[데이터넷] 제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.<편집자>

지속적인 평가 지원 통합 보안 플랫폼

현실적인 제로트러스트 전략은 ‘믿지 말라’가 아니라 ‘지속적인 평가’에 초점을 맞추는 것이다. 신뢰의 기준을 정확하게 정의하기 어렵기 때문이다. 쉬운 예로, 사용자가 평소와 다른 장소에서 로그인을 시도하면 MFA 등의 추가인증을 통해 사용자를 확인한다. 사용자가 맞으면 접근을 허용하고, 이후 행위를 추적하면서 모니터링한다. 공격자는 MFA 피로공격으로 MFA 인증을 통과하며, 시스템의 정상 기능과 권한을 이용해 침해행위를 한다.

개별 포인트에서 탐지한 위험도는 낮지만 각각의 이벤트를 연결하면 위험도 높은 공격행위라는 것을 알 수 있다. 따라서 각각의 포인트에서 ‘신뢰할 수 있는가, 없는가’를 따지는 것 보다 이 행위를 지속적으로 추적하면서 위험도를 측정하고 대응해야 한다.

이는 매우 복잡하고 어려운 일이다. 접근하는 모든 사람과 기기의 권한과 역할을 세분화해 명확하게 관리하며, 하이브리드·멀티 클라우드의 모든 애플리케이션과 시스템, 네트워크 행위를 중앙에서 분석하고, 모니터링해야 한다. 모든 접근을 끝까지 추적검사 해야 하며, 각각의 행위를 또 다시 통합 분석해야 한다.

수많은 보안 솔루션과 부족한 인력, 과도한 노이즈로 고통받는 보안조직에게 이 복잡한 업무를 맡길 수는 없다. 엘라스틱 조사에서는 클라우드 침해는 단 5분이면 끝나는 것으로 분석됐다. 팔로알토 네트웍스 조사에 따르면 보안팀에서 보안 문제를 해결하는데 걸리는 시간은 평균 6일이다. 포티넷 조사에서는 62%의 조직이 사이버 보안 인재를 채용하는데 어려움을 겪는 것으로 나타났다.

공격은 빨라지는데 대응은 느리고, 대응할 인력도 부족하다는 현장의 어려움을 외면한 채 ‘제로 트러스트를 위한 지속적인 평가’가 필요하다고 주장하는 것은 공허하다.

XDR, 공격 진행 시간 85% 감소

이러한 이유로 XDR의 필요성이 높아지고 있다. XDR은 모든 리소스에서 데이터를 수집하고, 연계분석해 위험도를 평가하며, 확실한 위협은 자동 대응한다. 그리고 추가 분석할 이벤트만 분석가에게 제공한다. XDR과 SOAR의 기능이 유사한 면이 있지만, XDR은 모듈형으로 구축될 수 있으며, 처음에는 작은 단위의 통합으로 시작해 점차 단계별로 확장할 수 있다는 점이 다르다. 시스코 조사에 따르면 XDR을 올바르게 도입하면 분석가 투입 시간 90% 단축, SecOps 효율성 90% 개선, 공격진행시간 85% 감소, 그리고 데이터 유출 비용과 위험을 절반으로 줄일 수 있다.

시스코의 XDR은 시스코 솔루션과 서드파티 솔루션을 모두 통합해 분석하며 자동화된 대응으로 보안팀이중요한 이벤트에만 집중할 수 있게 한다. 온디맨드 위협 헌팅으로 침입 발생과 공격자 발견 사이의 시간을 단축시킬 수 있다.

RSA 시큐리티는 XDR이라는 개념이 등장하기 전부터, 네트워크, 로그, 엔드포인트 위협을 수집, 분석하는 넷위트니스 제품군으로 통합 분석과 대응 기술을 제공해 왔다고 강조한다. 넷위트니스는 구축형과 SaaS형으로 제공되며, 고급형 모델은 오케스트레이터와 AI 기반 위협 탐지, IoT 보호, 위협 인텔리전스 기능도 통합돼 있고, 클라우드 서비스로 제공된다.

넷위트니스는 지스케일러, 팔로알토 네트웍스, 브로드컴 등 SASE와 파트너십을 맺고 SASE 통합보안을 위한 진화한 보안 기술을 공급하고 있으며, 국내외 여러 산업군 고객에게 XDR의 이점을 제공하고 있다.

오픈XDR로 민첩한 위협 대응

XDR의 ‘X’에 포함되는 기술이 특별히 정해진 것은 없으며, 플랫폼에 다양한 기술을 통합시켰다는 개념으로 사용된다. 공격은 다양하게 진행되기 때문에 모든 보안 기술이 통합되는 것이 중요한데, 단일 기술기업이 모든 기술을 제공할 수 없으며, 개방형 생태계를 통한 자유로운 연동이 중요하다. 모든 XDR 기업들은 타사 솔루션 연동을 지원한다고 하지만, 하나의 솔루션과 같은 유기적인 연동은 쉽지 않다.

‘오픈XDR’을 처음부터 주장해 온 스텔라사이버는 XDR을 위해 필요한 모든 기능을 단일 플랫폼에서 제공할 뿐 아니라, 자사 플랫폼을 사용하면 고객이 원하는 모든 보안 기술을 통합시켜 하나의 플랫폼처럼 사용할 수 있게 한다고 설명한다. 스텔라사이버 오픈 XDR은 IT 환경은 물론이고 OT·IoT 환경에서도 동일하게 적용될 수 있다.

스텔라사이버는 국내 MDR 전문기업 파고네트웍스의 위협 탐지·대응 솔루션으로도 사용되고 있다. 굿모닝아이텍이 총판을 맡고 있는 파고네트웍스는 자체 개발한 MDR 플랫폼 ‘딥액트(DeepACT)’에 스텔라사이버, 사이웨어, 센티넬원, 사일런스 등을 결합시켜 위협을 선제적으로 탐지, 차단해 모든 규모, 모든 산업의 고객이 지속적으로 안전한 업무 환경을 유지할 수 있게 한다.

XDR 플랫폼 전문기업 트렐릭스도 오픈XDR 전략을 강조하면서 시장 공략 속도를 높이고 있다. 트렐릭스는 기존 파이어아이와 맥아피 엔터프라이즈 고객을 대상으로 XDR 업그레이드를 제안하고 있으며, 다양한 보안 솔루션 결합을 통한 XDR 확장도 추진하고 있다.

또한 트렐릭스 XDR 데이터 보호 기술까지 결합돼 제로 트러스트 핵심 요소를 모두 보호한다. 더불어 맞춤형 위협 인텔리전스 서비스를 제공, 클라우드를 통해 서비스되는 인텔리전스 뿐만 아니라 특수한 환경을 위한 구축형 인텔리전스, 산업에 특화된 인텔리전스를 다양하게 제공하고 있다.

동적 접근 제어, 제로 트러스트 정책 지원

NDR 솔루션 전문기업 쿼드마이너는 ‘보안운영을 자동화하고 동적인 접근제어 정책을 자동으로 적용하기 위한 제로 트러스트의 필수 구성요소가 NDR’이라고 강조하면서 NDR을 통한 제로 트러스트 아키텍처 강화를 주장한다.

쿼드마이너는 가트너 보고서에 등재된 국내 유일 NDR 솔루션 기업으로, 풀 패킷 트래픽 검사로 위협 가시성과 이상탐지를 지원한다. 그리고 수집된 플로우 정보, 메타데이터, 원본 파일, 콘텐츠 정보를 추출해 위협에 대한 확정적 증적을 제공한다. 이는 보안운영 자동화 중 동적 정책 적용을 위한 결정적인 판단 근거로 사용된다.

이 확정적 증적은 기업 리소스에 접근하고 사용한 데이터 원본을 보존하며, 분석한 정보를 이용해 실제 정책 위반과 위험 여부를 확인하는 과정을 대폭 축소시킨다. 이로써 신속하고 정확한 동적 접근 제어 정책을 이행할 수 있게 한다. 이는 과기부 제로 트러스트 가이드라인에서 신뢰 판단용 데이터를 제공하는 정책지원포인트(PIP)에 해당한다.

김용호 쿼드마이너 CTO는 “제로 트러스트를 위한 최종 동적인 접근제어 정책 결정을 위해서는 확정적인 증적이 필요하며, 여러 솔루션과 협력적 관계를 통해 상호 운영성이 보장돼야 한다”며 “쿼드마이너의 ‘네트워크 블랙박스’는 가트너 NDR 보고서에 4년 연속 등재되면서 글로벌 수준의 기술력을 인정받은 제품으로, 도입 즉시 보안 운영 효율을 높이는 성과를 보이고 있으며, 쿼드마이너는 위협 헌팅 전문조직 에이치랩(H LAB)을 통한 침해사고 대응과 위협헌팅 서비스도 제공해 지속적인 제로 트러스트 환경이 유지될 수 있도록 돕는다”고 말했다.

쿼드마이너 네트워크 블랙박스를 도입한 국내 대형 금융그룹의 경우, 보안운영 고도화 프로젝트에 NDR을 사용해 비정상 행위와 파일·콘텐츠 분석으로 보안대응을 보다 신속하게 했다. 글로벌 커머스 기업은 전사 침해사고 대응 프로세스를 진행하면서 다양한 보안팀이 단일화된 확정적 증적을 이용해 신속하게 대응할 수 있도록 네트워크 블랙박스를 사용하고 있다. 동남아시아 중요 국가 정보기관과 경찰청에서도 보안운영 고도화를 위해 사용하고 있다.