사이버 킬체인 단계별 대응해 지능형 위협 피해 완화
[데이터넷] 글로벌 벤더들이 중점적으로 강조하는 통합보안 전략은 ‘XDR’이라는 새로운 용어를 만들어내기도 했다. EDR, NDR 등 모든 탐지와 대응을 아우르는 개념으로 ‘X’를 둔 것이다. 팔로알토네트웍스, 트렌드마이크로 등 엔드포인트와 클라우드, 네트워크 보안 기술을 모두 제공하는 기업들이 주로 주장하고 있다.
시장조사기관 ZK리서치 설립자인 제우스 케라발라(Zeus Kerravala)는 지난해 9월 ‘EDR은 죽었다’는 제목의 칼럼을 썼다. 이제 막 성장을 시작한 EDR이 ‘죽었다’고 충격적인 선언을 하며 그는 “EDR의 가시성은 제한적”이라고 진단했다.
이 칼럼에서 그는 EDR이 엔드포인트 위협 탐지와 대응을 위해 필요한 기술이라는 것에는 동의하면서도 엔드포인트 위협 가시화는 충분하지 않으며, ‘XDR’로 진화해야 한다고 밝혔다. XDR은 엔드포인트, 네트워크, 클라우드, 파일 등 IT 전체에서 발생하는 위협을 탐지하고 연계 분석한다는 개념을 말한다.
장성민 한국트렌드마이크로 상무는 “XDR은 위협 탐지와 대응을 전체 IT로 확산시킨 것으로, ‘인텔리전스의 꽃’이라고 한다. 모든 곳에서 위협을 수집해 분석하면서 인텔리전스를 만들어가면서 고객에게 적용 가능한 대응을 제공하는 것이 XDR”이라며 “결국 보안 기술은 통합과 인텔리전스를 지향하는 ‘XDR’로 가게 될 것”이라고 설명했다.
진화하는 보안, XDR에서 SOAR로
XDR은 단순히 개별 보안 솔루션을 연계하는 수준은 아니다. 현재 보안 탐지에 사용하는 위협 인텔리전스는 다양한 벤더의 이벤트를 통합해 분석해야 하는데, 벤더마다 제공하는 이벤트의 형식이나 위협 수준이 달라 통합이 어렵다. 축적된 인텔리전스가 실제 공격에 사용되는지, 얼마나 높은 수준의 위협인지 판단하는 것도 쉽지 않은 일이다.
그리고 이 인텔리전스가 해당 기업·기관에게 실제로 유용한 것인지도 알기 어렵다. 인텔리전스로 인해 너무 많은 보안 경고를 들여다봐야 하는 것도 문제다. 오히려 단일 솔루션에서 나오는 이벤트를 분석하는 것이 더 정확할 수 있다.
김준섭 이스트시큐리티 부사장은 “XDR에서 확장해 SOAR까지 진화하게 될 것”이라고도 진단했다. 수집된 모든 이벤트를 성격과 위협 수준에 따라 분류하고 관제 조직과 각각의 보안 솔루션으로 자동으로 보내 대응할 수 있도록 하는 SOAR 플랫폼을 완성시켜 실제로 활용 가능한 대응이 될 수 있도록 해야 한다는 설명이다.
그는 “이벤트를 많이 수집한다고 해서 ‘인텔리전스’가 되는 것은 아니다. 데이터가 너무 많으면 이상행위를 걸러내지 못하고 효율성을 떨어뜨릴 수 있다”며 “실제 현장에서 사용 가능한 인텔리전스를 만들 수 있는 통합이 필요하다”고 설명했다.
멀티 머신러닝으로 위협 수준 따른 대응 가능
국내에서 XDR을 가장 적극적으로 설파하는 벤더는 팔로알토네트웍스다. 팔로알토네트웍스는 실제 보안 현장에서 사용 가능한 ‘코텍스 XDR(Cortex XDR)’을 소개하면서 시장 확산에 나서고 있다. 클라우드 기반 탐지 및 대응을 제공하는 코텍스 XDR은 네트워크, 엔드포인트, 클라우드 데이터를 통합해 정교한 공격을 차단한다.
코텍스 XDR에 포함된 EDR 솔루션 ‘트랩스(Traps)’는 익스플로잇 방어 기술을 통해 기기를 보호하고 제로데이 위협을 차단한다. 행위 분석 엔진과 클라우드 기반 멀웨어 분석 서비스 ‘와일드파이어(WildFire)’와 통합돼 의심스러운 파일을 제거한다.
코텍스 XDR은 팔로알토네트웍스 통합보안 플랫폼 전반에서 수집한 데이터를 분석해 위협 가시성을 제공하고 사각지대를 없앤다. 지도·비지도 학습 머신러닝을 이용해 분석하며 공격자의 전술·기법·절차(TTP)를 분석해 SOC가 대응할 수 있도록 한다.
XDR 전문기업을 표방하는 스텔라사이버가 한국지사를 설립하고 본격적인 영업을 시작했다. 왕정석 전 에어로하이브코리아 지사장을 초대 지사장으로 선임했으며, 모젠코리아가 파트너로 국내 영업을 전개한다.
스텔라사이버의 오픈 XDR 보안 플랫폼 ‘스타라이트(Starlight)’는 엔드포인트, 네트워크, 파일, 클라우드 전반에서 위협을 수집하고 사이버 킬체인 관점에서 위협을 탐지·대응한다. AI 기반 보안 솔루션은 AI의 자동화된 분석에만 의존하기 때문에 많은 노이즈를 발생시키지만, 스타라이트는 공격이 실제로 발생하는 사이버 킬체인 전략에 따라 대응하기 때문에 노이즈 없이 정확한 탐지를 제공한다.
또한 스타라이트는 부서별, 업무별로 각각 다른 머신러닝 기술을 적용할 수 있는 멀티 머신러닝 기술을 적용해 개별 환경에 최적화된 보안 수준에 따라 위협을 탐지하고 대응한다. 또한 수집된 로그와 이벤트의 중복을 제거해 시스템 부하를 낮추고 빠른 분석과 대응을 지원한다. 탁월한 가시성을 제공해 보안 전문성이 낮은 관리자도 직관적으로 위협을 인지하고 대응할 수 있도록 한다.
시스템 자체에서 멀티테넌시 기능을 제공해 단일 장비에서 여러 조직의 위협을 관리할 수 있도록 하며, 사이버 킬체인 각 단계별로 최적의 탐지와 대응 정책을 적용해 노이즈를 줄일 수 있다.
왕정석 스텔라사이버 지사장은 “기업·기관은 보안 위협 대응을 위해 막대한 양의 위협 데이터를 축적하고 있지만 이를 제대로 활용하지 못한다. 스텔라사이버는 중복된 이벤트를 제거해 분석을 용이하게 하는 한편 고급 머신러닝을 이용해 수집된 위협 데이터에서 실제 공격을 찾아낸다. 이를 직관적으로 시각화 해 관리 편의성을 한 층 높이고 대응을 빠르게 할 수 있다”고 말했다.
