트렌드마이크로 ‘비전원’, 여러 계층서 위협 수집·교차분석해 지능형 위협 대응
[데이터넷] 복잡한 보안 문제를 해결할 수 있는 방법으로 XDR과 SOAR가 제안된다. XDR은 위협을 탐지하고 대응하는데 초점을 맞추고 있으며, SOAR는 보안운영센터(SOC)를 효율화하는데 중점을 둔다. 구축·운영 방법과 목적이 다르지만 실제 기능은 상당부분 유사하다. 모든 소스에서 데이터를 통합해 자동화된 위협 탐지와 대응으로 지능적인 사이버 위협을 효과적으로 완화하는 것이 XDR과 SOAR다.
이상적인 구축 방법을 제안한다면, 탐지 및 대응과 관련한 시스템은 XDR로 통합하고, SOAR로 SOC를 개선하는 것이다. 그러나 SOAR는 보안운영 전반을 개선하는 장기 프로젝트이며, 성공하기가 쉽지 않다. SOC의 프로세스가 표준화되어 있어야 하며, 풍부한 플레이북이 사전에 마련되어야 한다. SOAR 플랫폼과 연계되지 못하는 보안·IT 시스템으로 인해 통합·자동화가 완벽하게 이뤄지지 못했을 때 보안 사각지대가 남아있게 된다는 문제를 해결하지 못한다.
XDR은 완벽하게 모든 솔루션을 통합하는 것이 목표가 아니기 때문에 SOAR와 달리 쉽게 도입이 가능하다. XDR은 EPP와 EDR을 통합하는 것을 시작으로 이메일, 클라우드, 네트워크를 차례로 통합하면서 단계적으로 확장해나갈 수 있다. XDR을 성공적으로 도입했을 때, 엔터프라이즈 전략그룹(ESG)는 정규직 직원 8명에 해당하는 비용을 줄일 수 있고 공격유지시간을 65% 감소시킬 수 있다고 설명했다.
최영삼 한국트렌드마이크로 이사는 “XDR과 SOAR에 대한 관심이 많아지면서 둘 중 어떤 프로젝트를 먼저 시작해야 할지 고민하는 고객들이 늘고 있다. 상대적으로 쉽게 시작할 수 있는 XDR을 먼저 선택하는 것이 좋다고 판단한다”며 “현재 국내 많은 고객들이 EPP·EDR에서 시작해 다른 솔루션을 통합하는 방향으로 XDR 전략을 택하고 있다. 특히 금융기관과 엔터프라이즈 조직들이 복잡한 보안 문제를 해결하기 위해 XDR을 선택하고 있다”고 말했다.
단일벤더 장점 보여주는 XDR
XDR은 여러 소스에서 데이터를 수집하고 분석해 포인트 솔루션에서 탐지하지 못한 위협을 찾아낸다. 이종 솔루션도 XDR 플랫폼에 연동시킬 수 있지만, 쉽지는 않다. 각 보안 솔루션마다 생성하는 데이터 포맷이 다르고 탐지한 위협을 분류하는 기준도 제각각이며, 위험도를 결정하는 기준도 다르다. 많은 위협 탐지 솔루션이 마이터 어택 프레임워크에 따라 공격 유형을 분류하고 위험도를 측정하기 때문에 이전에 비해 쉽게 통합될 수 있지만, 단일 벤더 솔루션과 같은 통합은 어려운 일이다.
그래서 일각에서는 XDR이 단일 벤더 전략을 강화해 특정 공급업체에 대한 종속성을 높이는 것이라고 지적하는 목소리를 내고 있다.
그런데 단일 벤더 전략이 부정적인 것 만은 아니라는 것이 최근 트렌드인 것도 사실이다. 조직이 운영하는 보안 솔루션은 평균 50종이 넘는데, 이 모든 솔루션을 보안 조직이 다 파악하지 못하는데다가 사고 시 책임공방이 발생할 여지도 있다. 그래서 시장조사기관 중에서는 공급업체 통합을 강조하면서 단일 벤더 혹은 소수 벤더 솔루션을 사용하는 것이 긍정적인 효과를 거둘 수 있다고 강조한다.
최영삼 이사는 “가트너는 2020년부터 3년간 기업·기관의 80%가 공급업체 통합 전략을 추진하거나 통합할 계획이라고 전망한 바 있다. XDR이 빠르게 성장하는 이유도 보안 솔루션을 통합해 복잡성을 낮추기 위한 것이다. 단일벤더 혹은 소수 벤더 전략이 향후 비즈니스를 보호하는데 좋은 선택”이라고 설명했다.
지능화·단순화된 보안 운영 지원
통합·단순화된 보안 운영을 지원하는 트렌드마이크로 XDR은 ‘크로스 레이어드 탐지와 대응(Cross Layered Detection and Response)’으로 소개된다. 트렌드마이크로는 ‘확장된(X)’의 뜻이나 범위가 분명하지 않기 때문에 시장의 혼란이 있다고 설명하면서 모든 소스, 모든 레이어에 대한 교차분석과 연계 분석을 통한 위협 탐지·대응이 필요하다고 강조한다.
트렌드마이크로는 엔드포인트, 네트워크, 이메일, 클라우드, 모바일 등 모든 소스에서 생성된 데이터를 XDR 데이터 레이크로 모아 교차분석, 상관관계 분석을 수행, 개별 보안 솔루션에서 탐지하기 어려운 위협 증거를 찾아낸다. 위협 인텔리전스와 마이터 어택 프레임워크 매핑으로 정확하게 위협을 식별하고 자산 전반에서 영향의 범위를 파악해 즉시 조치할 수 있게 한다.
트렌드마이크로 XDR 솔루션 ‘비전원(Vision One)’은 제로 트러스트 위험 인사이트, 기타 위협 방어 애플리케이션, 써드파티 솔루션을 결합해 보안팀이 보안 리스크를 낮출 수 있게 하며, 더 높은 우선순위의 위협에 먼저 대응할 수 있게 해 보안 업무 효율성을 높일 수 있게 한다.
제로 트러스트 위험 인사이트 기능으로 위협과 취약점 탐지, 클라우드 애플리케이션 활동, 계정 침해와 이상탐지에 대해 지속적으로 평가할 수 있게 한다. 조직 차원의 전반적인 위험과 시간에 따른 동향, 동종업계 혹은 지역 내 기업과 비교해 적절한 대응을 할 수 있게 한다.
또한 트렌드마이크로는 SOC를 조직하지 못하거나 보안 조직이 제대로 갖춰지지 못한 기업을 위해 관리형 XDR(MXDR) ‘트렌드마이크로 서비스 원’도 제공한다. 이는 트렌드마이크로의 보안전문 인력을 통해 연중무휴 지원하는 보안관리 서비스로, 침해대응 서비스까지 포함해 보안 전문성을 충분히 갖추지 못한 기업의 위협 대응을 도와준다.
윤명익 한국트렌드마이크로 이사는 “현재 보안조직은 조직 전체의 위협 가시성과 위협 레벨 분류, 자동화된 탐지와 대응, 침해대응, 마이터 어택 프레임워크 지원이 가능한 통합된 보안 정책을 요구한다. XDR은 이러한 요구를 모두 만족하면서 단순화된 보안운영을 지원해 보안조직이 더 높은 수준의 위협 대응에 집중할 수 있게 한다”고 말했다.
그는 이어 “트렌드마이크로 ‘비전원’은 포레스터, 마이터 어택, 가트너 등 여러 시장조시가관과 보안 전문기관으로부터 탁월한 탐지·대응 능력을 인정받은 솔루션으로 보안조직이 요구하는 것을 거의 대부분 수용할 수 있다”고 덧붙였다.
