[데이터넷] 최근 몇 년간 사이버 보안 분야의 중요한 트렌드 중 하나가 ‘통합’이었으며, XDR이 통합의 대세를 이끌어왔다. 그러나 현재 XDR 도입 사례는 XDR이 추구하는 ‘광범위한 통합’과는 거리가 멀다. 대체로 XDR을 검토하다 EDR 도입으로 끝나는 사례가 많다. 글로벌 시장에서도 XDR 배포는 5% 수준에 불과하다. 가트너는 XDR이 분명한 대세를 이룰 것이라고 예측하면서 2028년 조직의 30%가 XDR을 도입할 것이라고 예측했다.

대체로 XDR은 SOAR를 도입하기 어려운 중소·중견규모 조직에서 보안 통합과 자동화를 위해 시작한다고 알려져있으나 실제 사용사례는 조직의 규모에 크게 영향을 받는 것으로 보이지는 않는다.

가트너의 ‘XDR을 위한 마켓 가이드’에서는 ▲단일 공급업체로 보안 제품을 통합하려는 경우 ▲시기 적절한 위협 인텔리전스를 운영하고자 하는 경우 ▲탐지·대응 플랫폼 자동화 기능을 극대화하려는 경우 ▲위협 대응 조정과 탐지 효율성을 항상시키려는 경우 등을 대표적인 사용 사례로 꼽았다.

단일 공급업체 통합을 위해 XDR을 선택하는 사용 사례에서는 EDR, 보안 이메일 게이트웨이(SEG), NDR 등을 통합해 운영 복잡성을 줄이고 조직의 위험 태세를 개선하고자 하는 목적을 갖는다. 실제로 가트너 설문조사에서 IT 임원 43%가 보안 공급업체를 통합하기 위해 XDR을 추진하고 있다고 설명했다. 실제로 네트워크 위협 탐지와 대응 기능을 가진 솔루션 57%가 통합돼 있으며, SaaS를 위한 보안·정책 강화 솔루션, 클라우드워크로드 보호 솔루션, 데이터 보호 솔루션 등이 확실한 통합 추세를 보이고 있다.

SOAR의 역량을 높이기 위한 방법으로 XDR을 선택하는 것도 중요한 추세다. XDR은 보안 운영을 간소화해 SOAR의 성숙도를 높이는데 도움을 준다. 더불어 빠르게 혹은 느리게 진행돼 보안 탐지·대응을 어렵게 하는 위협에도 XDR을 통한 대응이 효과를 발휘할 수 있게 한다.

최소한의 통합 작업만으로 효율적 운영 가능해야

가이드에서는 XDR가 최소 2개의 기본 보안 센서를 제공해야 하며, 그 중 하나는 엔드포인트여야 한다는 점을 강조하면서 XDR의 EDR 기능을 중요하게 설명했다. 그 외에 방화벽, IDS, NDR, ID, 이메일 보안, 모바일 위협 탐지, 클라우드 워크로드보안 등이 포함될 수 있다. API를 이용해 타사 제품과 통합되며, 자체 자동화, 오케스트레이션, 워크플로우 기능을 수행한다.

XDR은 개별 솔루션을 사용하는 것 보다 뛰어난 위협 예방, 탐지, 대응 사례를 지원하며, 보안 운영 프로그램을 신뢰할 수 있도록 개선한다. 최소한의 통합 작업만으로 모든 구성요소를 효율적으로 운영할 수 있어 기존 투자 가치를 높일 수 있다. 공급업체와 타사의 위협 인텔리전스를 사용해 위협 탐지와 대응을 개선한다.

현재 공급되는 XDR은 대체로 EDR에 뿌리를 두고 발전해왔는데, SIEM, SOAR와 유사한 기능이 있어 종종 비교되기도 한다. XDR은 SIEM, SOAR처럼 광범위한 사용 사례를 목표로 하기보다, 즉시 사용할 수 있는 쉬운 통합을 추구한다.

XDR 솔루션 중 서드파티 솔루션과 유연한 통합 기능을 강조하기 위해 ‘오픈XDR’이라고 소개하는 제품도 있으며, 이는 타사 센서와 광범위하게 통합될 수 있다는 점을 강조한다. 자사 제품만 통합하는 폐쇄형 XDR도 있는데, 가트너는 ‘오픈 vs 폐쇄’라는 용어보다 실제 사용 사례에서 의미 있는 결정을 내릴 수 있는 제품 선택을 권장했다.

실제 효과 검증해 XDR 도입해야

XDR은 통합의 범위와 요건이 정확하지 않기 때문에 시장의 진화 방향과 규모를 정확하게 분석하기 어렵다. 많은 XDR이 기존 보안벤더에서 제공하는 기술에 대한 업셀링 개념으로 도입되거나 기존에 도입한 제품을 통합하는 관점에서 XDR이 제공되고 있기 때문이다.

이 점을 강조하며 가트너는 XDR이라는 새로운 솔루션 도입보다, 이미 도입돼 있는 솔루션의 통합 기능을 살펴보고, 기존 제품을 효과적으로 통합할 수 있는 방법을 찾아볼 것을 권장했다. XDR 전략을 제안하는 벤더 중에서 기존 자사 제품을 무료로 XDR로 업그레이드해 주거나 특별한 가격으로 제안하기도 한다. XDR 전환 시 제품 비용과 보안운영, 사고대응 등의 업그레이드와 교육 등의 비용을 분석하고 합리적인 수준인지 평가해야 하며, 실제 위협 탐지 효율성도 자세히 살펴봐야 한다.

중요한 사실은 몇 개의 제품을 통합했느냐가 아니라, 위협 탐지와 대응 워크플로우가 얼마나 자동화돼 있는지, 이전 포인트 제품 사용보다 얼마나 우수한 성능을 제공하는가이다. 또한 에코시스템 통합의 폭과 깊이를 평가해 장기적인 XDR 투자를 이어갈 수 있도록 하며, 가능한 장기적인 데이터 보존 기간을 확보해 위협 분석·대응에 사용할 수 있어야 한다.

가이드에서는 “XDR을 도입하기 전, 기존 솔루션에서 사용하지 않는 기능을 평가해 위협 탐지와 대응 프로그램의 특정 공백을 XDR이 메울 수 있는지 확인해야 한다. XDR이 이미 배포돼 효과적으로 작동하고 있는 솔루션을 대체할 필요는 없으며, 오케스트레이션과 자동화, 신속하고 즉각적인 대응, 고급 보안 분석 등의 필요한 기능을 선택해 비용 효율적이면서 운영 효과를 높일 수 있게 해야 한다”고 설명했다.

한편 이 가이드에서 XDR 대표 벤더로 꼽힌 곳은 크라우드스트라이크, 시스코, 포티넷, 트렐릭스, 마이크로소프트, 팔로알토 네트웍스, 센티넬원, 스텔라사이버, 소포스, 트렌드마이크로 등이다.

김선애 기자 다른기사 보기