[데이터넷] 백신에 고급보호 기능을 더한 엔드포인트 통합 보호 플랫폼(EPP)은 조직의 보안에 있어서 기초이자 기본이었다. 여기에 사고에 대한 근본 원인 분석(RCA)과 EPP에서 당장 취할 수 없는 대응을 수행할 수 있는 EDR의 필요성이 대두됐다.
보안운영센터(SOC)에서 감시하고 대응해야 하는 포인트가 다양해지면서 엔드포인트, 네트워크, 클라우드를 분리한 보안운영으로는 진화하는 공격에 대응할 수 없었다. 그래서 엔드포인트에 국한된 가시성을 제공하는 EDR의 한계를 해결하고, 위협 전반을 가시화하며, 체계적으로 대응하기 위해 XDR이 등장했다.
XDR은 네트워크, 이메일, 모바일, OT까지 아우르는 다양한 계층에서의 가시성을 확보하고, 탐지와 대 응을 수행한다. 특히 보안의 여러 계층에서 다양한 서드파티와 연동해 위협을 수집·분석하며 공격 전반의 가시성을 확보하는 솔루션으로 인식되고 있다.
위협 인텔리전스 연계해 새로운 캠페인 반영
XDR은 위협 인텔리전스와 탐지 모델링을 통해 보다 정확한 경고를 알리고, 위협의 우선순위를 제시한다. 자체적으로 운영하는 위협 인텔리전스를 통해 전 세계에서 보고되는 새로운 위협 캠페인을 빠르고 정확하게 분석할 수 있어야 하며, 이를 XDR에 신속하게 반영해 새로운 위협을 탐지하고 대응하는 자동화된 조치를 수 행할 수 있다. 자체 위협 인텔리전스 이외에도 다양한 서드파티 위협 인텔리전스를 수집하고 활용할 수 있어야 한다.
다계층을 다루는 XDR의 탐지 모델링 범위도 다양하다. 그래서 SOC에서는 XDR에서 제시하는 경고를 또 하나의 ‘경고 피로’로 체감하지 않도록, 위험 레벨을 정확하게 반영한 경고가 제공되기를 바란다. 그래서 XDR은 위험 레벨이 ‘크리티컬(Critical)’로 나타나는 경고를 남용하지 않고, 정말로 위험하다고 판단되는 경우에만 부여해 크리티컬 경고를 즉시 처리할 수 있게 해야 한다.
SOC는 크리티컬 경고만 처리해도 중요한 위협을 막을 수 있기를 원한다. 그리고 ‘하이(High)’ 레벨의 경고도 수시간 내에 처리할 수 있도록 해 위협을 효과적으로 관리할 수 있어야 한다.
광범위한 통합 지원하는 XDR 선택해야
XDR 시장을 주도하는 기업들은 EPP와 EDR에서 시작해서 엔드포인트 보안에 서드파티 연동을 더한 개념으로 XDR을 제시하는 곳과, 오래전부터 엔드포인트, 네트워크, 이메일 등 다양한 계층의 보안 솔루션을 공급해 오면서 통합 플랫폼을 완성해온 곳으로 나뉜다.
XDR의 ‘X(eXtend)’가 정확히 무엇을 의미하는지 정의되어 있지 않기 때문에 둘 중 어느 쪽이 더 낫다고 단정짓기는 어렵다. 그러나 단일 통합 플랫폼에서 보안 가시성을 확대하고 탐지와 대응을 자동화한다는 XDR 도입 목적을 생각하면 더 넓은 범위의 통합이 가능한 솔루션이 유리하다.
특히 가트너 등 시장조사기업은 보안 복잡성을 완화하기 위해 공급업체 수를 줄일 것을 권고하고 있기 때 에 단일 벤더 통합 솔루션이 현재 보안 환경에서 더 유리할 것으로 보인다.
엔드포인트, 네트워크, 이메일, 모바일, OT, 클라우드 워크로드, 클라우드 자산 등에 대해 자체 보안 솔루션을 갖고 XDR 플랫폼으로 통합한 기업은 그리 많지 않다. 벤더에서 자체 개발한 기술을 통합했을 때 더 깊이 있고 정확한 상관관계 분석이 가능하며, 관리·운영 환 경이나 자동화 수준도 이종 솔루션을 연계할 때보다 유연하고 일관성이 있다.
트렌드마이크로는 다양한 자체 솔루션을 ‘비전원 (Vision One)’ 플랫폼에 통합해 정확한 위협 탐지와 자동화 대응을 지원할 수 있다. 또 자체 운영 중인 위협 인텔리전스와 제로데이 이니셔티브(ZDI)를 통한 최신 위협정보와 취약점 정보를 접목해 더 정확한 위협 탐지가 가능하다. 더불어 광범위한 파트너십을 통해 계정관리, 취약점 관리, 네트워크 보안 솔루션, 사이버 위협 인텔리전스 등 서드파티와의 원활한 통합도 지원하고 있다.
2021년 4분기 XDR 공급업체에 대해서 최초로 비교 평가를 한 ‘XDR 분야 포레스터 뉴웨이브’에서 비전 원은 최상위 리더 포지션을 차지했으며, 최근 3년간의 마이터 인제뉴이티(MITRE Engenuity) 테스트에서도 최상위권의 가시성과 리눅스 차단 결과를 보여줬다.
EPP·EDR에서 시작해 XDR로 확장
XDR을 찾는 국내 고객 대부분의 실 수요는 EDR이다. 랜섬웨어 방어, 엔드포인트 APT를 원하면 서 XDR 도입을 문의하기도 한다. 아직 국내에서는 EPP·EDR의 확장 개념으로 XDR을 생각하는 측면이 강한 편이다.
그래서 생기는 문제가 EPP와 EDR을 사용하고 있는 환경에서 XDR을 도입할 때 기존의 EPP, EDR과 중복되는 XDR의 기능이나 에이전트 배포 방법이다. 기업· 기관은 중복투자를 제거하고, 에이전트 관리 어려움이나 장애·충돌의 문제를 겪지 않기를 바라는데, 여러 솔루션을 사용하면 이 문제를 피하기 어렵다.
그래서 트렌드마이크로는 이미 EPP를 사용하는 고객이 EDR을 추가하는 경우, XDR 전용 가벼운 에이전 트를 배포해 쉽게 EDR을 구축하고, 나아가 XDR 확 장을 용이하게 한다. XDR 전용센서는 엔드포인트 리 소스 사용을 최소화하며, 호환성 문제가 없고 안정성 이 매우 높다.
EPP·EDR 통합 솔루션을 검토한다면 SaaS 기반 엔드포인트 보안 솔루션 ‘클라우드 원 엔드포인트 시 큐리티(Cloud One Endpoint Security)’를 제안한다. EPP의 고급 보호 기능을 모두 유지하면서 경량 에이 전트로 EPP·EDR을 쉽게 운영할 수 있으며, XDR 확 장도 용이하다.
XDR을 검토할 때 관심을 가져야 할 것이 공격표면 위험관리(ASRM)다. 공격표면관리(ASM), 외부 공격표면 관리(EASM) 등으로도 불리는 이 기술은 인터넷에 접한 자산과 관리되지 않은 섀도우 IT 자산의 위험을 예측하고 예방해 공격 가능성을 줄일 수 있다. XDR에 ASM이 연동되거나 추가되면 위협 가시성의 범 위를 한층 더 넓힐 수 있으며, 사전 예방적 보안을 강화할 수 있어 XDR 도입 효과를 높일 수 있다.
트렌드마이크로는 ASRM을 비전원에 통합시켜 공격자의 침투 가능성을 줄이면서 비즈니스 전반의 위협을 수준을 낮추고 효과적으로 관리할 수 있게 한다.
SOC가 실효성 느끼는 XDR 선택해야
XDR 효과를 가장 잘 체감할 수 있는 것은 현재 조직에서 운영해 본 경험이 많은 EDR이다. EDR을 운영 하면서 자연스럽게 이메일 보안, 네트워크 보안, 클라우드 보안 등으로 통합 영역을 넓혀갈 수 있다.
유행에 따라 성급하게 EDR을 도입한 기업 중 SOC 여건이나 호환성 등의 문제로 EDR 운영에 어 려움을 겪는 기업도 많다. 이 문제를 해결하지 않고 XDR 도입을 검토하면 EDR의 실패를 반복하게 된다. 현재 조직의 보안 여건과 보안 솔루션의 운영과 배포 계획, 기능 요구사항 등을 신중하게 검토해 장기적인 계획을 갖고 EDR부터 차근차근 단계별로 XDR을 도입하는 것이 바람직하다.
XDR의 탐지 측면에 있어서의 핵심은 가시성과 인시던트에 대한 통찰이다. 실제로 XDR을 도입해 쉽게 배포, 운영하고 있어도 XDR이 제공하는 정보를 SOC에 서 유용하게 사용할 수 있는지 세밀하게 점검해야 하는 문제다.
XDR의 경고가 얼마나 유용한지, 불필요한 경고가 과다 발생하는지, 발생한 경고의 상관관계에 따라 ‘인시던트’ 단위로 통합해서 보여줄 수 있는 가시성 이 얼마나 정확하고 깊이 있는 내용을 포함하는지 살 펴봐야 한다. 솔루션 도입 전 PoC나 테스트 형태로 배포해 직접 일정 기간 사용해 보는 것이 가장 효과적 인 방법이다.
SOC팀은 향후 보안 운영의 지대한 영역을 차지하게 될 XDR의 도입에 있어서 RFP나 기능명세 등 만을 참고해 결정하지 말고, 우리 조직에 일부 적용해 운영해 볼 수 있어야 한다
