통합 보안플랫폼인 ‘XDR’(통합 탐지·대응)의 확산세가 빠르다. 5~6년 후 기업의 약 30%, 10년 후엔 더 많은 기업이 사용할 것으로 예측된다. 이에 위협 헌팅 보안기업 '씨큐비스타’는 'XDR의 비밀과 거짓말'이란 보고서를 통해, 도입 시 점검해야 할 주의사항과 기존 보안시스템과의 병용 전략에 대해 소개했다.
XDR이란 무엇인가?
XDR은 보안운영(SecOps)팀이 위협을 더 빠르게 탐지·대응할 수 있게 하는 혁신적인 첨단 보안방법이다. 이메일, 클라우드, 서버, 네트워크 등 다양한 환경에서 발생한 보안 데이터를 기존탐지 대응 시스템(NDR·EDR·SIEM·SOAR)을 통해 통합 분석하고, 포괄적인 가시성을 제공한다.
XDR의 초기 개념은 네트워크 전체의 서로 다른 환경에서 수집한 데이터를 중앙 집중화해 위협 접근성 차단을 강화하는 데서 시작했다. 이후 고도화된 사이버 공격에 대비해 모든 측면에서 방어하고, 탐지된 위협을 중앙집중화된 통합관리시스템을 통해 대응할 수 있는 형태로 발전해왔다.
XDR의 핵심은 엔드포인트(네트워크를 통해 통신하는 모든 단말기) 데이터다. 수집 정보로 위협을 탐지하는 EDR·NDR 기술이 기반이 돼야 한다. 또 데이터에 대한 보안 정보 사건 관리(SIEM)·위협 대응 자동화(SOAR) 등의 통합 분석을 거쳐 보안 가시성이 제공돼야 최고의 보안력을 발휘할 수 있다.
XDR의 초기 개념은 네트워크 전체의 서로 다른 환경에서 수집한 데이터를 중앙 집중화해 위협 접근성 차단을 강화하는 데서 시작했다. 이후 고도화된 사이버 공격에 대비해 모든 측면에서 방어하고, 탐지된 위협을 중앙집중화된 통합관리시스템을 통해 대응할 수 있는 형태로 발전해왔다.
XDR은 실제로 제공되는 것일까? 아니면 마케팅 속임수일까?
XDR의 개념은 기술 발전과 보안제품 간 연동방식에 따라 현재진행형으로 변화하는 중이다. 따라서 우수한 통합관리기능을 보유한 XDR 공급자가 있는지, 실제로 제공되는지 등에 대한 보안 인력들의 혼동은 갈수록 커지고 있다.
씨큐비스타는 만약 현재 XDR 적용을 고려 중인 업체라면, 도입을 서두르는 공급자를 주의해야 한다고 조언했다. 공급자가 주장하는 XDR에 미감지 위협 요소가 있거나, 유기적인 통합이 이뤄지지 않았을 가능성이 크기 때문이다.
세계적 조사기관인 가트너그룹은 “(XDR을 도입하기 전) 기존 SIEM·SOAR에서 사용되지 않는 기능을 평가하고, XDR이 현재 위협탐지 및 대응 프로그램에서 놓치는 부분을 해결할 수 있는지 확인해야 한다"며 "XDR이 이미 효과적으로 작동하는 SIEM·SOAR을 대체해선 안 된다"라고 경고했다.
XDR은 SIEM·SOAR·EDR·EPP 등 기존 보안시스템들의 긴밀한 통합 기능을 제공하는 것으로, 이미 시스템들이 서로 잘 통합돼 있다면 도입이 불필요할 수 있다는 뜻이다.
따라서 △XDR이 기존 보안 기능과 중복되는지 △기존 제품들을 효과적으로 통합할 수 있는지 △이전에 해결할 수 없던 위협탐지 및 대응이 가능한지 △재포장된 SIEM·SOAR 제품이 아닌지 △경쟁요소가 부족한지 △보안기술 선택권이 보장되는지 등을 면밀하게 진단해야 한다.
XDR 모델은 '단일 벤더', '오픈 XDR'로 나뉘며, 각각 장단점이 존재한다.
'단일 벤더 XDR'의 경우, 보안 데이터를 통합 분석해 위협을 탐지하고 대응할 수 있는 모든 보안 기능을 제공한다. 한 공급자와 긴밀하게 연락하기 때문에 운영 및 문제해결이 쉽다는 장점이 있다. 하지만 이 공급자가 모든 보안 요소들의 최고 기술을 제공한다고 보긴 어렵다.
‘오픈 XDR'은 여러 보안 공급자들의 보안 데이터를 하나로 통합해 위협탐지 및 대응하는 솔루션이다. 각 분야 최고의 보안제품들로 구성해 통합할 수 있지만, 책임소재에 대한 우려와 관리 요인이 많아 운영조직에 부담이 될 수 있다.
XDR은 일반적으로 한 보안 공급자가 여러 소규모 공급자들을 인수해 구축한 보안 포트폴리오를 제공하는 경향이 있다. 여러 솔루션을 인수한 단일 거대 공급자의 경우 보안 기능들이 잘 통합되지 않았을 수 있어 주의를 기울여야 한다. 씨큐비스타는 또 한 공급자만 보유하고 있어 경쟁요소가 부족한 XDR 시스템은 피하고, 보안기술을 직접 선택할 수 있는 권한을 침해받지 않아야 한다고 조언했다.
세계적 조사기관인 가트너그룹은 “(XDR을 도입하기 전) 기존 SIEM·SOAR에서 사용되지 않는 기능을 평가하고, XDR이 현재 위협탐지 및 대응 프로그램에서 놓치는 부분을 해결할 수 있는지 확인해야 한다"며 "XDR이 이미 효과적으로 작동하는 SIEM·SOAR을 대체해선 안 된다"라고 경고했다.
XDR은 SIEM·SOAR·EDR·EPP 등 기존 보안시스템들의 긴밀한 통합 기능을 제공하는 것으로, 이미 시스템들이 서로 잘 통합돼 있다면 도입이 불필요할 수 있다는 뜻이다.
따라서 △XDR이 기존 보안 기능과 중복되는지 △기존 제품들을 효과적으로 통합할 수 있는지 △이전에 해결할 수 없던 위협탐지 및 대응이 가능한지 △재포장된 SIEM·SOAR 제품이 아닌지 △경쟁요소가 부족한지 △보안기술 선택권이 보장되는지 등을 면밀하게 진단해야 한다.
XDR 모델은 '단일 벤더', '오픈 XDR'로 나뉘며, 각각 장단점이 존재한다.
'단일 벤더 XDR'의 경우, 보안 데이터를 통합 분석해 위협을 탐지하고 대응할 수 있는 모든 보안 기능을 제공한다. 한 공급자와 긴밀하게 연락하기 때문에 운영 및 문제해결이 쉽다는 장점이 있다. 하지만 이 공급자가 모든 보안 요소들의 최고 기술을 제공한다고 보긴 어렵다.
‘오픈 XDR'은 여러 보안 공급자들의 보안 데이터를 하나로 통합해 위협탐지 및 대응하는 솔루션이다. 각 분야 최고의 보안제품들로 구성해 통합할 수 있지만, 책임소재에 대한 우려와 관리 요인이 많아 운영조직에 부담이 될 수 있다.
XDR은 일반적으로 한 보안 공급자가 여러 소규모 공급자들을 인수해 구축한 보안 포트폴리오를 제공하는 경향이 있다. 여러 솔루션을 인수한 단일 거대 공급자의 경우 보안 기능들이 잘 통합되지 않았을 수 있어 주의를 기울여야 한다. 씨큐비스타는 또 한 공급자만 보유하고 있어 경쟁요소가 부족한 XDR 시스템은 피하고, 보안기술을 직접 선택할 수 있는 권한을 침해받지 않아야 한다고 조언했다.