씨큐비스타(대표 전덕조)가 통합 보안플랫폼 ‘XDR에 대한 비밀과 거짓말'이란 주제의 보안보고서 씨큐리포트를 통해, 대부분의 보안담당자들이 모르는 XDR 도입 시 꼭 점검해야 할 주의사항과 NDR·EDR·SIEM·SOAR 등 보안시스템의 병용 전략에 대해 공개했다.
◇XDR이란 무엇인가
XDR(eXtended Detection and Response)은 이메일, 클라우드 환경, 서버, 엔드포인트, 네트워크 등 다양한 소스에서 발생한 보안 데이터를 NDR·EDR·SIEM·SOAR 등을 통해 통합 분석하고, 포괄적인 가시성을 제공해 보안운영(SecOps)팀이 위협을 더 빠르게 탐지·대응할 수 있게 하는 혁신적인 첨단 보안방법이다.
XDR 개념은 2018년 미국 보안기업 팔로알토 네트웍스가 보안시스템을 단독 사용했을 때 발생하는 심각하게 부족한 부분을 보강하기 위해 제안한 것으로, 초기 개념은 네트워크 전체의 서로 다른 소스에서 수집한 데이터를 중앙집중화 함으로써 보안 분석 및 포렌식 조사를 통해 위협헌팅을 강화하는데서 시작했다.
XDR 보안관리 방식에 열광한 전세계 보안관제센터 분석가들이 고도화된 사이버 공격에 대비해 모든 측면에서 방어하고, 탐지된 위협을 중앙집중화된 통합관리시스템을 통해 대응할 수 있도록 발전시켜 왔다.
◇XDR의 필수 요소
XDR의 핵심은 엔드포인트 데이터로, 프로세스, 실행 명령, 네트워크 연결, 생성·액세스 파일, 레지스트리 수정 정보 등의 정보를 수집해 위협을 탐지하는 EDR 기술과, 통신 트래픽 패턴, North-South 및 East-West 연결, 의심스러운 통신, TLS 핑거프린트 등을 탐지하는 NDR 기술들이 기반이 되어야 한다.
또 일반적으로 이메일·첨부파일 메타데이터, URL, 유저 활동 데이터와, 클라우드 환경일 경우 구성 변경, 신규·변경 인스턴스 등 클라우드 워크로드에 대한 데이터들이 SIEM·SOAR의 통합 분석을 거쳐 보안 가시성이 제공돼야 최고의 보안력을 발휘할 수 있다.
◇XDR은 실제로 제공되는 것일까 아니면 마케팅 속임수일까
XDR의 개념은 기술 발전과 보안제품 간 연동방식에 따라 현재진행형으로 변화 중이며, 우수한 통합관리기능을 보유한 XDR 벤더가 있는지, 실제로 제공되는지 등 보안인력들의 혼동은 날로 커지고 있다.
특히, 조직에 서둘러 도입하려는 XDR 벤더들을 주의해야 한다. 벤더가 주장하는 XDR이 몇가지 위협 정보소스만 추가됐거나, 보안데이터 소스 간에 유기적인 통합이 이루어지지 않는 재포장된 SIEM·SOAR 제품일 수 있기 때문에, 도입하려는 XDR 모델에 대한 깊은 이해가 선행돼야 한다.
◇XDR 도입 검토 시 주의사항
세계적인 조사기관 가트너 그룹은 XDR을 도입하기 전, "기존 SIEM·SOAR에서 사용되지 않는 기능을 평가하고, XDR이 현재 위협탐지 및 대응 프로그램에서 놓치는 부분을 해결할 수 있는지 확인해야 한다"며 "XDR이 이미 효과적으로 작동하는 SIEM·SOAR을 대체해서는 안된다"고 경고했다.
XDR은 SIEM·SOAR·EDR·EPP 등 기존 보안시스템들의 긴밀한 통합 기능을 제공하는 것으로, 이미 시스템들이 서로 잘 통합되어 있다면 도입이 불필요할 수 있다.
XDR이 기존 보안 기능과 중복되는지, 기존 제품들을 효과적으로 통합할 수 있는지, 이전에 해결할 수 없던 위협 탐지 및 대응이 가능한지, 재포장된 SIEM·SOAR 제품이 아닌지, 경쟁요소가 부족한지, 보안기술 선택권이 보장되는지 등을 면밀히 진단해야 한다.
XDR 모델은 단일 벤더, Open XDR 등으로, 각각 장단점이 존재한다. 단일 벤더 XDR의 경우 보안데이터를 통합 분석해 위협 탐지 및 대응할 수 있는 모든 보안기능을 제공하며, 한 벤더와 긴밀하게 연락하기 때문에 운영 및 문제해결이 쉬워지지만, 해당 벤더가 제공하는 솔루션이 모든 보안 요소들의 최고 기술을 모두 제공한다고 보긴 어렵다.
Open XDR은 여러 보안 벤더들의 보안데이터를 하나로 통합해 위협탐지 및 대응하는 솔루션이다. 각 분야 최고의 보안제품들로 구성해 통합할 수 있지만, 책임소재에 대한 우려와 관리 포인트가 많아 운영조직에 부담이 될 수 있다. 조직에 적합한 보안기술을 선택을 할 수 있는 유연성이 있는지도 검토해야 한다.
XDR은 일반적으로 한 보안 벤더가 여러 작은 보안 벤더들을 인수해 구축한 보안 포트폴리오를 제공하는 경향이 있는데, 여러 솔루션을 인수한 단일 거대 벤더의 경우 보안 기능들이 잘 통합되지 않을 수 있어 주의를 기울여야 한다. 또, 한 벤더만 보유하고 있어 경쟁요소가 부족한 XDR 시스템은 피하고, 보안 기술 요소를 직접 선택할 수 있는 권한을 침해받지 않아야 한다.
씨큐비스타 전덕조 대표는 "XDR은 5~6년 후 기업의 약 30%, 10년 후에는 많은 기업에서 사용될 것으로 예측되는 보안시스템으로, 정확하게 이해하고 주의사항을 숙지하는게 중요하다"라며 "NDR·FDR 기반 보안솔루션 패킷사이버 등 XDR과 강력한 시너지를 내는 보안기술을 꼼꼼하게 선별 도입해 조직의 보안력을 높이기 바란다"고 말했다.
한편 씨큐비스타는 실시간 트래픽 처리 및 머신러닝 기반 원천기술을 보유한 사이버 보안 소프트웨어 전문기업으로, 사이버 위협 헌팅(CTH) 플랫폼을 개발 및 보급하고 있는 보안업계 선도기업이다. 최근 차세대 네트워크 위협 헌팅 플랫폼 패킷사이버 v2.0을 발표했다.
◆국내 최대 인공지능 보안 컨퍼런스 AIS 2023 개최(11월2일/7시간 보안교육 이수)
-주최: 데일리시큐
-일시: 2023년 11월 2일 오전9시~오후5시
-장소: 한국과학기술회관 지하1층 국제회의실
-참석대상: 공공, 금융, 기업 개인정보보호 및 정보보안 책임자·실무자만 가능
(현업 정보보안 실무 종사자가 아니면 참석 불가)
-강연내용: 인공지능(AI) 활용 사이버위협과 대응기술 공유
-참가비: 무료 (점심식사와 주차권은 제공하지 않습니다.)
-보안교육이수: 참관객에 7시간 보안교육 이수증 발급
-등록절차: 사전등록 후 참석승인문자 및 메일 수령자만 참석 가능
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
