[컴퓨터월드] 최근 보안 시장의 흐름은 ‘통합’이다. 조직들은 쉬지 않고 이어지는 보안 위협 경고에 대응하기 위해 수십 개의 보안 솔루션을 도입했고, 이에 보안 팀은 업무 효율성 측면에서 피로감을 호소하고 있다. 이런 배경에서 ‘XDR(Extended Detection and Response; 확장된 탐지 및 대응)’ 시장이 본격적으로 개화하고 있다. XDR은 자동화된 탐지와 대응을 엔드포인트뿐만 아니라 IT 인프라 전체로 넓히는 차세대 보안 패러다임이다. 글로벌 선도 기업들에게 XDR이 무엇인지, 어떤 방향으로 발전해나갈 것인지를 들어본다.

복잡한 보안 환경…효율과 통합 위해 XDR 등장

사이버 보안 위협이 갈수록 심각해지면서 조직의 보안 인프라 역시 복잡해지고 있다. 문제는 오늘날 조직들이 늘어나는 각종 위협에 대응해 다수의 보안 제품을 구축하고 있으며, 이로부터 수많은 위협 정보가 실시간으로 감당하기 어려울 만큼 생성된다는 데 있다. 보안 담당자 및 보안 팀은 넘쳐나는 위협 정보들 가운데 어떤 것이 중대한 보안 이벤트인지를 파악하는 데 어려움을 겪고 있다. 포티넷코리아 박종석 이사는 “기업에서 구축한 여러 보안 제품들은 관리가 어려울 정도로 많은 보안 정보를 생성해 실제로 중요한 위협 정보를 구분할 수 없게 만들며, 이로 인해 보안 팀은 사이버 공격을 탐지하고 대응하는 데 많은 어려움을 겪고 있다”고 말했다.

팔로알토네트웍스 관계자도 “오늘날 보안 팀은 계속되는 공격과 끝없는 알림이라는 두 가지 어려움을 겪고 있다. 침입 가능성을 줄이기 위해 보안 팀에서는 일반적으로 여러 보안 레이어를 구축하지만, 이러한 도구는 매주 평균 11,000개라는 엄청난 수의 알림을 생성한다”고 설명하고 “이 모든 알림을 따라잡기 위해 분석가들은 종종 장애 제거 모드로 일하면서 매일 최대한 많은 알림을 분류해야 한다. 하지만 이러한 알림은 조사에 필요한 필수 맥락(context)이 없는 경우가 많으므로, 추가적인 세부 정보를 찾느라 분석가가 귀중한 시간을 낭비할 수밖에 없다. 부정확하고 불완전한 알림이 너무 많기 때문에 보안팀의 53%가 수신되는 알림 수의 절반도 검토하지 못하며, 이로 인해 데이터 침해 리스크가 커진다”고 업계 실상을 전했다.

뿐만 아니라 보안 업무가 팀 단위로 구분되면서 통합된 가시성을 확보하기가 어려워졌으며, 보안 인프라의 상황에 대해 내부적으로 모두가 동일한 이해도를 갖는 것이 쉽지 않은 일이라는 것도 문제다. 또 평소에 진행되는 보안 현황 점검에 필요한 시간과 인력 등의 자원이 필요한 만큼 투입되지 않아 위협에 충분히 대비하지 못하기도 한다.

특히 설령 위협을 빠르게 탐지하더라도 도입한 다수의 보안 제품들을 각각 활용해 대응해야 하므로, 위협 대응 속도와 효율성이 저하되는 것이 큰 문제 중 하나로 꼽힌다. 이에 대해 시스코코리아 보안 사업 총괄 황성규 상무는 “식별 단계에서 빠르게 위협을 탐지한다 해도 이후 대응 단계 역시 문제 해결에 필수적인 부분인데, 재빠르게 위협에 대응하는 데 필요한 통합 솔루션을 사용하는 기업이 많지 않다”고 지적했다.

이 같은 문제를 해결하고자 최근에는 수많은 포인트 솔루션들을 가급적 통합하려는 시도가 업계의 큰 흐름이 되고 있다. 이는 보안 솔루션을 사용하는 고객의 요구이자, 그러한 요구에 대응한 보안 솔루션 업체들의 발전 방향이기도 하다. 그리고 이런 관점에서 등장한 것이 바로 XDR(Extended Detection and Response; 확장된 탐지 및 대응) 솔루션이다.

포티넷코리아 박종석 이사는 “포티넷 조사에 따르면, 대다수 기업들은 현재 또는 향후 2~3년 내에 보안 공급업체들을 통합할 계획을 갖고 있다. 최근 보안 업계의 트렌드는 보안 솔루션의 통합이다. XDR은 이러한 배경에서 부상하고 있다”고 말했다.

안랩 관계자도 “보안 솔루션은 많아졌지만 실질적인 대응은 오히려 어려워지는 ‘보안의 사일로(Silo)화’ 문제가 발생한 것”이라면서 “이러한 문제를 해결하고 ‘보안의 효율화’에 대한 요구가 증가함에 따라 XDR이 탄생했다”고 설명했다.

결론적으로 한층 복잡해지고 더욱 늘어난 보안 위협에 대응하기 위해 도입한 수많은 개별 솔루션들로 인한 효율성 및 대응 속도 저하 문제를 해결하고자 대두되고 있는 것이 XDR이라고 할 수 있다. 특히 최근 3~4년간 많은 글로벌 업체들이 XDR을 발전 방향으로 삼고 솔루션을 정비 및 강화해 나가고 있는 상황이다.

인터뷰

“XDR은 전체 가시성과 제어를 제공하는 새 보안 패러다임”

포티넷코리아 박종석 이사

Q. XDR이 필요한 이유는 무엇인가?

대부분의 보안 솔루션들은 자체 영역 내에서는 효과적일 수 있지만 기능의 범위가 제한적이라는 한계가 있다. 그러나 오늘날의 정교한 위협을 방어하려면 분산된 네트워크 전체를 아우르는 가시성과 제어가 필요하다. XDR은 개별적인 보안 제어가 조율된 보안 플랫폼의 일부로서 데이터를 보고, 공유하고, 상호 연관시켜 위협을 보다 효과적으로 탐지하고 전체 공격 표면을 포괄함으로써 조율된 대응을 제공하는 새로운 보안 패러다임이다.

XDR 솔루션은 여러 업체의 보안 제품을 구축함으로써 발생하는 복잡성 및 이와 관련된 문제를 완화할 수 있다. 그러나 대부분의 XDR 솔루션은 여러 제품의 경보(alert) 연관분석에 중점을 두고 있다. 이에 사이버 기술 격차로 인해 이미 과중한 업무를 맡고 있는 보안 팀의 상당한 수동적(manual) 개입이 불가피하다. 탐지부터 이벤트 조사, 보안 사고 해결에 이르기까지 전체 프로세스를 자동화할 수 있는 XDR 솔루션이 보안 팀에 필요한 이유가 바로 이것이다.

Q. XDR에서 핵심은 무엇인가?

첫 번째는 ‘확장된 탐지’다. 효과적인 XDR 솔루션은 조직 전체에서 데이터를 수집한 다음, 이를 상호 연관시키고 분석해 방대한 양의 원 정보(raw information)를 잠재적 사고에 대한 적은 양의 세부 정보로 압축시킨다. 위협에 대한 원격 정보 분석이 가능한 공격 벡터가 많을수록 액티브한 위협을 찾을 수 있는 가능성이 높아진다. 물론, 데이터를 수집하는 것은 프로세스의 절반에 불과하다. XDR 솔루션은 사고를 탐지하는 데 사용되는 탁월한 분석을 지원해야 한다.

두 번째는 ‘확장된 분석’이다. 잠재적 사고가 탐지되면 조사를 진행해야 한다. 좋은 XDR 솔루션은 “이것이 실제 위협인가, 아니면 오탐인가?”, “더 큰 위협의 징후인가?”, “그렇다면 범위는 어느 정도인가?” 등 몇 가지 질문에 답하는 데 필요한 분석 정보를 제공한다.

오늘날 많은 사이버 공격들은 다단계로 이뤄지며, 구성 요소가 목적을 달성한 후에는 사라진다. 그러나 경보를 촉발한 특정 지표가 더 이상 보이지 않는다고 해서 조직이 안전하다는 뜻은 아니다. 대부분의 XDR 솔루션은 이 단계를 보안 팀에 넘겨 조사를 진행한다. 하지만 생성되는 알림의 양과 제한 사항, 사이버 보안 기술 격차로 인한 자원의 제약을 고려할 때 많은 보안 팀이 모든 잠재적 사고를 추적할 수 있는 자원을 확보하기는 어렵다. 숙련된 보안 분석가가 잠재적 사고를 살펴보고 조사 및 검증 방법을 결정한 다음, 문제를 해결하고 안전한 운영으로 복귀하기 위한 최적의 대응 단계를 결정해야 한다.

이 작업에는 시간이 많이 걸리는데, 대부분의 조직들은 이러한 시간을 확보하지 못하고 있다. 이에 효과적인 분석을 제공하기 위해 일부 XDR 솔루션은 경보를 자동으로 조사하도록 학습된 인공지능(AI) 기능이 보강됐다. 이러한 AI 시스템은 잠재적인 사고의 맥락을 파악하고, 철저한 조사를 수행하며, 사고의 성격과 범위를 확인하고, 대응 속도를 높일 수 있는 충분한 세부 정보를 제공할 수 있어야 한다. 탁월한 AI 시스템은 몇 초 만에 이러한 기능을 수행할 수 있으며, 보안 팀에 의존하는 것보다 훨씬 쉽고 경제적으로 확장할 수 있다.

세 번째는 ‘확장된 대응’이다. 좋은 XDR 솔루션은 사고를 신속하게 완화할 수 있는 효과적인 대응을 제공한다. 즉, 공격의 전체 범위를 기반으로 효과적이고 조율된 대응을 위해 가능한 한 많은 리소스를 동원할 수 있다. 또한 사전 정의되고 반복 가능한 대응을 제공해 대응의 효율성을 높일 뿐만 아니라, 진행 중인 공격의 모든 단계에 개입할 수 있다. 궁극적으로 이러한 솔루션은 위협이 네트워크에 침투할 수 있도록 허용한 기존 보안 프레임워크의 허점을 메워준다.

 포괄적 가시성과 제어 제공

XDR을 쉽게 이해하자면, EDR(엔드포인트 탐지 및 대응)의 범위를 확장한 것이라고 할 수 있다. 100% 정확한 정의는 아니지만, 많은 기업들이 EDR에서 XDR로 확장하고 있기에 그다지 틀린 설명은 아니라고 봐도 무방하다. 즉 엔드포인트 뿐만 아니라 네트워크, 클라우드 등 기업의 IT 인프라 전체 영역으로 ‘확장’해 자동화된 탐지와 대응을 제공하는 것이 XDR이다.

한국마이크로소프트 보안 비즈니스 총괄 박상준 팀장은 “XDR은 주로 엔드포인트 보안에 중점을 뒀던 EDR이 확장된 형태다. XDR에서는 EDR의 적용 범위가 넓어져 엔드포인트는 물론 네트워크에서 서버, 클라우드 기반 애플리케이션과 SaaS(서비스형 소프트웨어) 애플리케이션에 이르는 광범위한 통합형 보안을 제공한다”면서 “XDR은 클라우드 애플리케이션, 이메일 보안, 아이디(ID), 액세스 관리 등 다양한 도구 전반에서 원격 분석 원시 데이터를 수집한다. 또한 인공지능(AI)과 머신러닝(ML)을 이용해 실시간으로 자동 분석, 조사, 대응을 수행한다”고 덧붙였다.

인터뷰

“넓어진 시야로 위협에 대한 깊이 있는 이해 돕는 XDR”

한국마이크로소프트 보안 비즈니스 총괄 박상준 팀장

Q. XDR의 주요 기능은?

XDR은 첫째, 상호 관련된 인시던트 정보를 보여준다. XDR은 경고를 모으고 서로 연관시켜 보안 인시던트나 공격에 대한 완전한 그림을 보여줌으로써 분석담당자들이 짧은 시간 내 분석에 집중할 수 있도록 한다.

두 번째는 분석 기능이다. ID, 엔드포인트, 이메일, 데이터, 네트워크, 저장소, IoT, 애플리케이션을 아우르는 대규모 데이터를 검사함으로써, 위협 활동을 빠르고 직관적으로 이해하기 쉽도록 한다. XDR의 강력한 분석은 위협을 타임라인별로 볼 수 있게 하고, 분석담당자들이 놓칠 수 있을 위협도 쉽게 찾도록 한다.

세 번째는 자동화된 탐지 및 대응 기능이다. 알려진 위협에 대해 실시간으로 자동 식별, 평가, 수정을 수행해 조직의 워크로드를 줄이는 동시에 간소화하며, 감지가 어려운 위협도 잡아낸다.

네 번째는 AI 및 ML을 적용해 확장성과 효율성을 높일 수 있다는 점이다. 행동 감지에서 조사 경고와 수정에 이르기까지 AI를 활용해 위협적인 행동을 모니터하고 공격 가능성이 있는 행동에 자동으로 대응해 완화한다. XDR은 분석담당자가 검토할 수 있게 ML을 이용해 의심스러운 행동의 프로필을 만들어 플래그를 지정할 수 있다.

마지막으로 영향받은 자산을 자동 복구하는 기능도 제공한다. 유해 프로세스 종료, 악성 전달 규칙 제거, 조직 디렉터리 내 손상된 사용자 식별 등의 복구 작업을 규칙화해 영향을 받은 자산을 안전한 상태로 복원하고 피해를 최소화한다.

Q. XDR의 핵심은 무엇이라고 보는가?

XDR은 자동화를 통해 통합된 관점에서 넓어진 시야를 제공해 위협 상황에 대한 깊이 있는 이해를 돕는다. 이를 위해 XDR은 데이터를 수집하고 통합하는 핵심 기능을 갖고 있다. 엔드포인트 디바이스 및 방화벽에서 클라우드와 일부 타사 애플리케이션까지 기업 내 기술 환경을 모니터링하며, 이를 통해 환경 전반의 인시던트와 위협을 식별하고 관련된 사건들을 비교할 수 있다. 이로써 보안 경고의 발령 횟수를 최적화하고 보안 팀들이 사이버 공격을 더 분명하게 이해할 수 있도록 돕는다.

또 다른 핵심은 통합 분석이다. 서로 관련된 인시던트를 자동으로 분석해 신속하고 효율적인 대응 및 수정을 가능하게 한다. AI 및 ML 기능으로 광범위한 데이터 포인트를 분석하고 실시간으로 공격과 악성 행동을 감지할 수 있다. 이는 보안 팀이 직접 인시던트의 연관성을 확인하고 위협을 수정하려는 시도에 비하면 획기적으로 신속한 대응이라 할 수 있다.

마지막 핵심은 인시던트 관리 기능이다. XDR을 이용하면 기업이 위협적인 인시던트에 자동 또는 수동으로 대응할 수 있다. XDR은 미리 설정된 조건을 사용해 IP 주소나 메일 서버 도메인을 차단함으로써 디바이스를 격리하고 위협을 수정한다. 또한 보안 분석담당자는 이에 대한 인시던트 보고서, 권장 솔루션, 대응 조치를 검토할 수 있다.

Q. XDR 도입 시 장점은 무엇인가?

먼저 가시성이 증가한다는 점이다. 여러 엔드포인트, 네트워크, 이메일, 애플리케이션의 원격 분석 데이터를 통합해 경고와 인시던트의 관계를 설명하고 위협 가시성을 넓히며 분석담당자의 시간, 자원 소모를 줄여준다. 경고를 관리함으로써 분석담당자가 직접 위협을 조사하는 데 소비하는 시간을 감소시켜주는 효과도 있다. 상호 관련된 경고 알림을 간소화하고 분석담당자의 수신함에서 불필요한 정보 수신을 줄여준다.

인시던트의 우선순위를 지정할 수 있다는 것도 장점이다. 인시던트를 평가해 가중치가 부여된 평가 결과를 제공함으로써 기업 또는 규정 관련 핵심 기준이나 기업의 사용자 지정 요구 사항에 합당한 수정 조치와 권장 조치에 우선순위를 정해줄 수 있다.

반복적인 작업을 자동화해 분석담당자의 일손을 덜어주는 도구도 제공한다. 또한 XDR의 중앙 집중식 관리 도구는 경고의 정확성을 증가시키고 위협을 평가하기 위해 분석담당자가 액세스해야 하는 솔루션의 개수를 줄여준다.

다양한 보안 도구를 통합해 대응할 수 있는 것도 장점이다. 기업 보안 제품 전체에 대한 위협을 수정하며 중앙 집중식 분석, 대응, 수정을 제공한다. 뿐만 아니라 XDR은 실시간으로 위협을 식별하고 자동화된 수정을 배포해 기업 데이터나 시스템에 대한 공격자의 액세스를 제거하고 액세스 시간을 줄일 수 있다.

현재 여러 글로벌 보안 업체들이 XDR을 발전 방향으로 삼고 있지만, 각자 기존에 어떤 분야에서 출발했는가에 따라 조금씩 정의와 설명이 다른 상황이다. 트렐릭스 임현호 한국지사장은 “각 업체들이 이미 보유하고 있던 EDR, SIEM(보안 정보 및 이벤트 관리), NDR(네트워크 탐지 및 대응) 등 각 솔루션에서 기능을 보강하면 XDR이라고 이야기하고 있다”면서 “EDR과 SIEM, NDR은 각 분야에서 전체로 영역을 확장하면서 보안 이벤트 관리 측면에서 고도화와 자동화를 강조하고 있다”고 말했다. 그리고 임 지사장은 “여기에 또 하나 중요한 것은 각 영역에서 발생한 보안 관련 데이터의 상호 연관분석이다. 모든 정보들이 데이터 레이크 형태로 갖춰져야 하고, 클라우드 기반으로 유연하게 분석이 가능해야 한다”고 덧붙였다.

트렌드마이크로도 EDR의 확장된 가시성과 대응 범위를 강조했다. 트렌드마이크로 관계자는 “최근 매우 중요해진 EDR 솔루션은 엔드포인트만 볼 수 있기 때문에 영역과 가시성 측면에서 한정적일 수밖에 없다. 탐지할 수 있는 위협의 범위, 영향을 받는 사람·대상에 대한 관점, 그리고 가장 잘 대응하는 방법 등에서 제한을 받게 되므로 SOC(보안운영센터)의 대응 효율성을 제한하게 된다”면서 “IT 인프라가 현대화된 조직일수록 서버 워크로드, 네트워크, 클라우드, 아이덴티티(Identity), 이메일, IPS(침입방지시스템), 모바일 등 다양한 계층이 존재하며, 이들에 대한 상관관계 파악을 기반으로 한 위협의 탐지 및 대응은 필수불가결한 상황이다. 이러한 관점에서 탄생한 것이 XDR이며, 다양한 레이어에 대한 진화된 탐지 및 대응을 구현한다는 점에서 ‘Cross-Layered Detection and Response(계층 간 탐지 및 대응)’라고 표현하기도 한다”고 설명했다.

VM웨어코리아 보안사업부 김한기 상무도 “XDR은 EDR이 제공하는 단일 관점이 아닌, 여러 보안 계층 전반에서 원격 측정 및 동작 분석을 제공해 보안 팀이 전체적으로 상황을 파악하도록 지원한다. 시스템 전반의 활동에 대한 총체적인 관점을 제공하는 XDR을 활용하면 보안 팀이 위협의 출처와 더불어 환경 전반에서 위협이 확산되는 방식을 파악해 위협을 제거할 수 있다. 즉, XDR은 향상된 위협 분석 및 상관 관계 분석 기능과 함께 총체적인 관점을 제공한다”고 말했다.

XDR의 핵심 요소

글로벌 시장조사기관 프로스트 앤 설리번(Frost & Sullivan)은 XDR의 핵심 요소를 세 가지로 요약하고 있다. 첫째로, 다양한 계층에 걸친 탐지와 대응이다. 공격 사례를 제대로 이해하고 적절하게 대응하기 위해서는 다양한 영역의 보안 로그를 수집하고 연계 분석할 수 있어야 한다는 것이다.

두 번째로 XDR은 다양한 보안 솔루션을 연계·연동할 수 있어야 한다. 많은 기업이 다수의 보안 솔루션을 동시에 운영하고 있는 상황에서, 각 보안 솔루션에서 발생하는 로그를 통합해 수집하고 분석할 수 있는 역량이 중요하다는 설명이다.

마지막으로는 실질적으로 의미 있는 자동화가 필요하다는 점이다. 보안 담당자는 한정된 시간 동안 매우 많은 이벤트를 처리해야 하므로, XDR의 주요 목적 중 하나인 보안 업무의 효율성을 확보하기 위해서는 위협의 우선순위를 자동으로 지정할 수 있는 역량을 갖춰야 한다는 것이다.

이처럼 XDR은 조직의 IT 인프라 전체 영역에 대한 보안을 제어 및 조율하는 통합 플랫폼으로서, 각 영역에서 발생하는 보안 관련 데이터를 실시간으로 보고, 공유하고, 상호 연관시켜 위협을 보다 효과적으로 탐지할 수 있어야 한다. 또한 전체 공격 표면을 포괄하는 총체적 조율을 바탕으로 빠른 대응이 가능해야 한다.

한국마이크로소프트 보안 비즈니스 총괄 박상준 팀장은 “XDR은 위협 탐지와 사고 대응을 좀 더 통합적이고 상호 유기적인 방법으로 대응하기 위한 것으로, 분산된 여러 솔루션을 하나로 통합하거나 관리를 통합하는 형태로 보안 운영 전반의 효율성을 향상시키게 된다”고 설명했다.

인터뷰

“데이터 자동 분석으로 상관관계 파악, 효과적 위협 차단 가능한 XDR”

VM웨어코리아 보안사업부 김한기 상무

Q. XDR의 핵심은 무엇이라고 보는가?

XDR은 근본적으로 툴과 데이터를 통합한 것이며, 엔터프라이즈 보안 기능을 한 단계 높은 차원으로 끌어올린다. XDR은 환경 전반에서 수집된 원형 데이터에 액세스할 수 있으므로 정상적인 소프트웨어를 사용해 시스템에 액세스하는 악성 행위자를 탐지할 수 있다. 이는 SIEM 소프트웨어로는 불가능한 경우가 많다. XDR은 활동 데이터의 자동화된 분석을 수행하고 상관 관계를 파악하므로 보안 팀은 위협을 보다 효과적으로 차단할 수 있다. 예를 들어 네트워크 탐지, 측면 이동, 비정상적인 연결, 백도어, 유출, 악성 아티팩트 전달을 포함하도록 확장할 수 있다.

EDR과 마찬가지로 XDR은 위협에 대응해 위협을 억제하고 제거한다. 그러나 XDR은 탁월한 데이터 수집과 환경과의 통합으로 영향을 받는 자산에 보다 효과적으로 대응할 수 있다. 진정한 XDR 플랫폼은 보안 분석가가 대상을 명확히 하고, 효과적인 방식으로 위협에 대응하는 데 필요한 종합적인 가시성과 상황 인식을 제공한다. 이 맞춤형 대응 방식은 위협 자체뿐만 아니라 위협에 대한 대응이 시스템에 미치는 영향을 제한하는 데 도움이 된다. 이를테면 중요한 서버의 다운타임을 줄일 수 있는 것이다.

정리하자면, XDR은 원격 측정 및 데이터 분석, 탐지, 대응이라는 세 가지 요소로 구성된다고 할 수 있다.

즉 XDR은 ‘원격 측정 및 데이터 분석’이 첫 번째 핵심이다. XDR은 엔드포인트, 네트워크, 서버 및 클라우드를 포함한 여러 보안 계층에서 데이터를 모니터링하고 수집한다. 그런 다음 데이터 분석을 사용해 해당 계층 전반에서 발생하는 수천 개의 알림으로부터 맥락(context)의 상관관계를 파악함으로써 우선순위가 높은 보다 적은 수의 알림만 표시하고, 그 결과 보안 팀의 부담이 줄어들게 된다.

두 번째 핵심은 ‘탐지’에 있다. XDR의 탁월한 가시성을 통해 알림을 검토하고 대응이 필요한 알림을 분류할 수 있다. 이와 동일한 가시성을 통해 환경 내에서 정상적인 동작의 기준선을 생성해 소프트웨어, 포트 및 프로토콜을 활용하는 위협을 탐지하고, 위협이 시스템의 다른 부분에 영향을 미치지 않도록 위협의 출처를 조사할 수 있다.

세 번째 핵심은 ‘대응’ 측면에 있다. EDR과 마찬가지로 XDR에는 탐지된 위협을 억제하고 제거할 뿐만 아니라 유사한 침해가 다시 발생하지 않도록 보안 정책을 업데이트하는 기능이 있다. 그러나 엔드포인트 및 워크로드에서만 이 기능을 수행하는 EDR과 달리, XDR은 엔드포인트 보호를 넘어 컨테이너 보안에서 네트워크 및 서버에 이르기까지 연결된 모든 관리 포인트에서 위협에 대응한다.

Q. XDR의 주요 이점은 무엇인가?

먼저 가시성 및 상황 인식을 강화할 수 있다는 점이다. EDR(엔드포인트 및 워크로드로 제한됨) 및 타사 보안 서비스(일반적으로 뷰가 제한됨)와 달리, XDR은 보안 환경에 대한 포괄적인 가시성을 제공한다. 이 가시성을 통해 보안 분석가는 정상적인 소프트웨어, 포트 및 프로토콜을 활용해 진입점을 확보하는 위협을 비롯, 모든 보안 계층에 존재하는 위협, 공격이 발생한 방식, 청사진(Blueprint), 진입점, 영향을 받는 다른 요소, 위협이 발생한 위치, 확산 방식 등을 파악할 수 있다. 상황을 이해하는 데 필요한 분석 기능과 함께 제공되는 이 추가적인 상황 인식은 위협에 신속하게 대응하는 데 매우 중요하다.

우선순위 지정 측면에서도 이점을 갖는다. IT 및 보안 팀은 보안 서비스에서 생성된 수천 개의 알림을 처리하는 데 어려움을 겪는 경우가 많다. XDR의 데이터 분석 및 상관관계 분석 기능을 활용하면 마이터 어택(MITRE ATT&CK) 프레임워크 전반에서 관련 알림을 그룹화하고, 우선순위를 지정하고, 가장 중요한 알림만 표시할 수 있다.

또한 XDR은 자동화를 사용해 탐지 및 대응 속도를 높이고 보안 프로세스에서 수동 단계를 제거하므로, IT 팀이 대량의 보안 데이터를 처리하고 복잡한 프로세스를 반복 가능한 방식으로 수행할 수 있다.

운영 효율성 측면에서도 이점을 제공한다. XDR은 파편화된 보안 툴 모음 대신 환경 전반에 걸친 위협에 대한 총체적인 관점을 제공한다. 인프라와 보다 광범위한 보안 에코시스템에 긴밀하게 통합된 중앙 집중식 데이터 수집 및 대응을 제공한다.

그리고 이 모든 이점이 더해져 더욱 강력하고 효과적인 보안 태세를 갖추게 되는 것이 장점이다. 즉 신속한 탐지 및 대응이 가능해지는 것이다. XDR의 향상된 효율성을 통해 조직은 위협을 더 빠르게 탐지하고 대응할 수 있으며 이는 오늘날의 보안 환경에서 핵심적인 부분이다.

신속할 뿐만 아니라 보다 정교한 대응도 가능해진다. 기존의 EDR은 영향을 받는 엔드포인트를 차단하는 방식으로 위협에 대응하는 경우가 많았다. 엔드포인트가 사용자 기기인 경우에는 이 방식에 문제가 없지만, 중요한 서버가 감염되면 문제가 발생할 수 있다. XDR의 보다 정교한 기능과 향상된 가시성을 활용하면 특정 시스템에 맞춤형으로 대응하면서 다른 제어 지점의 통제를 통해 전반적인 서비스의 영향을 최소화할 수 있다.

 아직은 초창기…지속 성장 전망

XDR은 최근 보안 업계의 ‘통합’ 추세에 부합한다는 점에서 지속적 성장이 예상된다. 한국마이크로소프트 보안 비즈니스 총괄 박상준 팀장은 “보안업계는 인수합병을 활성화하며 자체 경쟁력을 높여 고도화되는 보안 위협에 대응하고 있다. 현재 보안 시장은 솔루션을 결합하고, 상호 연동하는 협업 모델로 변화하는 과도기에 접어들었고, 그 중심에 XDR이 있다. 사이버 위협 환경에 더 나은 가시성과 탐지, 대응이 가능하기 때문이다”라고 말했다.

XDR 시장은 아직 초창기 단계로 평가되고 있으며, 향후 지속적으로 발전할 것으로 기대되고 있다. 업계는 글로벌 XDR 시장이 향후 10년 동안 대폭 성장할 것으로 전망한다. 월드와이드테크놀로지에 따르면 XDR은 2021년에서 2028년까지 연평균 약 20%씩 성장해 20억 6천만 달러(한화 약 2조 7,500억 원) 규모에 이를 전망이다.

가트너도 하이프사이클(Hype Cycle)상에서 XDR에 대한 기대치가 정점(Peak of Inflated Expectations)에 근접한 것으로 평가하면서 긍정적인 전망을 하고 있다. 가트너는 현재까지 XDR을 제대로 활용하고 있는 고객이 5% 미만이지만, 2028년에는 이 수치가 30%까지 성장할 것으로 본다고 밝혔다. 뿐만 아니라 프로스트 앤 설리번 역시 XDR을 빠르게 성장하는 산업으로 평가하면서 CAGR(연평균성장률)을 2022년에는 66.5%, 2022년에서 2025년까지는 31.2%로 예측하고 있다고 밝힌 바 있다. 이에 대해 VM웨어코리아 보안사업부 김한기 상무는 “이러한 XDR의 빠른 성장은 오늘날의 정교한 공격을 완화하고 부족한 인력을 보강할 수 있는 ‘통합 도구’로 판단되고 있기 때문”이라고 설명했다.

XDR 도입을 막는 것들

XDR의 중요성이 대두되고는 있지만 국내에서는 규제, 조직 내 전문 지식 부족 등 여러 어려움으로 인해 일부 기업들이 도입에 어려움을 느끼기도 하는 것으로 나타났다.

트렐릭스 보고서에 따르면 응답자 중 47%는 새로운 사이버 보안을 채택할 때 가장 큰 어려움으로 전문지식 부족을 꼽았다. 또한 포레스터 컨설팅이 2022년 7월 발표한 보고서에 따르면, XDR 비도입기업의 3분의 1은 XDR 도입을 위해 확실한 근거가 필요하다고 말했다. 뿐만 아니라 응답자의 45%가 XDR에 대한 명확하고 표준화된 산업 정의가 아직 없다는 데 동의했다. VM웨어코리아 보안사업부 김한기 상무는 “이처럼 XDR은 아직 시장에서 명확히 정의되거나 이해되고 있지 않고, 이로 인한 오해도 아직 많은 것으로 보인다”고 말했다.

이와 함께 XDR은 다양한 솔루션을 통합해야 한다는 점에서 기술적 한계를 보이고 있기도 하다. 시스코코리아 보안 사업 총괄 황성규 상무는 “보안은 엔드투엔드(end-to-end)로 모든 곳에서 잘 보호할 수 있어야 하는데, 현재 기업들이 제공하는 XDR 솔루션은 한 측면에서만 기능을 발휘하는 단일 제품의 강점에만 집중하는 경향이 있다. 또한, 거의 대부분의 벤더가 자사 제품군과 서드파티(Third-Party) 솔루션에 XDR를 즉각적으로 통합하지 못할 뿐 아니라, XDR 개발을 위해 뛰어난 NDR 및 EDR 솔루션을 효과적으로 결합하지 못한다”고 지적했다.

포티넷코리아 박종석 이사도 “다양한 기술을 하나의 통합된 시스템으로 사용할 수 있다는 XDR의 아이디어가 위협을 탐지하고 대응하는 데 강력한 이점을 제공하므로 많은 공급업체들이 XDR 솔루션을 앞다퉈 내놓고는 있지만, 대부분의 XDR 솔루션이 다음과 같은 3가지 문제점 중 하나를 안고 있다”고 설명했다.

박종석 이사에 따르면 첫째, 많은 벤더들이 엔드포인트, 이메일, 네트워크, 클라우드 중 하나 또는 몇 가지 공격 경로만 지원하고 있다. 그러나 XDR의 장점은 여러 솔루션이 함께 협업한다는 것이다. “따라서 XDR 솔루션의 가치는 전적으로 다른 벤더의 기술 개발에 달려 있다”는 게 박종석 이사의 설명이다. 즉, XDR 솔루션의 범위가 조직과 공격 표면의 일부로만 제한될 수 있다는 것이다.

둘째, 전체 보안 솔루션 제품군을 제공하는 벤더의 경우, 효과적인 XDR 솔루션을 제공하는 것이 어려울 수 있다. 어떤 기업이 여러 제품을 제공한다고 해서 반드시 이를 통합하는 데 필요한 리소스까지 투자한 것은 아니다. “특히 대규모 인수를 통해 솔루션들을 확보한 경우, 대규모 설치 기반에 수반되는 요구사항이 개발 리소스를 넘어서고 통합에 필요한 변화를 원활히 구현하지 못할 수 있다”는 게 박 이사의 설명이다.

셋째, 대부분의 벤더가 조사 및 검증의 중간 단계를 건너뛰고 확장된 탐지와 확장된 대응에 초점을 맞추고 있다. 그 결과, 특히 위협 및 경보의 양이 계속 증가하는 상황에서 보안 전문가들이 해야 할 일이 많아진다. 박종석 이사는 “효과적인 XDR을 구축하려면 광범위한 공격 표면 커버리지, 심층적인 통합, 탐지, 조사, 대응의 세 단계 모두에 대한 집중이 필요하다”고 강조했다.

이와 함께 XDR이 SaaS 기반으로 공급된다는 점이 국내 도입을 더디게 하고 있다는 지적도 나온다. 트렌드마이크로 관계자는 “XDR은 탐지 및 대응 분야에 있어 선도적 역할을 하고 있기 때문에, 신속한 기능 업데이트와 확장이 가능하려면 SaaS 방식이어야만 한다. 특히 다양하고 많은 수의 센서들로부터 실시간으로 수집되는 활동 데이터를 수집, 분석해 상관관계를 도출해내기 위해서는 엄청난 컴퓨팅 파워와 최적화가 필요한데, 이는 결국 벤더에서 직접 운영하는 SaaS를 통해서만 가능하다”면서 “국내 공공기관이나 금융기관 등은 내외부로부터의 규정 준수 여건의 벽에 의해 SaaS 방식의 솔루션을 도입하기가 어려운 것이 현실이다. 일부 일반 기업 역시 자체 규정 준수에 대한 제한사항으로 마찬가지 입장에 직면하기도 한다. 이에 XDR 벤더들은 신뢰성에 대한 각종 인증과 평가를 획득하며 국내 조직들의 규정 준수에 대한 벽을 두드리고 있다”고 설명했다.

이밖에 보안에 대한 국내 고객들의 관점에 대한 언급도 나왔다. VM웨어코리아 보안사업부 김한기 상무는 “이외에 특히 국내에서 XDR의 확산이 더딘 이유 중 하나는 아직 사회적 관점이 ‘차단’에 맞춰져 있기 때문이라고 생각한다. 많은 국내 기업에서는 방화벽, IPS, 안티바이러스와 같이 기존의 차단 위주의 솔루션으로 반복적인 공격을 지속적으로 ‘차단’하고 있다”면서 “이는 현시점에서는 공격자들의 실패로 보일 수 있겠지만, 주요 시스템은 단 한 번의 성공으로 언제든지 탈취될 수 있다. 따라서 근본 원인을 파악해 안전한 인프라를 구축하는 것이 필요하며, 이를 위해 차단뿐 아니라 탐지 및 대응이 꼭 필요하다는 것을 인식해야 한다”고 조언했다.

개방형 XDR로 발전 전망…AI 접목도 기대

대부분의 XDR 솔루션이 아직까지는 자사 제품만을 통합하는 방식들을 지원하고 있다. 포티넷코리아 박종석 이사는 “서로 다른 벤더의 보안 솔루션을 사용할 경우, 여러 제품의 위협 이벤트 연관분석에만 중점을 두고 있는 경우가 많아 여전히 보안팀의 수동 분석과 대응 작업이 불가피한 상황”이라고 말했다. 이에 포티넷을 비롯한 여러 업체들은 XDR 시장의 확대와 함께 많은 보안 벤더들이 XDR 시장의 성장을 위해 이기종의 보안 솔루션에 상관없이 모든 보안 솔루션들을 통합할 수 있는 ‘개방형 XDR’로 빠르게 이동해 나갈 것으로 전망하고 있다. 단순히 데이터 수집의 통합에만 그치지 않고, 수집된 데이터를 기반으로 AI 분석기법을 통해 빠르고 정확한 위협 탐지, 자동화된 분석 대응 기능들을 하나의 통합된 플랫폼 형태로 제공해 나갈 것으로 예상한다.

포티넷 외에도 대부분의 업계는 XDR을 중심으로 다양한 보안 솔루션 간 연동·연계가 강화될 것으로 내다보고 있다. 안랩 관계자는 “최근 XDR 동향을 보면, 여러 벤더사가 동맹을 맺듯 협업하는 ‘얼라이언스(Alliance)’보다는 한 벤더를 중심으로 하나의 생태계를 형성해 이를 중심으로 긴밀하게 협업, 대응하는 ‘에코시스템(Eco-System)’을 중심으로 연동·연계가 강화되고 있다”면서 “국내에서도 XDR을 제공하는 벤더와 다양한 보안 솔루션들이 에코시스템을 기반으로 협력하고 상생하는 방향으로 발전될 가능성이 있어 보인다”고 설명했다.

최근 IT업계의 메가트렌드인 AI 기술의 적용 역시 XDR의 발전을 이끌 것으로 보인다. AI 기술을 통해 보안 담당자의 업무를 크게 덜어줄 수 있을 뿐만 아니라, 담당자 역량의 상향평준화 역시 이룰 수 있을 것으로 기대되고 있다.

한국마이크로소프트 보안 비즈니스 총괄 박상준 팀장은 “AI 기술 등장과 함께 마이크로소프트 ‘시큐리티 코파일럿(Security Copilot)’에 보안 업계의 관심이 쏠리고 있다. 시큐리티 코파일럿은 생성 AI를 기반으로 보안 담당자가 더 빠르고 정확하게 숨겨진 위협을 알아내고 방어를 강화하며, 인시던트에 대응하도록 돕는다”면서 “특히 시큐리티 코파일럿은 위협 인텔리전스, XDR 보안 솔루션과 연계해 보안 담당자의 질문의 뜻을 이해하고 정확하게 답변할 수 있는 능력이 있다. 예시로, 담당자가 전 세계에서 현재 가장 심각한 영향을 미치는 위협을 물어보면 외부 정보를 참고해 답변할 수 있다”고 소개했다.

보안 담당자가 하루에 처리할 수 있는 이벤트는 한계가 있다. 파편화된 대규모의 정보가 매일 쏟아지는 상황에서 적은 보안 인력이 위협을 식별하고 대응하는 데 많은 어려움을 겪을 수밖에 없다. AI 보안 비서인 시큐리티 코파일럿은 보안 담당자 요청에 따라 몇 분 내 위협을 발견하고 조사, 대응하고 작업을 요약한다.

한국마이크로소프트 박상준 팀장은 “AI를 활용한 사전 인텔리전스 알람과 XDR 운영 도우미를 통한 빠른 위협 탐색 및 쉬운 조치 및 안내 등의 기능이 포함돼 점점 보안 관리에 대한 효율성을 높이는 방향으로 발전할 것으로 전망된다. 또한 취약점 관리, 인텔리전스 조회 등의 추가 기능들도 XDR에 포함돼 XDR을 통한 보안 업무의 체계화도 도울 수 있을 것으로 기대된다”고 밝혔다.

XDR 솔루션 경쟁 시작

현재 다수의 글로벌 기업들이 EDR 등 기존 솔루션들을 기반으로 XDR 솔루션을 선보이고 있다. 단순히 탐지 및 대응의 범위를 확장하는 것뿐만 아니라 분석 기술을 한층 강화하고 AI를 통해 편의성을 높이는 등 다양한 방면에서 솔루션 고도화에 나서고 있다. 국내 기업 중에서는 안랩이 10월 XDR 솔루션을 출시할 계획으로, 국내 시장에서도 안랩을 필두로 후발 주자들이 XDR 솔루션을 속속 출시하며 본격적인 경쟁이 시작될 것으로 보인다.

마이크로소프트는 XDR 솔루션으로 ‘디펜더(Defender)’를 선보이고 있다. 디펜더는 ‘마이크로소프트 365 디펜더(Microsoft 365 Defender)’와 ‘클라우드용 마이크로소프트 디펜더(Microsoft Defender for Cloud)’ 등으로 제공된다.

마이크로소프트 365 디펜더는 엔드포인트, ID, 이메일 및 공동 작업 도구, 클라우드 애플리케이션 및 데이터를 타깃으로 한 공격에서 최적화된 가시성을 확보할 수 있도록 돕는다. 클라우드용 마이크로소프트 디펜더는 클라우드 및 하이브리드 환경 보호를 위해 보안 태세를 강화하고, 최신 위협 워크로드를 보호하며, 보안 애플리케이션 개발을 지원한다. 상황별 보안 태세 강화를 통한 위험 최소화, 최신 위협 방지, 탐지 및 빠른 대응을 지원하며 데브옵스(DevOps)에 대한 보안 관리 통합이 가능하다.

한국마이크로소프트 보안 비즈니스 총괄 박상준 팀장은 “마이크로소프트는 사용자, 인프라, 워크로드 등 다방면에서 포괄적인 그리고 통합적인 보안을 지원한다. CISO와 중간 보안관리자, 보안 운영 담당 실무자 각자의 역할과 책임에 맞게 활용할 수 있도록 돕고 있다”면서 “컴플라이언스와 개인정보보호 영역의 중요 정보보호 솔루션을 넘어, MDC와 EDR 제품인 MDE, XDR, 계정 보호 등 다양한 보안 제품과 보안 관제 서비스도 지속 확장해 나가고 있다. 또한 AI 기술을 보안에 적용해나가며 보다 민첩하고 유연한 보안 서비스를 제공한다”고 밝혔다.

VM웨어는 통합 보안 플랫폼인 ‘카본 블랙(Carbon Black)’을 통해 XDR을 제공하고 있다. 카본 블랙은 EPP(엔드포인트 보호 플랫폼), EDR 그리고 NDR까지 단일 센서에서 통합해 보안기능을 제공하고 있으며 나아가 엔드포인트, 워크로드, 컨테이너 등 다양한 인프라 환경을 지원하는 방향으로 XDR을 발전시켜 나가고 있다. 클라우드 기반 위협 인텔리전스인 VM웨어 ‘콘텍사(Contexa)’를 기반으로 하는 카본 블랙 XDR은 엔드포인트, 워크로드, 사용자 및 네트워크 전반에 걸쳐 신뢰할 수 있는 맥락(context)을 제공한다. 하드웨어 기반 네트워크 탭이 필요하지 않으며, 인프라 변경 없이 배포된다.

VM웨어코리아 보안사업부 김한기 상무는 “VM웨어 카본 블랙은 포괄적이고 협력적인 XDR 프레임워크 및 아키텍처 제공을 지향한다. 이를 위해 XDR 얼라이언스에 가입하고 확장 가능한 개방형 XDR 생태계를 위해 노력하고 있다”면서 “성숙도가 높은 XDR 제품은 EPP, EDR, 위협확인 및 취약성 관리, ID 및 액세스 관리, 네트워크 분석 및 가시성, 침입탐지 분석 등의 보안 기능을 통합 제공한다. 가장 중요한 XDR 구성 요소를 모두 채택하고, 보안 자동화를 개선해 직원들이 보다 전략적인 기능에 집중할 수 있도록 지원하기를 바란다”고 강조했다.

시스코는 AI 기반 통합 크로스 도메인 보안 플랫폼인 ‘시스코 시큐리티 클라우드(Cisco Security Cloud)’ 하에 ‘시스코 XDR(Cisco XDR)’을 출시, 네트워크와 엔드포인트 전반에 걸쳐 딥 텔레메트리(deep telemetry) 기능을 제공하고 가시성 향상에 나서고 있다. 해당 솔루션은 랜섬웨어 발생과 거의 동시에 중요한 정보를 스냅샷으로 저장할 수 있도록 해 향상된 비즈니스 연속성을 지원한다.

시스코 XDR을 활용해 보안운영센터(SOC)는 랜섬웨어 공격 징후 발생 시점에 중요한 비즈니스 데이터 감지, 스냅샷 저장, 복원을 자동으로 수행할 수 있다. 또 랜섬웨어가 고가치 자산에 접근하기 위해 네트워크를 통해 내부망으로 이동하기 전에 작동함으로써 피해를 막을 수 있다. 시스코 XDR은 현재의 하이브리드, 다중 공급업체, 다중 위협 환경에서 간편한 보안 운영을 위해 전 세계적으로 사용이 가능하다.

시스코 XDR의 차별화되는 점 중 하나는 XDR의 서드파티 솔루션 통합 확장을 전개 중이라는 점이다. 이의 일환으로 시스코는 DRaaS(서비스형 재해복구) 기업 코히시티(Cohesity)의 솔루션 ‘데이터프로텍트(DataProtect)’ 및 ‘데이터호크(DataHawk)’와의 통합 솔루션도 발표했다. 해당 솔루션은 시스코가 최초로 선보인 데이터 보안 관련 서드파티 XDR 통합 솔루션이다.

시스코코리아 보안 사업 총괄 황성규 상무는 “시스코 XDR은 단순히 EDR, NDR을 돕는 솔루션의 확장 개념이 아니라, 위협 탐지와 대응에 소요되는 보안 팀의 시간을 효과적으로 줄여주는 것을 주된 목표로 삼고 있는 진정한 XDR이다. 시스코 제품뿐만 아니라 현재 사용 중인 주요 보안 벤더의 솔루션도 연동해 빠르게 적용이 가능하며, SOAR로의 확장 기능도 포함돼 있어 높은 투자 보호의 효과가 있다”고 강조했다.

체크포인트는 ‘호라이즌 XDR/XPR’이라는 이름으로 XDR 기능을 선보이고 있다. 호라이즌 XDR/XPR은 전체적인 운영 환경에서 자산에 대한 공격을 예방하고, 탐지 및 조사, 대응 지원 등 통합 분석을 지원한다. 광범위한 보안 이벤트를 통합하며, 지능형 AI 및 체크포인트의 인텔리전스를 통한 상관관계 분석 수행은 물론 일상 패턴 및 이상 행동 패턴에 대한 종합적인 분석 및 탐지를 제공한다. 아울러 자동화된 공격 예방, 탐지 및 대응 기능도 갖추고 있다.

체크포인트는 호라이즌 XDR/XPR이 △공격 감지 확률 약 2.2배 증가 △응답 시간 최대 70% 향상 △인적 투자 비용 및 보안 지출 비용 감소를 구현한다고 소개했다. 체크포인트의 XDR/XPR은 빠른 공격 감지 및 대응에 최적화된 솔루션으로 기존 운영 중인 보안 솔루션과의 통합 운영을 제공하고, 단일 관리 플랫폼을 통한 운영 편의성을 향상시킨다.

팔로알토네트웍스는 ‘코어텍스 XDR(Cortex XDR)’이라는 이름의 솔루션을 제공한다. 완벽한 보안은 뛰어난 방지에서 시작된다는 점을 고려, 코어텍스 XDR은 익스플로잇, 멀웨어, 랜섬웨어 및 파일리스 공격을 차단하는 동급 최고의 방지 기능을 제공한다. 엔드포인트 영향을 최소화하도록 설계된 가벼운 코어텍스 XDR 에이전트는 공격을 차단하는 동시에 코어텍스 XDR을 위해 이벤트 데이터를 수집한다. 코어텍스 XDR 에이전트는 멀웨어 감염을 유발하는 익스플로잇을 차단하는 데 사용할 수 있는 방대한 익스플로잇 방지 모듈 세트부터 시작해 완벽한 차단 스택을 제공한다. 항상 새로운 공격 기술에 대응하는 방법을 학습하는 적응형 AI 기반 로컬 분석 엔진이 모든 파일을 검사한다. 행동 기반 위협 차단(Behavioral Threat Protection) 엔진은 여러 관련 프로세스의 동작을 검사해 공격이 발생했을 때 이를 탐지한다.

포티넷은 XDR 솔루션으로 ‘포티XDR(FortiXDR)’을 선보이고 있다. 포티XDR은 사고 대응을 위한 조사(investigation) 작업에 AI를 도입한 솔루션으로 ‘포티EDR(FortiEDR)’의 클라우드 네이티브 엔드포인트 플랫폼을 확장해 ‘포티가드랩’ 보안 서비스를 기반으로 기업의 보안 패브릭(Security Fabric) 및 위협 보호 기능을 강화한다. 특히 일반 기업에서 보유하기 어려운 보안 분석 전문가 역할에 해당하는 보안 관제 프로세스를 완전히 자동화함으로써 광범위한 공격 면에서의 여러 위협들을 보다 신속하게 완화시킨다.

다른 솔루션과 달리 포티XDR은 특허 출원 중인 자사의 동적 제어 플로우 엔진(Dynamic Control Flow Engine)으로 작동되는 AI 기반 솔루션이다. 동적 제어 플로우 엔진은 기업의 일선 사고 대응 담당자의 전문 지식과 포티가드랩(FortiGuard Labs)의 위협 및 조사 데이터를 지속적으로 학습한다는 점이 특징이다. 이 솔루션은 상관관계 및 분석을 위해 ‘포티넷 보안 패브릭(Fortinet Security Fabric)’에서 공유되는 다양한 보안 정보를 활용해 보안 사고를 정확하게 규명하는 작업부터 시작한다. 그런 다음, 숙련된 보안 분석가가 하는 것처럼 AI 엔진을 통해 이 사고의 위협 유형 및 범위를 구분한다. 마지막으로 최상의 대응 방법이 정의되고 자동으로 구현돼 사고를 신속하게 해결한다.

포티넷코리아 박종석 이사는 “보다 복잡한 고객 환경과 요구사항들에 대해 XDR 솔루션은 현재까지는 단일 벤더 제품에 종속된 통합 위주로 제공되고 있으며, 솔루션 도입 후에도 다양한 이벤트들의 분석과 자동화된 대응에 여전히 많은 수작업이 포함될 수밖에 없는 상황이다”라면서 “포티넷은 이러한 고객사 환경을 고려, ‘포티SOAR(FortiSOAR)’라는 솔루션을 통해 이기종 보안벤더 제품들에 대한 이벤트 로그 통합과 분석, 그리고 자동화된 보안 대응을 지원하고 있다. 포티SOAR는 이기종 장비들의 손쉬운 통합뿐만 아니라, 플레이북을 통해 조직의 다양한 운영 프로세스들을 시스템 내에서 자동화해 조직의 업무 부하와 사용자 실수와 같은 기업의 보안 조직이 직면하고 있는 문제들을 효과적으로 줄여 업무 효율성과 보안성 향상에 크게 기여하고 있다”고 덧붙였다.

트렌드마이크로는 통합 보안 플랫폼 ‘트렌드 비전 원(Trend Vision One)’을 통해 XDR을 제공하고 있다. 트렌드 비전 원 XDR에서는 기존의 엔드포인트와 서버 워크로드(EDR), 이메일, 네트워크(NDR), 모바일 외에도 OT 환경에서의 탐지 및 대응과 클라우드 컨테이너 보안에서 텔레메트리를 수집해 관찰된 그래프와 프로필을 제공하는 개념이 포함된 CDR(Cloud Detection and Response)이 적용됐다. 또한 클라우드의 취약점과 잘못된 설정(misconfiguration), 클라우드 계정 또는 신원에 대한 취약성에 대해서도 모니터링하고 대응할 수 있도록 ASRM(Attack Surface Risk Management; 공격 표면 위험 관리)의 감사(Assessment)와 위험 완화(Mitigate Risk) 기능이 ‘트렌드 비전 원’ 내에서 XDR과 함께 통합 운영돼 CDR의 다양한 요구사항을 충족하게 된다.

트렌드마이크로 관계자는 “다계층을 교차하는 사고(Incident)에 대한 탐지 및 대응을 구현하는 XDR은 ‘대응’의 측면이 성격이 강한 편이었다. 그러나 위험(Risk)을 미리 찾아내고, 위험을 완화(Mitigate)해 사고의 발생 자체를 감소시킴으로써 ASRM이 ‘예방’을 통해 XDR을 보완할 수 있다. 비전 원 XDR은 위협에 대한 탐지 및 대응뿐만 아니라, 조직의 위험도를 파악하고 예방할 수 있는 ASRM과 디바이스와 계정들의 자원 액세스를 지속적이고 정밀하게 감시해 적절한 타이밍에 제재를 가할 수 있는 제로 트러스트가 통합된 ‘사이버 보안 통합 플랫폼(Unified CyberSecurity Platform)’으로 진화하고 있다. XDR은 이러한 플랫폼 내에서 위협에 대한 탐지와 분석, 텔레메트리 수집과 대응 역할을 맡고 있다”고 설명했다.

또한 트렌드 비전 원은 올해 하반기부터 컴패니언 AI(Companion AI)가 적용됐다. 컴패니언 AI는 대화형 LLM(Large Language Model) 챗봇으로 ‘라마(LLaMA)’ 모델을 기반으로 비전 원 서비스 내에서 로컬방식으로 동작하며, SOC가 비전원을 사용하고 운영하는 과정에서의 위협 분석과 대응에 대한 결정이 필요할 때, 기존과는 다른 차원의 활용도를 제공한다. 또한 컴패니언 AI는 위협 분석과 대응뿐만 아니라 빠른 시일 내에 ‘비전 원’의 사이버 보안 통합 플랫폼 서비스 전반에 반영될 예정이다.

파이어아이와 맥아피가 합병해 지난해 출범한 트렐릭스는 기존에 보유한 다양한 솔루션을 기반으로 XDR 플랫폼을 제공하고 있다. 트렐릭스의 XDR은 엔드포인트, 이메일, 네트워크, 클라우드 등에 대한 자사의 보안 솔루션을 모두 통합하며 여기에 더해 데이터 보호와 보안운영(SecOps)까지 3가지를 묶어 강화된 보안을 제공한다.

트렐릭스 임현호 한국지사장은 “트렐릭스는 하이브리드 XDR을 추구하며, 자체 솔루션뿐만 아니라 다양한 서드파티 솔루션 연동에도 신경을 쓰고 있다. 글로벌 600개 이상의 벤더와 통합돼 있으며, 국내 보안 업체와도 통합을 시작했다”면서 “여러 제품에서 나오는 데이터를 연관 분석하는 것에서도 트렐릭스는 뛰어난 역량을 보유했다. 모니터링하고 있는 기기의 센서 수가 10억 개 이상이고, 여기에서 오는 정보들을 모두 실시간으로 분석할 수 있는 플랫폼을 갖고 있어 XDR 플랫폼으로 이러한 인텔리전스들을 충분히 활용하고 있다”고 말했다.