위협 헌팅 보안 기업 씨큐비스타가 통합 보안 플랫폼 XDR(eXtended Detection and Response) 도입 시 고려해야 할 사항을 정리한 ‘XDR에 대한 비밀과 거짓말’이라는 주제의 보안 보고서를 공개했다. 시큐비스타는 이 보고서를 통해 대부분의 보안 담당자들이 모르는 XDR 도입 시 꼭 점검해야 할 주의 사항과 NDR·EDR·SIEM·SOAR 등 보안 시스템의 병용 전략을 공유했다.
씨큐비스타는 실시간 트래픽 처리 및 머신러닝 기반 원천 기술을 보유한 사이버 보안 소프트웨어 기업으로 월드 클래스 사이버 위협 헌팅(CTH) 플랫폼을 개발 및 보급하고 있다. 최근에는 차세대 네트워크 위협 헌팅 플랫폼 ‘패킷사이버 v2.0’를 발표다.
![[출처: 씨큐비스타 보고서 표지]](/news/photo/202310/236146_239581_4224.png)
XDR이란 무엇인가?
XDR은 이메일, 클라우드 환경, 서버, 엔드포인트, 네트워크 등 다양한 소스에서 발생한 보안 데이터를 NDR·EDR·SIEM·SOAR 등을 통해 통합 분석하고, 포괄적인 가시성을 제공해 보안운영(SecOps)팀이 위협을 더 빠르게 탐지·대응할 수 있게 하는 첨단 보안 방법이다.
XDR 개념은 2018년 미국 보안 기업 팔로알토네트웍스가 보안 시스템을 단독 사용했을 때 발생하는 치명적인 결함을 보강하기 위해 제안한 것이다. 초기 개념은 네트워크 전체의 서로 다른 소스에서 수집한 데이터를 중앙 집중화함으로써 보안 분석 및 포렌식 조사를 통해 위협 헌팅을 강화하는 데서 시작했다.
XDR 보안 관리 방식에 열광한 전 세계 보안관제센터 분석가들이 고도화된 사이버 공격에 대비해 모든 측면에서 방어하고, 탐지된 위협을 중앙 집중화된 통합 관리 시스템을 통해 대응할 수 있도록 발전시켜 왔다.
XDR의 필수 요소
XDR의 핵심은 프로세스, 실행 명령, 네트워크 연결, 생성·액세스 파일, 레지스트리 수정 정보 등의 엔드포인트 데이터를 수집해 위협을 탐지하는 EDR 기술과 통신 트래픽 패턴, North-South 및 East-West 연결, 의심스러운 통신, TLS 핑거프린트 등을 탐지하는 NDR 기술들이 기반이 되어야 한다.
일반적으로 이메일의 첨부 파일 메타데이터, URL, 유저 활동 데이터, 클라우드 환경일 경우 구성 변경, 신규·변경 인스턴스 등 클라우드 워크로드에 대한 데이터들이 SIEM·SOAR의 통합 분석을 거쳐 보안 가시성이 제공돼야 최고의 보안 성능을 발휘할 수 있다.
XDR은 실제로 제공되는 것일까? 아니면 마케팅 속임수일까?
XDR의 개념은 기술 발전과 보안 제품 간 연동 방식에 따라 현재 진행형으로 변화 중이며 우수한 통합 관리 기능을 보유한 XDR 벤더가 있는지, 실제로 제공되는지 등 보안 인력들의 혼동은 날로 커지고 있다.
특히, 조직에 XDR 도입을 재촉하는 벤더들을 주의해야 한다. 벤더가 주장하는 XDR이 몇 가지 위협 정보 소스만 추가됐거나 보안 데이터 소스 간에 유기적인 통합이 이루어지지 않는 재포장된 SIEM·SOAR 제품일 수 있기 때문이다. 보안 담당자는 도입하려는 XDR 모델에 대한 깊은 이해가 선행돼야 한다.
XDR 도입 검토 시 주의 사항
시장조사기업 가트너 그룹은 XDR을 도입하기 전 “기존 SIEM·SOAR에서 사용되지 않는 기능을 평가하고 XDR이 현재 위협 탐지 및 대응 프로그램에서 놓치는 부분을 해결할 수 있는지 확인해야 한다. XDR이 이미 효과적으로 작동하는 SIEM·SOAR을 대체해서는 안 된다”고 경고했다.
XDR은 SIEM·SOAR·EDR·EPP 등 기존 보안 시스템들의 긴밀한 통합 기능을 제공하는 것이므로 이미 시스템들이 서로 잘 통합되어 있다면 도입이 불필요할 수 있다. ▲XDR이 기존 보안 기능과 중복되는지 ▲기존 제품들을 효과적으로 통합할 수 있는지 ▲이전에 해결할 수 없던 위협 탐지 및 대응이 가능한지 ▲재포장된 SIEM·SOAR 제품이 아닌지 ▲경쟁 요소가 부족한지 ▲보안 기술 선택권이 보장되는지 등을 면밀히 진단해야 한다.
XDR 모델은 단일 벤더, Open XDR 등으로 제공되며 각각 장단점이 존재한다. 단일 벤더 XDR의 경우 보안 데이터를 통합 분석해 위협 탐지 및 대응할 수 있는 모든 보안 기능을 제공하며 한 벤더와 긴밀하게 연락하기 때문에 운영 및 문제 해결이 쉬워진다. 하지만 해당 벤더가 제공하는 솔루션이 모든 보안 요소들의 최고 기술을 모두 제공한다고 보긴 어렵다.
Open XDR은 여러 보안 벤더들의 보안 데이터를 하나로 통합해 위협 탐지 및 대응하는 솔루션이다. 각 분야 최고의 보안 제품들로 구성해 통합할 수 있지만 책임 소재에 대한 우려와 관리 포인트가 많아 운영 조직에 부담이 될 수 있다. 조직에 적합한 보안 기술을 선택을 할 수 있는 유연성이 있는지도 검토해야 한다.
XDR은 일반적으로 한 보안 벤더가 여러 작은 보안 벤더들을 인수해 구축한 보안 포트폴리오를 제공하는 경향이 있는데, 여러 솔루션을 인수한 단일 거대 벤더의 경우 보안 기능들이 잘 통합되지 않을 수 있어 주의를 기울여야 한다. 반면, 한 벤더만 보유하고 있어 경쟁 요소가 부족한 XDR 시스템은 피하고 보안 기술 요소를 직접 선택할 수 있는 권한을 침해받지 않아야 한다.
전덕조 씨큐비스타 대표는 “XDR은 5~6년 후 기업의 약 30%, 10년 후에는 더 많은 기업에서 사용될 것으로 예측되는 보안 시스템으로 정확하게 이해하고 주의 사항을 숙지하는 게 중요하다. NDR·FDR 기반 보안 솔루션 패킷사이버 등 XDR과 강력한 시너지를 내는 보안 기술을 꼼꼼하게 선별 도입해 조직의 보안력을 높이기 바란다”고 말했다.
