[데이터넷] XDR은 다양한 장비, 보안기술, 위협 인텔리전스(TI)를 연동해 최대한 많은 정보를 수집하고(eXtended), 수집된 정보를 기반으로 AI/ML 등 최신 기술을 이용해 연관관계를 분석해 보안위협을 탐지하며(Detection), SOAR 등을 통해 탐지·분석된 보안위협을 즉각 대응(Response)하는 솔루션이다.

특히 다양한 소스에서 보안 위협을 정확하게 분석하는 통합 플랫폼이 필요하며, 다양한 보안 생태계의 소스를 유연하게 분석할 수 있는 개방형 플랫폼이 필요하다. 그래서 ‘오픈XDR’의 중요성이 높아지고 있으며, 서버, 네트워크, 애플리케이션, 방화벽 로그 등 광범위한 데이터 수집과 빅데이터 프로세스, 이벤트 탐지, AI 기반 분석, 신뢰도 높은 알람 등을 수행하는 진정한 XDR이 필요하다.

왕정석 스텔라사이버 한국지사장은 “오픈XDR은 현재 기업에 구축된 보안 솔루션을 활용해 보안 투자를 보호하면서 위협 탐지와 대응 정확도를 높일 수 있다. 갈수록 복잡해지고, 비용 증가를 수반하는 최근 보안 문제를 해결하는데 오픈XDR이 최적의 대안을 제공할 수 있다”고 설명했다.

사이버 킬체인 전략으로 효과적인 위협 완화

왕정석 지사장은 9일 열린 ‘제 22회 차세대 보안 비전 2023’에서 ‘XDR을 활용한 차세대 보안운영 및 관제센터(SoC) 구축’이라는 주제의 세션을 통해 오픈XDR을 이용한 보안 개선 방안을 소개했다.

XDR은 EDR, NDR과 클라우드 위협 탐지를 결합한 것이라고 생각하는데, 스텔라사이버의 오픈XDR은 차세대 SIEM과 SOAR, IDS/멀웨어 분석, 위협 인텔리전스까지 포함해 다양한 데이터를 수집하고 분석해 정교한 보안위협에 대응한다.

또 사용자 엔티티 행위분석을 통해 정상 사용자의 비정상 행위를 찾아내며, 사용자와 시스템의 연관성 분석으로 보안 리스크를 평가하고 감염된 PC와 시스템을 조사해 내부 시스템의 감염 경로를 추적, 문제의 근본 원인을 찾아낸다. 카카오톡, 라인, 유튜브, 클라우드 서비스 등 4000여개의 프로토콜을 실시간 분석하며, 전 세계 16개 TI 기업의 인텔리전스 피드를 연동, 실시간으로 정제된 위협 인텔리전스 정보를 제공한다.

특히 다양한 보안 솔루션을 통해 수집한 정보를 정규화하고, 상관관계 분석, AI/ML 분석으로 정확도 높은 보안 이벤트 탐지와 자동화된 분류·대응을 지원한다. 멀티 테넌트 기능을 지원, 지사/계열사 및 사업장으로 데이터를 구분해 운영함으로써 비용절감 효과를 높일 수 있다. 각 테넌트 별로 별도의 AI/ML 동작을 위한 환경을 구성할 수 있다.

사이버 보안 킬체인 전략을 적용, 공격자의 목적과 의도를 파악하고 활동을 제어해 조직의 회복 탄력성을 지원한다. 특정 플랫폼에 종속되지 않고 PC부터 모바일, 서버, 클라우드까지 광범위한 사이버 보안 분류 기술로 공격행위 전반을 단계별로 분류하고 각 단계별 탐지기술과 방어 전략을 제공한다.

제조사 OT 환경도 보호

왕정석 지사장은 “오픈XDR은 한번에 모든 솔루션을 걷어내고 XDR로 전환할 것을 요구하지 않는다. 현재 보유한 장비를 적극 활용해 투자를 보호하면서 보안 생산성을 극대화할 수 있다. 오픈API를 통해 방화벽, CASB, EDR, 취약점 관리 등 다양한 보안 기술을 통합할 수 있으며, 모든 데이터를 규격화해 보안운영 효율성을 높일 수 있다”며 “오픈XDR은 보안운영을 효율화 해 효과적으로 위협에 대응할 수 있도록 지원한다”고 강조했다.

왕정석 지사장은 이 세션에서 실제 고객의 구축사례를 소개하면서 오픈XDR의 장점을 강조했다.

금융/증권사의 경우, 크리덴셜 스터핑 등 불법 로그인 시도를 탐지하고 거래망에 대한 다양한 위협을 제어하기 위해 XDR 도입을 검토했다. 이 기관은 미러링을 사용해 시스템 부하와 패킷 지연, 데이터 손실 없이 데이터를 수집해야 하며, 프로토콜을 디코딩해 실제 트레이딩과 관련된 데이터는 저장·보관·분석에서 제외해야 한다는 까다로운 조건을 갖고 있었다.

스텔라사이버는 WTS, MTS, HTS 전용 네트워크의 센서를 통해 네트워크 패킷을 수집, 1대의 장비에서 머신러닝 기반 조사, 분석을 수행했다. 기본 제공하는 클러스터링 기능으로 쉽게 확장·성능 향상을 가능하게 했다. 스텔라사이버 플랫폼은 일정기간 동안 발생한 로그인 실패 비율과 브루트포스 공격, 악성 IP 목록, 의심스러운 IP, 로그인 실패율, 비정상 사용자의 접속 시도 비율 등을 종합 분석해 불법 로그인 시도를 경고·차단했다.

스텔라사이버는 OT-IT 중간의 DMZ에서 위협을 차단, 제조사 보안을 강화하는 성과도 거뒀다. 스텔라사이버의 보안 센서를 OT에, 서버 센서를 DMZ에 설치하고, DMZ에 오픈 XDR 플랫폼을 설치했으며, IT 환경의 아이덴티티, 클라우드, 이메일, 데이터센터, 엔드포인트 보안위협 정보와 연계 분석해 제조환경을 노리는 지능적인 위협과 데이터 유출 시도에 대응할 수 있었다.

클라우드·OT·온프레미스 모든 환경 보호

스텔라사이버는 외부 TI와 연계해 신종 위협 대응 효과도 높인다. 외부 C&C 서버 정보를 사전에 보유한 TI DB에서 평판을 조회하고 위험도를 기반으로 한 알람을 제공했다. FBI로부터 ‘ortkvsa’에 대한 위협을 제공받은 후 이를 피드에 적용해 즉각 탐지했으며, 피싱 인텔리전스 단체 오픈피시에서 피싱 정보를 제공받아 암호·비암호화 된 피싱 사이트를 차단했다.

머신러닝을 통한 상관관계 분석 효과도 뛰어나다. NTA, DNS, TI, 피싱 정보를 연계 분석, 사용자가 수신한 이메일에 최근 등록된 피싱 사이트와 관련된 내용이 있는지 확인하고, 해당 사이트 방문 트래픽 탐지 시 피해를 입었는지 확인한다. NTA, NBA, IDS, 취약점 스캐너를 연계해 내부에서 발생한 트래픽 중 IDS가 취약점이라고 탐지하면, 스캐너가 이를 확인해 오탐을 제거하고 정확하게 취약점 대응이 가능하도록 한다.

트래픽과 SQL 쿼리 구문에 대한 AI 분석으로 SQL 셸 커맨드 공격을 탐지한 효과도 있다. 해커가 취약한 SQL 애플리케이션에 대해 액세스 권한을 탈취하기 위해 셸 명령어를 실행했다. 오픈XDR은 이 행위를 식별해 경보를 울렸다.

왕정석 지사장은 “스텔라사이버는 일반 온프레미스와 가상화·컨테이너 기반 클라우드, 퍼블릭 클라우드, OT 등 다양한 환경에 구축 가능하며, SIEM, NTA, OT 보안 등 인접 기술 솔루션과 비교해 더 포괄적인 영역의 보안을 지원하고, 정교하고 정확한 탐지와 대응, 비용 효과를 제공할 수 있다”며 “스텔라사이버는 모든 산업군의 조직이 안전하게 보안운영 할 수 있도록 적극 지원하고 있다”고 말했다.

김선애 기자 다른기사 보기