꼬리에 꼬리를 무는 보안을 둘러싼 환경의 변화 XDR이 해결책 될까?
[설문조사] XDR 솔루션에 대한 사용자 선호도 조사 결과
XDR 솔루션 집중분석 : 안랩, 이글루코퍼레이션, 엔피코어, 시만텍, 트렐릭스, 스텔라사이버
[보안뉴스 원병철 기자] IT 전문가, 그중에서도 IT 보안전문가의 부족은 보안업계를 넘어 조직의 운영자들 모두 인식하고 있다. 포티넷의 ‘2024 사이버보안 기술격차 보고서’에 따르면 글로벌 조직의 87%는 2023년 발생한 보안사고의 원인 중 하나로 보안인력 부족을 꼽았고, 이는 이전 조사 때보다 오른 수치다. 때문에 조직들은 부족한 보안전문가의 공백을 메우기 위해 여러 통합보안 솔루션을 도입하기 시작했지만, 그것만으로는 부족함을 느껴왔다. 이러한 상황을 해결하기 위해 등장한 것이 바로 XDR, 확장된 탐지 및 대응 솔루션이다.
[이미지=gettyimagebank]
XDR(eXtended Detection and Response, 확장된 탐지 및 대응)이란 용어를 처음 사용한 것은 2018년 팔로알토 네트웍스(Palo Alto Networks)의 CTO이자 공동 창업자인 Nir Zuk였다. 이후 가트너가 XDR 용어 정의 및 시장 가이드를 출시하면서 본격적으로 차세대 보안 용어로 자리 잡았다.
다만 각 솔루션 기업마다 XDR 정의 혹은 주요 기능을 조금씩 다르게 설명해 혼선을 주고 있다. 그 이유는 XDR이 추구하는 것이 결국 ‘통합과 자동화’이기 때문인데, 이 이슈는 이미 보안산업 전반에 영향을 주고 있던 터라, 이를 적용한 솔루션들이 이미 시장에 존재하기 때문이다. 예를 들면 EDR, NDR, SIEM, SOAR가 그것이다. 실제로 XDR을 EDR 혹은 SIEM의 후속 버전이라고 생각하는 사람들도 있다.
물론 이러한 오해에는 그 이유가 있다. 가트너가 2019년 보안관제 가시성의 3대 요소로 꼽은 ‘SIEM(Security Information and Event Management, 보안 정보 및 이벤트 관리)’, ‘NDR(Network Detection and Response, 네트워크 탐지 및 대응)’, ‘EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응)’이 XDR을 구성하는 필수요소로 꼽히기 때문이다. 때문에 XDR을 로그 영역과 네트워크 영역, 그리고 엔드포인트 영역의 사이버 위협에 대한 전반적인 가시성과 탐지 및 대응 방안을 제시하는 솔루션으로 정의하기도 한다.
업계도 헷갈리는 XDR의 정의...결국은 통합과 자동화
그렇다면 실제로 업계에서는 XDR을 어떻게 정의할까? 먼저 가트너는 시장 가이드를 통해 XDR을 “여러 보안 솔루션에서 데이터를 자동으로 수집하고 상관관계를 분석하는 통합보안 사고탐지 및 대응 플랫폼”이라고 정의했다. XDR을 처음 제시한 팔로알토 네트웍스는 XDR을 기존 사이버보안 솔루션의 진화라면서 “위협 탐지 및 대응에 대한 보다 통합적이고 자동화된 접근 방식을 제공한다”고 설명했다. 특히 사이버 위협이 더욱 정교해짐에 따라 XDR은 여러 보안계층을 통합하는 포괄적인 방어 메커니즘을 제공한다고 덧붙였다. 트렐릭스는 “XDR은 기업이 운영 중인 보안장비, 내부 중요 데이터, 보안 운영 프로세스의 통합을 의미하며, 운영과 관련된 다양한 시스템이나 장비가 서로 분리 운영된 상태를 통합되고 협력적으로 작동할 수 있게 하는 것이 목표”라고 정의했다.
안랩은 “보안제품과 서비스를 기반으로 서드파티 보안 솔루션과 운영 시스템 내에서 발생하는 이벤트들을 연계·분석해 리스크(Risk)에 대한 우선순위(Prioritization)를 제공하는 솔루션”이라고 설명했으며, 엔피코어는 “엔드포인트, 네트워크, 클라우드, IoT 기기 등 다양한 보안 요소에서 발생한 위협 이벤트를 연관 분석해 실시간 탐지, 대응 및 종합적으로 관리하는 기능을 제공해 기존 보안관제 솔루션인 SIEM이나 SOAR 등과의 경쟁 또는 상호보완하는 플랫폼”이라고 설명했다. 또한 이글루코퍼레이션은 “조직 전반에 걸친 보안 가시성을 확보하고 고도화된 위협에 적시 대응하기 위한 확장형 ‘수집-탐지-조사-대응’ 체계”로 XDR을 정의했다.
각각의 기업들이 정의한 XDR은 큰 틀에서 “기존의 보안 솔루션에서 데이터를 자동으로 수집 및 분석하고, 이를 바탕으로 자동으로 대응하는 것”이라 말할 수 있겠다. 다만 저마다의 상황에 따라 세부적인 항목들이 달라지기 때문에 업계에서는 XDR을 다음과 같이 구분하고 있다.
첫 번째는 ‘Native XDR’이다. 앞서 설명한 것처럼 XDR은 기존 보안 솔루션에서 데이터를 자동으로 수집해야 하는데, 이 기존 보안 솔루션을 한 기업이 모두 제공하는 것을 Native XDR이라고 말한다. 자사의 보안 솔루션을 사용하는 만큼 통합이나 자동으로 수집하고 사용하는 것에는 문제가 없으나, 실질적으로 XDR을 구성하는 모든 보안 솔루션을 갖춘 보안 기업은 거의 없다는 것이 문제다.
두 번째는 ‘Open XDR’이다. Open XDR은 여러 종류의 보안 솔루션을 하나로 통합해 XDR을 구현하는 것을 말한다. 기존에 있던 보안 솔루션을 이용하기 때문에 비용면에서는 탁월하지만, 타사 제품을 통합하는 것이 말처럼 쉽지 않기 때문에 어려운 점이 많다.
세 번째는 ‘Anchored XDR’이다. 특정 제품 혹은 플랫폼 기업이 파트너십 등을 통해 다른 보안 솔루션과 연동해 XDR을 운용하는 방식이다. 즉, Native XDR을 하고 싶지만, 모든 보안 솔루션을 갖고 있지 않은 보안 기업이 다른 보안 기업과 협업을 통해 하나의 ‘연합’을 구성하는 형태라고 할 수 있다.
이외에도 ‘클라우드’에 XDR을 설치 및 운영하는 ‘클라우드 XDR’과 기업 내부 서버에 XDR을 직접 설치 및 운영하는 ‘온프레미스 XDR’ 등의 구분도 있다.
XDR, 혼자 혹은 힘 모아 도전!
세계 보안시장을 리딩하는 글로벌 보안기업들은 Native XDR을 표방하며 자체 솔루션을 통합해 XDR을 제공하거나, 기본적으로 API를 공유하며 연동할 수 있는 길을 만들어 놓았다. API는 Application Programming Interface의 약자로, 응용 프로그램 프로그래밍 인터페이스라고 부른다. 쉽게 설명하는 다른 프로그램들이 서로 소통하고 데이터를 주고받을 수 있도록 연결해주는 연결방식이라고 할 수 있다. 데이터 연동을 표준화한 API를 통하면, 이미 만들어진 프로그램을 활용할 수 있고, 이를 통해 기능을 확장하거나 새로운 서비스를 만들 수 있다.
예를 들면, 보안뉴스 페이지에서 기사를 보다 마음에 드는 기사를 발견할 경우 상단의 SNS 아이콘을 선택해 해당 SNS에 기사 내용을 공유할 수 있는데, 이게 바로 SNS가 공개한 API를 활용한 것이다. 이밖에도 우리가 자주 사용하는 카카오페이나 네이버페이 등의 결제 서비스를 소규모 쇼핑사이트에서 연동해 결제하거나, 기상청에서 제공하는 날씨 정보를 웹사이트나 앱에서 실시간으로 반영하는 것도 API 덕분이다.
글로벌 기업은 일찍부터 타사 솔루션과 통합·연계해 기술력과 경쟁력을 강화해 왔는데, 국내 기업은 협소한 내수·공공시장을 두고 단품 위주의 보안제품으로 경쟁하는 등 협업 활성화가 어려운 구조로 글로벌 트랜드에 뒤처진 것이 사실이다. 이에 과기정통부는 최근 협업 저해요소 및 애로사항을 발굴·해소하는 민간주도의 혁신 추진체계인 ‘K-시큐리티 얼라이언스’를 구성해 협업 문화를 확산하는 한편, 협업 기반의 우수 통합보안 모델을 시범 개발해 중동·동남아 등 신흥 보안시장을 적극 공략하기로 했다.
특히 첫 번째 과제로 ‘Open XDR 통합플랫폼’을 선정하고 시큐레이어 주관에 씨큐비스타와 엔키화이트햇, 그리고 지니언스가 참여한 컨소시엄을 발탁했다. 이번 과제에서는 다종 보안솔루션을 통합한 Open XDR 통합보안 플랫폼 개발을 목표로, 엔드포인트 탐지·대응(EDR), 네트워크 탐지·대응(NDR), 보안 정보·이벤트 관리(SIEM), 자동화 대응(SOAR) 등을 결합하기로 했다. 이를 통해 다수의 정보보안 소스에서 데이터를 수집하는 SIEM을 기반으로 운영하고, 수집된 정보를 통합해 보안 위협에 대한 심층분석 및 신속한 대응을 수행한다는 계획이다.
문제는 이렇게 API를 통한 연동이 외산과 국산으로 나뉘어 진행된다는 사실이다. 즉, 글로벌 브랜드들은 글로벌 브랜드끼리, 이번 K-시큐리티 얼라이언스는 이름 그대로 국내 브랜드끼리 연동을 진행하기 때문에 외산과 국산 보안 솔루션을 모두 사용하고 있는 사용자는 원활한 XDR 서비스를 받기 어려울 수 있다.
▲국내외 대표 XDR 솔루션 분석(가나다순)[자료=보안뉴스]
대표 보안 기업들 앞다퉈 XDR 시장에 뛰어들어
그렇다면 현재 XDR을 공급하는 기업들은 어느 곳이 있을까? 본지가 국내에서 XDR을 서비스하는 기업을 확인한 결과 △그룹아이비 △비트디펜더 △사이버리즌 △센티넬원 △스텔라사이버 △시스코 △시큐레이어 △안랩 △RSA △엔피코어 △이글루코퍼레이션 △ESET △이테크시스템 △카스퍼스키랩 △큐비트시큐리티 △크라우드스트라이크 △트렌드마이크로 △트렐릭스 △팔로알토네트웍스 △포티넷 △퓨쳐시스템 등 약 20여개 기업이 확인됐다.
XDR을 제공하는 기업들의 수가 많다는 것은 그만큼 XDR 산업의 미래가 밝기 때문이며, XDR을 구성하는 여러 솔루션 제공업체 모두 XDR로의 발전을 시도하고 있다는 것을 설명해 준다.
실제로 글로벌 리서치 기업들은 XDR 시장의 성장을 매우 높게 보고 있다. 옴디아(Omdia)는 ‘2022년 글로벌 XDR 시장 규모’를 발표하고, 2024년 약 1조 6,000억원, 2025년 2조 5,000억원, 2026년 3조 9,000억원으로 예측했다.
미국의 시장조사기관 그랜드 뷰 리서치(Grand View Research)는 전 세계 XDR 시장이 2023년부터 연평균 약 20.7% 성장해 2030년에 34억 980만 달러(한화 약 4조 5,700억원)에 달할 것으로 전망했다. 또한 마켓앤마켓츠(Market and Markets)는 전 세계 XDR 시장이 2023년부터 연평균 약 38.4% 성장해 2028년에는 88억 달러(한화 약 11조 7,911억원) 규모에 달할 것으로 전망했다.
엔피코어는 독일의 Statista와 옴니아의 XDR 시장 규모 비율을 2022년 국내정보보호산업 실태조사 결과에 적용할 경우 2024년 국내 XDR 시장 규모는 약 822억원 정도로 예상되며, 2025년 1,234억원, 2026년 1,942억원 정도로 전망된다고 밝혔다.
XDR의 급격한 성장의 이유
4차 산업혁명을 시작으로 코로나 펜데믹과 디지털 전환을 거치면서 우리 사회는 빠르게 변화했고, 특히 비대면과 재택·원격근무, 클라우드 환경의 증가로 인한 보안 공격 표면도 늘어나면서 이에 대응하기 위한 IT·보안 솔루션도 급증했다.
악의적인 공격자들은 단순히 자신의 기술을 자랑하기 위한 공격을 넘어 오직 돈을 벌기 위한 범죄를 목표로 삼기 시작했고, 공격대상, 공격방법, 최적의 공격 타이밍을 찾기 위해 사전 정보 수집에 상당한 시간을 투자하는 것은 물론, 더 다양한 공격을 위해 서로 협력하고 있다. 초기에 피해자에게 침입하기 위한 방법을 제공하는 팀과 데이터를 탈취해 협박하는 팀, 그리고 이들을 위해 랜섬웨어 등 공격용 멀웨어를 제작하는 팀 등 전문화된 공격자들은 상황을 더욱 복잡하게 만든다.
아울러 챗GPT를 대표로 한 인공지능의 비약적인 발전은 공격자들과 방어자들 모두에게 급격한 기술 발전을 제공하며 엄청난 발전을 불러왔다.
문제는 악의적인 공격자들은 불특정 다수, 혹은 특정 조직을 대상으로 여러 방면으로 공격하지만, 이에 대응하는 보안조직, 보안전문가들은 하루에도 수십 수백건의 공격을 방어해야 하는 현실을 맞이했다는 사실이다.
실제 공격이 아닌 보안 솔루션들이 보내오는 로그나 이벤트는 그 이상이다. 기업이나 기관 등 조직은 하루에 수십, 수백만개의 로그와 이벤트에 대해 관제하고 있다. 때문에 보안전문가들은 통합보안에 목말라하고 있다. 보안전문가들의 전문성과는 별개로 너무나 많은 공격과 이벤트를 자동으로 걸러주고 대응해주는 방법이 필요하다는 것이다. 게다가 보안전문가의 부족은 어제오늘 일이 아니다.
정리해보면, 고객들은 ①재택·원격근무 등 업무환경의 변화로 인해 공격을 받을 수 있는 영역이 확장돼 실제 보안 운영이 복잡해졌으며, ②보안을 강화하기 위해 도입한 보안 솔루션이 너무나 많아졌지만, 보안 인력은 부족해 이를 운용할 방법이 시급해졌다는 것이다.
이에 엔드포인트와 네트워크, 나아가 클라우드 전반의 가시성과 제어를 통합해 탐지 및 대응 능력을 향상해 보안 효율성을 높인 XDR에 대한 이슈가 커진 것이 당연하다는 것이 보안기업들의 입장이다.
고객의 XDR 이해 높이고, 상황에 맞는 솔루션 제안해야!
그렇다면 현재 기업들이 주목하는 XDR의 핵심 이슈는 무엇일까? 가장 시급한 것은 바로 고객에게 XDR의 중요성과 필요성을 이해시키고 구축사례를 빠르게 확대하는 것이다. 실제로 고객들의 XDR에 대한 이해는 생각보다는 낮은 편이며, 때문에 선뜻 도입을 망설이는 고객들이 있는 것이 현실이다.
아울러 XDR이 기존 보안솔루션을 통합 및 자동화된 운영을 강조하는 만큼, 추가로 솔루션을 도입하는 것에 부담을 느끼는 상황도 해결해야 한다. 이와 관련 이글루코퍼레이션은 “대부분의 보안조직들이 SIEM 이후의 차세대 보안 아키텍처로 XDR을 인지하고 있는 만큼, SOC 내 이미 구축된 솔루션과의 연동 여부와 추가적인 연동 개발 가능 여부가 XDR 도입에 영향을 미칠 것”이라고 내다봤다.
트렐릭스 역시 “자체적으로 XDR에 필요한 솔루션을 80% 이상 공급할 수 있지만, 고객이 현재 인프라로 기존 투자를 최대한 활용하면서 기업 내 위협에 포괄적인 인사이트를 얻을 수 있도록 지원하고 있다”고 강조했다.
국내 고객과 해외 고객의 차이점도 있다는 지적이다. 두산디지털이노베이션은 해외 고객은 다양한 국제 표준과 데이터 보호 규정을 준수해야 하며, 글로벌 호환성을 중요하게 생각하지만, 한국 고객은 개인정보보호법 등 한국의 법규를 준수해야 하는 차이가 있다고 설명했다. 또한 해외 고객은 대규모 및 복잡한 문제 해결을 위한 최신 기술과 혁신을 선호하지만 국내 고객은 안정성과 신뢰성을 중시하며, 가격 대비 효율성과 현지화된 기능, 그리고 한글화를 선호한다고 덧붙였다.
기술과 관련해서는 인공지능과 머신러닝의 중요성을 강조했다. 안랩은 “기업에서 발생하는 리스크를 효과적으로 관리할 수 있도록 머신러닝을 기반으로 사용자와 기기의 행동 패턴을 학습해 이상행위를 탐지”하며, “탐지한 이벤트를 통해 조직 내 리스트 판단에 활용한다”고 설명했다.
▲XDR 사용자 선호도 조사[자료=보안뉴스]
XDR에 대한 사용자 선호도 조사
앞서도 말했듯 XDR은 현재 초기 단계다. 기업과 기관들은 SIEM 이후의 차세대 보안 아키텍처로 XDR을 생각하고는 있지만, 기존에 구축된 보안 솔루션과의 연동이 걸린다는 반응이다. 게다가 XDR을 구성하는 보안 솔루션을 모두 제공할 수 있는 기업도 많지 않기에 기존 보안 솔루션의 활용도를 높여 XDR을 구현하는 방향으로 전략이 수정되고 있다고 업계에서는 말한다.
XDR은 현재 국내외를 막론하고 이제 막 시장이 형성되는 시기라고 볼 수 있다. 특히 완전한 XDR 구축사례는 찾아보기 힘들다. 실제로 이번 특집기사를 준비하면서 여러 방면으로 알아봤지만, ‘XDR 구축사례’에 대해서는 2024년 3월 스텔라사이버의 국내 총판 디버티가 저축은행중앙회에 ‘오픈 XDR’을 구축했다고 밝힌 것을 제외하고는 찾아보기 어려웠다. 구축사례가 많은 글로벌 브랜드들조차 정확한 고객명을 밝힌 XDR의 구축사례는 거의 없었다. 국내외 알려진 XDR 구축사례가 거의 없다는 사실을 볼 때, 리서치 기업들이 계산한 시장 규모는 생각보다 큰 편이라고 할 수 있다.
이에 <보안뉴스>와 <시큐리티월드>에서는 XDR에 대한 고객들의 의견을 알아보기 위해 2024년 9월 10일부터 19일까지 10일간 약 10만여명의 보안담당자에게 ‘XDR 인식 및 선호도 조사’를 실시했다. 이번 설문조사에는 공공(27.2%)과 민간(72.8%)의 보안담당자 1,693명이 답했다.
우선 XDR에 대해 얼마나 알고 있는지를 물어봤다. 응답자의 48.5%가 알고 있다고 답했고 16.6%는 모른다고 답했다. 주목할 점은 34.9%는 XDR을 알고는 있지만 정확하게 알고 있는 건지는 모르겠다고 답했다는 점이다.
그렇다면 고객들이 생각하는 XDR의 핵심 기능은 무엇일까? 36.7%로 가장 많은 고객들이 선택한 기능은 ‘기존 보안 솔루션 통합 운영 및 자동화된 대응’이었다. 이어 21.9%가 ‘기존 보안 솔루션 데이터의 수집·분석·처리·대응’이었으며, 19.5%는 ‘알려지지 않은 사이버 공격의 탐지·대응’을 선택했다. 또한 17.2%는 ‘차세대 EDR’로의 기능이라고 답했다.
XDR을 도입해서 얻을 수 있는 장점에 대해 묻자 41.7%는 지능형 위협 탐지라고 답했으며, 30.5%는 보안 데이터 통합이라고 답했다. 또한 21.9%는 자동화된 대응을 5.9%는 단일화된 관리라고 답했다.
XDR을 도입하지 않았다면 그 이유는 무엇인가에 대한 물음에 37.3%는 ‘비용문제가 걸려서’라고 답했으며, 26.6%는 ‘성능은 인정하나 아직은 시기상조라서’라고 답했다. 특히 14.2%는 ‘XDR을 잘 몰라서’라고 답해 고객의 XDR에 대한 이해가 시급하다는 것을 알 수 있었다. 13.6%는 현재 사용하는 보안 솔루션만으로도 충분하다고 생각한다고 답했으며, 8.3%는 기존 솔루션을 모두 통합·운용할 XDR이 없다고 생각한다고 답했다.
현 상황에 맞는 차세대 보안 솔루션, XDR
지난달 ‘2024 통합보안 리포트’ 기사를 통해서 늘어나는 보안 위협과 보안 솔루션에 비해 현저하게 부족한 보안전문가의 부재로 인해 통합보안에 대한 니즈는 계속 늘어났고, 다양한 방면에서 이에 대한 통합보안 솔루션들이 등장하고 있다고 설명했다. UTM을 비롯해 SIEM, EDR, SOAR, ESM, CSA, UEBA, TI 등 다양한 통합보안 솔루션이 바로 그것이다.
이번에 소개한 XDR은 이러한 통합보안 솔루션들을 다시 통합하는 솔루션이다. 각 방면에서 통합된 보안을 제공하는 통합보안 솔루션을 다시 모으는 것은 물론 대응까지 자동화하겠다는 거다. 하루에도 수십 수백만건의 보안 알람이 발생하지만 정작 이를 들여다볼 수 있는 보안 인력은 10명 이하가 대부분인 현실에서 XDR은 꼭 필요한 솔루션이라 할 수 있다.
물론 기존에 사용하던 보안 솔루션이 있는데, XDR을 또 구입하는 것이 중복 투자가 아닐까 하는 고민과 XDR에 대한 정의도 아직 확립이 안 된 지금 XDR을 도입하는 것이 맞는지에 대한 고민으로 망설이는 고객이 많은 것도 사실이다.
그럼에도 현 상황에서 XDR은 완벽한 차세대 보안이 될 수 있기에, 국내외 보안기업들이 모두 XDR의 활성화에 투자를 아끼지 않고 있으며, 그러한 노력은 조금씩 성과를 거두고 있다.
[XDR 솔루션 집중분석-1]
정교한 위협 탐지, 상관관계 분석, 리스크 지수화
AhnLab XDR: 한 차원 높은 위협 탐지 & 대응
▲AhnLab XDR[이미지=안랩]
AhnLab XDR은 보안 솔루션, 이메일 등 사내에 구축해 운영 중인 시스템에서 생성되는 로그를 기반으로, 조치가 필요하거나 확인이 필요한 리스크(Risk)에 대한 우선순위를 파악하고 관리할 수 있도록 하는 클라우드 기반 XDR 플랫폼이다.
그동안 조직들은 보안 영역별로 개별 솔루션을 통해 위협을 탐지해 대응해 왔다. AhnLab XDR은 유연한 연동을 바탕으로 다양한 형태의 이기종 로그를 수집하고, AI/ML 학습 기능을 적용해 사용자와 자산을 기반으로 리스크를 분석 및 대응해 조직의 보안 수준을 향상시킨다.
리스크 우선순위 식별 및 지수화
AhnLab XDR은 기본적으로 ‘로그 수집 > 이벤트 분류 > 이벤트 연계’의 과정을 거쳐 이벤트의 컨텍스트(Context)를 분석한다. 이를 통해, 단편적인 로그와 이벤트만으로는 확인하기 어려운 리스크를 필터링, 정규화 및 보강해 리스크를 정확하게 식별하고 우선순위를 도출한다. 더 나아가, 분석 결과를 바탕으로 리스크를 지수화해, 보안 관리자가 우선순위대로 리스크를 빠르게 조치하고 잠재적인 리스크까지 확인할 수 있도록 한다.
고도화된 리스크 시나리오 룰
AhnLab XDR의 강점 중 하나는 바로 고도화된 리스크 시나리오 룰이다. 보안 관리자 입장에서는 최근 유행하는 리스크 시나리오에 항상 대비하고자 하지만, 이를 직접 반영하는 것은 현실적으로 불가능한 일이다.
이에 대해 AhnLab XDR은 지난 30년간의 위협 분석 및 대응 경험을 토대로 실제 발생했던 시나리오를 반영하고 새로운 시나리오를 지속적으로 업데이트한다. 룰(Rule) 역시 안랩이 제공 및 업데이트하며, 고객에 맞게 세팅해 최소한의 노이즈(noise)로 최적의 대응 역량을 확보할 수 있다.
위협 인텔리전스 기반 내부 영향도 모니터링
AhnLab XDR은 자사 위협 인텔리전스 플랫폼 AhnLab TIP 연동을 통해, AhnLab TIP에서 확인된 침해지표(IoC) 정보가 내부 자산에 존재하는지 확인할 수 있도록 모니터링 기능을 지원한다. 모니터링 결과 침해지표에 탐지된 이벤트가 존재하는 사용자와 자산이 있을 경우, 해당 사용자와 자산에 대한 세부 정보를 확인해 즉각적으로 조치 및 대응할 수 있다.
또한, 기본적으로 제공되는 뉴스클리핑에 더해 보안 권고문 등 최신 위협 정보를 확인할 수 있도록 더욱 풍부한 위협 인텔리전스를 제공하며, 침해지표와 유관한 콘텐츠를 기준으로 내부 자산에서 탐지된 연관 침해지표 정보를 확인할 수 있다.
이기종 로그 연계분석 및 서드파티 솔루션 연동
AhnLab XDR은 사용자와 자산을 기반으로 엔드포인트, 네트워크, 이메일 등 여러 보안 영역에 걸쳐 자사 솔루션뿐만 아니라 서드파티 솔루션까지 데이터를 수집해 정규화 및 연계분석을 수행한다. 또한, 자사 엔드포인트 보안 플랫폼 ‘AhnLab EPP’와 엔드포인트 탐지&대응 솔루션 ‘AhnLab EDR’과 연동해 사용자/자산의 추가적인 데이터를 수집해 대응에 활용할 수 있다.
특히, 별도 에이전트 없이도 AhnLab Data Hub를 통해 기존 운영 중인 보안 솔루션들과 연계해 데이터를 확보하고 위협에 대응하는데, 이는 에이전트 설치로 인한 시스템 부하를 최소화한다는 점에서 운영에 상당한 이점으로 작용한다.
[XDR 솔루션 집중분석-2]
확장형 ‘수집-탐지-조사-대응’ 체계로 보안 운영·위협 대응 효율성 높인다
이글루코퍼레이션 XDR 기반 차세대 보안관제 플랫폼 ‘SPiDER ExD’
▲SPiDER ExD[이미지=이글루코퍼레이션]
이글루코퍼레이션은 XDR 기반 차세대 보안관제 플랫폼 ‘스파이더 이엑스디(SPiDER ExD)’ 중심의 확장형 탐지 조사 대응(XDIR, eXtended Detection, Investigation, and Response) 전략을 개진하며, 보안 운영 및 위협 대응 효율성 극대화에 속도를 붙이고 있다.
가시성, 확장성, 유연성 갖춘 이글루코퍼레이션 XDR
이글루코퍼레이션은 XDR의 핵심 요소인 ‘가시성’, ‘확장성’, ‘유연성’ 확보를 위해, 보안 정보 및 이벤트 관리(SIEM), 보안 운영·위협 대응 자동화(SOAR), 인공지능(AI), 위협 인텔리전스(TI) 기술 고도화에 집중하고 있다. 데이터 수집 범위를 확장 및 다각화하고, 위협 우선순위 분류의 정확성을 높이며, 양질의 플레이북(playbook)을 바탕으로 자동 대응하는 형태다. 이중 이글루코퍼레이션 고유의 분류형·설명형·생성형 AI 기법과 TI는 여러 과정에 내재화돼 보안 업무의 효율성과 정확성을 높이는 데 활용된다.
XDR 기반 차세대 보안관제 플랫폼 ‘SPiDER ExD’
이글루코퍼레이션 XDR의 중심축은 XDR 기반 차세대 보안관제 플랫폼 ‘SPiDER ExD’가 수행한다. SPiDER ExD는 일원화된 ‘고급 탐지-분석-대응’ 기능을 제공하며, 여러 이기종 솔루션·서비스와의 유기적인 통합 및 확장을 지원해, 포괄적 관점의 보안 운영 워크플로우를 구현한다. SIEM 중심의 다각화된 데이터 수집과 고도화된 탐지를 토대로 위협 데이터 간의 연관 관계를 분석하고 자동 대응한다. 뿐만 아니라 각 조직의 보안 환경 및 위협 변화에 알맞은 추가 기능을 적시에 확장할 수 있어 보안 대응의 효율성과 기민성을 극대화한다.
SPiDER ExD는 클라우드 네이티브 환경에 특화된 기능 제공으로 온프레미스와 클라우드를 아우르는 보안운영의 효율성을 보장한다. 보안 조직들은 클라우드 네이티브 컨테이너 플랫폼에 대한 통합 보안 솔루션 구성을 통해, 클라우드 네이티브 플랫폼을 노린 고도화된 보안 위협에 선제 대응할 수 있다. 또한, 가상머신(VM)과 컨테이너, 쿠버네티스(Kubernetes) 환경 등을 포괄하는 일원화된 보안 체계를 바탕으로 하이브리드 클라우드 플랫폼의 보안성을 높일 수 있다.
▲연관사건 상세 정보[이미지=엔피코어]
[XDR 솔루션 집중분석-3]
XDR은 위협의 식별 및 추적, 그리고 대응 등의 일련의 과정을 자동화하기 위한 다양한 AI 기술들이 적극적으로 도입되야 한다
엔피코어, 전문 분석가가 없어도 보안 위협을 자동으로 판단하고 대응이 가능한 XDR 출시
기업과 기관들은 XDR을 보다 종합적인 보안 플랫폼으로 활용하고자 하는 경향을 보일 것으로 예상된다. 그 이유는 엔드포인트, 네트워크, 클라우드, IoT 기기 등 다양한 보안 요소에서 발생한 이벤트를 종합적으로 관리하는 능력이 필요할 것으로 예상되기 때문이다.
XDR 솔루션도 다른 보안기기들과 마찬가지로 AI와 자동화 기술의 적극적인 도입이 예상된다. 향상된 실시간 대응 능력을 제공해 기존 보안관제 솔루션인 SIEM이나 SOAR 등과의 경쟁 또는 상호보완의 플랫폼으로 포지셔닝할 것으로 예상되며, 공격의 실체를 파악하기 위해서는 전문가의 분석 및 판단이 필요하며 상당한 인력과 시간이 소요된다.
그러나 기존 보안관제 솔루션의 한계를 극복하고자 XDR은 위협의 식별 및 추적, 그리고 대응 등의 일련의 과정을 자동화해 이러한 전문인력의 소요를 최소화할 것이 예상되며, 이로 인해 XDR 플랫폼의 가치 향상 및 시장 확대가 전망된다. 따라서, XDR 시장은 사이버보안 환경이 더욱 복잡하고 다양해지는 상황에서 수요자인 기업들이 보안 도구 및 서비스를 더 효과적으로 통합하고 활용하기 위한 중요한 도구로 인식해 시장의 성장세가 급격히 높아질 것으로 예상된다.
엔피코어, 2024 NET 인정기술과 자동화 운영기술이 적용된 오픈 XDR 출시 준비 중
한국 사이버보안 엔드포인트 분야의 주요 업체인 엔피코어는 2024년 NET 인증 기술인 File AI(이미지 기반의 악성코드 유사도 분석기술)와 특허 기술인 LOG AI(악성 이벤트 로그 자동분석 장치 및 방법, 특허 10-2692350)를 적용한 오픈 XDR 출시를 앞두고 있다. XDR은 인공지능과 머신러닝을 활용해 위협 탐지, 대응 및 조사 과정을 자동화하고 대량의 데이터를 실시간으로 분석해 정교한 위협을 빠르게 식별하고 완화하는 기능을 갖췄다. 이를 통해 보안팀은 더 효율적으로 사이버 위협에 대응할 수 있다.
한승철 엔피코어 대표는 “대외적으로 인정받은 AI 기술에 대한 우수성과 직관적인 사용자 인터페이스를 결합한 포괄적인 오픈 XDR 제품을 제공할 수 있는 역량을 갖췄다”고 밝혔다. 그는 “XDR의 AI/ML 기능을 통해 조직이 보안 체제를 강화하고 진화하는 사이버 위협에 효과적으로 대응할 수 있을 것”이라고 덧붙였다.
▲Symantec Agent with EDR[이미지=시만텍]
[XDR 솔루션 집중분석-4]
엔드포인트부터 이메일, 네트워크까지 모든 영역에서 강력한 보안 제공, 시만텍 EDR과 Carbon Black 솔루션의 결합으로 완벽한 보안 환경 구현
시만텍, 지능형 위협 대응을 위한 통합 XDR 솔루션
XDR(Extended Detection and Response)은 기업의 보안 요구사항에 부응해 위협 탐지, 조사, 대응을 하나의 통합 플랫폼에서 수행할 수 있도록 하는 차세대 보안 솔루션이다. 시만텍은 이러한 XDR 솔루션을 통해 기업의 모든 엔드포인트, 이메일, 네트워크에서 발생하는 알려지지 않은 위협을 신속하게 발견하고, 효과적으로 대응할 수 있는 기능을 제공한다.
시만텍의 EDR : 지능형 위협 대응 솔루션
시만텍 EDR은 엔드포인트 상에서 알려지지 않은 위협을 탐지하고, 의심스러운 파일이나 악성 실행 파일을 차단하는 강력한 기능을 제공한다. 특히, 시만텍 EDR은 엔드포인트, 이메일, 네트워크 영역에서 발생하는 위협을 통합적으로 분석하고, 위협의 심각도에 따라 우선순위를 부여해 신속하게 대응할 수 있도록 지원한다. 이러한 통합 솔루션은 SEP(Symantec Endpoint Protection)와의 통합을 통해 성능 저하 없이 강력한 위협 제거 기능을 제공한다.
Carbon Black EDR: 행위 기반의 위협 탐지와 대응 솔루션
Carbon Black EDR은 행위 기반 탐지 기술을 통해 알려지지 않은 공격, 특히 APT(Advanced Persistent Threat)와 랜섬웨어 등의 위협을 실시간으로 탐지하고 대응한다. 이 솔루션은 Cyber Kill Chain 시각화를 통해 공격의 전체 경로를 파악할 수 있으며, 포렌식 분석 및 원격 호스트 격리 기능을 제공하여 기업의 보안 수준을 한층 더 강화한다.
또한, 기존의 안티바이러스 솔루션을 대체하는 차세대 백신을 통해 미션 크리티컬한 시스템을 보호하고, 승인되지 않은 어플리케이션의 실행을 차단해 보안의 효율성을 극대화한다.
시만텍 EDR과 Carbon Black의 결합, 전방위 보안과 신속한 위협 대응으로 기업 보호 극대화
시만텍의 EDR과 Carbon Black 솔루션을 결합하여 사용함으로써, 기업은 알려지지 않은 위협을 실시간으로 탐지하고 신속하게 대응하는 전방위적인 보안을 지원한다. 엔드포인트에서의 알려지지 않은 위협을 신속하게 탐지하고 차단할 뿐만 아니라, 웹과 이메일을 통한 악성코드의 유입도 자동으로 차단한다. 이러한 기능은 침해사고 발생시 원인 분석 시간을 75%까지 단축해, 신속한 대응을 가능하게 한다. 결과적으로 기업은 보안사고로 인한 피해를 최소화하고, 전반적인 보안 효율성을 크게 향상시킬 수 있다.
▲트렐릭스 ‘XDR 플랫폼’ 아키텍처[이미지=에티버스]
[XDR 솔루션 집중분석-5]
복잡하고 광범위한 보안 환경...SecOps를 통해 간편하게
에티버스, 트렐릭스 ‘XDR 플랫폼’으로 통합보안 관리 경험 제공
에티버스는 지난 2023년 6월, 사이버 보안 시장에 대한 포트폴리오를 확장하기 위해 글로벌 보안기업 트렐릭스와 총판 계약을 체결했다. 31년 총판 비즈니스의 노하우와 넓은 국내 유통망을 지닌 에티버스는 트렐릭스와의 계약을 바탕으로 국내 사이버 보안 시장을 공략해 국내 고객에게 사이버 보안 관리를 위한 다양한 솔루션을 제공하고 있다. 특히 트렐릭스의 ‘XDR 플랫폼’은 엔드포인트, 이메일, 네트워크 및 기타 보안제품으로 구성된 포트폴리오와 원활하게 통합되어 타사의 보안 애플리케이션과도 손쉽게 호환된다는 강점이 있어, 기존 보안 시스템과의 유연한 연결이 가능해 보안의 효율성을 높일 수 있다.
현 시대가 요구하는 통합 플랫폼, 트렐릭스 ‘XDR 플랫폼’
트렐릭스 ‘XDR 플랫폼’은 Extended Detection and Response의 약자로, 엔드포인트와 네트워크, 웹 필터 및 클라우드 센서 등에 대한 위협 관점에 대해 다양한 분석을 지원하고 탐지 및 대응을 가속화하는 동시에 엔지니어링에서 발생하는 문제를 줄여준다. 또한 ‘XDR 플랫폼’은 SaaS 기반의 보안 위협 탐지 및 사고 대응 도구이기 때문에, 서드파티 포인트 보안 솔루션을 통합하는 포괄적인 보안 시스템이다. 보안 제어, 보안측정, 분석 및 운영을 응집력 있는 하나의 제품으로 통합했기 때문에 확장된 탐지 및 대응 필요성이 요구되는 현 시대의 보안 니즈를 충족시킬 수 있다.
분석, 탐지, 대응을 한 번에...통합 보안 관리 플랫폼
트렐릭스 ‘XDR 플랫폼’은 단순하고 통찰력 있는 SecOps 경험을 제공해 공격을 신속하게 중지한다. 단순화된 분석 시스템을 통해 빠르고 정확하게 이벤트를 탐지하고 자동화된 공격을 완화 및 방지한다. 이 과정을 통해 위협을 해결하는 아키텍처로 구성됐다. ‘XDR 플랫폼’의 간소하고 통찰력 있는 보안 운영 환경의 바탕에는 트렐릭스만의 이벤트를 수집하는 방식이 있다. SaaS 기반의 서비스에 대한 로그들을 손쉽게 연동하고 온프레미스 장비들 및 기타 다양한 로그를 전달한다.
또한 트렐릭스 장비들의 로그 및 내장된 기능을 통해 이벤트를 수집한다. 다양한 벡터의 이벤트 탐지를 지원하기 때문에 위협 단위별 연관 분석도 가능하다.
트렐릭스 ‘XDR 플랫폼’은 SecOps 운영자에게 최적화된 대시보드를 제공해 위협에 대한 이해도를 높이고 요약 정보를 통해 공격 벡터의 종류와 MITRE ATT&CK 기준의 TTP 정보도 확인할 수 있다. 또한 위협에 대한 처리에 우선순위를 지정해주고 상관관계를 만들어준다. 이에 따른 담당자 할당도 가능하다. 초보자와 전문가 모두에게 적합한 데이터 워크플로우 및 UX로 구성된 XDR 플랫폼 하나로 손쉬운 사이버 보안 운영 관리가 가능하며 위협으로부터 피해 가능성을 크게 낮출 수 있다.
검증된 보안 솔루션으로 국내 기업에게 혁신적인 보안 솔루션 제공화
트렐릭스는 파이어아이 제품사업부와 맥아피 엔터프라이즈가 통합돼 2022년에 설립된 기업이다. 이에 파이어아이와 맥아피가 수십 년 동안 축적한 전문성과 노하우로 만들어진 검증된 솔루션을 보유하고 있다. 이러한 검증된 솔루션을 통합한 플랫폼이 트렐릭스의 ‘XDR 플랫폼’이다.
새로운 공격 기법이 지속적으로 발생하면서 보안의 중요성이 점점 더 커지고 있다. 에티버스는 국내 최다 파트너를 보유한 IT 통합 솔루션 전문 기업으로 사업 전반에 용이한 솔루션을 컨설팅하고 제안한다. 에티버스는 사이버 보안에 대한 비즈니스 활성화를 위해 트렐릭스의 ‘XDR 플랫폼’의 필요성과 사용 용이성을 제안해 국내 고객의 보안 효율성을 향상시키고 안전하고 성공적인 디지털 전환을 도울 예정이다.
▲스텔라사이버 Open XDR을 통한 보안 위협 탐지 및 대응 도식[이미지=스텔라사이버]
[XDR 솔루션 집중분석-6]
스텔라사이버 Open XDR, AI 기반 차세대 통합 보안 분석 및 관제 플랫폼 혁신
보안위협 탐지 전용 AI에 생성형 AI 접목해 자동화된 보안위협 탐지와 높은 사용성 제공
스텔라사이버(Stella Cyber)는 보안 위협 탐지 및 대응에서 차세대 혁신을 제공하는 Open XDR(확장된 탐지 및 대응) 플랫폼을 통해 더욱 자동화되고 효율적인 보안 분석 환경을 구축하고 있다. 이 플랫폼은 폭넓은 보안 위협 탐지 전용 AI에 생성형 AI를 접목해 자동화된 보안 위협 탐지 기능을 강화하고, 사용성을 높이는 데 중점을 두고 있다.
빅데이터 및 보안 전용 AI로 자동화된 보안 위협 탐지 제공
스텔라사이버는 Open XDR 플랫폼을 통해 네트워크 트래픽부터 보안장비 로그, 엔드포인트, 애플리케이션, 파일 및 클라우드 등 모든 데이터를 통합해 수집하고, 이를 연관 분석하는 AI 기반 통합 보안 분석 플랫폼으로 차세대 보안관제 시장을 리드하고 있다.
기존의 보안 솔루션들은 방대한 데이터에서 위협을 식별하는데 한계가 있었으나, Open XDR은 이를 개선하기 위해 인공지능을 활용한 자동화된 탐지 시스템을 제공한다. 스텔라사이버의 Open XDR은 위협 탐지 전용 AI 모델을 기반으로, 잠재적인 보안 위협을 신속하게 탐지하고 대응할 수 있는 기능을 제공한다.
이러한 자동화된 탐지 기능은 보안 운영팀의 부담을 덜어줄 뿐만 아니라, 점점 더 복잡해지는 위협 환경에서도 효과적으로 대응할 수 있도록 지원한다. 특히 스텔라사이버는 생성형 AI를 접목해 높은 사용성을 제공하며, 복잡한 설정 없이도 위협 탐지 및 대응 과정을 쉽게 관리할 수 있는 장점을 제공한다.
제로트러스트 환경 구현과 강화된 보안 대응 체계 구축
스텔라사이버 Open XDR의 또 다른 핵심 기능은 폭넓은 가시성과 행위기반 상관관계 분석을 통한 제로트러스트(Zero Trust) 환경 구현이다. 제로트러스트는 내부든 외부든 모든 사용자와 시스템을 신뢰하지 않고, 지속적으로 인증하고 검증하는 보안 모델을 말한다. 이를 통해 조직은 네트워크의 모든 활동을 모니터링하고, 잠재적인 위협에 대해 실시간으로 대응할 수 있는 보안 체계를 갖출 수 있다.
스텔라사이버는 이를 위해 네트워크 전반에 걸쳐 광범위한 데이터를 수집하고 분석한다. 행위기반 상관관계 분석은 사용자와 시스템의 비정상적인 활동을 실시간으로 감지하고, 보안 위협의 초기 징후를 빠르게 파악할 수 있도록 지원한다. 이를 통해 보안 운영팀은 선제적으로 대응할 수 있으며, 제로트러스트 환경을 유지하면서도 효과적으로 위협에 대응하는 고도화된 보안 체계를 구축할 수 있다.
스텔라사이버의 Open XDR은 AI 기술을 적극적으로 활용해 자동화된 위협 탐지와 대응을 실현하고, 폭넓은 가시성과 상관관계 분석을 통해 제로트러스트 환경을 구현함으로써 조직의 보안 체계를 강화한다. 복잡해지는 보안 위협 속에서도 효율적이고 신속한 대응을 가능하게 하는 이 플랫폼은 보안 운영의 혁신을 이끌어가고 있다.
이러한 기술적 진보는 보안 운영팀의 역량을 극대화하고, 기업들이 빠르게 변화하는 보안 위협에 맞서 지속적인 보호를 유지하는 데 중요한 역할을 할 것으로 기대된다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>