[2020 ICT 분야별 전망] EDR·XDR③
상태바
[2020 ICT 분야별 전망] EDR·XDR③
  • 김선애 기자
  • 승인 2019.12.17 09:32
  • 댓글 0
이 기사를 공유합니다

글로벌 EDR 기업 신규 진출하며 경쟁에 불 붙여
EDR 뛰어넘는 ‘XDR’, 엔드포인트-네트워크 경계허물어

[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>

새로운 플레이어 등장하며 경쟁 가속

‘보안 솔루션의 백화점’이라고 불리는 포티넷은 지능형 엔드포인트 보안 전문기업 ‘엔실로(enSilo)’를 인수하며 EDR 시장에도 뛰어들었다. 엔실로는 리눅스, 윈도우, 맥OS를 포함한 여러 운영체제에서 보호가 가능한 경량 에이전트를 제공하며, 통합 액세스 제어 및 엔드포인트 보안 기능을 통해 IoT에 대한 조율된 보안을 제공한다. PCI, HIPAA, GDPR 준수를 보장하기 위해 공격을 차단하고 유출사고 및 랜섬웨어를 방지하는 특허받은 코드 트레이싱(code-tracing) 기술을 제공한다.

글로벌 엔드포인트 보안 기업 태니엄이 국내 지사를 설립하고 공격적인 시장 접근에 나서 주목된다. 태니엄은 대규모 네트워크에서도 15초만에 모든 엔드포인트를 가시화하고 제어할 수 있는 IT 자산관리 플랫폼으로 침해 탐지와 대응 역량을 강화하고 있다. 미국 상위 15개 은행 중 12개, 포춘 10대 기업 중 4개에서 사용하고 있으며, 국내 글로벌 기업과 포털 등도 IT 자산관리 플랫폼으로 수 년 동안 사용하고 있다. OS 종속성 없이 자동화된 구성으로 엔드포인트를 실시간 제어할 수 있다.

EDR 전문기업 사이버리즌도 공격적인 영업 전략으로 국내 시장을 공략한다. 사이버리즌은 사용자 레벨에서 위협 행위를 찾아 노이즈와 장애 없이 위협을 탐지한다. 차세대 백신(NGAV)와 EDR을 통합 운영할 수 있으며, 모바일 위협 탐지 엔진을 연계 분석해 엔드포인트를 타깃으로 하는 위협을 정밀하게 분석할 수 있다.

XDR 등장하며 전체 IT로 통합 전략 확장

EDR 시장이 이제 막 성장을 시작했는데, 벌써 ‘EDR은 죽었다’는 진단이 나오고 있다. 시장조사기관 ZK리서치 설립자인 제우스 케라발라(Zeus Kerravala)는 2018년 9월 발표한 칼럼에서 이 같이 주장하며 “EDR의 가시성은 제한적이다. ‘XDR’로 진화해야 한다”고 주장했다. XDR은 엔드포인트, 네트워크, 클라우드, 파일 등 IT 전체에서 발생하는 위협을 탐지하고 연계 분석하는 개념이다.

‘EDR은 죽었다’는 충격적인 표현 때문에 여러 비판적인 이견이 나오고 있지만, 최근 글로벌 보안 기업들의 움직임은 IT 전체를 가시화해 위협에 대응하는 방향으로 가고 있다는 점을 감안하면 XDR이 앞으로 중요한 트렌드를 이룰 것으로 보인다.

XDR이 등장하게 된 배경에는 너무 많은 보안 솔루션으로 인해 발생하는 ‘사이버 피로감(Cyber Fatigue)’도 있다. 시스코 조사에 따르면 기업·기관은 10개 이상 보안 벤더를 이용하고 있으며, 매일 10만개 이상의 보안 경보를 처리해야 하지만, 92%는 이렇게 쏟아지는 보안 경고를 처리하는데 어려움을 느낀다.

또한 대부분의 침해사고는 보안 투자에 적극적인 조직에서 발생한다. 파이어아이 조사에 따르면 침해사고를 당한 모든 기업은 방화벽을 보유하고 있었으며, 백신 등 보안 솔루션의 패턴을 최신으로 유지하고 있었다. 그럼에도 불구하고 탐지일 까지 소요되는 평균 일수는 205일, 탐지 후 침해 대응에 소요되는 평균 일 수는 32일이나 걸렸으며, 침해사실을 자체적으로 인지하지 못하고 외부로부터 통보받는 경우가 69%였다.

보안 솔루션이 생성하는 보안 이벤트를 연계 분석해 노이즈를 줄이고 실제 위협을 정확하게 찾아내 대응하기 위한 노력이 지속적으로 전개되고 있다. SIEM이 행위분석, AI 등을 접목하며 차세대 시스템으로 진화하고 있으며, AI를 탑재한 네트워크 위협 분석(NTA) 솔루션이 알려지지 않은 위협까지 차단하고 있다. 그러나 SIEM은 로그 분석에, NTA는 네트워크 위협만을 탐지하기 때문에 전체 공격을 가시화하지 못한다.

엔트포인트·네트워크·클라우드 위협 탐지

XDR은 엔드포인트와 네트워크, 클라우드 전체에서 위협을 탐지하고 대응하는 플랫폼으로 소개되고 있다. 트렌드마이크로는 엔드포인트 보안 솔루션 ‘에이펙스원(ApexOne)’에 EDR 기능을 추가했으며, 차세대 IPS 티핑포인트의 네트워크 위협 탐지·차단 기능을 연계해 XDR 전략을 드라이브한다. 에이펙스원은 타사 백신과 함께 사용해도 장애 없이 운영 가능하며, 여러 분석 엔진을 하나의 에이전트로 통합해 관리 부담을 줄이고 보안 전문성이 없는 조직도 운영할 수 있다.

XDR을 가장 적극적으로 외치는 벤더는 팔로알토네트웍스다. ‘코텍스 XDR(Cortex XDR)’은 현재 보안 환경에 사용 가능한 플랫폼이라고 소개하고 있으며, 네트워크, 엔드포인트, 클라우드 데이터를 통합해 정교한 공격을 차단한다. 지도·비지도 머신러닝을 이용해 분석하며 공격자의 전술·기법·절차(TTP)를 분석해 SOC가 대응할 수 있도록 한다.

코텍스 XDR에 포함된 EDR 솔루션 ‘트랩스(Traps)’는 익스플로잇 방어 기술을 통해 기기를 보호하고 제로데이 위협을 차단한다. 행위 분석 엔진과 클라우드 기반 멀웨어 분석 서비스 ‘와일드파이어(WildFire)’와 통합돼 의심스러운 파일을 제거한다.

▲팔로알토네트웍스 ‘코텍스 XDR’ 행동 분석 아키텍처
▲팔로알토네트웍스 ‘코텍스 XDR’ 행동 분석 아키텍처

XDR 전문기업을 표방하는 스텔라사이버가 지사를 설립하고 한국 시장에 진입했다. 오픈 XDR 보안 플랫폼 ‘스타라이트(Starlight)’는 엔드포인트, 네트워크,파일, 클라우드 전반에서 위협을 수집하고 사이버 킬체인 관점에서 위협을 탐지·대응한다. 공격이 실제로 발생하는 사이버 킬체인 전략에 따라 대응하기 때문에 노이즈 없이 정확한 탐지를 제공한다. 부서별, 업무별로 각각 다른 머신러닝 기술을 적용할 수 있는 멀티 머신러닝 기술을 적용해 개별 환경에 최적화된 보안 수준에 따라 위협을 탐지하고 대응한다.

통합 플랫폼 전략 가속

시스코, RSA도 엔드포인트와 네트워크, 클라우드위협 탐지·대응 전략을 제안하면서 시장 공략에 나섰다. 시스코의 멀웨어 분석 플랫폼 ‘AMP’는 네트워크, 네트워크, 이메일, 클라우드에서 알려진/알려지지 않은 위협을 찾아낸다. 지능형 샌드박스와 실시간 악성코드 차단, 위협 인텔리전스를 이용해 실제 위협을 차단하며, 메모리 단계에서 익스플로잇 방어 기능을 이용해 지능형 익스플로잇을 제거한다. 회귀적 보안 분석을 통해공격이 어떻게 침투해 진행됐는지 분석한다.

RSA는 ‘넷위트니스’ 플랫폼의 로그, 패킷, 엔드포인트, 클라우드 제품을 단일 플랫폼으로 통합해 전사 위협 탐지·대응이 가능하도록 한다. 실시간 상관관계 분석 모듈인 ESA(Event Stream Analysis)를 이용해 여러 이벤트를 상관분석하며, 머신러닝 기반 행위분석으로 정교한 보안 위협에 대응한다.

여기에 포함된 EDR 솔루션 ‘넷위트니스 엔드포인트’는 메모리의 프로세스와 디스크 프로세스를 비교해 이상행위를 확인한다. 아주 가벼운 에이전트를 통해 이상행위의 메타 데이터를 추출하며, 파일 평판과 프로세스 분석을 통해 위협을 탐지한다. 로그, 패킷, 클라우드와 연동해 전체 위협의 가시성을 제공하며, 최신 위협 인텔리전스와 평판정보를 연계해 탐지 정확도를 높인다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.