2021-06-18 23:05 (금)
[보안칼럼] 적합한 XDR 솔루션 도입을 위한 고려 사항
상태바
[보안칼럼] 적합한 XDR 솔루션 도입을 위한 고려 사항
  • 길민권 기자
  • 승인 2021.06.10 16:22
이 기사를 공유합니다

보안 위협 환경은 계속해서 빠르게 진화하며 확장되고 있다. 공격 벡터가 엔드포인트에서 네트워크, 클라우드에 이르기까지 크게 증가함에 따라 많은 기업이 동급 최고의 솔루션으로 각 벡터에 대응함으로써 이러한 특정 취약점을 보호하고 있다. 하지만 이러한 포인트 툴은 기술 스택 전반에 존재하는 점들을 연결시켜 주지 않는다. 이로 인해 보안 데이터가 맥락이나 상관관계 없이 고립된 상태로 수집 및 분석되므로 보안 팀이 확인 및 탐지할 수 있는 부분에 공백부가 발생하게 된다.

또한 기업 내에 구축된 보안 솔루션의 수가 늘어남에 따라 이를 관리하고 이들이 발하는 경고에 효과적으로 대응할 수 있는 역량도 커지고 있다. 하지만 관리자는 수많은 위치와 시스템에서 생성되는 모든 데이터의 양과 끊임없이 흘러 들어오는 보안 경고를 관리하는 일에 금방 지쳐버릴 수 있다.

확장된 위협 탐지 및 대응(XDR)

XDR(Extended Detection and Response)은 EDR(Endpoint Detection and Response)이 진화된 솔루션이다. XDR은 모든 엔드포인트, 네트워크 및 클라우드 워크로드 전반에 걸쳐 가시성과 제어 기능을 통합한다. 이처럼 향상된 가시성을 통해 이러한 위협들의 맥락을 파악해 교정 작업을 지원한다. XDR은 여러 보안 벡터 전반에 걸쳐 데이터를 자동으로 수집하고 상호 연관시켜 위협을 보다 빠르게 감지할 수 있도록 하므로 보안 분석가는 위협 범위가 확대되기 전에 신속하게 대응할 수 있게 된다. 즉, XDR은 엔드포인트 범위를 넘어서서 보다 많은 제품들의 데이터를 기반으로 의사결정을 내리며, 이메일, 네트워크, ID 등에 행동을 취함으로써 스택 전반에 걸쳐 조치를 취할 수 있다.

이처럼 XDR이 주목 받으며 차세대의 핵심적 보안 툴로 부상하고 있는 상황에서, XDR 솔루션을 모색하고 있을 경우 고려해야 할 5가지 사항을 살펴보자.

1. XDR 솔루션은 스택 전반에 걸친 풍부한 가시성과 함께 여러 소스로부터 데이터를 원활하게 수집할 수 있는 기능을 제공하는가?

EDR 솔루션은 엔드포인트로부터 보안 관련 정보를 얻는 데 탁월하다. 하지만 원격 측정 기능이 없으므로 다른 소스에까지 걸쳐 있을 수 있는 공격자의 행동과 목표를 정확하게 나타내기 위한 폭 넓은 가시성을 제공하지 못한다. 강력한 XDR 플랫폼은 여러 보안 계층과 가능한 공격 지점들로부터 원격측정을 실행할 수 있게 하여 원격측정이 제한되는 문제를 해결해 준다. 이를 통해 수신되는 경고를 지속적으로 모니터링 및 관리할 수 있다. 또한 XDR 시스템은 위협 인텔리전스 피드(threat intelligence feeds)의 지원을 통해 숨겨진 위협도 사전에 찾아낼 수 있다.

XDR 솔루션을 통해 기업들은 어떠한 기술 제품이나 플랫폼에서도 구조화 데이터, 비 구조화 데이터 및 반 구조화 데이터를 실시간으로 원활하게 수집하여 데이터 사일로를 허물고 중요한 사각지대를 없앨 수 있다. 보안 팀은 이 솔루션을 이용해 엔드포인트, 클라우드 워크로드, 네트워크 디바이스 등을 포함한 모든 플랫폼의 서로 다른 보안 솔루션들로부 터 수집한 데이터를 단일 대시보드 내에서 볼 수 있다.

XDR을 통해 분석가는 다양한 여러 솔루션의 이벤트 정보를 맥락화 된 단일 “사건”으로 종합해 여기에서 얻은 통찰력을 활용할 수 있다. 이는 또한 고객에게 완전한 엔터프라이즈 가시성과 자율적 예방, 탐지 및 대응을 위한 중앙 집행 및 분석 레이어 포인트 허브도 제공하여 기업이 사이버 보안 문제를 통합된 관점에서 대처할 수 있도록 지원한다.

2. XDR 솔루션은 다양한 보안 계층 전반에 걸쳐 자동화된 맥락 및 상관 관계를 제공하는가?

EDR솔루션은 종종 사람들로 구성된 보안 팀이 조사를 수행해야 한다. 하지만 생성되는 경고가 너무 많기 때문에 보안 팀이 단일 사건 하나하나를 자세히 살펴볼 여력이 없을 때가 많다. 따라서 강력한 XDR 솔루션은 AI와 자동화된 맥락 및 상관관계 내장 기능으로 강화되어야 한다.

XDR 솔루션은 기업의 보안 스택 전반에 걸쳐 기계에 의해 작성되는 맥락 및 상관 관계를 자동으로 실시간 제공하여 단절되어 있던 데이터를 풍부한 스토리로 변환하며, 이를 통해 보안 분석가는 해당 환경에서 무슨 일이 발생했는지 완전히 파악할 수 있게 된다. XDR 솔루션은 모든 관련 이벤트와 활동을 고유 식별자를 이용해 하나의 스토리라인 내에 연결시킨다. 이를 통해 보안 팀은 무슨 일이 일어났는지 모든 상황을 불과 몇 초 내에 파악할 수 있다. 더 이상 로그들을 상호연관 시키고 이벤트를 연결짓느라 수 시간이나 수일 또는 수 주일씩 소비할 필요가 없는 것이다.

XDR 솔루션의 동작 엔진은 파일/레지스트리의 변경, 서비스의 시작/중지, 프로세스간 통신 및 네트워크 활동을 포함해 해당 환경 전반의 모든 시스템 활동을 추적한다. 악의적 행동의 지표인 기법과 전술을 탐지해 은밀한 행동을 감시하고, 파일리스 공격, 내부 확산 공격(lateral movement), 루트킷(rootkit)의 적극적인 실행을 효과적으로 파악해낸다. XDR 솔루션은 관련 활동을 캠페인 수준의 통찰력을 제공하는 통합된 경고로 자동적으로 상호연관 시키므로 기업은 다양한 벡터 전반에 걸친 이벤트들을 상호 연관시켜 여러 분류의 경고들을 단일 사건으로 손쉽게 처리할 수 있다.

3. XDR 솔루션은 통합 위협 인텔리전스를 이용해 위협 요소를 자동으로 강화하는가?

새로운 위협이 출현하고 있지만 외부 맥락이 드러나지 않아 분석가는 경고나 지표가 자신들의 회사에 실제적인 위협이 되는지 여부를 판단하기가 어려워지고 있다. 위협 인텔리전스는 위협과 취약점, 악성 지표에 대한 최신 정보를 제공하여 보안 팀이 가장 중요한 사항에 집중할 수 있도록 해준다. 잘 구축된 XDR 솔루션을 이용하면 여러 소스로부터 오는 위협 인텔리전스를 통합해 보안 팀이 경고를 신속하고 효율적으로 우선순위를 정하고 분류하도록 지원할 수 있다.

XDR 솔루션은 위협 인텔리전스를 통합해 주요 써드파티의 피드와 우리의 독점적 소스로부터 탐지 및 강화를 수행하는데, 우리의 독점적 소스는 엔드포인트 사건을 실시간 위협 인텔리전스로 자동 강화한다. 이를 통해 보안 팀은 IP, 해시, 취약점 및 도메인과 같은 침해 지표(IoC)에 대한 맥락별 위험 점수를 추가로 얻을 수 있다. 예를 들어, XDR 솔루션에 보안 위협 인텔리전스 서비스인 레코디드퓨처(Recorded Future)통합을 이용하면 위협 요소가 80만 개 이상의 소스로부터 자동으로 강화되므로 고객은 위협의 조사 및 분류 기능을 가속화할 수 있다.

4. XDR 솔루션은 여러 도메인 전반에 걸쳐 대응을 자동화하는가?

물론 사건의 감지 및 조사는 효과적인 대응을 촉발해 해당 사건을 완화해야 한다. 대응은 사전에 정의되어 있고 반복 가능해야 교정 작업이 보다 효율적이 되며, 진행 중인 공격의 어느 단계에서라도 개입할 수 있게 된다. 대응은 단기적 및 장기적 조치를 모두 분명하게 정의해 놓아야 이를 이용해 공격을 무력화 할 수 있다. 위협의 원인을 파악하는 것도 필수적이다. 그래야 보안성을 개선하고 향후에 유사한 방식의 공격을 예방할 수 있다. 유사한 공격이 다시 발생할 가능성이 없어지도록 필요한 모든 조치를 취해야 한다.

XDR 솔루션을 통해 분석가는 위협을 자동으로 해결하는 데 필요한 모든 조치를 취할 수 있다. 이는 한 번의 클릭으로 스크립팅 없이, 에스테이트 전반의 한 개나 다수의 장치 또는 모든 장치들에 대해 이루어진다. 분석가는 한 번의 클릭으로 네트워크 차단과 같은 교정 조치를 실행하거나, 비인가 워크스테이션에 에이전트를 자동 배포하거나, 클라우드 환경 전반에 대한 정책 시행을 자동화할 수 있다.

예를 들어 고객은 자사의 싱규래리티 XDR을 사용하여 Storyline이 제공하는 통찰력을 활용함으로써 자신의 환경에 특정한 맞춤형의 자동 탐지 규칙을 STAR(Storyline Active-Response)를 이용해 작성할 수도 있다. STAR를 통해 기업은 자신들의 비즈니스 컨텍스트를 통합하고 EDR 솔루션을 필요에 맞게 맞춤화 할 수 있다. STAR 커스텀 탐지 규칙을 이용해 쿼리를 자동화된 헌팅 규칙으로 전환할 수 있으며, 이러한 규칙은 해당 규칙이 일치 항목을 탐지하면 경고와 대응을 촉발시킨다. STAR는 사용자의 환경에 특정한 맞춤형의 경고와 대응을 생성해 해당 환경 전반에 걸쳐 위협을 자동으로 신속하게 탐지해 억제할 수 있는 유연성을 제공한다.

5. XDR 솔루션으로 업계 최고의 SOAR 툴에 손쉽게 통합할 수 있는가?

보안관제센터(SOC)에 다른 보안 툴과 기술이 구축되어 있을 수도 있으므로 XDR 솔루션으로 보안 툴에 대한 기존의 투자를 활용할 수 있어야 한다. 주요 기능은 자동 대응과 통합 위협 인텔리전스를 비롯한 내장 통합 기능이 될 것이다.

XDR 솔루션은 SIEM과 SOAR 같은 써드파티 시스템에 점점 더 많은 통합 포트폴리오를 제공하고 있다. 예를 들어 자사의 Singularity 앱은 우리의 확장 가능한 서버리스 서비스형 함수(Function-as-a-Service) 클라우드 플랫폼에서 호스팅되며, 몇 번의 클릭으로 API 지원 IT 및 보안 제어 기능과 결합된다. Singularity Marketplace는 센티넬원 플랫폼의 일부로서, 고객은 이를 통해 복잡한 코드 작성 시의 장벽을 없애 벤더들 간의 자동화를 단순하고 확장 가능하게 할 수 있다. 보안 팀은 최선의 행동 방침을 손쉽게 탐색하여 서로 다른 도메인에 있는 보안 툴들 간에 통합되고 조정된 대응을 추진함으로써 위협을 강력하게 저지할 수 있다..

결론: XDR은 EDR의 미래

미래는 XDR이 주도하게 된다. 이제 기술 의존적이 된 우리의 삶을 보호하는 디지털 장벽을 전복시키려는 시도는 갈수록 그 강도를 더해가고 있다. 전문 보안 제품들이 이러한 시도를 막기 위해서는 다 함께 작동해야 한다. 시장에 출시되는 모든 신기술이 그렇듯이 과대광고가 넘쳐나므로 구매자는 현명해져야 한다. 모든 XDR 솔루션의 수준이 같지는 않다는 게 현실이다. XDR솔루션이 여러 보안 계층 전반에 걸쳐 탐지 및 대응 기능을 통합하고 확장하여 보안 팀에 중앙집중화된 엔드투엔드 엔터프라이즈 가시성과 강력한 분석 기능, 그리고 완전한 기술 스택 전반에 걸친 자동 대응 기능을 제공하는 지를 꼼꼼히 확인해 봐야 한다.

[글. 우청하 센티넬원 코리아 지사장]


◈ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 개최(MPIS 2021)

-개최일: 2021년 7월 6일(화)

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-참석대상: 국내 모든 의료기관 개인정보보호·정보보안 책임자 및 실무자 / IT시스템 관리자 / 의료 관련 공공기관 담당자 등 300여 명

-비용: 병원 및 의료 관련 공무원은 무료 참관 (이외 유료)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★