AI·UEBA·상황인지 기술 결합해 정확한 지능형 탐지 제공
[데이터넷] NTA가 해결하지 못하는 암호화 트래픽은 어떻게 할 것인가? 암호화된 상태로 분석 가능한 트래픽의 일부 정보와 로그, 엔드포인트, 클라우드, UEBA 등을 연계해 분석하는 XDR이 부상하고 있다.
왕정석 스텔라사이버코리아 지사장은 “네트워크가 침해를 당했다면 엔드포인트에서 공격 정황이 나타나게 돼 있다. 의심스러운 외부와의 통신이 발생하고, 확 인되지 않은 파일을 내려받으며, 중요 시스템 접근 실패 로그가 반복적으로 쌓인다. 엔드포인트와 시스템 로그, 클라우드 상에서의 위협 정보 등을 연계분석하면 암호화 트래픽 분석에 제약이 있다 해도 보안 탐지효과를 거둘 수 있다”고 말했다.
이는 IT를 사용하는 모든 환경에서 보안위협을 탐지 한다는 것인데, 말처럼 쉬운 일은 아니다. 엔드포인트, 네트워크, 클라우드 모두 탐지되는 위협 정보의 포맷이 다르고, 위협 수준을 매기는 기준도 일정하지 않다.
최홍준 페트로누스 부사장은 “각각 다른 소스에서 발생한 이벤트를 하나의 기준으로 처리하는 것이 쉬운 일은 아니다. 각각의 이벤트 포맷이나 대응 방법이 다르고 위험수준을 결정하는 기준도 다르기 때문에 자동 화가 어렵다. XDR을 사용하려면 매니지드 서비스가 필요하며, 높은 비용으로 인한 진입 장벽이 있을 것”이라 고 지적했다.
완벽한 통합 분석으로 보안 회피 공격도 대응
XDR 벤더들은 이와는 전혀 다른 관점에서 고객을 설득한다. 여러 보안 솔루션을 하나의 플랫폼에서 통합 분석할 수 있기 때문에 비용절감 효과가 높으며, 수많은 소스의 이벤트를 한 곳에서 연계분석하기 때문에 보안회피 공격도 지능적으로 발견할 수 있다.
개별 탐지 솔루션의 이벤트를 서로 상호검증해 양질의 보안 이벤트를 받아볼 수 있으며, 단일 플랫폼 환경에서 보안관리가 가능하기 때문에 보안 운영 효율성이 높아진다. XDR을 통해 분석해야 할 이벤트를 걸러낸 후 해당 분석 장비와 연동하면 분석 업무가 줄어들어 리소스 효율성을 높일 수도 있다.
왕정석 스텔라사이버 지사장은 “복잡한 IT 환경에서 어느 한 부분만을 봐서는 위협 탐지가 불가능하며 모든 지점에서 발생한 위협을 연계분석해야 한다. XDR은 여러 보안 기술과 협력해 기업의 보안 탐지 능력을 전반적으로 개선하는 것을 목표로 두고 있으며, 이를 위해 글로벌 기업은 물론 국내 기업과의 협력도 적극 전개한 다”고 말했다.
스텔라사이버는 오픈 XDR 플랫폼으로 국내외 모든 보안 솔루션과의 연동을 지원하며, SIEM, SOAR 기능 까지 제공해 관리 효율성을 한층 높여줄 수 있다. 사용자 행위 분석(UBA) 기능을 지원해 보안 전반에 걸쳐 여러 데이터 소스에서 사용자 관련 데이터를 수집·융합하며, 머신러닝으로 분석한다. 지난해 지사 설립 후 국 내 대규모 공공사업 수주 등 주목할만한 사업을 성공시키면서 성장하고 있다.
상황인지 기술까지 통합한 플랫폼 제공
XDR의 지향점이 ‘통합’이라면 RSA ‘넷위트니스’는 이미 통합을 완료하고 XDR을 완성했다 할 수 있다. 넷위트니스는 패킷, 로그, 엔드포인트, 클라우드 위협 분석을 통합했으며, UEBA, 위협 헌팅, 쓰렛커넥트의 SOAR를 통합해 보안관리 효율성을 높인다.
넷위트니스는 멀티팩터 인증 솔루션 ‘시큐어ID’와 연동해 상황인지 기술이 가능한 고급 보안탐지를 제공 한다는 특징도 있다. 이를 통해 사용자의 행위를 컨텍스트 기반 분석을 제공한다.
정윤기 RSA코리아 차장은 “넷위트니스 최신 버전에서 주목할만한 개선은 SOAR가 통합됐다는 점이다. NTA, SIEM, EDR, UEBA, 클라우드 위협 탐지 등 보안관제에 필요한 모든 기능을 단일 플랫폼을 통해 제공하며, SOAR로 오케스트레이션하고 자동화·대응이 가능해 완벽한 차세대 보안을 이룰 수 있게 됐다”며 “단일 플랫폼 통합 솔루션의 시너지가 높아 보안관제 업그레이드를 요구하는 고객들로부터 호평받고 있다”고 말했다.
XDR은 트렌드마이크로도 강력 전개하는 사업분야다. 트렌드마이크로는 이메일, 엔드포인트, 서버·클라우드 워크로드, 네트워크 위협 탐지를 제공하며, 매니지드 서비스로도 제공해 보안팀의 위협대응 부담을 덜 어준다.
팔로알토네트웍스는 EDR, NDR, XDR을 뛰어넘는 XSOAR로 진화한 새로운 프레임워크를 제안한다. ‘코어텍스 XSOAR’는 워크플로우 자동화 엔진을 통해 모든 지점에서 수집한 보안 이벤트를 자동으로 분석하 고 플레이북을 통해 대응한다. 하나의 피싱메일 처리에 45분 정도 소요 되던 것을 5분 내에 해결할 수 있으며, 여러 관제 요원들이 협업해 인시던스를 효율적으 로 처리할 수 있다. 플레이북을 자동으로 분석하며, 필요한 내용을 플레이북으로 표현할 수 있다. 코어텍스 XSOAR를 도입한 고객은 경보처리 자동화 30%, 위협 헌팅 30%의 지속적인 개선 효과를 경험한 바 있다.
