데일리시큐는 2023년 창간 10주년을 맞아 분야별 핵심 보안솔루션을 소개하고자 한다. 이번 주제는 XDR이다.

◆XDR 솔루션의 정의와 도입 필요성

보안위협이 IT 환경의 전 영역에서 전개되고, 공격이 점차 고도화됨에 따라 보안 솔루션의 종류와 수도 엔드포인트, 네트워크 등 전 영역에서 증가하고 있다. 또한, 보안 솔루션의 복잡도와 기술적 수준 또한 높아지고 있다.

이러한 IT환경의 변화가 가속화되며 보안담당자들은 다수의 고도화된 보안 솔루션을 동시에 운영하고, 해당 솔루션에서 발생하는 수많은 이벤트들을 처리해야 하는 문제에 직면하게 됐다. 이로 인해 보안 솔루션은 많아졌으나 실질적인 대응은 오히려 어려워지는 ‘보안의 사일로화’가 발생했다. 이러한 문제를 해결하고 ‘보안의 효율화’에 대한 요구가 증가함에 따라 ‘XDR(eXtended Detection and Response)’이 탄생했다.

XDR은 ‘eXtended Detection and Response’의 약자로, 조직에서 운영하는 다양한 이기종의 보안 솔루션 및 업무 시스템의 데이터를 수집, 정규화하고 수많은 이벤트의 상황 정보를 분석해 리스크를 식별∙탐지∙대응할 수 있도록 지원하는 ‘확장된 탐지 및 대응’ 플랫폼이다.

XDR을 도입하면 리스크 우선순위를 식별하고, 유연한 연동 기반의 체계적인 대응이 가능해져 복잡한 보안환경에서도 보안 수준과 운영 편의성을 높일 수 있다.

◆안랩 XDR의 특징과 차별점

안랩은 고객의 요구사항을 파악한 뒤, 보안 담당자가 실제 업무 과정에서 겪는 어려움을 제품에 적극 반영해 ‘안랩 XDR’을 10월 5일 선보였다.

‘안랩 XDR’은 조직 내 수많은 시스템으로부터 위협정보를 수집하고 우선순위 식별과 관리를 가능하게 하는 클라우드 기반 SaaS형 ‘보안 위협 분석 플랫폼’이다.

보안관리자가 위협에 손쉽고 빠르게 대응할 수 있도록 ▲안랩이 축적해온 위협대응 노하우가 녹아있는 ‘시나리오 룰’을 활용한 리스크 분석·대응 ▲위협 인텔리전스(TI) 연동으로 위협이 조직에 미치는 영향도 파악 ▲사용자와 자산 중심의 리스크 지수화 기능 등을 제공한다.

▶안랩이 축적해온 위협대응 노하우가 녹아있는 ‘시나리오 룰’을 활용한 리스크 분석•대응

‘안랩 XDR’은 안랩이 다년간 악성코드 분석, 디지털 포렌식, 보안 관제 등으로 축적한 실제 위협 사례와 최신 공격 시나리오 및 대응 노하우에 기반한 높은 퀄리티의 실전형 ‘시나리오 룰(*)’을 제공한다. ‘안랩 XDR’이 시나리오 룰을 활용한 연계 분석으로 위험도를 분석하는 동안 보안 담당자는 보안솔루션에서 발생하는 수많은 보안 이벤트의 우선순위 판단에 대한 고민을 덜고, 중요한 리스크 대응에 집중할 수 있다. (*시나리오 룰(Scenarion Rule): 사전 정의된 다양한 시나리오에 따라 위협을 분석하고 탐지하도록 설정된 규칙)

▶위협 인텔리전스(TI) 연동으로 위협이 조직에 미치는 영향도 파악

‘안랩 XDR’을 사용하면 안랩의 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’가 제공하는 최신 보안 뉴스와 해당 뉴스 내 IoC(Indicators of Compromise, 침해지표) 정보의 조직 내 존재 여부를 확인할 수 있다. 조직 내에서 해당 침해지표가 식별되는 경우, 침해지표가 발견된 자산의 위치까지 알려주기 때문에 최신 위협의 내부 영향도를 실시간으로 파악하고 조치할 수 있다. 또한, 침해사고∙취약점 뉴스뿐만 아니라 보안 권고문 등 최신 위협 정보를 확인하고, 이에 대한 내부 확인 시간을 대폭 줄여 보안 업무의 효율성을 높일 수 있다.

▶사용자와 자산 중심의 리스크 지수화 기능

‘안랩 XDR’은 조직내 다양한 솔루션을 연동해 로그 데이터를 수집한 후, 인공지능(AI)∙머신러닝 등을 이용해 연계 및 상관관계 분석 수행한다. 이 과정에서 ‘안랩 XDR’은 사용자(User)와 사용자가 보유한 디바이스(Device)별 신규/미확인/관심/예외 자산 등을 명확하게 파악해 이에 대한 리스크 가시성을 높였다. 또한, 조직의 특성에 따라 사용자와 자산을 태그 그룹으로 묶어 관리할 수 있는 기능도 제공한다. 이로써 보안 담당자는 개별 자산에 대한 리스크 지수 및 상세정보를 손쉽게 확인할 수 있다.

◆고객들에게 당부하고 싶은 XDR 도입시 유의점

XDR 도입을 고민하고 있는 고객이라면, 도입을 고려하고 있는 제품이 XDR의 핵심 기능을 제공하는지를 먼저 파악해보는 것이 중요하다. XDR은 ‘리스크 분석 플랫폼(Risk Analysis Platform)’으로, 단순히 다수 제품 간의 연동이나 결합이 아니라 다양한 솔루션의 데이터를 통합, 분석해 유의미한 리스크 기반 우선순위를 제공할 수 있어야 한다.

글로벌 시장조사기관 ‘프로스트 앤 설리번(Frost & Sullivan)’은 XDR의 핵심요소를 아래와 같이 세가지로 요약하고 있다.

먼저, 다양한 계층에 걸친 탐지와 대응이다. 공격 사례를 제대로 이해하고 적절하게 대응하기 위해서는 다양한 영역의 보안 로그를 수집하고 연계, 분석할 수 있어야 한다.

두번째로, 다양한 보안 솔루션을 연계∙연동할 수 있어야 한다. 많은 기업이 다수의 보안 솔루션을 동시에 운영하고 있다. 따라서 각 보안 솔루션에서 발생하는 로그를 수집하고 분석할 수 있는 역량이 중요하다.

마지막으로, 실질적으로 의미있는 자동화가 필요하다. 보안 담당자는 한정된 시간 동안 매우 많은 이벤트를 처리해야 한다. XDR은 XDR의 주요 목적 중 하나인 보안 업무의 효율성을 확보하기 위해서는 위험(Risk)의 우선순위를 지정할 수 있는 역량을 갖춰야한다.

◆안랩 XDR 올해 성과와 내년도 사업 전략

안랩 전략제품서비스기획팀 이건용 부장은 “안랩 XDR’은 보안담당자의 효율적인 리스크 관리’라는 XDR의 주 목적에 맞춰 기능을 지속적으로 고도화할 예정이다”라고 말했다.

특히, 안랩은 글로벌 XDR 발전 흐름에 맞춰 XDR 플랫폼에 Generative AI를 적용해 보안 담당자의 업무 효율성을 더욱 끌어올리기 위한 연구개발(R&D)과 AI 모델 검토 등을 진행하고 있다. Generative AI가 탐지∙분석한 결과물에 대한 자세한 설명과 조치 가이드, 쿼리문 등을 채팅 형태로 제공하는 기능 등을 접목해 보안 담당자가 더 쉽고 빠르게 위협을 확인하고 대응할 수 있도록 할 예정이다.

또한, 안랩은 고객 그리고 다른 보안 벤더들과 함께 하나의 생태계(Eco-system)를 형성해 다양한 보안 솔루션 간 연동∙연계를 강화하여 안랩 XDR을 계속해서 발전시켜 나갈 계획이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★