220420_유명조달기업
[기고] 글로벌 보안 버즈워드: 제로 트러스트, EDR 그리고 확장된 XDR
상태바
[기고] 글로벌 보안 버즈워드: 제로 트러스트, EDR 그리고 확장된 XDR
  • CCTV뉴스 편집부 기자
  • 승인 2022.08.16 10:58
  • 댓글 0
이 기사를 공유합니다

변화하는 보안 환경과 차세대 보안 솔루션

[글=김영덕 | 지니언스 전략마케팅실 부장]

 

진화하는 사이버 공격과 보안 트렌드

최근 해킹 그룹 랩서스는 국내 및 글로벌 대형 IT 기업을 연달아 해킹했다. 국내 모 대기업의 경우 첨단 기술이 갖추고 있었음에도 랩서스 그룹의 공격을 막을 수가 없었다. 랩서스 그룹은 공격 기업의 계정 정보를 탈취한 후 사내 네트워크에 들어와 정말 직원처럼 메신저로 활동하고 업무 협의도 했다고 한다.

이처럼 최신 사이버 공격의 유형을 살펴보면 공격자의 목표가 바뀐 것을 알 수 있다. 공격자는 단순히 침입해서 정보를 파괴하고 가져가는 것이 아니라, 침입 후 잠복해서 함께 사는 것이 목표가 되었다. 이러한 사이버 범죄의 고도화는 전통적인 보안 체계로는 대응에 한계가 있다.

지난달 미국 샌프란시스코에서 개최된 세계 최대 사이버 보안 전시회 ‘RSAC 2022’의 슬로건은 ‘Transform’이었다. ‘탈바꿈하라’, ‘변화하라’라는 의미로 코로나 팬데믹과 디지털 트랜스 시대에서 변화지 않으면 살아남을 수 없다는 의미를 담고 있다. 보안 분야에서는 차세대 보안 모델로 제로 트러스트(Zero Trust)와 XDR(Extended Detection and Response: 확장된 위협 탐지 및 대응)이 각광을 받았다.

코로나 팬데믹 이후 가장 눈에 띄는 것은 원격(재택&거점사무실)과 클라우드(IaaS, PasS & SasS)로 대표되는 업무 환경의 변화다. 변화된 업무 환경에서도 보안은 여전히 높은 수준으로 유지되어야 한다. 분산 및 복잡해진 환경으로 공격 표면(Attack Surface)은 확대되고, 관련 위협(VPN, Island Hopping 등)도 크게 증가했다. 보안 위협에 대한 대응뿐 아니라, 통합 관리 역시 매우 중요해지고 있다.

 

제로 트러스트 보안 모델 각광

네트워크의 경우, 지금까지 우리는 신뢰(Trust)를 바탕으로 하는 경계선(Perimeter) 모델을 사용했다. 그러나 변화된 업무 환경에서 신뢰 기반의 경계선 보안 모델은 더 이상 효과적이지 않다.

보안 모델의 한계와 변화
보안 모델의 한계와 변화

새로운 보안 대응 전략으로 각광받는 제로 트러스트는 아무것도 신뢰하지 않는다는 가정에서 출발한다. 적시(just in time)에 최소한의 권한(Just Enough Access)을 지속적으로 제공하는 보안 활동이다. 객체의 속성(Attribute)을 기반으로 통제 및 보호 기능을 제공하는 데이터 중심 아키텍처다. 향상된 인증, 역할/속성 기반 통제 정책, 접근 통제 및 암호화 등 코로나로 인한 디지털 트랜스포메이션 및 미국 보안 행정 명령(EO 14028)으로 시장의 주목을 받으며 급부상 하고 있다.

제로 트러스트는 XDR, 클라우드와 함께 RSAC 2022 전시회를 대표하는 키워드로 각인되었다. 시스코, 팔로알토 등 기존 보안 업체뿐 아니라 클라우드, 향상된 인증 분야의 새로운 보안 업체들이 대거 등장하여 다양한 기술과 제품을 선보였다.

세계 최대 보안 전시회 RSAC 2022의 화두, 제로 트러스트
세계 최대 보안 전시회 RSAC 2022의 화두, 제로 트러스트

가트너 자료에 따르면, 전 세계 ZTNA(Zero Trust Network Access) 시장은 2020년 3억 6100만 달러의 시장 규모에서 연평균 35.5% 성장해 2025년에는 16억 7400만 달러의 시장을 형성할 것으로 전망됐다. 코로나19 이후 원격 업무 증가 등 하이브리드 업무 환경, IT 자원의 클라우드 서비스로의 이전 가속화가 ZTNA 시장을 성장시키는 동인으로 분석했다. 특히, 네트워크 외부 접속자의 신원 확인, 내부 인증 시스템과 커뮤니케이션이 가능한 클라우드 기반을 관리하는 ZTNA 솔루션이 주목을 받을 것으로 평가했다.

전 세계 ZTNA 시장 규모 및 전망(자료: 가트너, 하나금융투자/2022.05.)
전 세계 ZTNA 시장 규모 및 전망(자료: 가트너, 하나금융투자/2022.05.)

 

엔드포인트 보안, 그리고 EDR 기술 트렌드

디지털 대전환 시대를 맞아 원격 및 재택근무 확산 등 보안 환경 변화에 따른 대안과 인공지능(AI)과 결합해 지능화된 변종 사이버 공격에 대응하기 위해 최근 가장 주목받고 있는 솔루션이 EDR(Endpoint Detection and Response: 엔드포인트 위협 탐지 및 대응)이다. EDR은 보안 지능화 및 혁신 전략, 기존 안티바이러스 솔루션의 한계 극복, 다양한 정보 수집을 통한 가시성 확보, 이상 행위 대응 및 확산 방지 등 보안의 새로운 패러다임 변화에 대응하는 솔루션이다.

코로나19 백신을 맞아도 돌파 감염이 일어나는 것처럼 사이버 보안 세상에서도 신/변종 악성코드, 랜섬웨어 등 새로운 사이버 위협은 전통적인 안티바이러스 솔루션(백신)만으로 대응이 어렵다. 백신으로 탐지를 했어도 해당 파일이 언제부터 있었는지, 다른 PC에도 해당 파일이 있는지, 어떤 정보가 유출이 됐는지, 어떤 파일을 생성했는지 알 수 없다. EDR은 역학 조사관이 이동 경로를 파악하고 밀접 접촉자를 격리시키는 것처럼, PC의 모든 행위를 모니터링하고 이상 행위와 위협에 사전 대응한다.

EDR은 기본적으로 탐지와 대응의 영역이다. EDR은 평판 정보, 침해 지표, 행위를 기반으로 하며 안티바이러스는 시그니처 기반이다. 전문 EDR 벤더와 백신 기반 EDR 벤더의 사상적 차이는 있지만 샌드박스, 머신러닝, 인공지능 알고리즘이 결합되면서 중심 값으로 모여 들고 있다.

EDR을 바라보는 시각은 다양하다. 툴의 관점으로 넓은 탐지, 깊은 분석, 상세한 대응이 필요로 한 고객이 있는 반면, 솔루션 관점으로 월 점검 시 문제없이 특정 행위에 대한 분석 요약이나 결과 통보만 필요한 고객도 있다. 백신은 탐지의 결과만 보여 주는 반면, EDR은 탐지된 파일이 어디서 왔는지, 어디와 통신을 했는지 각 흐름과 이벤트를 제공한다. 백신과 EDR 영역이 구분될 필요는 없지만 통합이 아닌 상호 보안적인 것이 가장 이상적인 방어 모델이라는 점에는 이견이 없다.

EDR 솔루션의 최소한의 기술 요소는 ▲단말과 단말에서 발생하는 각종 행위 정보를 상시적으로 수집할 수 있는 체계 ▲의심스러운 행위를 정의하고 탐지할 수 있는 방법 ▲단말과 수집된 이벤트를 대상으로 효과적으로 조사 및 분석할 수 있는 기능이다. 이와 함께 사용자 알림, 프로세스 종료, 파일 수집/삭제, 네트워크 격리 등의 위협 대응 기능이 필수적이다.

기존 안티바이러스 솔루션이 시그니처를 기반으로 주로 알려진 위협에 대응하는 보안 솔루션이라면 EDR은 전통적인 방어 솔루션이 놓친 알려지지 않은 위협을 탐지하고 대응하기 위한 솔루션 이다. 안티바이러스가 제공하지 못하는 침해 지표(IOC), 머신러닝, 행위 탐지 등의 다양한 탐지 기능을 통해 의심스러운 파일과 행위를 식별하여 분석 대응할 수 있다.

특히, 안티바이러스가 제공하지 못하는 가시성과 단말에 대한 각종 조사/대응 기능을 통해 고객이 좀 더 주도적으로 발생한 위협을 직접적으로 처리하고 발생 가능한 위협에 선제적으로 대응할 수 있는 솔루션이며 보안 툴이 EDR이다.

 

EDR 시장 동향과 전망

국내에 선제적으로 EDR을 도입한 산업별 대표 고객은 EDR을 툴의 관점으로 접근해 넓은 탐지, 깊은 분석, 상세한 대응을 절대적으로 요구하고 있다. 2019년 NH농협은행, 국세청, 신한금융지주 등이 EDR을 도입하며 시장이 본격적으로 개화됐다. 금융과 공공부터 일반 제조, 유통까지 산업별 대표 기관의 관심이 고조되면서 시장 성장세를 밝게 했다.

2020년의 경우 국내 대형 은행 및 제조 기업을 필두로 초기 시장이 형성됐다. 제조 기업은 지능화된 위협에 대한 탐지 및 대응뿐 아니라 재택근무 보안 환경 강화 측면에서 도입을 서둘렀다. 갑작스러운 코로나 팬더믹으로 시장 성장이 잠시 주춤했지만 코로나 이후 전 산업에 걸친 디지털 트랜스포메이션은 원격/재택근무를 촉발시켰으며 언택트 환경의 보안의 강화 방안으로 EDR이 각광을 받았다.

2021년은 보안 관제 고도화에 따른 엔드포인트 관제 범위 확대, 제조업은 내부 인프라 환경 변화에 대응하기 위해 따라 EDR 도입이 증가했다. 재택근무의 보안 환경 강화의 대안으로도 EDR이 주목을 받았다. 재택근무 사용자의 보안성 강화를 위한 조치로 현재까지 엔드포인트에 설치된 제품은 백신이 거의 유일하다. 이상 행위 및 파일의 흐름을 알 수 있다는 점에서 실질적인 보안 강화를 위해 EDR 검토가 증가하고 있다.

2022년은 코로나 팬데믹 이후 EDR이 실질적으로 성장하는 원년이 될 전망이다. 공공과 함께 큰 EDR 시장인 금융권은 지난 몇 년간 코로나 이후 투자 축소, 마이데이터 사업 전개, 망분리 이슈 등으로 EDR 사업이 연기됐다. 하지만 2022년 상반기 국내 대형 은행 및 가상자산 플랫폼 기업이 EDR 도입을 추진하면서 시장을 밝게 하고 있다.

특히, 제1금융권인 대형 은행의 EDR 도입은 수평적으로는 경쟁 관계 은행, 수직적으로는 증권, 보험 등 타 금융권에 미치는 영향이 지대하기 때문에 EDR 시장은 2022년 하반기부터 큰 폭의 성장을 기록할 것으로 전망된다. 여기에 정부, 중앙 부처를 중심의 EDR 도입이 지방자치단체로 확산이 되면서 EDR 시장 성장의 긍정적인 전망을 이어가고 있다.

시장의 폭발적인 성장에 따라 벤더의 시장 진입도 활발해지고 글로벌을 중심으로 M&A도 활발하게 진행되고 있다. 2014년 EDR 솔루션이 대두됐을 때는 멀웨어 분석, 위협 인텔리전스 기술을 보유한 카본블랙, 섹두, 맨디언트, 사일런스 등 미국과 이스라엘 기업이 대부분이었다.

2020년에는 네트워크 벤더들이 EDR 초기 기업을 인수했다. M&A를 통해 IBM, 팔로알토, 파이어아이, 시스코, 포티넷, 블랙베리 등이 EDR 솔루션을 신규로 획득하고 기능을 보강하게 됐다. 대형 기업들이 동시에 EDR 기업을 인수하기는 처음이다. 결국 EDR 시장이 전 세계적으로 큰 성장을 구가하고 있으며 보안 산업의 차세대 성장 동력이 된 것이다.

국내에서의 경쟁 구도는 글로벌 양상과는 조금 다르다. 국내 보안 시장은 세그멘트가 되어 있으며 그 안에 시장 지배자가 있다. 여기에 고객의 요구 수준과 기술 지원 이슈 등으로 국내 보안 기업의 점유율이 높은 편이다. 국내에서는 2017년 지니언스가 EDR을 최초로 개발한 이래 안랩, 이스트시큐리티 등이 시장에 진출했다. 글로벌 벤더들이 국내에 속속 진출하고, 국내 보안 벤더 들이 추가 진입 증가하면서 경쟁 구도 다각화에 따른 시장 확장이 이어지고 있다.

가트너에 따르면 엔드포인트 보안 시장은 2020년 100억 달러 규모에서 연평균 20.1% 성장해 2025년 264억 달러의 시장 규모를 형성할 것으로 전망했다. PC, 노트북, 테블릿, IoT 기기 등 다양한 디바이스의 증가, 하이브리드 업무 환경에서 엔드포인트 활동에 대한 실시간 모니터링 수요가 빠르게 상승하고 있다고 전망했다.

전 세계 엔드포인트 시장 규모 및 전망(자료: 가트너, 하나금융투자/2022.05.)
전 세계 엔드포인트 시장 규모 및 전망(자료: 가트너, 하나금융투자/2022.05.)

 

위협 대응 역량의 강화, XDR

XDR은 ‘단말(Endpoint)과 네트워크(Network)의 결합’으로부터 시작된다. 데이터의 수집과 분석 대상을 엔드포인트에서 클라우드, 네트워크까지 확장한 개념이다. 위협을 탐지/대응하고 보안 계층 전반의 공격 경로에 대한 통합 뷰를 제공함으로써 통합형 보안 체계를 구축할 수 있는 차세대 보안 플랫폼이다.

XDR은 다양한 연동을 통해 사고 대응(Incident Response) 역량을 높이는 것이 목적이다. 자사의 솔루션을 긴밀하게 연동하거나(Native XDR) 또는 서로 다른 이 기종 솔루션을 연동(Open XDR)하여 위협의 탐지, 대응, 복구 및 재발 방지 등 대응 역량을 높일 수 있다.

RSAC 2022에 참여한 거의 모든 EDR과 NDR 솔루션, 그리고 SIEM과 SOAR까지 XDR로의 전환(Transform)에 대한 메시지를 피력했다. 주요 벤더들의 신속한 XDR로의 전환에는 거대 자본의 투자 및 인수합병 등의 제도적 뒷받침이 존재했다.

그러나 더욱 중요한 것은 ‘협업의 문화와 API(Application Programming Interface)’다. 침해 사고 대응과 같은 공익의 목표 달성을 위해 업체 간의 협업이 자연스레 이루어지고 이를 위한 자발적 API 개발과 공개는 더 이상 그 누구도 사이버 위협에 자유로울 수 없고 혼자만으로 대응하기 어렵다는 것을 방증한다.

EDR·MDR·XDR에 대한 이해
EDR·MDR·XDR에 대한 이해

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.