[데이터넷] NDR과 EDR은 네트워크와 엔드포인트에서 각각 위협을 탐지하고 대응하는데 탁월한 기술을 제공하지만, 전체 공격 관점에서의 대응은 제공하지 못한다. 엔드포인트와 네트워크의 분리된 가시성으로 인해 보안 추적이 단절될 수 있기 때문이다. 그래서 모든 위협 탐지와 대응 기술을 통합한 XDR이 등장했는데, XDR에 대해 ‘마케팅 용어일 뿐’이라고 부정적인 의견을 내놓 던 기업들도 일제히 XDR 플랫폼을 출시하면서 시장 흐름에 올라타고 있다.

XDR에 대한 정의는 벤더마다, 시장조사기관마다 다르지만, 대체로 엔드포인트, 네트워크, 이메일, 파일, 클라우드, 서버 등 위협을 탐지할 수 있는 모든 지점에서 데이터를 수집하고 상관관계 분석으로 공격을 가시화하고 대응하는 것을 말한다. 가트너는 여러보안 제품을 하나의 보안관제 체제로 통합한 SaaS라고 정의한다.

XDR의 필수 기술은 보안 에코시스템에서 데이터를 수집하고 정규화하며, 원격측정 데이터 상관관계를 액션 가능한 알림과 인시던트로 변환시키고, 보안 제품의 인시던트 대응 기능을 오케스트레이션하고 자동화하는 것이 포함된다. 또 XDR은 보호·탐지·대응 기능을 향상시키고 운영·보안 인력 생산성을 높이며, TCO를 낮추는 효과를 가져다준다.

XDR이 성공하기 위해서는 모든 보안 솔루션을 연동하는 것이 좋은데, 앞서 설명한 것처럼 이종 보안 솔루션을 연동하는 것이 쉽지 않다. 오픈XDR을 표방하는 스텔라사이버는 다양한 써드파티 연동이 쉽게 이뤄질 수 있도록 하는 플랫폼을 제공해 현재 보안 투자를 더 효율화 할 수 있도록 지원한다. 스텔라사이버는 MDR 공급업체 파고네트웍스의 ‘딥액트’ 플랫폼에 통합돼 XDR의 범위를 한층 더 확장한다.

통합 보안 기술로 공격면 제거

모든 보안 솔루션을 다 가진 글로벌 벤더들이 XDR 마케팅에 적극적이다. 자사 기술을 모두 소개하고 영업을 전개하는데 XDR이 매력적이기 때문이다. 엔드포인트, 네트워크, 이메일, 웹, 클라우드, 오케스트레이션까지 갖고있는 팔로알토 네트웍스, 마이크로소프트, 포티넷, 트렌드마이크로, RSA, 맥아피, 카스퍼스키 등이 XDR 플랫폼을 소개한다.

팔로알토 네트웍스의 ‘코어텍스 XDR’은 SOC 인력들이 요구하는 모든 기능을 하나의 플랫폼으로 통합했으며, 머신러닝 기능을 통해 하나의 위협이 탐지되고 자동화 대응까지 짧게는 몇 초, 길어야 몇 분 내에 끝나도록 했다. 첫 번째 침투 시도부터 차단까지 최대 몇 분 안에 완료되기 때문에 공격이 실제로 발생하기 전에 차단할 수 있다.

마이크로소프트의 ‘마이크로소프트 365 디펜더’·‘애저 디펜더’를 결합시킨 ‘마이크로소프트 디펜더’는 하나의 플랫폼에 통합·연계돼 보안을 단순화 하면서도 강력하게 한다. 마이크로소프트 디펜더는 SIEM·SOAR 솔루션 ‘애저 센티넬’과 연동돼 위협 탐지와 자동 대응 역량을 가속화한다.

M365 디펜더는 마이터 어택(MITRE ATT&CK) 평가에서 동급 최고의 실제 탐지 기능을 제공하는 것으로 평가됐다. 킬체인 전 단계에서 이메일, 문서, 엔드 포인트, ID, 앱에 대한 완벽에 가까운 보호를 제공하며, 클라우드 앱 시큐리티와 통합돼 조직 전체의 클라우드 앱과 서비스에 대한 위험을 평가하고 관리한다. AI와 자동화 기능을 통해 보안 이벤트를 50배까지 줄 여 보안조직이 위협을 더 빠르게 감지하고 대응할 수 있게 한다.

애저 디펜더는 다양한 하이브리드 클라우드 워크로드를 보호한다. 업계 최고의 위협 인텔리전스를 사용해 클라우드 워크로드에 대한 심층적인 통찰력을 확보한다. 데이터 서비스와 클라우드 네이티브 서비스, 서버, IoT를 보호하며, 가장 높은 수준의 위협에 대응한다.

애저 디펜더는 ‘애저 시큐리티 센터(Azure Security Center)’를 통해 제공해 하이브리드 클라우드 워크로드를 보호할 수 있다. 애저 시큐리티 센터는 하이브리드 클라우드 워크로드의 침해 탐지 및 대응 뿐 아니라 잘못된 설정과 구성 오류, 컴플라이언스 위반을 찾아 수정하도록 해 멀티 클라우드의 공격면을 지속적으로 제거한다.

XDR로 통합·단순한 보안운영 제공

통합 플랫폼과 SASE 전략을 펼치는 글로벌 기업들 은 자사 솔루션을 XDR로 통합해 단순화된 보안 운영을 제공할 수 있다고 강조한다.

트렌드마이크로의 ‘비전원(Vision One)’은 XDR과 지능적인 위협 탐지 센서를 이용해 우회공격을 탐지하며 전체 공격 과정을 신속하게 확인하고 대응할 수 있다. 매니지드 XDR 서비스를 이용하면 전문적인 위협 헌팅과 조사를 통해 보안을 강화할 수 있다.

써드파티 솔루션의 로그·이벤트, SIEM, SOAR 연계를 확장하고, 써드파티 보안 솔루션에 비전원의 탐지 내역을 쉽게 적용할 수 있도록 지원한다. SASE를 구성하는 솔루션들과 연계해 신속하고 정확한 위협 분 석과 대응을 지원한다.

포티넷의 ‘포티XDR’은 보안 솔루션 통합은 물론, 사고대응을 위한 조사에 AI를 도입해 공격으로 인한 피해를 최소화한다. 포티XDR은 EDR의 클라우드 네 이티브 엔드포인트 플랫폼을 확장했으며, 포티가드랩 보안 서비스를 기반으로 보안 패브릭과 위협 보호 기능을 강화한다.

맥아피 ‘엠비전 XDR’은 전 세계 위협 정보를 기반으로 현재 조직에 위협이 되는 것을 자동으로 알려줘 위협에 대한 신속한 조치가 가능하도록 한다. 뛰어난 엔드포인트 보안 기술을 적용해 선제방어와 랜섬웨어 탐지 대응을 지원하며, 사내 인프라로 침투해 확장하는 높은 수준의 공격에도 지능적으로 대응한다.

통합 프레임워크 ‘엠비전’은 EPP, EDR, CASB, CSPM, CWPP, WGCS, EDLP 등 모든 보안 솔루션을 하나의 관리 콘솔로 관리할 수 있게 한다. 또 재택근무·클라우드에 맞게 디자인돼 클라우드 변화 속도에 맞춰 지속적으로 기능이 향상되고 있다.

RSA는 ‘넷위트니스’가 최초로 통합된 XDR 플랫폼이라고 강조한다. 네트워크 패킷, 로그, EDR, 클라우드, 위협 인텔리전스, UEBA를 통합해 제공하는 넷위트니스는 쓰렛커넥트 SOAR 솔루션을 OEM으로 공급 받아 자동화된 대응 기능까지 녹여냈다. 넷위트니스는 개별 솔루션으로도 공급 가능하고 써드파티 연동이 쉬워 기존 투자를 효율화할 수 있다.

카스퍼스키의 ‘KATA’는 다계층 위협 탐지와 기업 네트워크, 엔드포인트에서 발생하는 활동의 세부적 평가를 사용해 정교한 위협과 표적형 공격을 방어한다. 추가 리소스 투입 없이 복잡한 위협 및 표적형 공격으로부터 기업 인프라를 효과적으로 보호할 수 있으며, IT 보안 팀이나 SOC 팀이 복잡한 위협 및 표적형 공격에 안정적으로 대응해 기존 타사 보호 기술을 보완한다.

MDR 서비스도 성공사례 이어져

위협 탐지와 대응은 전문적인 분석가와 운영조직의 역량이 있어야하기 때문에 보안 투자 여력이 충분하지 않은 조직은 도입하기가 어렵다. 이 조직도 지능적이고 교묘하게 진행되는 공격에 대응해야 한다는 절실함이 있기 때문에 위협 탐지와 대응을 매니지드 서비스로 제공하는 MDR이 주목받고 있다.

포레스터는 MDR과 MSS의 차이를 설명하며, 클라우드 탐지와 대응 기능, 여러 엔드포인트 에이전트 통합관리, 컨텍스트를 포함한 진보한 이벤트 분석 등이 필요하다고 설명했다. MDR은 원격보안관제, 파견보안관제의 개념이 아니라, SOC를 그대로 서비스하는 개념이다. 탐지된 위협을 분석하고 대응하는 MDR은 보안조직과 역량이 충분하지 않은 조직뿐 아니라 공격이 너무 많아 현재 SOC가 감당하기 어려운 조직에게도 유용하게 사용된다.

우리나라에서 MDR 서비스가 활성화됐다고 할 수 없지만, 파고네트웍스가 블랙베리 사일런스, 딥인스 팅크트, 스텔라사이버의 보안 기술을 자체 MDR 플랫폼 ‘딥액트’에 통합시켜 서비스를 제공하면서 의미 있는 성장을 이어가고 있다.