[데이터넷] 시장조사기관 ZK리서치 설립자인 제우스 케라발라(Zeus Kerravala)는 지난해 ‘EDR은 죽었다’는 제목의 칼럼을 썼다. 이제 막 성장을 시작한 EDR이 ‘죽었다’고 충격적인 선언을 하며 그는 “EDR의 가시성은 제한적”이라고 진단했다. 이 칼럼에서 그는 EDR이 엔드포인트 위협 탐지와 대응을 위해 필요한 기술이라는 것에는 동의하면서도 엔드포인트 위협 가시화는 충분하지 않으며, ‘XDR’로 진화해야 한다고 밝혔다. XDR은 엔드포인트, 네트워크, 클라우드, 파일 등 IT 전체에서 발생하는 위협을 탐지하고 연계 분석한다는 개념을 말한다.
XDR은 보안 기술 트렌드에서 비교적 최근 등장한 것이다. 팔로알토네트웍스, 트렌드마이크로 등이 XDR이 필요하다는 점을 주창하고 있으며, 차세대 SIEM, 네트워크 위협 탐지와 대응(NDR/NTA) 솔루션 기업들도 XDR 개념을 접목하면서 트렌드를 만들어가고 있다.
네트워크 풀 패킷과 로그, 엔드포인트 이벤트, 클라우드와 IoT에서 수집하는 모든 위협 이벤트를 관리해 IT 전반의 위협을 낮춰간다는 것이 XDR을 주장하는 측의 설명이다.
왕정석 스텔라사이버 한국지사장은 “많은 보안 솔루션이 구축돼있지만 보안 사고를 막지 못한다. 수많은 이벤트와 취약점에 대해 보안조직이 제대로 대응할 수 없기 때문”이라며 “XDR은 사이버 킬체인 각 단계에서 공격요소를 제거해 실제 보안 조직이 대응해야 할 위협 이벤트를 줄이며 보안 조직의 대응 우선순위를 주어 가장 중요한 위협에 먼저 조치할 수 있도록 도와준다”고 설명했다.
보안 조직 업무 줄여주는 XDR
스텔라사이버는 오픈 XDR 보안 플랫폼 ‘스타라이트(Starlight)’를 공급하는 기업으로 올해 초 모젠소프트와 국내 제품 공급 계약을 맺었으며, 10월 왕정석 전 에어로하이브코리아 지사장을 초대 지사장으로 선임하고 한국 지사를 설립하며 시장 공략에 나섰다.
스타라이트는 네트워크 패킷, 보안장비 로그, 엔드포인트 이벤트, 파일 속성, 클라우드 등 IT 전반에서 수집할 수 있는 모든 정보를 수집해 고급 머신러닝 기능으로 연계 분석하는 솔루션으로, 광범위한 영역에서 이벤트를 수집하고 분석하기 때문에 노이즈를 크게 줄이고 위협 탐지 정확도를 높일 수 있다.
또한 기존 엔드포인트 보안 솔루션, SIEM, 네트워크 포렌식, 오케스트레이션 등 모든 보안 솔루션과 자유롭게 연동할 수 있는 오픈 플랫폼으로 기 구축된 보안 솔루션 활용도를 높이면서 보안 수준을 제고하고 보안 조직의 업무를 크게 줄일 수 있다.
탐지한 이벤트에 대해 어떤 위협 요소가 있는지, 이전에 발생한 위협과 어떤 연관관계가 있는지 직관적으로 보여주기 때문에 전문성이 높지 않은 보안 관리조직에서도 쉽게 운영할 수 있다. 외부에서 유입되는 위협 뿐 아니라 내부 위협까지 탐지할 수 있어 진정한 ‘통합 보안’을 구현할 수 있다.
IT 전체 영역에서 이벤트를 수집한 후 중복된 로그와 이벤트를 제거해 분석 장비의 부하를 줄일 수 있다. 그래서 SIEM과 같은 보안 관제 솔루션 앞단에 설치해 보안관제 솔루션의 용량을 줄이고 성능을 향상시키는 용도로도 사용되고 있다.
이 솔루션을 원격보안관제 서비스 기업, MSSP 사업자를 통해 서비스 모델로도 제공할 수 있다. 특히 서비스 사업자를 위한 스타라이트는 멀티테넌트를 적용해 여러 고객에 대한 관제 서비스를 제공할 수 있어 서비스 가격을 합리적으로 제안할 수 있다.
왕정석 지사장은 “기업·기관은 보안 위협 대응을 위해 막대한 양의 위협 데이터를 축적하고 있지만 이를 제대로 활용하지 못한다. 스텔라사이버는 중복된 이벤트를 제거해 분석을 용이하게 하는 한편 고급 머신러닝을 이용해 수집된 위협 데이터에서 실제 공격을 찾아낸다. 이를 직관적으로 시각화 해 관리 편의성을 한 층 높이고 대응을 빠르게 할 수 있다”고 말했다.
OT 보안에도 적용 가능한 오픈 플랫폼
한편 스텔라사이버는 스타라이트가 OT·ICS 보안에도 사용될 수 있다고 판단하고 이 시장 공략에도 나섰다. OT 보안 솔루션 기업과 협력해 OT의 위협 정보까지 수집하면 IT부터 OT에 이르는 융합보안이 가능하다. 스피어피싱을 통해 IT를 감염시킨 OT 악성코드가 OT 네트워크로 이동할 때 IT 단에서 탐지하고 제거할 수 있으며, OT를 공격한 악성코드가 IT 시스템까지 접근하는 것을 막을 수 있다.
왕 지사장은 “XDR에서 ‘X’는 제한 없는 모든 영역을 말한다. IT·OT 전체 영역에서 위협이 될 수 있는 모든 요소를 찾아내고 실제로 어떤 위협인지 분석하고 분류하며 가시화하고, 위협 수준에 따라 적절하게 대응할 수 있도록 하는 것이 XDR”이라며 “금융·엔터프라이즈, MSSP 사업자 등을 시작으로 전 산업군에 스타라이트 오픈 XDR 플랫폼을 확장시켜나가겠다”고 말했다.
