2022년 RSA를 다녀온 보안담당자라면 XDR이 2023년의 트렌드가 될것이라 인지했을 것이다. 2022년 국내 보안 시장은 SIEM을 넘어 XDR로 급변하는 분위기다. 많은 국내 기업에서 XDR을 활용하여 현재의 문제점을 개선할 방안을 모색하고 있고 내년 예산에 반영을 검토해오고 있다.

본 기고는 SIEM 사용 기업의 문제점을 간단히 생각해보고 XDR이 개선할 수 있는 점에 대해서 몇가지 언급하고자 한다. 

하루에 86,400건의 이벤트가 발생한다면 이것은 1초당 한개의 이벤트가 발생한다는 의미다. 즉, 1초마다 한개의 이벤트를 분석해야만 된다는 의미이지만, 현실적이지 않다. 실제 현실에서는 휠씬 많은 이벤트가 발생하고 있고, 실시간으로 이를 분석하는 것은 불가능하다. 그래서, 이렇게 많은 이벤트들을 SIEM이라는 곳으로 모아서 의미있는 분석을 해보고자 했으나, 이를 충분히 잘 활용하는 곳은 많지 않은것 같다. 

그 이유 몇가지 생각해 보자.

첫번째로 처음부터 정탐 오탐의 이슈가 있는 탐지 내역이기 때문이라고 생각한다. 일반적으로 장비를 도입하게 되면 해당 사이트에 맞게끔 안정화 및 튜닝 작업등이 필요하다. 최적화 작업이라 할 수 있을 것이다. 하지만, 보안장비를 도입하면서 이러한 활동을 하는 곳은 적어도 필자의 기억에는 거의 없다. 대부분의 보안장비는 시그너처 기반으로 동작하는데 엔진이나 시그너처가 잘못 만들어졌거나 고객사의 실망에서 의미가 없거나 너무 오래되어 업데이트가 필요한 등의 시그너처로 인해 해당 오탐이 줄지 않으니 이벤트만 많은 상황인 것이다. 

두번째로 SIEM 등에 모인 엄청난 데이터를 분석할 사람이 부족하다는 것이다. 대부분의 SIEM은 하나의 데이터베이스로 쿼리를 통해서 분석을 지원한다. 또는 머신러닝을 통해서 분석을 지원하기도 한다. 하지만 이를 충분히 다룰수 있는 전문가가 부족한 상황이다. 더욱 아쉬운 부분은 해당 쿼리 전문가가 간혹 보안 전문가가 아닌 경우도 있다는 점이다. 분석가에 의해서 데이터의 상관관계, 비정상 활동 데이터, 숨겨진 활동 등의 내용들을 찾아낼 수는 있지만, 이는 상당한 분석 기술과 보안지식을 요구하며 분석자체에 많은 시간을 요구하여 실시간 대응에는 적합하지 않다. 때문에 쿼리 전문가와 분석 전문가가 협의하여 만든 쿼리 결과물만 반복해서 보는 경우가 다반사다. 이는 분석에 능동적이지 않으며 보는 정보 또한 쿼리 결과문에 한정되는 문제를 유발한다.  

세번째로 탐지 이벤트만으로는 공격의 실체를 알기가 매우 어렵다는 것이다. 탐지 이벤트란 이미 탐지한 것으로 차단되었거나 로깅된 것을 말한다. 즉, 공격자의 입장에서 보면 실패한 공격인 것이다. 실제 공격이 이루어졌다고 할 수가 없는 것이며 성공한 공격은 이벤트가 발생되지 않는다. 즉, 이렇게 엄청나게 모아둔 정보에서 실제 공격의 실체를 파악하는 것은 매우 어렵고, 아마도 방화벽과 같이 허용/차단 이력 정도가 추후 분석 단계에서 도움을 줄 수 있을 것이다.

공격을 방어하는 입장에서 볼 때, 실제 공격 가능성이 높은 행위를 파악하여 분석해야 할 대상으로 명확하게 정리해 주는 것이 가장 필요할 것이다. 이때, 트래픽과 이벤트를 상관분석하여 하나의 인시던트로 생성해 앞뒤 맥락을 이해할수 있도록 지원해 준다면 분석에 매우 용이할 것이다.

ThreatTracker XDR을 통해 XDR이 공격을 탐지/분석/대응하고자 할때 주요 장점을 몇가지 설명하겠다.

첫번째로 트래픽을 보는 점이다. XDR은 모든 시스템에서 정보를 수집하고 분석하는 것은 기존과 크게 다르지 않다. 다만, 추가적으로 트래픽을 본다는 점이 큰 차이점 중 하나라고 할수 있다. 이는 실제 공격의 발생했는지를 정확하게 판단할수 있도록 해주는 매우 중요한 정보를 제공한다. 일반적으로 성공한 공격은 탐지되지 않기 때문에, 이를 볼수 있는 유일한 방법은 트래픽 밖에 없기 때문이다. XDR에서 이벤트는 공격의 징후일뿐 이 자체로 분석해야 할 수준의 데이터로 보지 않는다.

부가적으로 트래픽에 대한 메타데이터(전체트래픽의 1%이내) 저장방식으로 저장 효율이 높고 추후 네트워크 포렌식용으로 활용이 가능한 수준이다.

두번째로 머신러닝 기술을 이용하여 실시간으로 비정상인(Anomaly) 행위를 가려낼 수 있다는 점이다. 머신러닝 기술을 크게 지도학습, 비지도학습, 적응형학습, 강화학습으로 나누는데 비지도학습의 추세분석과 평판분석 등을 이용하여 탐지한다. 물론 여기에는 이벤트 및 트래픽 정보도 반영된다. 이는 공격인지 아닌지를 식별하는 것이 아니라, 정상적인 활동인지 아닌지만을 구별한다. 분석가가 신속하게 확인해야 할 정보인 것이다. 해당 정보는 단순한 이벤트가 아니라 그래프 분석을 통해서 앞뒤 맥락을 모두 연결한 하나의 인시던트로 제공되기 때문에 분석이 보다 용이하여 빠른 의사 결정을 이끌어낼 수 있다는 장점이 있다.

세번째로 해당 인시던트를 분석가가 분석하여 적용했을 때 이후부터 해당 인시던트가 추가 생성되지 않으므로 일정시간 안정화를 거치게 된다면 두번째 상황에서 분석해야 할 대상이 지속적으로 감소하여, 이후 의미있는 분석 및 대응활동이 가능해진다.

네번째 17개의 TI 엔진을 제공하고 있다. 글로벌 TI 16개(50,000 이상의 IPS Rule, C&C, IP/URL/HASH 평판 등의 정보제공)와 국내 TI 1종(한국형 TI DB의 국내에 최적화된 해커 그룹 정보, IP/URL/HASH 평판 등의 약 30,000개 이상의 Rule 정보 제공)으로 구성되어 있다. TI 정보는 ML-IDS를 통해서 실시간 탐지 및 분석에도 관련 정보들이 활용이 된다. 17개의 TI는 벤더별 분야 특징을 가지고 있고, 실시간 업데이트를 지원하고 있다.

그외 EBA, UBA 정보를 클라이언트에서 수집할 수 있고 Sandbox, Phising 탐지 기능 등을 사용할 수 있도록 지원하고 있다.

머신러닝과 TI를 접목한 XDR은 해킹을 탐지하고 대응해야 하는 입장에서 볼때, 가장 현실적이고 실현 가능한 방안을 제시하고 있다고 생각한다. 무엇보다 명확한 기준으로 가지고 신속하게 분석해야 할 내용을 선별하여 제공한다는 점이 가장 매력적이다. 이는 분석가에게 반복되고 불필요한 업무로부터 많은 시간을 줄여줄 수 있기 때문이다. 이제 XDR을 통해서 이벤트에 쫓기는 일상이 아니라 인시던트를 관리하며 보다 의미있는 시간을 가질수 있는 일상으로 변화를 기대한다.

다음 기고를 통해서 보안솔루션에서 다루고 있는 머신러닝 기술들에 대해서 하나씩 알아보도록 하겠다. [글. 황석훈 타이거CNS 대표이사]

★정보보안 대표 미디어 데일리시큐!