[데이터넷] 위협 탐지와 대응 기술이 XDR로 통합되는 것처럼 보여도, 실제 고객이 원하는 기능이나 현장에서 사용되는 기능은 EDR인 경우가 많다. 그래서 XDR은 EDR에서 시작할 것이 권고되며, MDR을 이용할 것이 제안된다. 클라우드, IoT로 인해 더욱 보호가 어려워진 엔드포인트를 보호하기 위해 EPP·EDR 핵심 기능의 강화가 요구되고 있기도 하다. 엔드포인트 보호 기술의 변화 방향을 살펴본다.<편집자>

전문인력 필요한 EDR

EDR은 탐지한 이벤트의 위험정도를 수치화 해 위험한 이벤트에 우선 대응하도록 돕고 있지만, 높은 수준의 보안위협조차 너무 많아 경고피로가 심하다. 최근 EDR은 노이즈를 줄여 실제 위협에만대응할 수 있도록 돕고 있지만, 그래도 고급 위협 전문가의 분석과 판단이 필요하다.

보안 예산과 인력이 충분하지 않은 SMB나 소규모 기업은 물론이고, 예산과 인력이 충분히 갖춰진 엔터프라이즈도 전문가 부족 문제를 겪고 있기 때문에 EDR 운영이 쉽지 않다. 보안 위협은 기하급수적으로 늘어나지만, 보안 예산과 전문가는 급격하게 늘어나기 어렵다. 가트너는 EDR을 운영하려면 초기 비용의 37%에 달하는 교육 비용을 추가해야 한다고 설명했는데, 그만큼 EDR은 운영에 비용이 들고 까다롭다는 뜻이다.

EDR 솔루션이 제공하는 기술과 기업이 갖고 있는 대응 역량의 격차를 해소하기 위해 MDR 서비스가 인기를 끌고 있다. 가트너는 EDR을 운영하는 조직의 18%가 타사에서 관리하고 있으며, 그 중 50%는 채널 파트너가 아닌 EDR 솔루션 제공기업에서 직접 공급하고 있다고 설명했다. 즉 보안 서비스를 이용하는 기업 중 EPP·EDR 전문기업이 제공하는 MDR 서비스를 이용하는 기업이 절반을 차지한다는 설명이다.

국내에서는 EDR 기업의 MDR 서비스 사용이 일반적이지 않다. 언어 문제가 가장 크며, 국내 위협 정보를 해외 MDR 서비스에 전송하는데 대한 거부감이 크기 때문이다. 해외로 전송하는 정보에 개인정보와 민감정보가 포함되지는 않지만, 혹시 모를 우려가 있으며, 일부 조각난 데이터 중 민감정보를 유추할 수 있는 단서가 있을 수 있다는 걱정도 있는 것이 현실이다.

그래서 국내 MDR 서비스는 국내 전문기업을 통해 제공되는 것이 일반적이다. LG CNS의 경우, VM웨어 ‘카본블랙’, 로그프레소 SIEM, 그리고 기타 NDR 및 다른 보안 솔루션을 활용한 MDR 서비스를 제공한다. LG CNS는 EDR, NDR 여러 소스에서 수집한 이벤트를 SIEM을 이용해 수집, 분석, 식별된 이벤트에 대한 플레이북 기반 대응, 해킹 경로 분석, 추가 침해 파악, 개선사항 마련 등을 제공한다. AI, TI, SOAR를 적용해 자동 탐지와 대응을 제공한다.

신속한 인시던트 대응 지원하는 MDR

MDR은 원격 보안관제보다 넓은 범위의 위협 탐지와 대응을 지원한다. 원격보안관제는 이벤트 모니터링, 상관관계 분석에 집중하며, 주로 네트워크 기반 보안 솔루션 관리와 침입탐지 서비스를 제공한다. 반면 MDR은 원격보안관제를 포함하면서 더 광범위한 소스에서 위협정보를 수집하고, 지능화된 표적공격을 탐지, 자동 대응까지 제공한다.

SK쉴더스가 소개하는 MDR 핵심 기능과 특징은 다음과 같다.

● MDR 핵심 기능

- 위협 인텔리전스: 사이버 공격에 대비하기 위해 위협 인텔리전스를 활용해 잠재적 위협을 탐지하고 신속하게 대응해야 한다. 위협 인텔리전스에는 보안 위험을 식별하고 판별하는 데 사용되는 최신 사이버 위협, 취약점 및 공격 전술에 대한 정보가 포함된다.

- 사고 대응: MDR은 차단, 격리 및 상세 분석을 포함한 사고 대응 기능을 제공한다. 이를 통해 기업은 보안 사고에 신속하게 대응하고 공격으로 인한 피해를 최소화할 수 있다.

- 위협 헌팅: 네트워크와 엔드포인트에 존재하는 위협을 사전에 찾아내는 위협 헌팅 기능도 포함돼 있다. 이를 통해 시스템 내부에 침투한 위협을 식별 및 제거하여 피해를 예방하고 보안을 강화할 수 있다.

- 보안 분석: MDR은 보안 분석을 활용하여 네트워크 및 엔드포인트 활동의 패턴 및 이상 징후를 식별한다. 이를 통해 잠재적 위협을 탐지하고 사이버 보안 조치의 효과에 대한 통찰력을 제공할 수 있다.

- 보고: MDR은 공격 동향, 취약점 및 보안 개선 권장 사항을 포함해 사이버 보안 위협 및 사고에 대한 정기적인 보고를 제공한다. 이를 통해 기업은 잠재적 위협에 대한 정보를 지속적으로 얻고 사전 예방적인 조치를 취해 위험을 완화할 수 있다.

● 주요 특징

- 24x7 모니터링: 네트워크 및 엔드포인트를 지속적으로 모니터링해 잠재적 위협을 실시간으로 탐지하고 대응할 수 있도록 지원한다. 이를 통해 보안 사고를 탐지하고 대응하는 데 걸리는 시간을 단축해 공격자의 체류 시간(Dwell Time)을 줄이고 공격의 잠재적인 영향을 최소화한다.

- 고도화된 위협 탐지: MDR 서비스는 고도화된 보안 기술을 활용해 제로데이 공격, 파일리스 멀웨어, 내부자 위협 등 잠재적 위협을 식별하고, 광범위한 사이버 위협으로부터 기업을 보호한다.

- 신속한 인시던트 대응: MDR 서비스는 신속한 인시던트 대응 기능을 제공해 기업이 보안 이벤트를 신속하게 억제하고 해결할 수 있도록 지원한다. 이를 통해 침해로 인한 피해를 최소화하고 데이터 손실 위험을 줄일 수 있다.

- 전문가 지원: MDR 서비스는 악성코드 분석, 침해사고분석, 솔루션 전문가의 지원을 받을 수 있다. 여기에는 위협 헌팅, 인시던트 대응 및 보안 정책 강화도 지원 대상에 포함된다. 기업은 MDR서비스의 전문가 지식을 활용해 보안을 고도화하고 사이버 공격의 위험을 줄일 수 있다.

- 규정 준수: MDR 서비스를 통해 기업은 ISO 27001, PCI DSS 및 ISMS-P 인증을 비롯한 컴플라이언스 요구사항을 충족할 수 있다. 이러한 컴플라이언스를 준수하는 것은 개인정보와 같은 민감한 데이터를 처리하는 기업에 매우 중요하며, MDR 서비스는 기업이 이러한 요구 사항을 충족하도록 지원한다.

- 합리적 비용: MDR 서비스 이용 기업은 값 비싼 사이버 보안 기술에 투자하고 전담 보안 팀을 고용하는 대신, MDR 서비스 제공자의 전문 지식을 활용하여 중요한 자산을 보호할 수 있다.

글로벌 제조사에도 EDR 기반 MDR 제공

SK쉴더스는 원격보안관제 서비스 시장 리더십을 기반으로 한 MDR 서비스를 제공하고 있으며, 국내외 다양한 기업에게 성공적으로 서비스를 제공하고 있다.

글로벌 제조 공장을 운영 중인 한 고객사의 경우, 지속적으로 증가하는 멀웨어, 피싱 및 랜섬웨어 공격을 비롯한 여러 사이버 위협에 대한 보안을 강화하고자 MDR 서비스를 구축했다. 이 기업은 해외 사업장에서도 시간·공간 제약 없이 실시간 위협 탐지 기능으로 잠재적인 보안 사고를 감지, 신속하게 대응하고자 했다.

SK쉴더스는 최근 발생한 침해사고 IoC를 기반으로 위협헌팅을 제공했으며, 랜섬웨어 공격 집단의 스캔성 접근을 차단했다. ASM 기능을 이용해 잠재적인 위협 및 취약점을 사전에 탐지, 공격을 예방했다. 동종 제조업계에서 발생하는 보안 동향, 보안 위협 및 사고에 대한 정기 보고, 서비스 취약점에 대한 정보를 기반으로 지속적인 시스템 점검을 진행하고 있다.

최종필 SK쉴더스 시큐디움센터 PL은 “SK쉴더스는 침해사고전문대응팀 톱서트(Top-CERT)가 실제 사고 현장에서 추출한 침해사고지표(IoC), 해킹 기법 등을 반영해 선제적인 위협 판별과 체계적인 대응을 지원한다. MDR 긴급 분석 보고서, 악성 IP, URL 등 SK쉴더스가 분석한 침해사고지표(IoC) 정보 제공, 사고 발생 시 전문인력 투입 등 기업의 보안 역량 강화에 초점을 맞춰 서비스를 제공해 침해사고를 예방하고 사고가 일어나도 피해를 최소화할 수 있게 한다”고 설명했다.

두산그룹 계열사인 두산디지털이노베이션(DDI)도 대외고객을 위한 MDR 서비스를 제공한다. 2021년 사이버리즌과 파트너십을 맺고 EDR 사업을 시작, 보안 시장에 본격 뛰어든 DDI는 국내 환경에 최적화된 MDR 서비스를 제공해왔다. 사이버리즌은 마이터의 엔드포인트 보안 솔루션 보호 기능 평가에서 100% 보호와 탐지, 가시성 기능을 확인한 솔루션으로, 국내 여러 공공기관과 기업에 공급돼 있다.

대부분의 EDR이 클라우드와 연결돼 있어야 하는데, 사이버리즌은 구축형으로도 공급될 수 있어 외부 연결이 단절된 폐쇄망, 공장망에도 도입돼 성공적으로 고객사의 엔드포인트를 보호하고 있다. 또 강화된 랜섬웨어 대응 기능을 제공, 랜섬웨어로 암호화된 데이터도 복원 가능하다.

DDI는 사이버리즌을 포함한 여러 보안 솔루션을 이용해 두산그룹의 글로벌 통합관제(GSOC)와 대외 고객을 위해 보안 서비스를 제공하고 있다. GSOC에서 각종 장비의 상태와 다양한 시스템 로그를 수집, 분석 및 대응하는데, 모든 서버와 PC에 사이버리즌이 설치돼 로그수집과 사용자 행위 분석, 위협 식별 기능을 하고 있다.

마기평 DDI보안사업팀 수석은 “많은 기업들이 보안위협이 발생했을 때 대응할 수 있는 인력이 부족해 위협 관리에 어려움을 겪는다. 모든 기업이 수준 높은 보안 전문가를 둘 수 없다는 문제를 해결할 수 있도록 DDI가 전문 MDR 서비스를 제공해 고객을 보호한다”며 “DDI는 실시간으로 고객의 환경을 모니터링하고, 인시던트가 발생했을 때 즉시 대응한다. 고객의 다양한 환경과 서비스 요구 수준에 맞는 대응을 지원한다”고 설명했다.

조직 상황 따라 적절한 보호 로드맵 가져야

엔드포인트 보호를 위해 여러 기술과 서비스가 제안되는데, 모든 조직이 동일한 솔루션과 서비스를 사용해야 하는 것은 아니다. 조직의 현황과 업무의 특성, 기기의 상황에 따라 적절한 조치가 이뤄져야 한다.

가트너는 ‘엔드포인트 성숙도 향상을 위한 로드맵’ 보고서에서 “최신 위협 환경을 해결하기 위해 엔드포인트 공격표면을 줄이고 위협 탐지와 대응 기능을 도입해야 하는데, 모든 조직이 동일한 기술을 필요로 하는 것은 아니다”며 5단계 로드맵을 제안했다.

첫번째 단계에서는 인력과 프로세스에 투자한다. 엔드포인트를 정확하게 식별하며, 보안제어, 패치, 구성수준을 관리한다. 최신 OS와 애플리케이션, 보안패치를 적용하며, 직원에 대한 보안인식 교육을 진행한다. 두번째 단계에서는 EDR과 자동화된 패치관리 솔루션을 도입하고, 보안상태 개선 및 피싱 방지를 위한 투자를 단행한다. 수명이 만료된 OS를 파악해 정리하며, 백업과 복구로 사고 시에도 피해가 없도록 한다.

세번째 단계에서는 EPP, EDR, SEG, SWG 등 필수 보안 솔루션을 운영하며, IR를 위한 SOC를 설립한다. XDR과 같은 위협 탐지와 대응 프로세스를 마련하고 보안팀을 강화하며, MDR을 통해 관리하지 못한 보안 영역까지 관리한다. 네번째 단계는 IoT, OT 등 다기능 플랫폼을 보호하는 기술과 ITDR, SIEM, BAS 고도화에 나선다. 5번째 단계에서는 공급망과 펌웨어 관리, 지속적인 노출 관리 등을 시작한다.

마기평 수석은 “공격은 예방이 가장 중요하다. 소를 잃기 전에 외양간을 튼튼하게 만드는 것이 가장 중요하다”며 “피해가 발생하기 전에 선제적으로 위협을 탐지하고 제거하는 EPP, EDR, MDR을 통해 기업의 가장 위험한 공격접점을 제거해야 한다”고 강조했다