[컴퓨터월드] 국내에서도 ‘XDR(Extended Detection and Response; 확장된 탐지 및 대응)’ 시장이 꿈틀거리며 성장을 시작하려 하고 있다. 차세대 보안 솔루션인 XDR은 다양한 위치에 존재하는 이기종의 보안 솔루션에서 발생하는 데이터를 통합적으로 수집 및 분석함으로써 가시성을 강화하고, 위협을 식별 및 탐지하며, 자동으로 대응까지 할 수 있도록 하는 플랫폼이라고 이해할 수 있다. 특히 국내 대표 사이버 보안 기업인 안랩은 국내 첫 XDR 솔루션임을 자부하는 ‘안랩 XDR(Ahnlab XDR)’ 솔루션을 선보이며 국내 XDR 시장을 개척해나가고 있다.

보안의 효율화를 위한 XDR의 탄생

끊이지 않는 사이버 보안 위협에 대응하기 위해 기업의 보안 인프라는 점점 더 복잡해지고 있다. 수많은 각종 위협에 대응하기 위해 보안 조직은 수십여 개에 달하는 보안 솔루션을 구축하고 있고, 각 솔루션으로부터 수많은 정보가 실시간으로 생성되며 보안 조직을 괴롭힌다.

안랩 전략제품서비스기획팀 이건용 부장은 “보안 위협이 IT 환경의 전 영역에서 전개되며 점차 고도화됨에 따라 보안 솔루션의 종류와 수가 엔드포인트, 네트워크 등 전 영역에서 증가했다. 또한 보안 솔루션의 복잡도와 기술적 수준 또한 높아졌다”면서 “특히 코로나19 팬데믹 이후 이런 변화가 가속화됐다. 보안 담당자들은 다수의 고도화된 보안 솔루션을 동시에 운영하고, 해당 솔루션에서 발생하는 수많은 이벤트를 처리해야 하는 문제에 직면하고 있다”고 말했다.

늘어난 위협 정보들로 인해 최근 보안 담당자들은 그 중 어떤 것이 실제 위협과 관련된 것인지를 파악하는 데 어려움을 겪고 있으며, 위협 알림을 검토하는 데 많은 시간을 허비하고 있다. 이에 기업들은 수많은 솔루션들을 한 눈에 파악할 수 있는 통합된 가시성을 제공하면서, 효율적인 보안 이벤트 탐지 및 분석이 가능하고, 실제 상황 발생 시에는 빠르게 대응까지 할 수 있도록 돕는 솔루션을 찾고 있다.

XDR은 이러한 요구를 만족하는 최신 솔루션이다. 수십 개에 달하는 포인트 솔루션들을 통합함으로써 효율성을 높이고, 위협 발생 시 효율적으로 빠르게 대응할 수 있도록 한다. 안랩 전략제품서비스기획팀 이건용 부장은 “보안 솔루션은 많아졌지만 실질적인 대응은 오히려 어려워지는 ‘보안의 사일로(Silo)화’가 발생했다. 이러한 문제를 해결하고 ‘보안의 효율화’에 대한 요구가 증가함에 따라 XDR이 탄생했다”고 설명했다.

인터뷰

“XDR의 핵심은 ‘플랫폼’에 있다”

안랩 전략제품서비스기획팀 이건용 부장

Q. XDR이란 무엇인지 간략히 설명해달라.

XDR은 ‘eXtended Detection and Response’의 약자로, 조직에서 운영하는 다양한 이기종의 보안 솔루션 및 업무 시스템의 데이터를 수집, 정규화하고 수많은 이벤트의 상황정보를 분석해 리스크를 식별·탐지·대응할 수 있도록 지원하는 ‘확장된 탐지 및 대응’ 플랫폼이다.

XDR의 핵심은 ‘플랫폼’에 있다. XDR은 ‘리스크 분석 플랫폼(Risk Analysis Platform)’으로, 단순히 다수 제품 간의 연동이나 결합이 아니라, 다양한 솔루션의 데이터를 통합·분석해 유의미한 리스크 기반 우선순위를 제공할 수 있어야 한다.

Q. XDR의 핵심 요소는 무엇인가?

글로벌 시장조사기관 프로스트 앤드 설리번(Frost & Sullivan)에 따르면 XDR의 핵심 요소는 다음과 같이 세 가지로 요약될 수 있다. 먼저, 다양한 계층에 걸친 탐지와 대응이다. 공격 사례를 제대로 이해하고 적절하게 대응하기 위해서는 다양한 영역의 보안 로그를 수집하고 연계 분석할 수 있어야 한다.

두번째로, 다양한 보안 솔루션을 연계·연동할 수 있어야 한다. 많은 기업이 다수의 보안 솔루션을 동시에 운영하고 있다. 따라서 각 보안 솔루션에서 발생하는 로그를 수집하고 분석할 수 있는 역량이 중요하다.

마지막으로, 실질적으로 의미 있는 자동화가 필요하다. 보안 담당자는 한정된 시간 동안 매우 많은 이벤트를 처리해야 한다. XDR의 주요 목적 중 하나인 보안 업무의 효율성을 확보하기 위해서는 리스크(Risk)의 우선순위를 지정할 수 있는 역량을 갖춰야 한다.

시장 안착 단계인 XDR, 국내도 본격 수요 기대

XDR에 대한 기대는 시장조사기관 가트너(Gartner)의 ‘하이프 사이클(Hype Cyle)’ 보고서를 통해 확인할 수 있다. 가트너는 매년 분야별로 기술에 대한 기대와 경험을 정리해 하이프사이클 보고서를 발간하는데, 여기서 XDR은 엔드포인트 보안(Endpoint Security)과 보안 운영(Security Operations) 영역에서 중요한 기술로 꼽히고 있다.

안랩 전략제품서비스기획팀 이건용 부장은 “2021년부터 2023년까지의 하이프사이클을 보면, XDR은 2021년 기대치가 빠르게 상승해 2022년 정점을 찍은 뒤, 2023년에는 하강 곡선에 돌입했다. 하강 곡선을 그린다는 것은 XDR이 만병통치약 혹은 마스터키가 될 것이라는 오해가 해소되고, 사람들이 XDR의 본질을 제대로 이해하면서 기술이 시장에 안착하는 과정에 접어들었음을 의미한다”고 설명했다.

시장조사기관 마켓 앤 마켓(Markets and Markets)에 따르면, 글로벌 XDR 시장은 2027년까지 5년간 연평균 19.1%의 성장세를 보이며 약 24억 달러(한화 약 3조 2,600억 원) 규모의 시장을 형성할 것으로 예측된다. 올해인 2023년에는 약 1.5조 원 규모의 시장이 형성될 것으로 추산되고 있다.

현재 글로벌 시장에서는 선도적인 기업 및 조직들이 XDR을 도입하고자 하는 움직임이 활발한 것으로 파악된다. 하지만 국내의 경우 아직은 시작 단계로 보이며, 일부 기업이 도입한 것으로 알려져 있다.

안랩 전략제품서비스기획팀 이건용 부장은 “국내에서도 XDR이 주목받고 있지만 아직은 시장이 본격적으로 개화하지는 않은 것으로 보인다. 국내의 경우 XDR이 성숙기에 접어들기까지는 2~3년 정도가 소요될 것으로 예상한다. 이후 국내 시장에서 XDR에 대한 수요가 본격적으로 발생하게 되면, 중견 이상 규모의 기업이 XDR의 주요 수요층이 될 것으로 보고 있다”고 말했다.

‘안랩 XDR’ 출시…위협 식별·대응과 보안운영 강화

최근 3~4년간 보안 업계 선두 기업들은 XDR을 차세대 보안 솔루션의 지향점으로 삼고, 기술개발은 물론 인수·합병까지 다양한 전략을 펼치며 완성된 XDR 솔루션을 선보이기 위해 노력하고 있다. 안랩 역시 이 같은 세계적 추세에 맞춰 국내 업체로서는 선도적으로 지난 10월 초 ‘안랩 XDR’을 선보였다.

안랩 XDR을 도입하면 ▲정확한 리스크 우선순위 식별 ▲유연한 연동 기반 체계적인 대응 ▲보안 수준 및 운영 편의성 향상 등의 효과를 기대할 수 있다.

먼저 보안 관리자는 안랩 XDR을 활용해 사용자와 자산을 기준으로 모니터링을 진행하고, 엔티티(entity) 상태 정보와 사용자/디바이스 행위 정보를 연계 분석해 리스크를 정확하게 식별할 수 있다. 나아가 안랩 XDR이 제공하는 리스크 지수를 바탕으로 조치해야 할 우선순위를 판별할 수 있다.

또한 안랩 XDR은 기존에 조직이 운영 중인 이기종 보안 솔루션들의 로그를 안정적으로 수집하고, 데이터 연계 분석을 수행한다. 최종 확인된 침해 자산에 대해서는 운영 중인 보안 솔루션들과 연계해 체계적으로 대응할 수 있으며, 침해된 자산의 사용자에게 이메일로 소명 처리를 요청하는 등 운영 중인 업무 시스템과 연계해 조치할 수 있다.

궁극적으로, 안랩 XDR을 활용해 보안을 효율적으로 관리하고 사내 보안 수준을 향상시킬 수 있다. SaaS(서비스형 소프트웨어) 형태로 제공되는 안랩 XDR은 지속적인 업데이트와 향상된 운영 편의성을 제공하며, 안랩의 위협 인텔리전스 연동을 활용해 자산의 최신 위협 영향도를 확인하고 대응이 가능하다. 또한 전용 에이전트 없이 보안 솔루션들의 로그를 수집해 자산 성능에 영향을 미치는 영향을 최소화할 수 있다.

업무 효율성 높이는 다양한 기능 제공

‘안랩 XDR’은 조직 내 수많은 시스템으로부터 위협정보를 수집해 분석·탐지·대응을 제공하는 SaaS형 ‘보안 위협 분석 플랫폼’이다. 보안 솔루션부터 이메일 등 업무용 시스템까지 다양한 이기종 솔루션으로부터 생성된 데이터를 연계 분석해, 보안 리스크의 우선순위를 직관적으로 제공하고 연동 솔루션을 활용한 자동 대응까지 할 수 있도록 한다.

안랩 측은 보안 담당자가 실제 업무 과정에서 겪는 어려움을 제품에 적극 반영했다는 것을 안랩 XDR의 특장점으로 소개했다. 즉 △사용자와 자산 중심 리스크 지수화 및 관리 △안랩이 축적해온 위협대응 노하우가 녹아 있는 ‘시나리오 룰’을 활용한 리스크 분석·대응 △위협 인텔리전스(TI) 연동으로 위협이 조직에 미치는 영향도 파악 등 보안 업무의 효율성을 높일 수 있는 기능을 제공한다는 설명이다.

안랩 XDR은 조직내 다양한 솔루션을 연동해 로그 데이터를 수집한 후, 인공지능(AI)·머신러닝 등을 이용해 연계 및 상관관계 분석을 수행한다. 이 과정에서 안랩 XDR은 사용자(User)와 사용자가 보유한 디바이스(Device) 등과 같은 자산을 명확하게 파악해 리스크에 대한 가시성을 높인다. 이로써 보안 담당자는 개별 자산에 대한 리스크 지수 및 상세정보를 손쉽게 확인할 수 있다.

또한 안랩 XDR은 안랩이 악성코드 분석, 디지털 포렌식, 보안 관제 등을 수행하며 다년간 축적한 실제 위협 사례와 최신 공격 시나리오 및 대응 노하우를 기반으로 만든 실전형 ‘시나리오 룰(Scenario Rule)’로 리스크 위험도를 분석한다. 시나리오 룰이란 사전 정의된 다양한 시나리오에 따라 위협을 분석하고 탐지하도록 설정된 규칙을 말한다. 이로써 보안 담당자는 보안솔루션에서 발생하는 수많은 보안 이벤트(알림)의 우선순위 판단에 대한 고민을 덜고, 중요한 리스크 대응에 집중할 수 있다.

보안 담당자는 안랩 XDR로 위협 인텔리전스 플랫폼 ‘안랩 TIP’가 제공하는 최신 보안 뉴스와 해당 뉴스 내 IoC(Indicators of Compromise, 침해지표) 정보의 조직 내 존재 여부를 확인할 수 있다. 조직 내에서 해당 침해지표 식별 시, 침해지표가 발견된 자산 위치까지 알려주기 때문에 최신 위협의 내부 영향도를 실시간으로 파악할 수 있다. 또한, 침해사고·취약점 뉴스뿐만 아니라 보안 권고문 등 최신 위협 정보를 확인하고, 이에 대한 내부 확인 시간을 대폭 줄여 보안 업무의 효율성을 높일 수 있다.

생태계 강화, AI 적용 등 지속 발전 기대

향후 국내 보안 솔루션 시장은 XDR을 중심으로 다양한 보안 솔루션 간 연동·연계가 강화될 것으로 보인다. 안랩 전략제품서비스기획팀 이건용 부장은 “최근 XDR 글로벌 동향을 보면, 여러 벤더사가 동맹을 맺듯 협업하는 ‘얼라이언스(Alliance)’보다는 특정 벤더를 중심으로 하나의 생태계를 형성해 이를 중심으로 긴밀하게 협업, 대응하는 ‘에코시스템(Eco-System)’을 위주로 연동·연계가 강화되고 있다”면서 “국내에서도 XDR을 제공하는 벤더와 다양한 보안 솔루션들이 에코시스템을 기반으로 협력 및 상생하는 방향으로 발전될 가능성이 있다”고 내다봤다.

또한 XDR의 주 목적이 보안담당자의 효율적인 리스크 관리라는 점에서, AI 등 관련 기술이 지속적으로 발전하면서 XDR 솔루션의 발전을 이끌 것으로 예상된다. 올해 RSA 컨퍼런스에서도 AI를 활용한 XDR의 사용성 향상이 주로 언급된 바 있다. 즉 향후 XDR은 생성형 AI를 바탕으로 보안 담당자가 자연어로 질의를 하면 리스크에 대한 추가 정보를 제공하거나, 검색 쿼리를 작성해주는 등 보안업무의 효율성을 높이기 위한 기능이 지속적으로 도입되며 발전해나갈 것으로 기대되고 있다.