대한 완벽한 커버리지, 탐지·대응으로 보안 피로도 낮추고 효율성 높여
글로벌 보안기업 사이버리즌(Cybereason)의 플랫폼은 악의적인 공격에 대한 경고에 그치지 않고 공격이 실행되기 전 인식하고 해결해 탐지와 운영의 어려움을 해결한다. 끝없이 울리는 경고와 오탐으로 인해 어려움을 겪는 보안 담당자의 피로도는 낮추고, 효율성은 높여준다. 하나의 에이전트와 하나의 콘솔을 활용해 모든 엔드포인트 방어가 가능하다. 또한 공격자보다 앞서 실행해 조기에 공격을 막고, 신속한 복구, 공격을 종식할 수 있도록 통찰력도 제공한다.
공격에 대한 완벽한 가시성, 복구시간 단축 등 효율성 뛰어나
사이버리즌 XDR은 크게 △사이버 공격에 대한 완벽한 가시성 △통합된 공격 스토리 상관관계 △전사적 복구로 3가지 특장점이 있다.
AI 기술과 24/7 SOC 모니터링과 결합한 최신 XDR 기술로 글로벌하고 완벽한 보호, 통합 조사 및 위협 해결, 비용 효율적인 데이터 보존, 실시간 MalOp 탐지 및 관리, 대시보드 및 보고서 발행 등 장점을 가지고 있다. 윈도우, 리눅스, iOS, 안드로이드 등 다양한 OS의 엔드포인트를 보호하며, 글로벌 협업 툴, 인증 솔루션, 클라우드, 네트워크와 연동해 통합 보안을 수행한다.
두산디지털이노베이션, 다년간의 운영 경험과 노하우 갖춘 APAC 파트너사
두산디지털이노베이션은 사이버리즌의 APAC 파트너사이자 국내 총판이다. 2021년부터 두산그룹을 비롯한 자동차, 금융 등 다양한 분야의 고객사 대상으로 운영해온 경험과 노하우를 바탕으로 국내 그룹사를 비롯해 글로벌 기업을 대상으로 사업을 확장하고 있다.
최근에는 공기업, 공공기관 고객을 위해 GS인증 1등급을 획득했으며, 2022 마이터어택(MITRE ATT&CK) 평가 역사상 최고 등급 달성 및 2022 가트너 매직 쿼드런트 엔드 포인트 보안 플랫폼 분야 ‘리더’에 등재되기도 했다.
▲엘라스틱코리아 Elastic Security[이미지=엘라스틱 코리아]
[XDR 대표 플랫폼 집중분석-7]
Elastic, Security XDR 개방형 보안 솔루션으로 경계 없는 통합 관제 구성
Elastic XDR, 모든 데이터 분석·지원·프로세스 자동화로 호스트 예방·교정
주요 사이버 보안 경영진 그룹은 차세대 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR) 등 새로운 기능에 투자해 대부분의 조직보다 훨씬 앞선 실행 사례를 보여준다.
XDR 서비스 제공자 비교 분석에서 Elastic이 Contender로 선정됐고, 이는 Limitless XDR 제품을 공식 출시하기 전부터 이미 가장 중요한 14개 서비스 제공자 중 하나로 평가받았다. 보안은 비즈니스 성장의 핵심으로 Elastic은 조직이 가장 중요한 것에 집중할 수 있도록 확장 가능하고 빠른 XDR 기술을 제공한다.
Endpoint+SIEM+Cloud 통합한 ‘Elastic EDR 및 XDR’ 통해 위협 방지
Elastic의 Limitless XDR은 한정적인 리소스, 분리된 시스템 및 기존 보안 도구의 한계에도 불구하고 점점 더 정교해지는 공격으로부터 빠르게 진화하는 조직을 보호할 수 있도록 지원한다.
하이브리드 클라우드를 위해 구축된 개방형 플랫폼(랜섬웨어, 첨단 위협을 모두 차단하는 에이전트 포함)에서 Elastic Security는 SOC를 강화해 위험을 줄인다. 이어 공격 표면 전체에서 수년간 수집한 데이터로 고급 분석을 강화해 데이터 사일로를 제거하고, 예방 및 탐지를 자동화해 조사 및 대응을 간소화한다.
또한 더욱 광범위한 보안 운영 지원을 위해서는 클라우드별 기본 제공 규칙, 이상 징후를 도출하기 위한 분석 및 머신러닝, 빠르고 심층적인 조사를 위한 통합 엔드포인트 기능, 대응 자동화를 위한 워크플로우 통합 등이 포함된다.
데이터 당면 과제로서 보안 해결
Elastic Security는 전 세계의 데이터를 공격으로부터 보호한다. Elastic은 전 세계 사용자가 미래의 공격으로부터 보호받을 수 있도록 보호 공간을 지속 혁신하고 있다. 이 솔루션은 무제한 분석을 위해 구축된 단일 플랫폼에서 SIEM, 엔드포인트 보안 및 XDR의 무료 개방형 기능을 제공해 조직이 피해를 예방, 탐지 및 대응할 수 있도록 지원한다.
Elastic의 단일 플랫폼은 SIEM 및 엔드포인트 보안을 통합해 사용자가 다양한 소스에서 대량의 데이터를 수집 및 보유, 데이터 장기간 저장 및 검색, 탐지 및 머신러닝을 통해 위협 헌팅을 강화할 수 있도록 지원한다.
리소스 기반 요금제를 통해 유연한 라이센싱으로 제어 권한을 제공한다. 또한, 사용 사례, 데이터 볼륨 또는 엔드포인트 수와 상관없이 사용하는 서버 리소스에 대해서만 비용을 지불하면 된다. 따라서, 요금이 예측 가능하며 필요에 따라 유연하게 조정할 수 있다.
▲트렐릭스 XDR 상관관계 분석[이미지=트렐릭스]
[XDR 대표 플랫폼 집중분석-8]
Trellix XDR 활용 통한 혁신적인 보안관제 변화의 필요성
수많은 보안경고 그리고 AI로 인한 공격 대응 어떻게 막을 것인가?
20년 전에도 그리고 지금까지도 보안업계에서는 계속 같은 문제로 얘기하고 있는 것을 아는가? 그것은 바로 계속적으로 고급화되어가는 공격의 증가, 보안 인력부족 문제 등이다. 이러한 고질적인 문제는 시간이 지나도 해결되지 않는다. 보안업계는 계속해서 다양한 솔루션을 제공하고 있었으며, 과거 획기적인 혁신을 이룬 것이 바로 SIEM이었다. 그러나 지금은 이러한 SIEM도 대책없이 쏟아지는 보안 이벤트로 인해 위협 대응이 되지 않는다고 한다. 그래서 보안관점에서 그 대안으로 떠오른 것이 바로 XDR이다.
XDR을 통해 무엇을 봐야 하는가?
기업은 하루에 수십~수백만 개의 로그 및 이벤트에 대해서 관제를 하고 있다. 이중에서 정상과 악성을 과연 개별 이벤트만 보고 전체적인 공격의 흐름을 알 수 있을까? 최근 다양한 보안 벤더들이 XDR에 대한 개념과 제품의 가치를 실현하기 위해 다양한 마케팅 활동을 하고 있다. 그리고 실제 고객들은 이러한 용어에 많은 혼란을 가지고 있는 것도 사실이다.
Trellix XDR의 핵심 기술은 보안 이벤트에 대한 상관관계 분석 및 자동화에 핵심을 두고 있다. Trellix가 얘기하는 XDR의 핵심은 바로 여기에서 시작한다. 기존의 SIEM을 통해 이벤트를 통합해서 관제를 하고 있지만, 이 또한 각 보안장비가 탐지한 이벤트를 특정한 조건에 맞춰 알람을 띄워 주는 게 사실 전부다. 이러한 이벤트는 1차 관제에서 모두 모니터링 후 위협 요소를 추출(수동)하여 2차로 추가 분석을 위해 Escalation 된다.
우리는 이 과정에서 많은 Loss가 발생하는 것을 알고 있고, 이에 대한 대응이 절실하다는 것도 침해 현장 조사를 통해 알 수 있다. 한 가지 예로, 특정 기업에 공격이 발생하여 피해가 발생하면 사고 조사(포렌식)를 하게 된다. 이 과정에서 거꾸로 해당 공격을 추적하게 되면 어떻게 발생했는지, 어디서 시작되었는지 로그 기반으로 대부분 알 수 있다.(대부분 로그가 남아 있다.) 다시 말하면, 이미 관제를 통해 알 수 있었던걸 결국 놓쳤다는 얘기로, 수많은 로그 및 이벤트에서 이 위협을 확인하지 못하고 있다는 것이다.
Trellix XDR은 이러한 이벤트를 단순히 모아 제공하는 것이 아니라 상관관계를 분석하여 하나의 위협으로 정확히 제공한다. 즉 역추적 할 수 있는 데이터를 모아 제공하고 즉각 위협을 선별해 즉시 대응을 할 수 있는 플랫폼을 제공하고 있다.
XDR을 위한 ENDPOINT(엔드포인트) 보안의 고도화 필수
기업이 침해사고를 당하면 사고조사 즉, 포렌식을 수행한다. 포렌식의 핵심은 바로 공격 당한 주체의 엔드포인트(PC, 서버 등)를 직접 분석하는 것이다. 그런데 관제에서는 이 엔드포인트 영역을 100% 보지 않는다. 이 얼마나 아이러니 한가?
엔드포인트에 대한 보안은 전통적으로 AV, EPP 영역에서 일부 다루고 있고 대응을 했지만, 정적 분석으로는 그 한계가 여전한 것을 모두가 알고 있다. 일부 EDR을 통해 대응하는 고객사들 또한 EDR 제품을 도입 후 추가적인 공수 투입, 전문인력 필요성을 느끼기 때문에 바로 도입을 해서 효과를 보는 경우는 미비한 게 현실이다. 또한, 엔드포인트의 경우 실제 공격(감염 및 내부 전파 등)과 정상적인 사용자 행위가 구분되지 않으며, 실제 내부 정상 유틸리티, 정상 API 등을 활용한 공격은 시스템적으로 구분하기가 정말 어렵다.
이제 Trellix XDR은 이러한 엔드포인트에 대한 이벤트까지 모두 수집해 분석을 수행하며, 단일 이벤트가 아닌 상관분석(Correlation)된 이벤트를 제공함으로써 공격 흐름에 대한 가시성을 완벽하게 제공한다. 엔드포인트에 대한 대응을 단순 백신의 영역에서 시스템 전체를 모니터링하고 감시하는 시스템(EDR)으로 고도화 하지 않으면 절대 대응 측면에서 효과를 볼 수가 없다.
XDR에 대한 요약
Trellix는 2021년 가트너로부터 XDR 마켓에 우수한 평가를 받았으며, 같은 해 FireEye(전문업체)와 Mcafee 엔터프라이즈를 통합한 회사다. 인정받은 악성코드 샌드박스 분석기술, Mcafee 제품의 검증받은 인텔리전스의 통합으로 인해 20년 이상의 악성코드 분석 및 관리 노하우를 보유하고 있다. 개별 이벤트가 아닌 통합 위협 상관 분석을 제공하는 XDR 벤더다.
Trellix XDR 의 핵심 가치
1) 최초 관제 시 분석 시간 대폭 감소
2) 다양한 이벤트에 대한 통합 View(분석 시 각 제품별 로그인 최소화)
3) 다양한 보안벤더, OS, IT 환경에 대한 탐지 룰을 지속적으로 제공
4) 분석 결과를 기반으로 자동화된 대응
[김경애 기자(boan3@boannews.com)]
[인터뷰] 한국인터넷진흥원 사이버침해대응본부 침해사고분석단 박용규 단장
[설문조사] ‘XDR 인식 및 선택 기준’ 결과, 기관·기업 40% 악성 이메일 공격받아
국내외 XDR 대표플랫폼 분석 : 넷위트니스, 엔피코어, 스텔라사이버, 브로드컴(이테크시스템), 트렌드마이크로, 두산디지털이노베이션, 엘라스틱, 트렐릭스
[보안뉴스 김경애 기자] “XDR이 도대체 뭡니까?” “한마디로 정의하면 뭔가요?” “그렇게 정의한 근거는 무엇인가요?” 개념을 두고 말도 많고 탈도 많은 솔루션이 있다. 바로 XDR(eXtended Detection and Response)이다. 내로라하는 보안 솔루션을 결합하고 연동해 시선을 사로잡고 있지만 보안 기업마다 XDR의 해석이 다르다. 어떤 기업은 EDR의 확장 개념이라고 정의하기도 하고, 어떤 기업은 NDR에서 발전한 모델로 설명하기도 한다. 또 어떤 기업은 이미 오래전부터 있던 통합보안에 근거를 두고 봐야한다고 주장하기도 한다. 이처럼 ‘귀에 걸면 귀걸이 코에 걸면 코걸이’ 식의 해석으로 XDR에 대한 대중의 혼동은 날로 커지고 있다.
[이미지=gettyimageBank]
XDR 시장, 보안 위협 변화에 방어도 진화하며 폭풍 성장
고도화되는 보안 위협에 방어 기술도 한층 두터워지고 있다. 지금 보안 시장은 단일 보안 솔루션을 결합하고 연동하는 협업 모델로 변화하고 있다. 그 중심엔 XDR이 있다. 사이버 공격 규모가 커지며 XDR의 필요성은 점점 높아지고 사이버 위협 환경에 더 나은 가시성과 탐지, 대응이 요구되며 XDR이 그 대안으로 떠올랐다.
이미 보안업계는 인수합병 활성화로 경쟁력을 높여 고도화되는 보안 위협에 맞대응하고 있다. XDR 역시 이러한 흐름에 맞춰 빠르게 진화하고 있다. 네트워크, 엔드포인트, 클라우드 등 IT 전반에 걸쳐 EDR, MDR, NDR, SIEM, SOAR, TI, AI, ML 등 기술과 솔루션을 XDR에 적용해 활용하고 있다.
이 같은 추세에 글로벌 XDR 시장은 향후 10년 동안 폭풍 성장할 전망이다. 월드와이드테크놀로지에 따르면 XDR은 2021년에서 2028년까지 연평균 약 20%씩 성장해 20억 6천만 달러에 이르고, IDC는 XDR 시장을 총 30억 달러 규모로 추산하며 연평균 성장률을 69.5%로 높게 예측했다. 가트너는 시장에서 XDR의 기대치가 정점에 근접했다며 XDR 시장을 긍정적으로 내다보고 있다.
XDR 개념 두고 ‘갑론을박’, 소비자는 ‘혼동’
그러나 이러한 기대치에도 불구하고 XDR의 개념이 대중에겐 제대로 인식되지 못하고 있다. 최근 XDR 트렌드에 발맞춰 보안기업이 인수합병하며 XDR의 개념 및 정의를 자사에 유리하게 해석하거나 마케팅에 활용하기 때문이다.
XDR 용어는 2018년 Palo Alto Networks의 CTO인 Nir Zuk에 의해 등장했다. 당시 그는 보안 사일로(Silo)를 무너뜨려 모든 데이터 소스에서 탐지 및 대응할 수 있다는 의미로 XDR 개념을 제안했다. 2019년 XDR은 가트너 리포트 ‘보안 관제 가시성 3대 요소’에서 언급됐으며, 이후 가트너에선 XDR을 여러 보안기술과 보안 솔루션을 단일 플랫폼으로 포함시켜 확장성과 제어 기능을 제공하는 보안 솔루션으로 정의했다.
XDR의 유형은 Open XDR, Native 또는 Closed XDR, Anchored XDR로 구분된다. Open XDR은 최소화된 파트너(벤더) 종속으로 기존에 구축된 보안 제품과 연계가 가능하고, 기존의 보안 제품(툴) 교체 없이 구축 및 활용이 가능하다. Native or Closed XDR은 단일 공급 업체(벤더)의 보안 장비와 통합 및 연계가 가능하다.
그러나 타 제품과 연동하고 분석하는데 제약이 발생할 수 있어 모든 구성 요소를 재구매해야 하는 상황이 발생할 수 있다. Anchored XDR은 개방형과 폐쇄형의 중간 형태다. 원격 분석을 위해 서드파티와의 통합에 의존하고, EDR에 높은 의존도를 보인다.
XDR의 아키텍처는 전략에 따라 프론트엔드와 백엔드로 구분된다. XDR 프론트엔드는 EPP·EDR, NDR, DLP, SEG, CWPP, CASB, SWG, UEM, IAM, 방화벽 등이 포함된다. XDR 백엔드는 클라우드 제공, 데이터 레이크, 자동화, 위협 인텔리전스, API, 조정 고급 분석, 사고조사, 대응 워크플로우가 해당된다.
이처럼 기술 발전과 보안 솔루션 간의 연동 확대로 XDR의 발전은 현재진행형이다. 그러다 보니 이용자 입장에선 XDR 개념을 두고 혼동만 커지고 있다.
2020년 11월 발표된 ESG 리포트 ‘XDR이 현대 SOC에 미치는 영향’에 따르면 XDR을 ‘다양한 데이터 소스로부터 보안 정보를 수집, 처리, 분석, 대응함’이라고 이해한 응답자가 36%, ‘기존의 보안 솔루션과 운영 기술을 보완하고 강화시킴’ 18%, ‘보안 데이터 관리, 분석 및 자동화된 응답을 포함하는 통합 기술’ 16%, ‘차세대 EDR 기술’ 15%, ‘알려지지 않은 정교한 사이버 공격을 탐지하도록 설계된 기술’ 9%, ‘이러한 응답이 모두 그럴듯 하지만 아직 개념을 정확히 이해 못하겠음’ 5% 순으로 집계됐다.
‘2023년 XDR 솔루션 기획특집 간담회’ 논의 내용
이와 관련 <보안뉴스>와 <시큐리티월드>는 2023년 7월 5일 오후 2시 보안뉴스 리더스홀에서 ‘2023년 XDR 솔루션 기획특집 간담회’를 개최했다. 간담회는 XDR 전문기업 총 10개사가 참여한 가운데, 각사마다 추구하는 XDR에 대해 발표하고 공통된 내용을 통합해 정의하는 시간을 가졌다. 이와 함께 주목되는 하반기 보안 위협에 대해서도 들어봤다.
참여기업 및 발표자는 △RSA Security의 넷위트니스(NETWITNESS) 보안사업부 조남용 이사, 김용범 이사, 김현철 이사, △두산디지털이노베이션 마기평 팀장, 임지훈 수석, △브로드컴(BROADCOM) 김기명 부장, △이테크시스템(ETECH SYSTEM) 이승훈 상무, 백창렬 수석연구원, △스텔라사이버(STELLAR CYBER) 왕정석 지사장, △에스케어(ESCARE) 윤우희 부대표, △센티넬원(SentinelOne) 구자만 이사, △안랩 이건용 부장, △엔피코어(NPCore) 방효섭 차장, △트렐릭스(Trellix) 김현섭 상무가 참석했고, △엘라스틱(Elastic) 김문식 컨설팅 아키텍트, △트렌드마이크로(TRENDMICRO) 윤명익 이사는 서면으로 답변했다.
넷위트니스, ‘다차원 데이터 수집+고도화된 탐지+강력한 대응=XDR’
조남용 이사 XDR을 한마디로 표현하자면 ‘다차원 데이터 수집+고도화된 탐지+강력한 대응’이다. 2021년 11월 8일 가트너 발표에 따르면 XDR은 여러 보안 예방·탐지·대응 구성 요소의 데이터와 경보를 통합, 연계분석 및 컨텍스트화 하는 플랫폼이다. 넷위트니스 역시 이 같은 개념에 공감하며 정의하고자 한다.
넷위트니스는 지난 2010년부터 SIEM, NDR, EDR에 이르기까지 XDR 포트폴리오에 해당하는 모듈을 모두 검증된 보안 솔루션으로 전세계 고객사에 제공하고 있다. 넷위트니스 플랫폼 XDR은 네트워크, 로그, 엔드포인트 등 모든 데이터를 단일 데이터로 통합해 탐지 체계를 제공한다. 모든 보안 데이터에서 작동하는 모듈식 인텔리전스를 기반으로 위협 탐지 및 대응하는 플랫폼으로 조직의 모든 정보를 볼 수 있어 위협을 즉시 파악하고 대응할 수 있다.
두산디지털이노베이션, XDR은 ‘통합 탐지 및 대응 플랫폼’
임지훈 수석 XDR은 EDR 기능의 확장뿐만 아니라 엔드포인트, 애플리케이션 제품군, 사용자 페르소나, 온프레미스 데이터센터 및 클라우드에서 호스팅되는 워크로드에 걸쳐 통합 탐지 및 대응하는 플랫폼이다.
어드밴스드 XDR(Advanced XDR)은 AI와 ML을 활용한다. 서로 다른 자산의 원격 분석을 자동으로 상호 연관해 이전에는 볼 수 없었던 공격을 식별한다. 원격 분석의 상관관계를 파악하여 근본 원인의 공격을 타임라인에 표시한다.
이처럼 XDR의 핵심 요건은 보안팀이 빠르고 효율적으로 대응할 수 있도록 하는 자동 수행이다. 즉 어느 부분까지를 자동 수행할 수 있는지가 관건이다. 전체 공격 체인에 필요한 가시성도 제공한다. 공격이 어떻게 진행됐고, 어떤 자산과 사용자가 영향을 받았는지 정보를 제공한다.
브로드컴, “XDR은 확장된 탐지·대응 C레벨 의도에 따라 범위 달라”
김기명 부장 XDR은 확장된 탐지 및 대응이며 기업 C레벨의 의도에 따라 범위가 달라진다. CEO 관점에서 XDR을 구현하면 ESG나 원가 절감을 측정하고 가시화해 대응할 수 있다. CIO 관점에서 XDR은 서비스, 시스템, 인프라 또는 네트워크 등을 측정하고 가시화해 대응할 수 있다. CISO 관점에서 XDR은 위험요소를 측정해 가시화하고 대응하도록 시스템을 구성할 수 있다.
XDR에선 엔드포인트 보안, 웹보안, 이메일 보안 등의 위협정보를 EDR로 수집·통합·분석한다. 그리고 각 영역에 맞는 엔드포인트 DLP, 웹 DLP, 이메일 DLP, 클라우드 DLP, OCR, Proxy, CASB 등 솔루션으로 보안을 강화해 대응한다. 이처럼 XDR은 경영자가 기업을 운영하는데 가시성을 확보해 적절한 시점에 조치할 수 있도록 도와준다.
센티넬원, “XDR은 타 제품과 연동 가능한 솔루션간 연결 프레임워크”
에스케어 윤우희 부대표 XDR은 타 제품과 연동 가능한 솔루션 간의 연결 프레임워크로 보안 공급업체에서 제공하는 새로운 기술 세트다. 각 벤더의 XDR 플랫폼이 결합되어 확장된 XDR을 구축하는 것이다.
XDR은 여러 보안 솔루션과 IT 소스에서 데이터 수집과 자동으로 필요한 기능을 통합해 위협 탐지 및 대응 플랫폼 동작을 목표로 한다. 여러 보안 도구의 경고를 단일 사고로 결합해 보안 활동의 능률과 효율성을 극대화한다. 파악된 공격 경로에 존재하는 보안 솔루션을 통해 Cyber Kill Chain을 기동해 각 솔루션의 방어 기술을 가동한다.
센티넬원 총판사로 에스케어가 추구하는 XDR은 개방형 XDR로 어떤 솔루션도 포함될 수 있고 연동될 수 있어야 한다. 그런 측면에서 센티넬원은 개방형 XDR로 개발한 ‘Singularity XDR’을 출시했다. 이렇듯 개방형 XDR 프레임워크와의 연동 범위는 앞으로 중요한 선별요소가 될 것이다.
스텔라사이버, “XDR, 모든 정보 기반으로 확장된 기술 연동 통해 분석·대응”
왕정석 지사장 XDR은 기존의 솔루션, 툴 위주의 단위보안 장비를 통한 보안 위협 탐지 및 대응의 프로세스에서 벗어나 트래픽부터 각종 단위보안 솔루션, 사용자 행위 및 TI에 이르기까지 모든 정보를 기반으로 분석·대응하는 플랫폼이다. PC, 모바일 등 사이버 보안 분류 기술을 통해 공격행위 전반을 단계별로 분류해 탐지 기술과 방어 전략을 제공한다.
사이버 공격은 각 공격 단계에서 조직에 가해지는 위협 요소를 파악하고, 공격자의 목적과 의도, 활동을 분쇄, 완화시켜 조직의 회복 탄력성을 확보한다. 이를 위해 XDR은 다양한 장비, 보안기술, 위협 인텔리전스(TI) 등 확장된 기술 연동을 통해 서비스 로그, 네트워크 트래픽 등 최대한 많은 정보를 수집한다. 수집된 정보 기반으로 머신러닝, AI 등의 최신 기술을 이용해 연관 관계를 분석하고 보안 위협을 탐지한다. 또한, SOAR 기능 등을 통해 즉각적인 대응을 수행한다.
안랩 XDR, ‘보안업무 효율화’와 ‘보안의 사일로’에 중점
이건용 부장 XDR은 조직에서 운영하는 다양한 이기종의 보안 솔루션의 데이터를 수집, 정규화하고 다양한 이벤트의 상황 정보를 분석해 리스크를 식별·탐지·대응할 수 있도록 지원하는 플랫폼이다. 보안 위협이 IT 환경의 전 영역에서 전개되고 고도화됨에 따라 보안 솔루션 또한 엔드포인트, 네트워크 등 전 영역에서 그 종류와 수가 증가했다. 이로 인해 ‘보안의 효율화’에 대한 요구가 증가했고, 이런 배경에서 XDR이 탄생했다.
안랩이 올 하반기 출시할 XDR은 기획단계부터 조직의 보안 관리자의 편의와 수요를 고려한 ‘보안업무 효율화’ 제공이 특징이다. 우선순위 판단의 어려움을 줄여주는 ‘보안의 사일로(Silo)’에 중점을 둔다. 기존에는 보안 솔루션이 탐지한 이벤트에 대한 대응에 초점을 뒀다면, XDR은 탐지된 이벤트가 어느 정도의 리스크를 가지고 있는지 파악하고, 보안 관리자에게 우선순위와 연계정보를 제공한다.
엔피코어, “XDR, 각각 탐지된 위협의 조각을 전체 그림으로 만들어 대응”
방효섭 차장 XDR은 전사적인 사이버 보안 체계 구축을 위해 확장된 탐지 및 대응이다. EDR, NDR 등 각각 탐지된 조각의 보안 위협을 통합하고, 이렇게 탐지된 보안 위협을 AI 기술을 활용해 상관 분석하며 전체 그림의 퍼즐을 맞춰 대응하는 것이다.
정보 수집 대상은 엔드포인트, 호스트, 네트워크 등으로 확장해 분리된 솔루션을 단일 플랫폼으로 통합해 연동한다. 가시성, 투명성, 모든 구성 요소를 포함한 측면 수준에서 알려지거나 알려지지 않은 위협 감지, 전체적인 모니터링 및 완화, 취약성 평가, 경고 및 대응, 이벤트 단순화 및 통합 등을 대응한다.
특히 기계 학습, 공격 지표(IoA), 이상 탐지, 사용자 행위, 악의적 행위, 침해 지표 등 보안 요소를 통합하고 위협의 실체를 가시화해 효과적으로 대응한다. 여러 보안계층 전반에 대해 원격 측정 및 동작 분석정보를 제공해 보안팀이 전체적으로 상황을 파악하도록 지원한다.
엘라스틱, 자산 보호 위한 기술적 공격 대응방안
김문식 컨설팅 아키텍트 XDR은 엔드포인트, 네트워크, 이메일 보안 등 IT 환경 전반의 데이터를 상호 연결하고, 환경 전반의 사이버 위협을 탐지 및 대응한다. 엘라스틱의 Elastic Security Platform은 Endpoint(EPP,EDR)+SIEM+Cloud(CSPM,CWP)+SOAR로 구성돼 있다.
유연한 아키텍처를 통해 대용량 데이터에 대해 최적화된 모델 구성이 가능하다. 기업의 보안담당자는 하나의 플랫폼으로 보안 사각지대 제거, 엔드포인트에서의 멀웨어와 랜섬웨어 방어, 자동화된 보안 위협 탐지, 보안 분석과 대응 연계 등으로 효율적인 보안체계를 구성할 수 있다.
보안 위협은 MITRE ATT&CK에서 배포한 TTPs에 대응하는 탐지 룰을 자체 개발해 제공하고 있다. 특히, 머신러닝의 Anomaly 탐지를 보안 위협 탐지에 손쉽게 연동해 사용할 수 있다.
트렌드마이크로, XDR IT 인프라 전반에 대한 탐지·대응 플랫폼
윤명익 이사 XDR은 확장된 탐지·대응이다. XDR은 백신의 고급 보호 기능인 EPP가 다루지 못하는 IR, 엔드포인트에 국한되어 탐지·분석·대응하는 EDR, 최근에는 NDR, CDR, DDR 등 IT 인프라 전반에 대한 확장된 탐지·대응 플랫폼으로 발전하고 있다. XDR의 또 다른 명칭은 계층 간을 교차해 상관관계를 제시할 수 있는 Cross-Layered Detection and Response로 표현하고 있다.
트렌드마이크로의 XDR 비전원(Vision One)은 엔드포인트 외에도 이메일, 네트워크, 클라우드, 계정, OT, 모바일 등 업계에서 가장 광범위한 계층의 센서 솔루션을 즉시 배포하고 XDR에 적용할 수 있다. 특히, 엔드포인트의 경우 EDR 전용 센서를 배포해 사용할 수 있고, 타사 EDR과 함께 사용해도 기술지원을 제공한다. 또한, EPP와 EDR이 통합된 Vision One Endpoint Security를 사용할 수 있다.
트렐릭스코리아, SaaS 기반의 보안 위협 탐지 및 사고 대응 플랫폼
김현섭 상무 XDR은 SaaS 기반의 보안 위협 탐지 및 사고 대응 플랫폼이다. Trellix XDR은 엔드포인트, 네트워크, 이메일, 클라우드 등의 보안 솔루션을 통합하는 포괄적인 보안 운영 시스템이다.
Trellix XDR은 다양한 정보 수집과 제품 연구, 위협 인텔리전스, 적대적 복원력 & 옹호, 데이터 사이언스 ML·AI 연구 공학 등을 통해 통찰력 있는 가시성과 단순화된 분석, 빠르고 정확한 탐지, 자동화 공격 완화 및 방지, 위협을 해결한다. 특히, 다양한 보안 장비에서 발생한 이벤트에 대해 위협 기반으로 상관관계를 분석한다. 이를 통해 대응 해결시간은 몇 주에서 며칠로 단축할 수 있고, SOC 자원이 낭비되지 않고 효율적이고 최적화해 처리할 수 있다. 상위 경보에 대한 빠르고 정확한 탐지 및 완화와 간소하고 통찰력 있는 보안 운영 환경을 통해 보안 위협을 신속하게 차단할 수 있다.
XDR, IT 전반에 대한 확장 탐지·분석·대응 플랫폼
지금까지 XDR 플랫폼 제공 기업 10곳의 얘기를 들어봤다. 본지는 지금까지 논의된 공통된 의견을 중심으로 XDR의 개념을 정리하고자 한다.
첫째, XDR은 특정 영역에 한정된 보안 솔루션이 아닌 어떤 보안 솔루션도 적용할 수 있는 플랫폼이어야 한다. 물론 XDR 유형에 따라 단일 보안 벤더 솔루션에 한정될 수 있다. 하지만 이날 간담회에서 논의된 XDR의 발전 방향은 어떤 보안 솔루션도 적용할 수 있어야 한다는 의견이 지배적이었다.
둘째, XDR은 어떤 보안 솔루션도 유연하게 연동될 수 있어야 한다. 많은 보안 솔루션을 적용해야 하는 만큼 연동성은 XDR의 중요 핵심 요소다.
셋째, 가시성이 확보된 확장된 탐지·분석·대응이다. 모든 계층과 영역에서 탐지된 모든 데이터를 수집해 통합하고, AI·ML 등 신기술을 활용해 상관 분석 및 자동 대응을 할 수 있어야 한다.
이에 본지에서는 10개사의 공통된 의견과 논의를 거쳐 XDR을 IT 전반에 대한 확장된 탐지·분석·대응 플랫폼으로 정의하고자 한다. 특히, 이날 간담회에선 XDR에 대한 표준, 정잭·제도적인 뒷받침, 시장에서의 공동 대응 및 협업, XDR 협의체 구축, XDR 보안포럼 등 다양한 논의가 이뤄졌다. 향후 본지는 XDR 시장 확대를 위해 XDR 제공 기업 10개사를 중심으로 다양한 의견 수렴과 논의를 진행해 나갈 계획이다.
▲ ‘XDR 인식 및 선택 기준에 대한 설문조사’ 결과[이미지=보안뉴스]
[설문조사] XDR 인식 및 선택 기준
기관·기업 40% 악성 이메일 공격받아
XDR의 등장은 지능적이고 고도화된 보안 위협이 깔려있기 때문이다. 본지는 기관·기업의 보안담당자를 대상으로 2023. 6. 29(목) ~ 7. 7(금)까지 ‘XDR 인식 및 선택 기준에 대한 설문조사’를 실시했다.
‘기관·기업에서 가장 많이 받는 사이버 공격’에 대해 ‘악성코드 실행 및 클릭을 유도하는 스피어피싱 등과 같은 악성 이메일 공격’이 40%로 1위를 차지했다. 2위는 ‘랜섬웨어 공격’ 17.9%, 3위 ‘취약점 공격’ 9.8%, 4위 ‘계정정보 및 개인정보 탈취를 위한 피싱 공격’ 7.7%, 5위 ‘디도스 공격’ 6% 순으로 집계됐다.
‘XDR 구성 모듈 중 가장 관심 있는 솔루션’에 대해선 ‘EDR’이 31.1%로 1위를 차지했다. 2위는 ‘APT’ 20.9%, 3위는 ‘SOAR’ 13.6%, ‘NDR’ 12.3%, ‘MDR’ 10.2% 순으로 집계됐다.
=============================================================================
[인터뷰] 한국인터넷진흥원 사이버침해대응본부 침해사고분석단 박용규 단장
“하반기 주목되는 보안 위협, 디도스 공격과 랜섬웨어”
사이버침해대응본부 침해사고분석단을 소개해 주신다면?
침해사고분석단은 사이버 침해사고가 발생한 최일선 현장에서 만날 수 있는 조직입니다. 침해사고대응 등 디지털 역기능에 대응하는 조직으로 사이버침해대응본부의 중추 역할을 합니다.
주요 업무는 시스템·악성코드·취약점을 분석해 사고 발생 원인을 규명하고, 유사한 피해 사례가 발생하지 않도록 조치를 취하는 것입니다. 또한, 다양한 사고 케이스를 다른 기업·기관에 공유해 사전에 예방하도록 지원합니다.
기관과 기업을 타깃으로 한 해커들의 주요 해킹 경로는 어디인가요?
인터넷에 연결된 시스템으로 홈페이지가 가장 대표적입니다. 인터넷에 연결되어 있어 언제든 접근할 수 있고 취약점 패치가 안 된 허술한 곳이 많아 쉽게 접근할 수 있습니다. 연초에 발생한 국내 학술단체를 노린 대규모 웹변조 해킹 공격이 그 대표 사례입니다.
미상의 중국 해커그룹에 의한 공격으로 드러났는데요. 시스템 운영을 위해서는 관리자 권한이 필요한데, 이때 쉽게 유추할 수 있는 낮은 수준의 비밀번호 사용이 문제가 될 수 있습니다. 내부 관리자만 이용해야 할 기능을 외부에서도 쉽게 이용할 수 있으면 안 되니까요.
이외에도 메일서버, 그룹웨어, 중앙관리 서버도 주요 표적 대상입니다. 해커는 기업 내부 환경에 침투해 저장된 주요 정보, 기업 내 다른 시스템들의 정보, 운영 중인 백업 서버까지 접속해 자료 유출과 랜섬웨어 감염 등의 침해사고를 일으킵니다.
보안 솔루션 악용에 어떤 점을 유의해야 할까요?
100% 완벽한 솔루션은 존재하지 않아요. 안전을 지원하는 다양한 유형의 보안 솔루션뿐만 아니라 기업 내부에 존재하는 수많은 시스템(서버, NAS 등) 모두 취약점이 존재할 수 있어 공격 표적이 될 수 있습니다. 이 때문에 사용·운영 중인 솔루션과 시스템에 대한 모니터링이 매우 중요합니다. 이용자마다 어떤 기능을 수행하는지, 어떤 자료에 접속하는지, 어떤 시스템으로 접속이 시도되는지 등 다양한 행위에 대한 로그를 저장, 분석해 이상행위 등을 판단하고 대응해야 합니다. 물론, 모든 기업이 로그 분석과 대응 능력을 보유하지 않아 민간 전문 보안조직의 도움을 받거나 스스로 역량을 키워야 합니다.
하반기 주의해야 할 보안 위협 3가지와 이유를 설명해 주신다면?
하반기에도 기업이나 기관을 대상으로 내부정보나 개인정보 등의 정보유출과 랜섬웨어 공격이 주요 보안 위협이 될 것입니다. 특히, 2023년엔 디도스 공격이 심심찮게 발견되고 있는데요. 연초엔 LGU+ 인터넷망을 대상으로 한 디도스 공격이 있었고 이후 크고 작은 규모의 디도스 공격이 지속적으로 발생하고 있습니다.
최근엔 해외 블리자드 게임사를 대상으로 대규모 디도스 공격도 있었죠. 해커는 공격에 대한 파급력과 그로 인해 얻어낼 수 있는 이익에 초점을 맞춥니다. 특히, 기업의 중요 기밀정보가 유출되면 해커는 기업의 신뢰도가 하락되는 걸 노리는데요. 랜섬웨어나 디도스 공격에 의한 서비스 장애 등이 외부로 알려질 경우 고객 이탈이나 기업 서비스에 대한 불신 등 이미지 손상으로 이어져 해커는 금전적인 협박이 매우 용이합니다. 어쩔 수 없이 협상에 응하도록 유도하는 것이죠. 이러한 보안 위협은 계속될 전망입니다.
업무에 있어 가장 큰 애로사항은 무엇인가요?
동시다발적 사고 발생에 따른 대응 인력 운영에 어려움이 있습니다. 사고조사 대상은 증가한 반면 인력은 충원되지 못했어요. 사이버 공격 사고가 커지고 있는 만큼 이를 해소하기 위한 인력 증원이 추진돼야 합니다.
정보통신망법 개정(시행: 2022.12.11.)으로 침해사고 관련 자료보전 명령, 자료제출 요구권 등이 신설되어 신고된 침해사고 전체에 대해 분석 및 검증은 필수입니다. 현재 경찰청 사이버안전국 사이버테러대응과는 5개 팀(32명), 디지털포렌식센터 10개 팀(41명)이 운영되고 있습니다. 하지만 한국인터넷진흥원은 2022년 기준 1개 팀(13명)이 연간 1천 5백여 건을 조사하고 있어 인력 충원이 필요합니다.
침해사고 분석단에선 보안사고 예방을 위해 어떤 노력을 하고 있나요?
발생한 침해사고의 원인을 분석하여 사고가 재발하거나 확산되지 않도록 알리는 노력을 기울이고 있습니다. 예를 들면, 악성코드를 배포하는 서버를 조사해 조치나 차단하며, 발견된 취약점은 즉시 조치하고, 해킹사고에 사용된 악성코드는 삭제합니다. 그리고 사이버 위협정보 분석공유 시스템인 C-TAS를 통해 관련 위협 정보를 기업에 즉시 공유하고 있습니다. 또한, 해킹사고에 사용되는 취약점 발굴을 위해 보안 취약점 신고포상제나 자체 분석을 통해 발굴·조치에 노력하고 있습니다.
최근에는 프로파일링 기법을 통해 해커가 사용하는 공격기법이나 특정 해킹 그룹들이 사용하는 공격기법을 분석하고 TTP(목적, 방식, 기법) 보고서로 발간해 최신 해킹 공격 트렌드를 기업에 공유하고 있습니다. TTP 보고서는 보호나라 사이트에 게재되어 누구나 다운로드해 활용할 수 있습니다.
=============================================================================
올 하반기 주목해야 할 주요 보안 위협
그렇다면 XDR 전문기업이 뽑은 하반기에 주목해야 할 보안 위협은 무엇일까. 본지는 XDR 기업 10개사를 통해 앞으로 주목해야 할 주요 보안 위협에 대해 들어봤다.
넷위트니스, 생성 AI 이용한 보안 위협 ‘주의’
조남용 이사 하반기 주목해야 할 보안 위협은 첫째, 공격자의 생성 AI를 이용한 빠르고 광범위한 공격 능력이다. 생성 AI를 통해 개별 전문분야에 최적화된 피싱 이메일 작성과 가짜 웹 사이트 개설 등 사회공학적인 공격기법도 더욱 정교해질 전망이다.
둘째, Digital Transformation으로 인한 공격 표면(Attack Surface) 증가에 따른 보안 관제의 복잡도 증가다. 공격자는 다양한 침투 경로를 확보해 손쉽게 주요 정보에 접근할 수 있게 됐다. 다양한 환경에 대한 보안 관제 구축은 이전보다 훨씬 복잡한 과제가 되었다.
셋째, 남북관계 긴장 고조로 인한 북한 해킹그룹의 활동 증가다. 최근 남북관계 긴장 고조로 인해 북한의 도발 위험이 커지고 있다. 사이버 공격을 통한 도발 가능성도 증가하고 있다.
두산디지털이노베이션, 신규 랜섬웨어 출몰+랜섬웨어 이용 공격 ‘활발’
임지훈 수석 하반기도 2022년~2023년 상반기와 동일한 형태의 랜섬웨어 공격이 활발해질 전망이다. 신규 랜섬웨어는 자바스크립트 기반의 알려진 랜섬웨어 형태와 비슷한 ‘범블비(Bumblebee)’, 일종의 다운로더로 랜섬웨어를 심는 ‘아이스드아이디(IcedID)’ 등 그동안 비밀리에 전파된 랜섬웨어다.
최근에는 중소기업을 괴롭히는 ‘에잇베이스(8base)’ 랜섬웨어 공격도 활발해 앞으로도 기승을 부릴 것으로 예상된다.
알려진 랜섬웨어 공격 기술도 방어가 쉽지 않다. 이전에 발생했던 수많은 공격 기술을 답습해도 막기 어려운 게 현실이기 때문이다. 따라서 과거 발생된 공격 기술의 방법론을 익히고, 동일 공격이 발생하지 않도록 방어하는 게 시간과 비용 절감에 가장 좋은 방법이다.
브로드컴, 모바일 보안 위협과 랜섬웨어 ‘기승’
김기명 부장 하반기 주목되는 보안 위협은 모바일 보안 위협과 랜섬웨어다. 윈도우의 엔드포인트 점유율이 40% 이하로 하락한 반면 애플 기기 사용자는 25% 내외로 성장했다. 안드로이드 사용자 역시 40% 이상 증가해 모바일기기 사용 비중이 늘고, 인터넷 기업 중심으로 맥 사용 비중이 높아지고 있다. 모바일 보안 위협 역시 증가하고 있어 이에 대한 보안 요구는 더욱 커질 전망이다.
최근에는 Play 랜섬웨어가 활개를 치고 있다. 2022년 중반 처음 등장한 Play 랜섬웨어는 가장 활발하게 활동하는 랜섬웨어 중 하나로, LockBit, Mallox, Clop 등 변종과 호환된다. 해커조직은 몸값을 지불하지 않으면 이미 암호화된 데이터 외에도 다른 중요 데이터를 팔아버리겠다며 협박하는 이중 갈취 전술로 유명하다.
센티넬원, 실행 시점에 악성코드 생성하는 ‘Black Mamba’ 주의
에스케어 윤우희 부대표 하반기 주목되는 보안 위협인 ‘Black Mamba’는 실행 시점에 정상적인 Source API(Open AI)를 통해 일반적인 결과값을 제공받아 악성코드를 생성한다. 악성코드를 파일로 저장하지 않고 메모리상에서 동작시킬 수 있는 게 특징이다. 실행될 때마다 악성코드에 변화를 줘 구성 요소도 다형성 객체로 만들 수 있다. 이러한 동작 구성 요소에 Auto-py-to-exe를 이용하면 파이썬 설치 없이 실행될 수 있는 실행형 파일 작성도 가능하다. 이는 젠킨스와 같이 파이썬 라이브러리가 포함되어 있는 서비스 서버의 취약점을 활용한 것이다.
보안 관리자 관점에선 무해한 원격 소스에서 페이로드가 생성되고, 조각화된 코드 조합과 실행 시점에 악성코드와 결합돼 탐지가 어렵다. 악성코드로 수집된 정보는 MS 팀즈 웹훅을 통해 공격자의 팀즈 채널로 전송된다.
스텔라사이버, 랜섬웨어·타깃형 공격·OT 보안 위협 ‘증가’
왕정석 지사장 랜섬웨어, 개인정보 탈취 목적 악성코드 등의 타깃형 공격이 하반기에도 주를 이룰 것으로 예측된다. 다양한 오픈소스의 생태계가 확장돼 보안 위협도 급증하고 있다. 실제 서비스에 적용된 오픈소스 기반의 플랫폼에서 기업 서비스에 치명적인 위협이 발견된 바 있다. 또 생산·제조망(OT)에 대한 보안 위협도 증가하고 있어 이러한 보안 위협에 XDR의 필요성이 부각되고 있다.
사이버 보안 킬체인, MITRE ATT&CK 등 발전된 대응전략을 기반으로 정확한 보안 위협을 탐지하고 대응하기 위해 XDR을 통한 통합 관제 모델의 구축이 그 어느 때보다 필요한 시점이다.
안랩, 랜섬웨어 공격과 라자루스 보안 위협 ‘지속’
이건용 부장 먼저 랜섬웨어 지속 공격에 주목해야 한다. 안랩의 자체 분석에 따르면 작년 말부터 수집되는 랜섬웨어 신규 샘플 수 자체는 감소 중이지만, 피해 규모는 비슷한 수준으로 유지되어 랜섬웨어 공격은 계속되는 것으로 보인다.
랜섬웨어 공격 양상은 특정 조직을 노린 정교한 타깃형 공격으로 변화하고 있다. 기존에 많이 활용되던 스피어피싱이나 워터링홀 외에 최근에는 취약점 활용 공격이 증가하고 있다.
특히, 올해는 ‘라자루스’와 관련된 위협이 이어질 것으로 보여 주의가 필요하다. 2009년부터 시작된 라자루스의 공격은 매년 이어지고 있다. 수법 또한 고도화되고 있어 기업은 보안 모니터링 및 대응 체계 마련에 힘써야 한다.
엔피코어, 국가 사이버 안보 위협 및 서비스형 피싱 공격 ‘주의’
방효섭 차장 최근 북한의 사이버 공격과 러-우크라이나 사태와 같이 국가 사이버 안보 문제가 화두다. 이태원 사고 이슈 악용, 카카오 서비스 장애 이슈 등 국가 안보와 관련된 사이버 보안 위협은 국제 정세의 불안을 증가시키고 있다. 따라서 사이버 안보 체계를 확립해야 한다.
최근 문자나 이메일만 읽어도 악성코드가 실행되는 신종 공격 방법도 발생했다. 또한, 사회적 이슈를 악용한 서비스형 피싱 공격을 통한 사이버 보안 위협 사태도 발생했다. 특히, 국내외 사회정치적 흥미를 유발하는 파일명을 악용해 사용자의 클릭을 유도하는 ‘바로 가기(LNK)’ 공격이 계속 증가하고 있다.
엘라스틱코리아, 윈도우와 리눅스 노린 공격 증가
김문식 컨설팅 아키텍트 전체 멀웨어 감염의 39%는 리눅스 엔드포인트다. 이는 기업이 리눅스 기반 엔드포인트를 백엔드 인프라로 구현하고 있기 때문이다. 공격자는 아키텍처에 대한 바이너리를 무기화하고 이를 사용자 정의 제공 기술을 통해 배포한다. 멀웨어의 81%는 트로이목마 기반이다.
트로이목마는 스테이저와 드로퍼 배포에 제공되는 바이너리를 무기화할 수 있고, 공격자는 기술을 추가해 다목적으로 활용할 수 있어 더욱 선호한다. 트로이목마 기반의 멀웨어 감염 80%는 윈도우로 이를 노린 공격도 증가하고 있다.
방어 회피 기술도 지능적으로 고도화되고 있다. 전체 방어 회피 기술의 총 72%는 가장(masquerading) 및 시스템 바이너리 프록시 실행이다. 이는 합법적으로 서명된 유틸리티 악용으로 식별이 어렵다.
트렌드마이크로, 클라우드 노린 공격과 잘못된 설정 ‘주의’
윤명익 이사 클라우드 환경의 잘못된 설정이나 구성은 매우 중요한 보안 위협이 되고 있다. 또한, 클라우드 개발자는 보안을 신경쓰지 않고 개발해 취약점을 발생시킨다. 이를 노리고 공격자는 내 외부 서비스에 대한 취약점을 악용한다.
클라우드를 노린 랜섬웨어 공격도 기승을 부리고 있어 각별히 주의해야 한다. 클라우드 워크로드의 취약점 패치 검토 및 적용이 신속히 진행돼야 한다. 이어 공격자가 오래전부터 사용해 온 ‘LotL(Living off the Land. 공격을 위해 피해자의 자체 리소스를 활용)’ 보안 위협에도 주의를 기울여야 한다.
그런 측면에서 ‘LotC(Living off the Cloud)’는 피해자의 시스템에 대한 접근 권한을 공격자가 탈취한 후 피해자의 합법적 툴을 악의적으로 활용하는 것으로 각별히 유의해야 한다.
트렐릭스코리아, 윈도우와 리눅스를 노린 보안 위협 증가
김현섭 상무 윈도우와 리눅스를 노린 보안 위협이 증가하고 있다. 요즘 해커들은 리눅스 전문, 윈도우 전문해커 등을 섭외한 후 서로 연합해 공격한다.
특히, 공격자는 모의 해킹 툴인 코발트 스트라이크 공격 도구를 선호하고 있어 하반기에도 코발트 스트라이크를 이용한 보안 위협은 이어질 것으로 보인다.
랜섬웨어 공격은 금전적 이득을 얻기 위해 기업을 타깃으로 하반기에도 기승을 부릴 전망이다. 중국 해킹그룹 APT의 활동은 가장 적극적으로 탐지의 79%를 차지하고 있다. APT 그룹은 물리적 군사 활동, 사이버 스파이 활동, 파괴적인 사이버 공격 시도 등을 할 것으로 전망된다.
==============================================================================
▲넷위트니스 XDR 구성 요소[이미지=넷위트니스]
[XDR 대표 플랫폼 집중분석-1]
넷위트니스, 국내외 주요 기업·기관이 활용하는 검증된 XDR 플랫폼
네트워크에서 로그, 엔드포인트까지 실시간 위협 행위 탐지 및 분석
2023년 RSA Conference에서 가장 뜨거운 화두는 단연코 XDR(eXtended Detection Response)이었다. 가트너에서 보안 관제 가시성의 3대 요소를 SIEM, NDR, EDR로 정의한 바와 같이, 단일 영역이 아닌 전반적인 인프라 영역에 대한 사이버 공격 및 이상 행위를 실시간으로 탐지·대응하고, 이러한 공격에 이상행위의 경로·원인 분석에 대한 필요성이 높아졌다.
넷위트니스(NetWitness)는 비즈니스 피해가 발생하기 전에 보안팀이 네트워크에서 로그, 엔드포인트 영역까지 정교한 위협과 침해를 실시간으로 탐지, 이해하고 자동으로 대응하도록 지원하는 XDR 플랫폼이다. 온프레미스에서 가상화환경, 클라우드환경까지 기업의 다양한 인프라 환경을 지원한다.
넷위트니스 네트워크, 전세계에서 가장 검증되고 선진화된 NDR
넷위트니스 네트워크는 온프레미스, 클라우드 및 가상 인프라 전반에서 실시간으로 네트워크 데이터를 수집하고 분석해 즉각적이고 심층적인 가시성을 제공한다. 넷위트니스 네트워크는 미국 국토안보부 산하 국가사이버안전센터에서 개발한 후 상용화된 NDR 솔루션으로서, 전 세계에서 가장 보안에 민감한 기업 및 기관에서 사용 중인 검증된 솔루션이다. 미국 및 주요 동맹국 정부, 국방, 국제기구, 정보기관, 방산기업, 글로벌 대기업 및 금융기관에서 널리 사용되고 있으며, 국내에서도 다수의 대기업 및 주요 공공기관, 금융기관에서 폭넓게 활용 중이다.
아울러, 각 기업 및 기관의 보안팀은 넷위트니스 네트워크를 국내외 사이버 공격에 대비한 보안 관제, 사내 컴플라이언스 준수 여부 확인, 감사를 대비한 증적 데이터 제공, APT 및 SASE 등 기 보유한 보안 솔루션의 활용성 제고 등의 용도로 다양하게 사용하고 있다.
넷위트니스 로그, 보안 관제의 효율성 제고하는 SIEM
넷위트니스 로그는 외산 및 국산 애플리케이션, 네트워크 장비 및 보안 디바이스, 각종 운영 체제를 포함해 모든 관련 로그 소스에 대한 가시성을 확보한다. 넷위트니스 로그는 중앙 집중식 로그 관리, 퍼블릭 클라우드 및 SaaS 애플리케이션에서 생성된 로그 모니터링, 시그니처 기반 보안 툴을 우회하는 의심스러운 활동의 식별을 지원하는 글로벌 주요 SIEM 솔루션 중 하나다.
넷위트니스 로그는 넷위트니스 네트워크와 함께 단일 데이터베이스 및 유저 인터페이스를 활용해 넷위트니스 네트워크 및 엔드포인트와 함께 사용할 경우 보안 관제의 효율성을 제고하고 XDR 플랫폼으로서의 가치를 강화할 수 있다.
넷위트니스 엔드포인트, 보다 깊이 있는 탐지를 위한 EDR
넷위트니스 엔드포인트는 엔드포인트 디바이스에 대한 지속적인 모니터링과 풍부한 대응 구성 요소를 통해 인시던트 대응 비용, 시간 및 범위를 줄이는 EDR 솔루션이다. 넷위트니스 엔드포인트는 메모리 포렌식을 활용해 호스트에 대한 전체적인 가시성을 제공하고, 시그니처에 의존하지 않고 시스템 운영체계(OS) 영역까지 악성코드 행위를 탐지한다.
따라서, 신종 공격, 표적 공격, 알려지지 않은 공격, 파일리스 공격까지 신속하게 식별 및 탐지해 공격 체류 시간을 줄이고 보다 깊이 있고 정확한 분석을 제공한다. 아울러 넷위트니스 엔드포인트는 사용자 엔드포인트 디바이스에 에이전트를 설치하지 않고 별도 중앙 관리 서버를 운용하기에 임직원들의 업무 연속성에 부담을 주지 않는다.
▲엔피코어 ZombieZERO XDR[이미지=엔피코어]
[XDR 대표 플랫폼 집중분석-2]
EDR의 선두주자 엔피코어, 차세대 사이버보안 솔루션 XDR 개발
급증하는 위협의 다양성·복잡성에 따라, SOC에서 포괄적인 위협 대응 필요
최근 확장된 탐지 및 대응(eXtended Detection and Response 이하 XDR) 플랫폼인 XDR의 등장은 글로벌 사이버보안 분야에서 큰 주목을 받고 있다. 급증하는 위협의 다양성과 복잡성에 따라, 보안 운영 센터(SOC)에서는 점점 더 넓어지는 공격 표면과 포괄적인 위협 대응이 필요해졌다.
2022년 실시한 한 조사에 따르면 보안팀이 평균 76개의 각기 다른 보안 도구를 관리하는 것으로 나왔다. 이는 클라우드 도입과 원격 작업 요구사항에 맞춰 다양한 보안 도구 도입이 폭증했기 때문이다. 이러한 도구의 막대한 증가로 인해 보안 전문가들은 보고서 작성과 여러 격리된 소스로부터 데이터를 통합하는데 많은 시간을 할애해 사용해야 했다.
이러한 상황에서 XDR은 여러 보안 도구로부터 데이터를 중앙 집중화하고 연계해 가시성을 향상 시키고 운영 효율성을 높인다.
엔피코어, AI와 ML 독자 연구 경험 기반으로 오픈 XDR 제품 개발 중
한국 사이버보안 엔드포인트 분야의 주요 업체인 엔피코어(대표 한승철)는 인공지능과 머신러닝에 대한 광범위한 독자적인 연구 경험을 바탕으로 오픈 XDR 제품을 개발 중이다. XDR은 인공지능과 머신러닝을 활용해 위협 탐지, 대응 및 조사 과정을 자동화하고 대량의 데이터를 실시간으로 분석해 정교한 위협을 빠르게 식별하고 완화하는 기능을 갖추고 있다. 이를 통해 보안팀은 효율적으로 사이버 위협에 대응할 수 있다.
XDR은 인공지능과 머신러닝을 활용해 위협 탐지, 대응 및 조사 과정을 자동화할 수 있다. 대량의 데이터를 실시간으로 분석하는 능력을 갖추어 기존의 보안 방식에서 놓치는 정교한 위협을 신속히 식별하고 완화하는 역할을 한다.
XDR 플랫폼은 원시 데이터(Raw Data)를 중앙 집중화하고 직관적인 사용자 인터페이스를 통해 SOC 분석가들에게 명확하고 실행 가능한 인사이트를 제공해 신속한 의사결정을 가능하게 한다. 또한, XDR은 다양한 소스의 데이터를 통합하고 상호 연관 지어 정교한 위협을 식별해 뛰어난 위협 탐지를 제공하며, 프로세스를 자동화하고 간소화해 보안 사건을 신속하고 효과적으로 탐지·조사·대응할 수 있도록 도와준다.
알림 우선순위는 지정해 필터링할 수 있어 알림 피로를 줄여주고, 보안팀은 더 중요한 위협에 집중할 수 있다. 이뿐만 아니라 XDR은 한층 확장된 가시성과 인사이트를 제공해 선제 위협 수색을 가능하게 하며 확장성과 적응성을 갖추어 데이터양과 진화하는 위협에 대응할 수 있다.
한승철 대표는 “엔피코어는 기술적 우수성과 직관적인 사용자 인터페이스를 결합한 포괄적인 오픈 XDR 제품을 제공할 수 있는 역량을 갖췄다”며 “XDR의 AI·ML 기능을 통해 조직이 보안 체제를 강화하고 진화하는 사이버 위협에 효과적으로 대응할 수 있을 것”이라고 말했다.
▲스텔라사이버 Open XDR[이미지=스텔라사이버]
[XDR 대표 플랫폼 집중분석-3]
스텔라사이버-‘Open XDR’, 지능형 통합 보안 분석 플랫폼으로 ‘주목’
고객의 모든 데이터, 통합 보안위협 분석으로 차세대 보안관제 제공
보안위협이 기업 및 공공 서비스부터 주요 자산, 개인정보에 이르기까지 지속 확대되고 있다. 고객 사이트 영역에서 클라우드와 설비에 이르기까지 보안이 필요한 영역이 갈수록 증가하고 있다. 이에 기존 보안 분석 및 관제 체계를 뛰어넘는 차세대 보안 관제에 대한 요구도 커지고 있다.
Open XDR의 시초, 개방형 플랫폼을 통해 서드파티 통합 지원
스텔라사이버는 2019년부터 ‘Open XDR’ 플랫폼을 통해 네트워크 트래픽부터 보안장비 로그, 엔드포인트, 애플리케이션, 파일 및 클라우드 등 모든 데이터를 통합해 수집하고, 이를 연관 분석하는 지능형 통합 보안 분석 플랫폼으로 차세대 보안 관제 시장을 리드하고 있다.
스텔라사이버의 ‘Open XDR’은 상관관계 분석 수행을 위해 빅데이터 기반의 데이터 통합(NG-SIEM), 트래픽 분석 엔진(NDR), 악성 행위 및 코드에 대한 탐지(IDS & Sandbox), 사용자 행위 분석(UEBA), 최신 글로벌 위협 정보(Threat Intelligence)에 대한 자동 분석 등 다양한 분석 기능을 포함하고 있다.
탐지된 보안 이벤트에 대한 인시던트 통합 관리 및 즉각적인 대응을 위한 SOAR 기능까지 전방위적인 탐지 및 대응 체계 구축에 필수 기능을 제공한다. 스텔라사이버는 XDR의 필요성을 제기하던 시기부터 이러한 모든 기능을 단일 라이센스를 통해 통합 제공했던 회사로써, 다른 XDR 제조사와 차별점을 보이고 있다.
On-Prem, 클라우드부터 OT 보안까지 보안 분석 영역 확대
스텔라사이버는 최근 공공 및 금융 시장을 넘어 클라우드와 제조·생산망(OT)에 대한 보안 위협 탐지까지 영역을 확대하며, 다양한 고객을 대상으로 차세대 보안 관제 체계 구축을 지원하고 있다.
왕정석 스텔라사이버 한국 지사장은 “상반기에 이어 랜섬웨어, 개인정보 탈취 목적 악성코드 등의 타깃형 공격이 하반기에도 주를 이룰 것으로 예측된다”며 “다양한 오픈소스를 향한 보안 위협 역시 크게 증가하고 있으며, 고객 서비스에 치명적인 위협이 될 가능성 역시 늘고 있다. XDR을 통한 통합 위협 탐지가 그 어느 때 보다 중요한 시점”이라고 강조했다.
이어 “제조·생산망(OT)에 대한 위협도 급격히 증가해 기업의 각별한 주의가 필요하다. 이제 OT망은 기존의 IT망이 겪었던 보안위협을 그대로 다시 받고 있고 다양한 보안 위협이 상존하는 상태로 보다 적극적인 대응이 필요하다”고 분석했다. 또한 “XDR에 대한 제품의 종류와 정의가 혼재되고 있는 시점에서 통합된 보안 가시성 및 상관관계 분석을 통한 지능형 위협 탐지가 필요하다”며, “Open XDR의 원조로써, 오랜 경험과 연동을 통해 차세대 보안관제를 지원한다”고 강조했다.
▲브로드컴 Symantec XDR[이미지=이테크시스템]
[XDR 대표 플랫폼 집중분석-4]
시만텍, 벤더 드리븐 보안 XDR 솔루션 제공 ‘시만텍 세카스’가 답
‘시만텍 세카스’, Generative AI시대 중소·중견·준대기업 위한 XDR 제공
XDR은 기업의 CEO, CIO, CISO와 같은 최고책임자의 관심에 맞춰 확장되는 탐지 가시화와 대응하기 위한 플랫폼이다. 기업의 XDR 구현을 위해서는 적합한 데이터소스가 필요하며 이를 분석하는 AI엔진이 필요하다.
XDR은 데이터소스에서 오는 양질의 데이터와 AI엔진에서 오는 품질 높은 결과물이 핵심이다. 시만텍은 국내 중소·중견·준대기업에서 간편하게 XDR을 구현할 수 있도록 하는 XDR 솔루션 시만텍 세카스를 제안한다.
‘시만텍 세카스’, 양질의 데이터 생성·에이전트 통합과 항상 최신 버전 유지
시만텍 세카스는 기업 내, 다양한 엔드포인트의 최신성을 유지하도록 도와준다. 최근 윈도우 단말의 비중이 40% 이하로 감소했다. 반면 Apple MacOS·iOS(25% 미만), 안드로이드 (40%내외) 등은 확대되며 단말기가 다양화됐고, 최근 기업의 업무환경은 HTTP API기반 앱과 웹으로 집중되고 있다.
또한 OS와 웹브라우저 제조사의 버전 업그레이드 주기가 짧아져 기업의 엔드포인트 담당자의 업무량은 2013년 대비 최소 7배 증가했다. 이에 더해 기업의 보안 담당자는 최근 확산된 Chat GPT와 같은 Generative AI 사용 대비를 위해 고심이 깊어지고 있다.
효율성과 기능성이 중요한 시대, 시만텍 SECaaS에 포함되는 시만텍 에이전트 원은 하나의 에이전트에서 안티바이러스, DLP, 웹보안 그리고 사용자 경험 측정 기능을 제공한다. 추후, 클라우드 앱컨트롤을 위한 Cloud SOC와 클라우드앱의 데이터 취급 제어를 위한 클라우드 DLP로 확장해 기업의 클라우드 여정도 함께한다.
시만텍 세카스는 보안 담당자들의 고민을 쉽게 해결할 수 있도록 도우며 기업 XDR 구현을 위해 양질의 보안 탐지 데이터를 시만텍 XDR 플랫폼으로 전송한다.
시만텍 ICDm, 위협 요소의 빠른 판단
CISO 관점의 XDR은 기업의 안티바이러스, DLP 그리고 웹과 이메일 보안 솔루션에서 수집된 정보를 통합 분석하고 위협 요소에 대한 인사이트를 가질 수 있는 제품이어야 한다. 브로드컴은 2020년 AI업체 Bay Dynamics를 인수해 시만텍 사업부에 통합했다.
이를 통해 ICDm에서 안티바이러스, DLP 그리고 웹과 이메일 보안 로그를 ICDm 플랫폼에서 AI엔진을 통해 분석하여 위험도가 높은 사용자 또는 단말을 담당자에게 안내한다. AI를 통해 기존 위험요소 분석에 소요되는 비용과 시간을 단축하고 탐지의 유효성을 증가시켜 기업의 생산성을 증대시킨다.
▲트렌드마이크로 XDR의 커버리지[이미지=트렌드마이크로]
[XDR 대표 플랫폼 집중분석-5]
트렌드마이크로 사이버 보안 플랫폼 - Vision One
Vision One - EDR의 기본에 충실하면서 가장 광범위한 계층 커버하는 XDR
EDR을 시작으로 텔레메트리 수집을 통한 탐지와 분석 그리고 대응을 수행하는 ‘Detection and Response’는 이제 Network DR, Cloud DR, Identity Threat DR, Data DR 등 다양한 계층에서의 탐지 및 대응을 포함하는 eXtended Detection and Response(XDR)로 확장하고 있다.
트렌드마이크로의 Vision One은 XDR에 공격 표면 위험 관리(Attack Surface Risk Management)와 제로 트러스트 보안 접근 제어를 통합함으로써 진정한 사이버 보안 통합 관리 플랫폼으로 진화했다.
XDR을 논하기에 앞서, Vision One은 EPP와 EDR 기능이 모두 통합된 에이전트와 기존의 EPP를 교체하지 않고도 사용할 수 있는 EDR 에이전트를 자유롭게 선택해 사용할 수 있다. MITRE ATT&CK의 Tactic·Technique가 충실히 반영된 약 700여 가지의 다양한 탐지 모델을 제공해 조직 내의 의심스러운 행위를 탐지한다.
탐지 모델 외에도 트렌드마이크로 자체 위협 인텔리전스와 다양한 외부 위협 인텔리전스를 자동으로 입수해 조직 내에서 위협의 흔적을 찾아 워크벤치에 경고를 제시한다. 이러한 위협 경고는 파일, 프로세스, 주소, 계정 등 다양한 객체 간의 상관관계를 도식화해 체인 형태로 풍부한 데이터와 함께 제공해 SOC팀이 인시던트의 원인과 진행과정의 분석을 가능하게 한다. 특히 LLM방식의 Companion AI가 적용됐다.
인시던트에 대한 상세 해설이 필요할 경우, 정적인 방식의 Knowledge Base가 아닌 대화형 쿼리와 응답 기능을 사용할 수 있다. 이는 SOC팀의 스킬이 낮더라도 인시던트 분석을 매우 쉽게 이해하도록 돕는다.
Vision One XDR은 엔드포인트 격리, 원격셀 접속, 파일 수집, 샌드박스 분석, 커스텀 스크립트 배포 등의 다양한 대응기능을 제공한다. SOC팀이 이들 대응기능을 직접 수행할 수 있지만, Play Book을 작성해 미리 지정한 기준에 부합하는 경고가 발생하면 자동으로 대응기능이 동작한다. 시나리오에 의해 대응이 수행되고, 대응의 최종 결과를 지정한 관리자가 확인할 수 있다.
이처럼 Vision One은 EDR로서 필요한 모든 기능을 제공하면서, 이메일, 네트워크(NDR), 클라우드(CDR), 계정(ITDR), OT 등 다양한 계층에서 센서를 활용하거나 계층간 솔루션과 연동해 탐지 및 대응을 구현할 수 있다. 업계에서 광범위한 계층을 포괄하는 XDR이다.
Vision One - Attack Surface Risk Management(공격 표면 위험 관리)
Vision One 플랫폼의 공격 표면 위험 관리는 크게 세 가지 방법으로 위험 자산을 파악하며, 동시에 위험 완화를 수행한다. 첫 번째로 모든 자산을 신속하게 탐색해 사각지대를 제거하고 최첨단 내부 및 외부 자산 탐색을 통해 공격 표면을 감소할 수 있다. 두 번째로 동적 평가를 통해 분석가의 노력에 초점을 맞추고 해결 조치의 우선순위를 지정하기 위해 지속적 위험 평가를 활용한다. 세번째로 선제적 대응을 수행한다. 고급 AI 및 ML 기법을 사용해서 위험을 경감하고 위협에 대응하기 위해 대응 조치를 자동화하고 조율하며 가속화한다.
이와 같이 취약점, 잘못된 보안 구성, 자산 중요도, XDR 연계를 통해 이상 행위 및 클라우드 활동의 위험을 측정하여 지속 대응이 가능하게 된다. 보안 계층 전반의 위험을 해결하고 플레이북을 통한 각각 부서의 필요에 맞게 대응해 위험의 완화가 자동으로 진행되도록 적용할 수 있다.
Vision One - 제로 트러스트 보안 접근 제어
트렌드마이크로 제로 트러스트 기본 원칙은 ‘사용자에게 반드시 필요한 접근 이외에는 어떤 접근도 허용하지 않는다’로 보안 접근 제어를 제공하며 이 기본 원칙을 넘어서 사용자 계정 또는 디바이스의 위험에 기반한 지속적인 동적 접근 제어를 제공한다.
또한 트렌드마이크로 제로 트러스트 보안 접근 제어는 XDR을 통해 다양한 표면의 텔레메트리(엔드포인트, 이메일, 네트워크 그 외 여러 제조사 솔루션 등)와 상관관계 분석을 통한 표면 위험을 인지하고 공격과 위협 영향 가능성에 기반한 접근 제어를 수행한다. 그리고 누가, 어떤 애플리케이션에 접속하는지 제한하기 위한 세부 권한 정책을 적용한다. 접근 허용 이후에도 사용자나 디바이스가 위험 레벨 변경사항에 대한 모니터링을 지속해 접속을 제어한다.
▲사이버리즌 XDR[이미지=두산디지털이노베이션]
[XDR 대표 플랫폼 집중분석-6]
사이버리즌, 악의적인 공격 선제적으로 예측·대응하는 AI 기술 갖춰
사이버 공격에 대한 완벽한 커버리지, 탐지·대응으로 보안 피로도 낮추고 효율성 높여
글로벌 보안기업 사이버리즌(Cybereason)의 플랫폼은 악의적인 공격에 대한 경고에 그치지 않고 공격이 실행되기 전 인식하고 해결해 탐지와 운영의 어려움을 해결한다. 끝없이 울리는 경고와 오탐으로 인해 어려움을 겪는 보안 담당자의 피로도는 낮추고, 효율성은 높여준다. 하나의 에이전트와 하나의 콘솔을 활용해 모든 엔드포인트 방어가 가능하다. 또한 공격자보다 앞서 실행해 조기에 공격을 막고, 신속한 복구, 공격을 종식할 수 있도록 통찰력도 제공한다.
공격에 대한 완벽한 가시성, 복구시간 단축 등 효율성 뛰어나
사이버리즌 XDR은 크게 △사이버 공격에 대한 완벽한 가시성 △통합된 공격 스토리 상관관계 △전사적 복구로 3가지 특장점이 있다.
AI 기술과 24/7 SOC 모니터링과 결합한 최신 XDR 기술로 글로벌하고 완벽한 보호, 통합 조사 및 위협 해결, 비용 효율적인 데이터 보존, 실시간 MalOp 탐지 및 관리, 대시보드 및 보고서 발행 등 장점을 가지고 있다. 윈도우, 리눅스, iOS, 안드로이드 등 다양한 OS의 엔드포인트를 보호하며, 글로벌 협업 툴, 인증 솔루션, 클라우드, 네트워크와 연동해 통합 보안을 수행한다.
두산디지털이노베이션, 다년간의 운영 경험과 노하우 갖춘 APAC 파트너사
두산디지털이노베이션은 사이버리즌의 APAC 파트너사이자 국내 총판이다. 2021년부터 두산그룹을 비롯한 자동차, 금융 등 다양한 분야의 고객사 대상으로 운영해온 경험과 노하우를 바탕으로 국내 그룹사를 비롯해 글로벌 기업을 대상으로 사업을 확장하고 있다.
최근에는 공기업, 공공기관 고객을 위해 GS인증 1등급을 획득했으며, 2022 마이터어택(MITRE ATT&CK) 평가 역사상 최고 등급 달성 및 2022 가트너 매직 쿼드런트 엔드 포인트 보안 플랫폼 분야 ‘리더’에 등재되기도 했다.
▲엘라스틱코리아 Elastic Security[이미지=엘라스틱 코리아]
[XDR 대표 플랫폼 집중분석-7]
Elastic, Security XDR 개방형 보안 솔루션으로 경계 없는 통합 관제 구성
Elastic XDR, 모든 데이터 분석·지원·프로세스 자동화로 호스트 예방·교정
주요 사이버 보안 경영진 그룹은 차세대 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR) 등 새로운 기능에 투자해 대부분의 조직보다 훨씬 앞선 실행 사례를 보여준다.
XDR 서비스 제공자 비교 분석에서 Elastic이 Contender로 선정됐고, 이는 Limitless XDR 제품을 공식 출시하기 전부터 이미 가장 중요한 14개 서비스 제공자 중 하나로 평가받았다. 보안은 비즈니스 성장의 핵심으로 Elastic은 조직이 가장 중요한 것에 집중할 수 있도록 확장 가능하고 빠른 XDR 기술을 제공한다.
Endpoint+SIEM+Cloud 통합한 ‘Elastic EDR 및 XDR’ 통해 위협 방지
Elastic의 Limitless XDR은 한정적인 리소스, 분리된 시스템 및 기존 보안 도구의 한계에도 불구하고 점점 더 정교해지는 공격으로부터 빠르게 진화하는 조직을 보호할 수 있도록 지원한다.
하이브리드 클라우드를 위해 구축된 개방형 플랫폼(랜섬웨어, 첨단 위협을 모두 차단하는 에이전트 포함)에서 Elastic Security는 SOC를 강화해 위험을 줄인다. 이어 공격 표면 전체에서 수년간 수집한 데이터로 고급 분석을 강화해 데이터 사일로를 제거하고, 예방 및 탐지를 자동화해 조사 및 대응을 간소화한다.
또한 더욱 광범위한 보안 운영 지원을 위해서는 클라우드별 기본 제공 규칙, 이상 징후를 도출하기 위한 분석 및 머신러닝, 빠르고 심층적인 조사를 위한 통합 엔드포인트 기능, 대응 자동화를 위한 워크플로우 통합 등이 포함된다.
데이터 당면 과제로서 보안 해결
Elastic Security는 전 세계의 데이터를 공격으로부터 보호한다. Elastic은 전 세계 사용자가 미래의 공격으로부터 보호받을 수 있도록 보호 공간을 지속 혁신하고 있다. 이 솔루션은 무제한 분석을 위해 구축된 단일 플랫폼에서 SIEM, 엔드포인트 보안 및 XDR의 무료 개방형 기능을 제공해 조직이 피해를 예방, 탐지 및 대응할 수 있도록 지원한다.
Elastic의 단일 플랫폼은 SIEM 및 엔드포인트 보안을 통합해 사용자가 다양한 소스에서 대량의 데이터를 수집 및 보유, 데이터 장기간 저장 및 검색, 탐지 및 머신러닝을 통해 위협 헌팅을 강화할 수 있도록 지원한다.
리소스 기반 요금제를 통해 유연한 라이센싱으로 제어 권한을 제공한다. 또한, 사용 사례, 데이터 볼륨 또는 엔드포인트 수와 상관없이 사용하는 서버 리소스에 대해서만 비용을 지불하면 된다. 따라서, 요금이 예측 가능하며 필요에 따라 유연하게 조정할 수 있다.
▲트렐릭스 XDR 상관관계 분석[이미지=트렐릭스]
[XDR 대표 플랫폼 집중분석-8]
Trellix XDR 활용 통한 혁신적인 보안관제 변화의 필요성
수많은 보안경고 그리고 AI로 인한 공격 대응 어떻게 막을 것인가?
20년 전에도 그리고 지금까지도 보안업계에서는 계속 같은 문제로 얘기하고 있는 것을 아는가? 그것은 바로 계속적으로 고급화되어가는 공격의 증가, 보안 인력부족 문제 등이다. 이러한 고질적인 문제는 시간이 지나도 해결되지 않는다. 보안업계는 계속해서 다양한 솔루션을 제공하고 있었으며, 과거 획기적인 혁신을 이룬 것이 바로 SIEM이었다. 그러나 지금은 이러한 SIEM도 대책없이 쏟아지는 보안 이벤트로 인해 위협 대응이 되지 않는다고 한다. 그래서 보안관점에서 그 대안으로 떠오른 것이 바로 XDR이다.
XDR을 통해 무엇을 봐야 하는가?
기업은 하루에 수십~수백만 개의 로그 및 이벤트에 대해서 관제를 하고 있다. 이중에서 정상과 악성을 과연 개별 이벤트만 보고 전체적인 공격의 흐름을 알 수 있을까? 최근 다양한 보안 벤더들이 XDR에 대한 개념과 제품의 가치를 실현하기 위해 다양한 마케팅 활동을 하고 있다. 그리고 실제 고객들은 이러한 용어에 많은 혼란을 가지고 있는 것도 사실이다.
Trellix XDR의 핵심 기술은 보안 이벤트에 대한 상관관계 분석 및 자동화에 핵심을 두고 있다. Trellix가 얘기하는 XDR의 핵심은 바로 여기에서 시작한다. 기존의 SIEM을 통해 이벤트를 통합해서 관제를 하고 있지만, 이 또한 각 보안장비가 탐지한 이벤트를 특정한 조건에 맞춰 알람을 띄워 주는 게 사실 전부다. 이러한 이벤트는 1차 관제에서 모두 모니터링 후 위협 요소를 추출(수동)하여 2차로 추가 분석을 위해 Escalation 된다.
우리는 이 과정에서 많은 Loss가 발생하는 것을 알고 있고, 이에 대한 대응이 절실하다는 것도 침해 현장 조사를 통해 알 수 있다. 한 가지 예로, 특정 기업에 공격이 발생하여 피해가 발생하면 사고 조사(포렌식)를 하게 된다. 이 과정에서 거꾸로 해당 공격을 추적하게 되면 어떻게 발생했는지, 어디서 시작되었는지 로그 기반으로 대부분 알 수 있다.(대부분 로그가 남아 있다.) 다시 말하면, 이미 관제를 통해 알 수 있었던걸 결국 놓쳤다는 얘기로, 수많은 로그 및 이벤트에서 이 위협을 확인하지 못하고 있다는 것이다.
Trellix XDR은 이러한 이벤트를 단순히 모아 제공하는 것이 아니라 상관관계를 분석하여 하나의 위협으로 정확히 제공한다. 즉 역추적 할 수 있는 데이터를 모아 제공하고 즉각 위협을 선별해 즉시 대응을 할 수 있는 플랫폼을 제공하고 있다.
XDR을 위한 ENDPOINT(엔드포인트) 보안의 고도화 필수
기업이 침해사고를 당하면 사고조사 즉, 포렌식을 수행한다. 포렌식의 핵심은 바로 공격 당한 주체의 엔드포인트(PC, 서버 등)를 직접 분석하는 것이다. 그런데 관제에서는 이 엔드포인트 영역을 100% 보지 않는다. 이 얼마나 아이러니 한가?
엔드포인트에 대한 보안은 전통적으로 AV, EPP 영역에서 일부 다루고 있고 대응을 했지만, 정적 분석으로는 그 한계가 여전한 것을 모두가 알고 있다. 일부 EDR을 통해 대응하는 고객사들 또한 EDR 제품을 도입 후 추가적인 공수 투입, 전문인력 필요성을 느끼기 때문에 바로 도입을 해서 효과를 보는 경우는 미비한 게 현실이다. 또한, 엔드포인트의 경우 실제 공격(감염 및 내부 전파 등)과 정상적인 사용자 행위가 구분되지 않으며, 실제 내부 정상 유틸리티, 정상 API 등을 활용한 공격은 시스템적으로 구분하기가 정말 어렵다.
이제 Trellix XDR은 이러한 엔드포인트에 대한 이벤트까지 모두 수집해 분석을 수행하며, 단일 이벤트가 아닌 상관분석(Correlation)된 이벤트를 제공함으로써 공격 흐름에 대한 가시성을 완벽하게 제공한다. 엔드포인트에 대한 대응을 단순 백신의 영역에서 시스템 전체를 모니터링하고 감시하는 시스템(EDR)으로 고도화 하지 않으면 절대 대응 측면에서 효과를 볼 수가 없다.
XDR에 대한 요약
Trellix는 2021년 가트너로부터 XDR 마켓에 우수한 평가를 받았으며, 같은 해 FireEye(전문업체)와 Mcafee 엔터프라이즈를 통합한 회사다. 인정받은 악성코드 샌드박스 분석기술, Mcafee 제품의 검증받은 인텔리전스의 통합으로 인해 20년 이상의 악성코드 분석 및 관리 노하우를 보유하고 있다. 개별 이벤트가 아닌 통합 위협 상관 분석을 제공하는 XDR 벤더다.
Trellix XDR 의 핵심 가치
1) 최초 관제 시 분석 시간 대폭 감소
2) 다양한 이벤트에 대한 통합 View(분석 시 각 제품별 로그인 최소화)
3) 다양한 보안벤더, OS, IT 환경에 대한 탐지 룰을 지속적으로 제공
4) 분석 결과를 기반으로 자동화된 대응
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
