2024-03-29 00:20 (금)
가트너 "현재 보안관제서비스는 MDR로 변화해야 한다"
상태바
가트너 "현재 보안관제서비스는 MDR로 변화해야 한다"
  • 길민권 기자
  • 승인 2018.06.07 01:16
이 기사를 공유합니다

"MSS는 MDR로 변화가 필요하며 이는 고객 및 시장의 요구사항"

▲ 워싱턴DC에서 열리고 있는 가트너 시큐리티&리스크 매니지먼트 서밋 2018에서 가트너 리서치 디렉터 사이드 데스판드(사진)는 'How to Become an MDR Provider'를 주제로 강연을 진행했다. [데일리시큐=워싱턴]
▲ 워싱턴DC에서 열리고 있는 가트너 시큐리티&리스크 매니지먼트 서밋 2018에서 가트너 리서치 디렉터 사이드 데스판드(사진)는 'How to Become an MDR Provider'를 주제로 강연을 진행했다. [데일리시큐=워싱턴]
워싱턴DC에서 열리고 있는 가트너 시큐리티&리스크 매니지먼트 서밋 2018에서 가트너 리서치 디렉터 사이드 데스판드(Sid Deshpande)는 'How to Become an MDR Provider'를 주제로 강연을 진행했다.

최근 MDR(Managed Detection and Response) 영역은 기존 MSS(보안관제서비스) 비즈니스 모델 위에 추가되어 새롭고 빠르게 성장할 수 있는 신규 비즈니스 모델로 알려지고 있다. 전통적인 MSS 비즈니스 모델에 대비해 서비스 제공자별 특화된 컨텐츠와 새로운 비즈니스 모델이 필요로 하게 되었다. 이에 사이드는 사람, 프로세스, 기술에 대한 전반적인 고려사항과 함께 고도화된 MDR 서비스를 이용해 새로운 비즈니스 접근법에 대해 논의하는 시간을 가졌다.

MDR 비즈니스는 한국에서도 활성화가 필요한 보안 비즈니스 영영으로 향후 관련 기업들의 성장이 기대되는 분야다. 이유는 보안관제서비스를 받고 있는 국내 고객들의 MDR 서비스 니즈가 실제로 점차 확대되고 있기 때문이다.

사이드 디렉터는 "현재 존재하는 MSS는 MDR로 변화가 필요하며 이는 고객 및 시장의 요구사항이다. SOC 또는 IR팀이 존재하지 않는 기업을 생각해 보자. 방화벽이나 보안서비스에서 알람이 발생했을 떄 기존 리모트 보안관제서비스는 알람을 받고 알려주는 역할을 했다면 MDR 서비스는 이에 대한 좀더 적극적이고 변화된 역할수행을 하게 된다"고 설명했다.

가트너에 따르면, 2017년 MSS(보안관제서비스)는 글로벌에서 10조 정도의 매출규모를 갖고 있는 대규모 시장이다. 주로 방화벽, IPS, UTM, 이메일 보안 등 보안장비들로부터 이벤트 모니터링 및 분석보고서 작성 목적으로 진행되고 있었다. 반면 2017년 MDR 시장은 글로벌 1,000억 매출규모로 집계됐다.

글로벌에서 MSS와 MDR의 차이점에 대해서도 설명이 이어졌다.

MSS는 보안 이벤트 로그 모니터링에 그치고 있지만 MDR은 단순 모니터링을 넘어 Near-Realtime-Remediation 거의 실시간 대응 및 조치까지 수행한다는 점이다.

또 MSS는 원격 디바이스 관리를 서비스하지만 반면 MDR은 원격 디바이스 관리 서비스는 포함하지 않고 있다.

MSS는 컴플라이언스 모니터링 및 보고서에 초점이 맞춰져 있고 반면 MDR은 실질적 위협기반 모니터링 및 보고서에 치중된다. 실제 위협에 대응할 수 있는 방향성을 제시하는 보고서를 포함하고 있다는 점이 차별점이다.

한편 MSS는 보안사고 발생시 고객사 파견 및 사고분석 조사를 지원하고 반면 MDR은 현재 진행중인 공격에 대한 공격 모니터링과 조치에 치중해 얼마나 빨리 공격을 탐지하고 대응하느냐에 집중하는 서비스다.

▲ 발표자료 이미지. 이번 발표자료는 데일리시큐  자료실에서 다운로드 가능하다.
▲ 발표자료 이미지. 이번 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

사이드 디렉터는 MDR 서비스 제공사 현황에 대해서도 언급했다.

그는 "솔루션 제조사는 대형 엔터프라이즈 대상으로 MDR 서비스를 제안하고 있고 기존 MSS 서비스 사업자가 MDR 서비스를 추가하거나 최근에는 전문 MDR 서비스사업자가 출현하고 있다. 하지만 MDR에 대한 정의가 시장에서 외곡되거나 잘못 리딩되는 경향이 발견되고 있다"며 "진정한 MDR 서비스를 제공하기 위해서는 사람, 프로세스, 기술이 집약된 완전히 새로운 프레임워크가 구축되야 한다"고 밝혔다.

또 그는 "최근 서비스 공급자들이 MDR에 대해 Managed EDR에 국한시켜 한정짓는 경향이 있다. 바로 이 부분이 시장에 잘못 접근되고 있는 부분이다. Managed EDR은 MDR의 일부분이며, MDR이 훨씬 넓은 영역의 활동을 포함하고 있다"고 설명하고 "MDR의 Response 역할을 좀더 상세히 확장해 보면 Managed EDR과 MDR의 차이를 확인할 수 있다"고 덧붙였다.

한편 가트너는 오직 Remediation(조치)과 Recovery(회복)가 포함되면 무조건 MDR이 되는 것이 아니다. 현재 진행되는 위협에 대한 정확한 분석 과정이 함께 제공되어야 만한다고 밝혔다. 즉 Quarantine(격리), Process Kill 등이 진행되었다고 해서 Response(대응)의 역할을 다했다고 정의하면 안된다는 것이다.

기업 고객들이 MDR 서비스 도입시 고려사항도 언급됐다. △위협탐지 및 대응기술 또는 제품(Primary Detection&Response) △1차 탐지 이후, 2차 분석할 수 있는 플랫폼 또는 역량(Secondary Detection) △이벤트 수집, 필터링, 검색기술 △장기간 이벤트 저장 기술 △다양한 이벤트에 대한 상관관계 분석기술 △Threat Hunting 기술 △데이터 사이언스 기술 등에 대한 역량이 있는지 검증 후 도입해야 한다고 밝혔다.

하지만 언급된 모든 사항이 실제 기업 고객 환경에서 정확히 작동할 수 있는 시나리오가 존재해야 하며 단순 로그수집 이후 특정 조건에 따른 액션정책을 적용하는 것은 MDR 영역으로볼 수 없다고도 덧붙였다.

사이드 디렉터는 "MDR 서비스는 현재 발전하고 있는 다양한 위협대응 모델링에 적합하기 때문에 다양한 기업환경에 적용할 수 있다. 보안에 투자할 여력이 없는 SMB 환경부터 기존 네트워크 보안솔루션 위주의 보안관제서비스를 받는 기업 그리고 자체 SOC를 구축한 대형 엔터프라이즈 기업인 경우에도, 상황에 따라 MDR 서비스가 적용될 수 있다. 즉 내부전문가와 외부전문가가 협업에 의해 함께 위협대응 프로세스를 변화시켜 나가는 것이 MDR 서비스의 핵심 역량이다"라고 강조했다.

이어 "아직은 MDR 영역이 서비스제공자 입장이나 서비스를 받는 고객입장에서 완전히 정립된 것이 아니다. 하지만 현재 진행중인 로그 모니터링, 컴플라이언스 보고서 작성, 관제센터 운영 프로세스에서 진행중인 위협에 대한 식별과 사고대응(Incident Response) 측면의 역량을 추가할 수 있다면, 점차 발전된 MDR 서비스가 시장에 정착할 수 있고, 지능화된 위협을 고객과 서비스 제공자가 함께 대처해 나갈 것으로 보인다"고 덧붙였다.

가트너는 이미 기존 MSS에 대한 시장분석보고서 외에 새로운 서비스인 MDR 분석보고서를 작성하고 시장에 알리고 있다. MSP는 단순 비즈니스 모델로 접근하는 것이 아니라, 급변하는 위협에 대한 실질적인 탐지 및 방어서비스를 상호협력 차원에서 수행하자는 것에목 적을 두고 있다. 한국에서 MDR 서비스의 성숙도와 시장 발전을 기대해 본다.

가트너 리서치 디렉터 사이드 데스판드의 이번 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★