[중앙뉴스= 이광재 기자] 위협헌팅 보안기업 씨큐비스타가 통합 보안플랫폼 ‘XDR에 대한 비밀과 거짓말’이란 주제의 보안보고서 ‘씨큐리포트’를 통해 대부분의 보안담당자들이 모르는 XDR 도입시 꼭 점검해야 할 주의사항과 NDR·EDR·SIEM·SOAR 등 보안시스템의 병용 전략에 대해 공개했다.

XDR(eXtended Detection and Response)은 이메일, 클라우드 환경, 서버, 엔드포인트, 네트워크 등 다양한 소스에서 발생한 보안 데이터를 NDR·EDR·SIEM·SOAR 등을 통해 통합 분석하고 포괄적인 가시성을 제공해 보안운영(SecOps)팀이 위협을 더 빠르게 탐지·대응할 수 있게 하는 혁신적인 첨단 보안방법이다.

XDR 개념은 2018년 미국 보안기업 팔로알토네트웍스가 보안시스템을 단독 사용했을때 발생하는 심각하게 부족한 부분을 보강하기 위해 제안한 것으로 초기 개념은 네트워크 전체의 서로 다른 소스에서 수집한 데이터를 중앙집중화 함으로써 보안 분석 및 포렌식 조사를 통해 위협헌팅을 강화하는데서 시작했다.

XDR 보안관리 방식에 열광한 전세계 보안관제센터 분석가들이 고도화된 사이버 공격에 대비해 모든 측면에서 방어하고 탐지된 위협을 중앙집중화된 통합관리시스템을 통해 대응할 수 있도록 발전시켜 왔다.

XDR의 핵심은 엔드포인트 데이터로 프로세스, 실행 명령, 네트워크 연결, 생성·액세스 파일, 레지스트리 수정 정보 등의 정보를 수집해 위협을 탐지하는 EDR 기술과 통신 트래픽 패턴, North-South 및 East-West 연결, 의심스러운 통신, TLS 핑거프린트 등을 탐지하는 NDR 기술들이 기반이 돼야 한다.

또 일반적으로 이메일·첨부파일 메타데이터, URL, 유저 활동 데이터와 클라우드 환경일 경우 구성 변경, 신규·변경 인스턴스 등 클라우드 워크로드에 대한 데이터들이 SIEM·SOAR의 통합 분석을 거쳐 보안 가시성이 제공돼야 최고의 보안력을 발휘할 수 있다.

씨큐비스타는 XDR의 개념이 기술 발전과 보안제품간 연동방식에 따라 현재진행형으로 변화 중이며 우수한 통합관리기능을 보유한 XDR 벤더가 있는지, 실제로 제공되는지 등 보안인력들의 혼동은 날로 커지고 있다고 설명했다.

특히 조직에 서둘러 도입하려는 XDR 벤더들을 주의해야 한다며 벤더가 주장하는 XDR이 몇가지 위협 정보소스만 추가됐거나 보안데이터 소스간에 유기적인 통합이 이뤄지지 않는 재포장된 SIEM·SOAR 제품일 수 있기 때문에 도입하려는 XDR 모델에 대한 깊은 이해가 선행돼야 한다고 강조했다.

가트너 그룹은 XDR을 도입하기 전 “기존 SIEM·SOAR에서 사용되지 않는 기능을 평가하고 XDR이 현재 위협탐지 및 대응 프로그램에서 놓치는 부분을 해결할 수 있는지 확인해야 한다”며 “XDR이 이미 효과적으로 작동하는 SIEM·SOAR을 대체해서는 안된다”고 경고했다.

씨큐비스타는 XDR이 SIEM·SOAR·EDR·EPP 등 기존 보안시스템들의 긴밀한 통합 기능을 제공하는 것으로 이미 시스템들이 서로 잘 통합돼 있다면 도입이 불필요할 수 있다며 XDR이 기존 보안 기능과 중복되는지, 기존 제품들을 효과적으로 통합할 수 있는지, 이전에 해결할 수 없던 위협 탐지 및 대응이 가능한지, 재포장된 SIEM·SOAR 제품이 아닌지, 경쟁요소가 부족한지, 보안기술 선택권이 보장되는지 등을 면밀히 진단해야 한다고 밝혔다.

또 XDR 모델은 ‘단일 벤더’, ‘오픈XDR’ 등으로 각각 장단점이 존재한다며 단일 벤더 XDR의 경우 보안데이터를 통합 분석해 위협 탐지 및 대응할 수 있는 모든 보안기능을 제공하고 한 벤더와 긴밀하게 연락하기 때문에 운영 및 문제해결이 쉬워지지만 해당 벤더가 제공하는 솔루션이 모든 보안 요소들의 최고 기술을 모두 제공한다고 보긴 어렵다고 설명했다.

아울러 오픈XDR은 여러 보안 벤더들의 보안데이터를 하나로 통합해 위협탐지 및 대응하는 솔루션으로 각 분야 최고의 보안제품들로 구성해 통합할 수 있지만 책임소재에 대한 우려와 관리 포인트가 많아 운영조직에 부담이 될 수 있다며 조직에 적합한 보안기술을 선택을 할 수 있는 유연성이 있는지도 검토해야 한다고 했다.

이와 함께 XDR은 일반적으로 한 보안 벤더가 여러 작은 보안 벤더들을 인수해 구축한 보안 포트폴리오를 제공하는 경향이 있는데 여러 솔루션을 인수한 단일 거대 벤더의 경우 보안 기능들이 잘 통합되지 않을 수 있어 주의를 기울여야 한다며 한 벤더만 보유하고 있어 경쟁요소가 부족한 XDR 시스템은 피하고 보안 기술 요소를 직접 선택할 수 있는 권한을 침해받지 않아야 한다고 강조했다.

전덕조 씨큐비스타 대표는 “XDR은 5~6년 후 기업의 약 30%, 10년 후에는 많은 기업에서 사용될 것으로 예측되는 보안시스템으로 정확하게 이해하고 주의사항을 숙지하는게 중요하다”면서 “NDR·FDR 기반 보안솔루션 ‘패킷사이버’ 등 XDR과 강력한 시너지를 내는 보안기술을 꼼꼼하게 선별 도입해 조직의 보안력을 높이기 바란다”고 말했다.