실제 운영 환경서 통합되는 범위·자동화 수준 따져봐야
[데이터넷] 메일을 수신만 해도 트리거링되는 익스플로잇이 발견됐다. 크로미움 계열 브라우저의 확장 프로그램이 사용자 이메일을 자동으로 해커에게 보내는가 하면, 구글 계정에 로그인된 PC에서 사용자의 스마트폰에 악성앱을 무단으로 설치하는 공격도 등장했다.
공격자들은 정교한 타깃 맞춤형 악성코드뿐만 아니라 정상적으로 사용하는 프로그램과 기능을 악용한다. 클라우드 확장이 가속화되면서 클라우드에 설치된 도구를 활용하는 LotC(Living off the cloud)도 성행하고 있다. 공격 비용이 적게 들고, 기존 보안툴에 적발되지 않다 클라우드 인프라 공격에 활용되고 있다.
정상적으로 사용되는 침투테스트 도구, 레드팀 툴도 공격자에게 악용된다. 지하시장에서는 크랙된 레드팀 도구가 거래되고 있으며, 무료 침투테스트 도구를 이용해 목표 조직의 취약점을 파악하고 침투에 성공한 사례가 공유되고 있다.
사회공학 기법을 이용한 악성메일과 악성앱도 공격 성공률이 높다. 업무와 관련된 내용, 신뢰할 수 있는 기관으로 위장한 메시지로 메일을 보내거나 앱 설치를 유도한다. 처음에는 일상적인 내용으로 접근해 메시지를 주고받다가 피해자와 신뢰가 쌓였을 때 업무를 위한 사이트 혹은 앱으로 위장해 피해자가 악성 사이트에 방문하거나 악성앱을 설치하도록 유도한다.
공격자들은 수단과 방법을 가리지 않고 목표 사용자와 조직에 침투한다. 계정과 개인정보, 중요 정보를 탈취해 판매하거나 다른 공격에 이용한다. 랜섬웨어 공격으로 서비스를 마비시킨 후 몸값을 받아내고, 공격에 이용한 취약점 보고서를 피해 조직에게 강매하면서 추가 수익을 얻기도 한다.
보안 경보 증가하며 위협 대응 더 어려워져
공격자들이 사용할 수 있는 도구는 너무나 많다. 쉽게 발견할 수 있는 취약점, 잘못된 설정, 공개된 포트, 암호화하지 않고 클라우드에 업로드된 중요정보, 남용된 권한, 실수 혹은 고의로 잘못을 저지르는 임직원, 보안에 취약한 파트너, 복잡한 소프트웨어 공급망 등 타깃 맞춤형 악성코드를 제작하지 않고도 공격자 들은 목표 조직에 침투할 수 있다.
이러한 공격에 대응하기 위해 보안 조직은 모든 소스에서 위협 데이터를 수집해 분석하고 위협에 대응하고자 한다. 엔터프라이즈 전략그룹(ESG) 조사에 따르면 80%의 조직이 10개 이상 데이터소스를 보안운영에 사용하고 있으며, 엔드포인트, 위협 인텔리전스 피드, 보안 기기의 로그 데이터, 클라우드 보안 유지 관리 시스템, 넷플로우, IPFIX 데이터, VPC 플로우 로그 등이 중요 소스가 된다.
보안운영센터(SOC)는 이렇게 수집한 데이터를 분석해 위협을 파악하고 대응한다. 91%의 조직은 사용자정의 탐지 규칙을 개발해 대응하고 있으며, 보안 벤더가 제공하는 탐지 룰, 개방형 표준 탐지룰 등을 이용해 최신 위협 상황에 맞게 대응하고 있다.
그러나 너무 많은 데이터로 인해 너무 많은 보안경 보가 발생해 실제 위협을 식별하지 못한다는 문제도 함께 갖고 있다. ESG 조사 응답자의 52%가 보안운영이 2년 전에 비해 어려워졌다고 답했는데, 그 이유로 위협환경 증가(41%), 공격표면 증가(40%), 보안 경 보와 규모, 복잡성 증대(37%)를 꼽았다.
보안위협이 복잡해지면서 보안 전문가 수요도 늘고 있지만, 보안 전문가는 언제나 부족하다. 거의 모든 보안조직은 상시적인 인력난을 겪고 있다. 경제상황이 악화되면서 보안 예산 증가율이 둔화되고, 보안 인력과 기술 투자가 위축되고 있어 보안 대응 역량은 더욱 부족해지고 있다.
네이티브 통합·완전한 자동화
이 문제를 해결하는 방법으로 위협 탐지와 대응을 통합·자동화하는 플랫폼이 제안된다. 보안조직의 90%는 보안운영 프로세스를 자동화하고 있으며, 이를 통해 위협 탐지 개선(51%), 평균 대응 시간 개선(49%), 인시던트 우선순위 설정 개선(44%), 감염된 자산의 신속한 격리(44%) 등의 효과를 기대하고 있다.
그러나 통합과 자동화가 결코 쉽지 않다. 이미 구축된 보안 시스템 중에서는 통합이 어려운 솔루션이 많다. 모든 소스에서 이벤트를 수집해 데이터 레이크에 모으는 것까지 완성했다 해도, 각각의 데이터를 정규화하고 연계분석하는 일이 쉽지 않다.
자동화를 위해서는 모든 업무와 보안 프로세스를 표준화해야 하는데, 이종 솔루션 운영 환경에서 표준화 작업이 쉽지 않다. 업계 모범사례를 따른다 해도 각 업무 상황과 비즈니스 성격에 따라 모범사례를 적용하지 못하는 경우도 많다.
하이브리드 업무 환경이 도입되고 클라우드 전환이 가속화되면서 보안 복잡성 문제는 더 심각해진다. 사무실과 집, 원격지 사무소 등의 근무를 병행하는 하이브리드 업무 환경에서는 임직원과 파트너, 고객이 모든 장소에서, 모든 기기와 네트워크를 이용해, 온프레미스 및 분산된 클라우드 앱에 접근한다. 분산된 환경과 애플리케이션에서 일어나는 모든 활동을 모니터링하기에 현재 보안은 충분하지 않다.
‘절대 신뢰하지 말고 항상 검증하라’는 원칙의 제로 트러스트가 보안 문제의 해결책으로 제안되지만, 제로 트러스트는 보안에 접근하는 방향 중 하나이지, 구체적으로 어떤 기술과 솔루션을 사용할 것을 전제하지 않는다. 제로 트러스트를 위해서는 반드시 지속적인 검증을 위해 통합되고 자동화된 보안 프로세스가 필요하지만, 기존에 운영하던 보안 시스템에 자동화 솔루션을 추가하는 방법은 복잡성을 더 높이는 역효과를 낳게 된다.
단일 플랫폼서 위협 가시화·제어
이러한 배경에서 XDR(Extended Detection and Response)이 부상하고 있다. XDR은 엔드포인트, 이 메일, 서버, 클라우드, 네트워크, 모바일 등 모든 공격접점에서 위협을 탐지하고 대응하는 단일 보안 플랫폼이다. 여러 소스에서 정보를 수집하며, 중앙 리포지토리에서 데이터를 정규화하고 중앙 집중화해 보안 위협을 신속하게 평가하고, 리스크를 수치화해 대응 우선순위를 알려준다. 단일 플랫폼에서 투명하게 위협을 가시화하고 제어할 수 있게 해 보안팀의 부담을 줄이면서 위협에 정확하게 대응할 수 있다.
XDR은 처음부터 완벽한 통합과 자동화를 전제로 시작하는 솔루션이 아니기 때문에 다른 통합·자동화 플랫폼에 비해 쉽게 도입할 수 있다. 가장 일반적인 XDR 사용사례는 엔드포인트 통합 보호 플랫폼(EPP)과 엔드포인트 탐지와 대응(EDR)을 사용하다가 다른 탐지·대응 기능을 추가하는 방식이다. EPP와 EDR이 보지 못하는 다른 공격접점의 위협을 탐지·대응하는 기능을 플랫폼을 통해 단계적으로 확장하면서 비즈니스 전반의 위협을 관리할 수 있게 한다.
가트너는 EPP에 EDR이 통합되고, XDR로 진화하 고 있다고 내다보면서, 2026년 말까지 신기술 도입에 적극적인 기업의 80%가 XDR의 일부로 EDR을 사용할 것이라고 예상했다. 그리고 2022년 조사에서 기업의 21%가 이미 XDR 기능을 보유하고 있다고 분석했다.
XDR의 통합 범위가 정해진 것은 아니다. 대체로 엔 드포인트, 네트워크, 이메일, 클라우드, 모바일 위협 탐지와 대응을 통합하며, 일부 엔드포인트 보안 기업은 ID 위협 탐지와 대응(ITDR) 기능을 추가하고 있다. 또 최근에는 공격표면 리스크 관리(ASRM)를 추가하면서 선제방어 기능을 강화하기도 한다.
보안 전문가 61%만이 “XDR 잘 안다” 답해
XDR은 2018년 가트너가 ‘여러 보안 제품을 보안운영 시스템에 통합한 위협 탐지 및 사고 대응 도구’라고 소개하면서 시작했다. 그러나 XDR에 대한 시장의 이해가 낮아 본격적인 성장 가도에 오르지는 못했다.
ESG 조사에 따르면 보안 전문가 61%만이 XDR을 잘 알고 있다고 답했는데, 55%는 EDR의 연장으로 XDR을 이해하고, 44%는 단일 보안 기술 공급업체가 제공하는 탐지·대응 제품이라고 생각하고 있어 보안 전문가조차 XDR을 충분히 이해하지 못한 것으로 보인다.
EDR을 운영하다 XDR로 확장하는 사례가 많아서 EDR을 XDR의 전신이라고 생각하는 견해도 있는데, 이러한 접근으로는 XDR에 실패하게 된다.
EDR은 XDR의 구성요소 중 하나로, 엔드포인트에서 일어나는 행위를 분석해 엔드포인트 위협을 가시화하고 보안팀의 대응책을 알려준다. 그런데 보안팀이 인지하기 전에 공격이 네트워크를 통해 다른 시스템으로 이동한 경우 가시성을 제공하지 못한다.
XDR은 EDR을 포함한 여러 위협 탐지 도구를 이용해 공격 전반을 가시화한다. S&P 글로벌의 시장 인텔리전스 보고서에서는 XDR을 ‘보안 스택 전반에 걸쳐 원격 측정을 집계, 분석, 인텔리전스를 추가해 데이터를 해석·연관시키고 IT 생태계 전반에서 위협을 탐지 하는 솔루션’이라고 정의했다.
ESG는 진정한 XDR 플랫폼은 보안 분석가가 대상을 명확히 하고 효과적인 방식으로 위협에 대응하는데 필요한 종합적인 가시성과 상황 인식을 제공한다고 설명했다. 이 맞춤형 대응 방식은 위협 자체뿐만 아니라 위협에 대한 대응이 시스템에 미치는 영향을 억제하는 데 도움이 된다고 덧붙였다.
단일 벤더 솔루션도 타사 제품 통합 지원해야
가트너는 XDR을 이용해 사이버 보안팀의 난제를 해 결할 수 있다고 설명한다. 가트너는 XDR이 ‘시간이 많이 걸리는 프로세스를 자동화하고 탐지 및 대응 시간을 단축시킨다. 유지 관리가 덜 필요하기 때문에 모든 산업 부문의 모든 규모의 리소스 제약 조직에 적합하다’고 설명한다.
XDR은 핵심 프로세스를 자동화하고 복잡성을 증가시키지 않으면서 비용 효율적인 방식으로 전반적인 탐지와 대응을 개선, 기업이 사이버 보안 기술 격차를 해소하는 데 도움을 준다. XDR은 더 많은 인력을 충원하지 않아도 기존 보안 조직의 업무를 효율화해 보안 탐지와 대응 업무를 줄일 뿐 아니라 우선순위가 높은 다른 작업에 보다 집중할 수 있게 한다.
XDR의 도입 효과가 증명되면서 성장 속도가 빠르게 높아지고 있다. 시장조사기관 그랜드뷰리서치는 전 세계 XDR 시장규모가 2022년 7억5480만달러 규모였으며, 2023년부터 2030년까지 연평균 20.7% 성장할 것으로 예상했다. 그랜드뷰리서치는 “보안조직이 XDR이 여러 보안 솔루션 관리와 관련된 복잡성을 줄이고, 경고피로를 낮춰 보안을 효율화할 것이라 기대하며 XDR 솔루션을 도입한다”고 설명했다.
XDR 시장이 급격한 성장을 이룰 것으로 기대되면서 많은 XDR 솔루션이 경쟁적으로 출시되고 있다. 그런데 XDR의 개념이 명확하지 않아 상당한 오해가 생기고 있다. 그 중 하나가 ‘XDR은 여러 보안 솔루션을 가진 대형 IT·보안 기업들의 업셀링 전략’이라는 것이다.
가트너를 비롯한 여러 시장조사기관이 보안 복잡성을 낮추기 위해 단일 벤더 솔루션의 강점을 강조하고 있다. 또 현재 보안 트렌드가 단일 벤더를 추구하는 것도 사실이다. 그러나 어떤 보안 기업도 자사 솔루션만으로 XDR을 완성하지 못한다. 고객의 기존 보안 투자를 보호하면서 단계적으로 XDR로 확장해야 하기 때문에 완벽한 단일 벤더 솔루션만으로 XDR을 구축할 수는 없다.
XDR 도입 시 점검해야 할 것은 해당 XDR 솔루션이 포함하는 위협 탐지·대응 범위와 타사 솔루션과의 통합, 기존에 구축된 솔루션의 연동 용이성을 확인하는 것이다. 또한 파트너 에코시스템을 파악해 기업·기관에서 사용하는 다양한 툴의 사전 통합이 이뤄졌는지, 혹은 쉽게 통합 가능한지 살펴보는 것도 필요하다.
더불어 플랫폼이 완전히 통합되고, 자동화되어 운영되는지, 현재 조직의 IT 팀이 쉽게 운영할 수 있는지 확인해야 한다. 단일 벤더의 네이티브한 통합 플랫폼 혹은 에코시스템을 통한 용이한 통합을 강조하는 XDR 솔루션 중 통합의 흉내만 냈을 뿐 실제 운영 환경 에서는 모든 기능이 각각 별개로 운영되고, 심지어 관리 콘솔조차 개별적으로 제공되는 경우도 있기 때문이다. 더불어 통합 과정이 신속하게 진행돼 구축 기간을 단축시키고, 운영 복잡성을 높이지 않는지 반드시 확인해야 한다.
IT-OT 통합 위협 탐지·대응 지원
XDR은 공격 전반의 가시성을 제공해 최적의 대응을 결정할 수 있으며, 경고와 인시던트의 관계를 설명하고 우선순위를 지정해 분석가의 시간과 리소스를 줄일 수 있다. 전문 스킬 없이 고급 위협 탐지와 조사가 가능하며, 반복적인 위협 탐지·대응 작업을 자동화해 지능적인 위협 대응 성과를 개선할 수 있다.
XDR은 IT 영역뿐만 아니라 OT 영역도 지원할 수 있다. 최근 IT 보안조직에서 OT까지 통합관리하는 것이 대세를 이루면서 XDR의 OT 지원 범위가 넓어지고 있다. OT 지원 XDR은 OT 환경 내에 있는 IT 장비와 네트워크, 그리고 OT 보안 장비에서 생성되는 데이터를 통합하고 연계분석해 IT와 OT 타깃 공격을 효과적으로 제어한다.
ESG 조사에 따르면 보안 전문가들이 기대하는 XDR 도입 효과는 ▲위험성 기반 경보 우선순위 설정 (26%) ▲정교한 위협 탐지 개선(26%) ▲위협·포렌식 조사 효율성 개선(25%) ▲기존 위협 탐지 도구에 레이어 추가(25%) 등이었다. 또 25%는 XDR로 위협 탐지 개선을 통해 보안 제어 강화와 향후 유사한 공격 방지 효과를 기대한다고 답했다.
XDR의 통합 위협 탐지와 대응 효과를 SOC에서 제대로 누리기 위해 XDR이 갖춰야 할 필수적인 기능이 있다. 서로 다른 프로토콜, 제품, 보안 계층에서 제공하는 데이터를 수집하는 것이 기본이다. XDR은 엔드포인트, 네트워크, 이메일, 클라우드, 모바일, IoT, 그리고 타사 애플리케이션까지 모든 소스에서 데이터를 수집해 데이터 레이크에 모은다. 그리고 보안분석 엔진이 해당 데이터를 처리하고, 정의된 필터, 규칙 또는 모델을 기반으로 경고를 트리거 한다.
XDR 플랫폼으로 들어오는 정보를 연결해 보안 이벤트와 그 심각성을 식별하며, 탐지된 위협을 분류하고 리스크 수준을 수치화해 우선 대응해야 할 이벤트를 먼저 보여준다. 그래서 SOC가 가장 높은 위험도의 인시던트에 대응해 심각한 보안위반을 막을 수 있게 하고, 경고 피로를 줄일 수 있다.
XDR은 반복되는 경고에 대해서는 정책에 따라 자동으로 대응한다. 확실하게 위협으로 분류된 악성 IP 주소, 메일 서버 도메인 차단, 감염된 기기 격리, 파괴된 시스템과 데이터 복구 등의 조치를 자동으로 처리 해 SOC 업무를 줄인다.
더불어 데이터 수집, 정규화, 연계분석과 우선순위 지정, 자동대응에 AI/ML을 적용해 정확도를 개선한다. 분석가가 검토할 수 있도록 AI 기반 의심스러운 행위 프로필을 만들어 플래그를 지정할 수도 있다.
XDR은 수동적으로 발생하는 위협을 탐지할 뿐 아니라 위협헌팅을 통한 적극적인 선제대응도 지원한다. 원격측정과 자동화 기능을 사용해 잠재적인 위협의 발 생 위치, 확산 방식, 영향 받을수 있는 사용자와 기기, 네트워크를 파악하고 선제적으로 대응한다. 이를 자 동화해 SOC 업무 부담을 줄인다.
다양한 탐지·분석 기술 필요
가능한 많은 데이터를 수집해 분석하는 것이 XDR 탐지·대응에 도움이 되지만, 불필요한 데이터가 너무 많으면 보안 조직이 경고피로를 겪으며, 중요한 위협에 적절히 대응하지 못한다. 그래서 XDR은 여러 IOC와 마이터 어택(MITRE ATT&CK) 프레임워크, 다양 한 플레이북 기반 대응 등으로 탐지 정확도를 높여야 한다.
마이터 어택은 공격자의 전략, 기술, 절차(TTP)를 반영해 최적의 대응 방안을 제안한다. 플레이북은 위협을 탐지하고 분류해 적절한 대응을 매뉴얼화한 SOC 대응 프로세스로, 기업 자체에서 만든 플레이북과 벤 더 혹은 타사 기관에서 제공하는 플레이북, SOC 운영 중 자동으로 생성되는 플레이북 등을 적절히 결합해 XDR에서 활용할 수 있어야 한다.
XDR에 최근 요구되는 중요한 기술 요소 중 하나가 외부 공격표면 관리(ASM, EASM)이다. 관리되지 않고 방치된 자산, 노출된 취약점, 공개된 포트, 암호화되지 않은 채 검색되는 계정정보와 중요한 데이터 등을 이용해 공격자가 침입할 수 있다. 이러한 공격표면을 탐지하고 적절하게 조치하는 ASM이 XDR에 포함되면 IT 내·외부 전반의 위협을 더 효과적으로 관리할 수 있다.
더불어 사이버 위협 인텔리전스(CTI)와 연계 분석도 필요하다. CTI는 XDR 벤더 자체 인텔리전스뿐 아니라 타사 인텔리전스도 두루 연결할 수 있어야 한다. 그래야 전 세계에서 발생하는 위협에 더 효과적으로 대응할 수 있다.
“SIEM은 탐지·SOAR는 대응에 초점 맞춰”
XDR의 중요 기술과 활용사례를 보면, SIEM, SOAR와 유사한 점이 많다. 셋 다 다양한 리소스에서 데이터를 수집해 통합 분석하고, 리스크 우선순위를 정하며, 자동 대응으로 SOC를 효율화할 수 있다. 그러나 세 기술이 제안된 배경이 다르기 때문에 활용사례 역시 다르다고 할 수 있다.
SIEM은 이미 성숙도가 높은 시스템으로, 대부분의 SOC, 보안관제 조직에서 사용한다. 모든 시스템의 로 그를 수집, 분석해 위협을 탐지한다. SIEM은 사용자 엔티티 행위 분석(UEBA)을 접목해 보안 탐지 임계점 이하로 활동하는 정상적인 행위에서 이상행위를 찾아 보고한다. 또 SIEM은 규제준수와 표준 컴플라이언스 등을 만족시킬 수 있는 솔루션이기도 하다.
SOAR는 다양한 보안 솔루션에서 발생시키는 위협 이벤트를 처리하는 과정을 자동화 한 SOC 도구다. 이 벤트를 수집해 적절한 분석 도구로 보내고, 분석 결과를 처리할 수 있는 시스템으로 보내는 과정을 자동화 해 보안 분석가의 업무를 줄인다.
SIEM과 SOAR는 구축에 상당한 시간이 걸리고, 운영을 위한 전문성도 요구된다. SIEM과 SOAR는 솔루션 도입이 아니라 구축 프로젝트로 진행된다. ESG 조사에서 보안 전문가들은 SOAR가 저절로 이뤄지지 않으며, 선행계획과 투자, 적절한 기술이 요구된다고 설명했다. 전문가 90%는 SOAR 도입을 위해 자동화 워크플로우, 대응 플레이북이 필요하다고 밝혔고, 80%는 SOAR 도구 사용이 예상보다 복잡하고 시간이 많이 든다고 답했다.
SIEM과 SOAR의 기능이 유사한 점이 많아서 SIEM의 차세대 버전이 SOAR라고 보는 견해도 있고, SOAR 구성 요소 중 하나로 SIEM이 포함된다는 견해도 있다. 포레스터는 SIEM이 ‘탐지’에, SOAR는 ‘대응’에 더 초점을 맞추고 있다고 설명한다.
위협 식별 능력 뛰어난 XDR
XDR의 핵심 기술 요소 중 SIEM, SOAR와 겹치는 것이 많지만, 활용 사례는 다르다. XDR은 위협 탐지와 대응에 집중하는 플랫폼으로, 정상적인 범위 내에서 진행되는 교묘한 위협까지 효과적으로 식별할 수 있다. 업계 리딩 그룹에 속한 XDR은 자체 통합되는 솔루션이 많으며, 여러 보안 솔루션과 사전에 통합된 커넥터를 제공해 쉽게 이종 솔루션과 통합될 수 있다. 커스텀 솔루션과 비표준 솔루션도 다양한 방 법으로 통합될 수 있게 한다.
XDR은 SIEM·SOAR에 비해 쉽게 도입되고 사용될 수 있으며, 고도의 전문성을 요구하지 않지만, 과도한 보안 업무를 갖고 있는 엔터프라이즈나 보안 조직을 별도로 꾸리지 못한 SMB는 XDR도 부담스럽게 느껴질 수 있다.
그래서 XDR을 매니지드 서비스로 제공하는 MXDR 모델도 각광받고 있다. MXDR은 XDR 벤더가 직접 운영하기도 하며, 매니지드 서비스 파트너를 통해 제공되기도 한다. 네트워크 위협 탐지에 초점을 맞추는 원격보안관제와 달리, MXDR은 XDR이 제공하는 모든 범위에서 위협을 찾아 고객에 알리며, 계약 혹은 정책에 따라 자동으로 대응하고 그 결과를 안내한다. 일부 MXDR 서비스 기업은 실시간 위협헌팅 서비스를 지원해 선제방어 능력도 제공한다.
XDR 운영할 SOC 역량 감안해 선택해야
XDR의 궁극적인 목적은 위협을 빠르게 식별하고 차단하는 것이다. 이를 위해 여러 고급 기술과 구축 방법론이 제안된다. 그 중 일부 모범사례는 제한된 기술 영역만을 다루고 있어 XDR이 추구하는 이상적인 통합과 맞지 않기 때문에 주의 깊게 살펴봐야 한다.
특히 ‘통합’의 범위를 파악하는 것이 중요한데, 일부 XDR은 엔드포인트 보안 기능 통합 수준에 그치며, 어떤 XDR은 SIEM에 위협 탐지·대응 기능을 추가한 형태를 제안한다. 따라서 XDR 솔루션을 도입할 때 반드시 그 솔루션에 네이티브하게 통합된 기술이 무엇인지 파악하고 사전에 통합된 서드파티 솔루션이 무엇인지, 커넥터를 지원하지 않는 솔루션을 어떻게 연동하는지 방법을 알아봐야 한다.
XDR의 핵심 기능인 ‘탐지와 대응’ 역량을 평가하는 것은 무엇보다 중요하다. XDR이 제한된 데이터만 분석한다면 XDR 도입 이유가 없다. 자동화되지 않은 대응으로 보안조직의 업무를 증가시키거나 잘못된 경보, 잘못된 우선순위로 심각한 위협에 대응하지 못하는 것도 XDR 도입 의미가 없다.
자동화의 수준도 꼼꼼히 따져봐야 한다. 일상적이고 반복되는 보안업무를 자동화하는 것은 기본이며, 주니어급이상 보안요원의 분석·대응 수준으로 자동화된 대응이 가능해야 한다. 이로써 SOC 팀의 보안작업을 간소화하고, 심각한 보안위협이나 중요도가 높은 다른 업무에 집중할 수 있게 해야 한다.
XDR을 운영하는 SOC·보안조직의 역량도 살펴봐 야 한다. 너무 높은 수준의 고급 분석 기술을 요구하는 XDR은 보안조직이 운영할 수 없어 무용지물이다. 현재 보안조직의 운영 역량을 파악해 그 수준에 맞는 XDR을 선택해야 한다.
더불어 XDR 솔루션 구축과 운영 전반의 비용을 확 인해야 한다. 대부분의 XDR은 SaaS로 제공되기 때문에 비용 측정의 함정에 빠지기 쉽다. SaaS는 정기적으로 과금되기 때문에 쉽게 비용을 계산할 수 있다고 생각하지만, 수집하는 데이터가 증가하면서 데이터 레이크 사용 비용이 기하급수적으로 늘어날 수 있으며, 배포되는 보안 센서가 늘어나면서 예상하지 못했던 보안 비용 증가를 가져올 수 있다.
또 XDR에 통합되지 못하는 보안 솔루션에 추가 투 자하는 인력과 비용까지 종합 계산해서 XDR의 비용 효과를 측정해야 한다
