마이크로소프트 ‘디펜더’, 다양한 공격 채널에 거쳐 종합적 분석·대응
시스코 ‘시스코 XDR’, 증거 기반 자동화로 중요한 인시던트에 집중
[데이터넷] 엔드포인트는 기업 네트워크에서 가장 취약한 지점이며, 해커들은 엔드포인트를 통해 기밀 정보 유출, 악성 코드 전파, 랜섬웨어 공격 등을 시도한다. 최근 국내 기업의 데이터를 노리는 사이버 보안 위협이 엔드포인트 보안에 도전하고 있고 기업은 이에 대한 강력한 대책을 마련할 것을 강조하고 있다. 이를 대응하기 위해 많은 보안 솔루션 벤더들은 XDR(Extended Detection and Response) 솔루션을 제안하고 있다.
하지만 아직도 많은 국내 기업들은 XDR 솔루션을 채택하지 않고 EDR 수준에 머물고 있다. XDR은 현재 통합되지 못한 보안 솔루션이 많고 그동안 여러 규제로 인해 도입이 어려웠기 때문이다. 트렐릭스 보고서에 따르면 응답자 중 47%는 새로운 사이버 보안을 채택할 때 가장 큰 어려움으로 전문지식 부족을 꼽았고, VM웨어(VMware)가 의뢰한 포레스터 컨설팅의 조사결과에 따르면 XDR 비도입자의 3분의 1은 XDR 도입을 위해서 확실한 근거가 필요하다고 말했다.
EDR과 XDR의 가장 큰 차이점은 집중 범위다. EDR은 엔드포인트 보안에 중점을 두고 특정 디바이스에 대한 심층적 가시성과 위협 방지를 제공하고, XDR은 엔드포인트, 클라우드 컴퓨팅, 이메일, 기타 솔루션 전반에서 보안을 통합해 더 넓은 범위를 포괄한다. 여기서 EDR의 한계가 나타난다. EDR은 알려진 위협을 탐지하고 예방할 수 있지만 제로데이 공격을 예측하거나 예방할 수 없으므로 정교한 공격에 취약할 수밖에 없다. 반면 XDR은 광범위한 데이터를 수집하고 연결해 디바이스 행동 패턴에 대한 프로필을 구축할 수 있어 신속하게 탐지할 수 있다. 이러한 포괄적인 공략 범위를 다루는 XDR 솔루션은 앞으로 조직에게 더 효율적인 도구가 될 수 있다.
VM웨어 카본 블랙 XDR(VMware Carbon Black XDR) 솔루션은 VM웨어의 네트워크 가시성 및 탐지를 VM웨어 카본 블랙 엔터프라이즈 EDR(Carbon Black Enterprise EDR)로 확장해 측면 보안을 강화하는데 주력하고 있다. 이는 엔드포인트와 네트워크 전반에서 위협 탐지와 예방을 효과적으로 수행한다.
특히, NSX를 통해 지원하는 NTA/NDR 및 IDS를 활용해 XDR 전략을 더욱 강화하고 있다. 더불어 광범위한 XDR 에코시스템을 통해 모든 소스에서 위협 정보를 수집해 정확한 위협 대응을 지원해 성숙도 높은 XDR 전략을 실행할 수 있도록 한다.
김한기 VM웨어 코리아 보안사업부 상무는 “끊임없이 진화하는 보안 위협에 한발 앞서 대응하기 위해서는 기존 EDR솔루션의 범위를 확장해 포괄적인 XDR 솔루션의 도입이 필수적”이라며 “XDR 솔루션을 통해 기업들은 보안, 탐지, 대응 능력 개선, 보안 인력의 생산성 향상은 물론, 총소유비용(TCO) 절감이 가능하다”고 말했다.
마이크로소프트의 XDR 솔루션 ‘디펜더(Defender)’는 고도화된 자동화 시스템을 통해 사고에 대응하는 매니지드 서비스다. 디펜더 제품군은 엔드포인트부터 클라우드, 이메일, 웹 등 모든 공격 채널에서 리소스를 수집해 종합적으로 분석하고 대응할 수 있게 한다. 이를 통해 조직의 다양한 공격 경로에 발생하는 위협을 종합적으로 탐지하고, 효과적인 대응을 할 수 있다. 디펜더 제품군은 대부분의 시장조사기관으로부터 리더 지위를 인정받아 국내에서도 많은 고객들이 주목하고 있다.
시스코가 올해 7월 정식 출시 예정인 클라우드 퍼스트 솔루션 ‘시스코 XDR’은 보안 인시던트 조사를 간소화하고 보안 운영 센터(SOC)가 즉각적으로 위협을 해결할 수 있도록 지원한다. 이 솔루션은 분석 결과를 기반으로 탐지 우선순위를 설정하며, 증거 기반(evidence-backed) 자동화를 통해 우선순위가 가장 높은 인시던트를 해결하는 것에 집중한다.
기존 통합보안관제(SIEM) 기술은 로그 중심 데이터를 관리하고 결과를 측정하는 데 며칠이 소요되는 반면, 시스코 XDR 솔루션은 텔레메트리 중심 데이터에 집중해 몇 분 이내로 결과를 제공한다. 기본적으로 보안운영센터 운영자가 중요하게 보는 6가지 텔레메트리 소스인 엔드포인트, 네트워크, 방화벽, 이메일, 사용자 신원, DNS뿐만 아니라 이들의 상호 연관성도 함께 분석한다. 특히 엔드포인트의 경우 ‘시스코 시큐어 클라이언트(Cisco Secure Client, 구 애니커넥트)’를 통해 2억개의 엔드포인트에서 얻은 인사이트를 활용, 엔드포인트와 네트워크가 만나는 지점에 대한 프로세스 수준의 가시성을 제공한다.
