[데이터넷] 사이버 보안 환경의 변화에 따라 기업은 디지털 자산 보호 방식을 지속적으로 조정해야 한다. 트렐릭스의 ‘CISO의 마인드’ 보고서에 따르면 최고 정보보호 책임자(CISO) 94%가 적절한 툴을 갖추면 시간을 절약할 수 있다는데 동의했다. 이는 사람의 개입에 의존하던 전통적인 접근법이 더 이상 충분하지 않으며, 미래 지향적인 보안 운영(SecOps)을 효과적으로 구현하기 위한 새로운 패러다임이 필요하다는 것을 시사한다.

조직의 사이버 보안에 대한 접근 방식을 획기적으로 바꿀 수 있다는 가능성을 염두에 두고, 사이버 보안이 다층적 접근을 요하는 매우 복잡한 업무라는 점을 이해해야 한다. 쉽게 말하면 사이버 보안은 데이터라는 보물을 사방에서 둘러싼 3단계의 방어체제다. 이 체제는 각 단계에서 가장 단순하거나 복잡한 침입은 물론 해커, 멀웨어 또는 랜섬웨어가 악용할 수 있는 영역을 효과적으로 탐지, 대응, 보호한다.

1단계 탐지

탐지 단계는 사이버 보안 시스템의 ‘눈과 귀’로 여겨진다. 네트워크 감시와 비정상 트래픽 패턴, 무단 액세스 시도, 데이터 유출 등 위험 요소 탐지가 이뤄진다. 이 단계는 대량의 데이터를 실시간으로 분석해 잠재적 위협을 식별할 수 있는 보안 정보 및 이벤트 관리(SIEM)와 같은 기술이 활용된다.

탐지 단계는 네트워크 방어에 초점을 두었다. 하지만 원격 근무와 연동 기기 증가에 따라 해당 접근법만으로는 부족하게 되었다. 이제는 노트북, 모바일 기기, 서버 등의 엔드포인트가 사이버 범죄의 주요 표적이 되었기 때문이다.

조직은 탐지에 보다 포괄적으로 접근해야 한다. 과학기술정보통신부 조사에 따르면 국내 기업의 총 IT 투자금에서 사이버 보안 관련 예산이 10%를 차지하는 것으로 나타났다. 한국인터넷진흥원은 국내 주요 기업 715개사는 2022년 정보 보안 분야에 약 1조8640억 원을 투자했다고 공개한 바 있다.

조직은 필수적으로 강력한 방어 체계를 갖춰야 하며, 뚫리지 않는 방어는 없다는 것을 명심해야 한다. 사이버 공격이 정교해지고 집요해지면서 일부 위협이 침투 방법을 찾아낼 수 있다. 이를 깨닫자 탐지 기능이 다층적 사이버 보안의 핵심 구성 요소로 더욱 강조되고 있다.

2단계 위협에 대한 대응

중요성이 대두되고 있는 탐지 또한 보안 시스템의 일부일 뿐이다. 빠르게 진화하며 광범위하게 확산되는 사이버 위협에 맞서기 위해 조직은 사고 발생 시 효과적인 대응이 가능하도록 대비해야 한다. 그래서 보안 오케스트레이션, 자동화 및 대응(SOAR)이 필요하다.

SOAR는 SIEM을 포함한 다른 보안 툴과 결합돼 사고 대응 워크플로를 조율하고 반복 작업을 자동화한다. 이는 보안팀이 사이버 공격에 신속하고 효율적으로 대응할 수 있도록 돕는다.

조직은 SOAR 외에도 엔드포인트에서 네트워크, 클라우드 워크로드에 이르기까지 보안 데이터 전반을 통합적으로 볼 수 있는 확장 탐지 및 대응(XDR)의 도입도 고려해 볼 필요가 있다. XDR 사용 시, 보안팀은 위협 상황을 보다 완벽하게 파악하고 사이버 공격에 한층 더 효과적으로 대응할 수 있다.

3단계 종합적인 방어

XDR은 통합적이고 유연한 보안 프레임워크를 형성해 3단계 방어체제를 효과적으로 완성시킨다. 사이버 보안에 선제적으로 대응 시 침해 영향을 최소화하기 때문에 끊임없이 변화하는 위협 환경에 맞춰 진화할 수 있다.

기존 엔드포인트 보안이 개별 디바이스에 집중한다면, XDR은 엔드포인트, 네트워크, 클라우드 플랫폼 등 여러 소스의 데이터를 통합 분석한다. 그로 인해 보안팀은 잠재적 위협과 공격 패턴을 종합적으로 파악해 보다 효과적인 위협 추적 및 사건 대응이 가능하다.

이상의 3단계 사이버 보안 프레임워크는 보안에 대한 다각적인 접근법을 전제로 한다. 각각의 단계 모두 중요하지만, 서로 협력해 강력한 통합 보안 체제를 구축해야 한다.

XDR, 가시성이 핵심

XDR을 검토하는 조직은 자사 환경에 적합한 XDR 솔루션을 선택하기 위해 몇 가지 주요 보안 요소를 고려해야 한다.

가시성(Visibility)은 XDR의 핵심 구성요소 중 하나이다. 데이터 보호 관점에서 조직은 다양한 엔드포인트에 저장된 중요 데이터(Data at Rest), 현재 네트워크 상에서 이동 중인 데이터(Data in Motion), 엔드포인트·사용자가 현재 사용 중인 데이터(Data in Use)에 대한 가시성을 제공하는 XDR 아키텍처를 필요로 한다.

데이터 유출을 방지하기 위해 관련 보안 제어를 적용하려면 이런 데이터에 대한 완벽한 가시성을 확보해야 한다. 데이터 가시성을 확보한 조직은 사이버 사건 발생 시 또는 피해 조사 중 일어날 수 있는 잠재적인 데이터 유출을 파악할 수 있다.

가시성은 자산의 보안 범위와도 관련된다. 하이브리드 업무 환경은 조직의 주요 자산이 다양한 운영체제와 폼 팩터(하드웨어, 가상, 클라우드)에 걸쳐 있도록 만들었다. 진정한 XDR 솔루션은 잘 정의된 프로세스, 플레이 북, 툴 등을 완비하고 있어야 하며, 모든 자산 유형에 대한 가시성 확보는 물론 시간이 경과해 변하는 환경 속에서도 가시성이 저하되지 않도록 해야 한다. 다양한 공격 채널에 대한 가시성은 정확하고 신속한 사전 공격 탐색으로 이어진다. 그 결과 보안팀은 공격에 적시 대응 및 복구는 물론 추가 피해까지 방지할 수 있다.

위협 인텔리전스로 공격 조기 탐지

위협 인텔리전스가 XDR의 또 다른 핵심 구성요소이다. 오늘날의 위협 환경에서 위협 인텔리전스를 다양한 보안 주체와 신속하게 공유하는 것은 조직이 위협 발견 즉시 탐지·대응할 수 있도록 지원한다. 또한 보안 시스템은 통합되어 함께 작동하고, 조직에 효과적이면서 단계적인 방어를 제공한다.

조직은 대개 보안 애널리스트의 조사, 상용 위협 인텔리전스 피드, 오픈소스 위협 인텔리전스 피드, 위협 공유 그룹 등의 활동 및 채널에서 위협 인텔리전스를 도출한다. 조직 내 보안 제어 부서 간에 위협 인텔리전스를 공유하는 방법은 주로 시간 및 노동 집약적인 수동 프로세스로 구성된다.

보안 애널리스트는 엑셀 시트 혹은 MISP와 같은 위협 인텔리전스 플랫폼을 활용해 IOC를 분석하고 수동으로 유지 관리하는 데에 많은 시간을 할애한다. 또 이메일, 채팅 메시지와 같이 오류에 취약한 수동 채널을 통해 조직내 여러 팀과 IOC를 공유한다.

따라서 XDR 솔루션 도입을 고려하는 경우 엔드포인트, 데이터, 이메일, 클라우드, 네트워크용 보안 솔루션 전반에서 위협 인텔리전스를 수집, 활용, 공유하는 것에 대한 정의와 절차가 잘 마련되어 있는지 확인해야 한다.

XDR 솔루션은 보안팀이 반복적인 운영 활동의 일부인 위협 인텔리전스 생성과 모든 공격 채널에서 위협 인텔리전스 공유에 필요한 툴을 제공할 수 있어야 한다. 예를 들어 사이버 보안 사건이 발생해 해당 위협 인텔리전스를 활용한다면 데이터 보호 솔루션이 현재 공격이 발생하고 있으며 대응 조치에 도입해야 한다는 것을 즉시 알 수 있다. 보안팀은 XDR 솔루션을 활용해 시간이 많이 소요되는 수동 프로세스가 아닌 자동으로 위협 인텔리전스를 생성·운영할 수 있다.

위협 환경이 계속 진화함에 따라 XDR 도입은 사이버 보안의 미래를 대비하고, 디지털 세계의 안전을 보장하는 열쇠가 될 것이다. 이제 조직은 기술과 인간 지성의 결합으로 사이버 공격자들보다 한발 더 앞선 차세대 사이버 보안을 도입할 기회를 갖게 되었다. 사이버 보안 영역 탄력성은 통합에 있다는 것을 염두해야 한다.