NDR, 조직 환경에 맞는 AI 구축 모델 적용해야…장기적으로 SOAR에 통합
[데이터넷] 네트워크 위협 탐지 및 대응(NDR) 솔루션 시장이 지난 한 해 22.5% 증가하는 등 고속 성장을 이어가고 있다. 가트너의 ‘새로운 트렌드: 네트워크 탐지 및 대응의 주요 사용 사례’ 보고서에 따르면 전 세계 NDR 시장은 지난해 9억3400만달러 규모를 형성했으며, NDR 도입 문의가 지속적으로 증가하고 있어 향후 더 높은 시장 성장을 기대할 수 있다고 분석했다.
이 보고서는 NDR 솔루션이 갖춰야 할 중요 기능과 사용사례를 분석한 것으로, NDR의 중요 기능은 ▲위협 탐지 ▲높은 위험도와 낮은 위험도를 구분하는 위협 헌팅 ▲보안 분석가 역량 향상 등이 필요하다고 강조했다. 또 ▲암호화된 트래픽의 위협까지 탐지할 수 있도록 개선된 AI 기반 엔진 ▲위협 헌팅 기능 개선 ▲포렌식 통합 ▲보안 오케스트레이션, 자동화 및 대응(SOAR) 제품 통합 등이 필요하다고 분석했다.
NDR의 주요 기능 요구사항을 만족하는 벤더로 우리나라 기업인 쿼드마이너(대표 박범중)가 포함돼 주목된다. 쿼드마이너는 가트너가 처음 NDR을 정의하고 보고서를 공개한 ‘2020년 신흥 기술: NDR 도입과 성장에 대한 인사이트’와 2021년 동일 보고서에 소개됐으며, 이번에 발표한 보고서에서도 중요 공급 벤더에 포함됐다.
이번 보고서에서 언급된 NDR 주요 벤더는 쿼드마이너 외에 다크트레이스, 파이어아이, 기가몬, 엑스트라홉, 벡트라, VM웨어 등이 있다.
박범중 쿼드마이너 대표는 “가트너의 이번 보고서는 NDR이 제공해야 하는 주요 기능과 활용 사례를 집중 분석했다. 그 결과 지난 보고서보다 언급 벤더 수가 줄었다. 최신 NDR이 요구하는 기능을 충족하기 쉽지 않다는 뜻으로 해석할 수 있다”고 설명했다.
박 대표는 “쿼드마이너는 가트너가 지목한 핵심 기능을 모두 충족하며, 고객 환경에 따라 탐지·헌팅·포렌식·대응 기능을 유연하게 적용할 수 있으며, 여러 탐지 엔진을 이용해 고객 환경에 특화시켜 탐지 정확도를 향상시킬 수 있다”고 소개했다.
그는 이어 “쿼드마이너 ‘네트워크 블랙박스’는 선택적으로 가능한 풀 패킷 분석저장, 메타데이터, 플로우, 페이로드 저장을 하거나, 저장 공간·기간에 따라 밸런스에 맞게 효율적으로 관리할 수 있다. 문제가 될 수 있는 원본 혹은 근본이 되는 정보를 가지고 있기 때문에 언제든지 능동적으로 대응할 수 있으며, 온프레미스 기능을 퍼블릭·프라이빗 클라우에서 제공할 수 있다”며 “이러한 기술력을 인정받아 이번 보고서에도 인정받은 것”이라고 강조했다.
NDR, AI·클라우드 지원해야
한편 이 보고서에서는 NDR에 적용되는 AI는 다른 솔루션의 AI 기반 탐지와 다르다는 것을 강조하고 있어 주목된다. AI를 적용한 보안 분석 솔루션의 문제는 AI가 탐지한 위협 이벤트가 어떤 과정을 통해 위협으로 분류됐는지 정확하게 알 수 없다는 것이다. 또 노이즈가 많아 실제로 진행되는 중요 위협을 명확하게 구분할 수 없다.
혼란스러운 AI 적용 여부에 대해 결정할 때, 가트너는 NDR에서 AI를 제외했을 때 어떤 탐지 능력을 제공할 수 있는지 살펴볼 것을 권고했다. AI를 사용하지 않아도 위협을 정확하게 찾아낼 수 있다면 AI를 적용해 관리와 분석의 어려움을 가중시킬 필요가 없다. AI를 적용해 분석가가 보지 못한 위협을 찾아낼 수 있다면 당연히 AI를 적용해야 한다.
이러한 배경에서 가트너는 NDR이 AI 뿐 아니라 기존의 위협 인텔리전스, 서명, 휴리스틱, 분석, 통계분석도 필요하다고 설명하며, 단 하나의 방법만으로 위협을 탐지할 수 없다고 강조했다.
NDR을 도입할 때 주의해야 할 또 다른 사항으로 클라우드를 들 수 있다. IaaS를 이용한다면 조직이 네트워크를 소유하지 않기 때문에 분석할 수 있는 범위가 제한적이다. SaaS는 탐지엔진을 적용할 수 잇는 API가 제공되며, 하이퍼스케일러는 탐지 소스로 사용할 수 있는 로그 데이터를 제공한다. 네트워크 패킷을 검사하는 NDR은 이 같은 다양한 환경 지원에 제약이 있을 수 있으므로, 다양한 클라우드 보안 솔루션, NAC, EPP, 방화벽, AD 등과 연계해 위협에 대응해야 한다. 장기적으로는 SOAR 플랫폼에 연동되어 자동화된 탐지·대응 프로세스를 만들어야 한다.
탐지, NDR 핵심 기술
이번 보고서에서 NDR의 사용 사례 중 가장 핵심적인 것으로 ‘탐지’를 들었다. NDR을 사용하는 핵심 요인이 위협을 탐지하는 것이며, 실제로 NDR 구입 고객의 49%가 위협 탐지를 위해 사용하고 있다.
IDS/IPS, 네트워크 성능 모니터링 및 진단(NPMD), EDR, XDR 등 다른 위협 탐지와 대응 솔루션과 차이점도 이 보고서에서 설명하고 있는데, NDR은 AI를 이용해 네트워크 풀 패킷을 분석, 알려지지 않은 위협을 탐지한다는 것이 다른 제품과 차이점이다.
특히 NDR은 ▲로우 패킷 또는 플로우 레코드(또는 둘 다)에서 네트워크 기반 분석 ▲AI 지원 탐지로 암호화 패킷까지 부석 ▲보안 중심 탐지 및 통찰력 ▲네트워크가 아닌 다른 소스의 인텔리전스를 활용할 때 독창적인 통찰력 제공 등의 특성을 갖는다.
NDR은 위협 헌팅에도 사용되는데, 가트너는 ‘헌터 NDR’을 개발하는 벤더도 있다고 소개했다. 위혐 헌팅은 높은 전문성을 필요로 하기 때문에 충분히 준비된 조직이 아니면 적용이 어렵다. NDR이 보다 쉽게 위협 헌팅을 할 수 있도록 블랙박스 역할을 할 수 있다.
NDR의 포렌식 기능은 보안운영센터(SOC)를 성숙시키는 도구로도 사용된다. 위협 헌팅과 함께 사용하면 SOC 성숙도를 한층 더 높일 수 있다.
대응 기술은 대부분의 NDR 구매자가 찾는 것이지만, 실제로 적용하는 사례는 많지 않다. NDR 사용 사례의 2%만이 인라인 대응 기능을 사용하며, 98%는 SOAR 등 다른 보안제품과 통합해 사용한다.
