스텔라사이버 “XDR, 더 적은 비용·리소스로 보안 효과 높여”
상태바
스텔라사이버 “XDR, 더 적은 비용·리소스로 보안 효과 높여”
  • 김선애 기자
  • 승인 2021.10.26 16:41
  • 댓글 0
이 기사를 공유합니다

모든 소스에서 위협 이벤트 수집·연계분석해 지능형 위협 탐지·대응
광범위한 써드파티 연계로 고객의 기존 투자 보호하며 SOC 효율성 높여

[데이터넷] 최근 화두가 되고 있는 ‘XDR’은 모든 소스에서 위협 이벤트를 수집해 침해사고를 조기에 발견하고 대응한다는 철학을 담고 있다. 이 개념을 처음 제안한 기업은 빅데이터 분석 전문기업 스텔라사이버로, 빅데이터 가공·활용 모델을 연구했으며, NASA와 함께 모든 보안 이벤트를 연계 분석해 위협을 정확하게 탐지하고 대응하는 XDR을 제안하게 됐다.

XDR의 핵심은 ‘X(eXtended)’에 있다. 엔드포인트, 네트워크, 파일, 클라우드, 컨테이너 등 위협 정보를 수집하는 범위를 모든 IT로 확장시켰다. 각 소스에서 발생한 위협 데이터를 모은 후, AI·머신러닝을 이용해 각 이벤트의 상관관계를 분석한다.

왕정석 스텔라사이버 한국지사장은 “기존의 솔루션 중심 보안 전략은 진화하는 공격을 막을 수 없다. 다양한 보안 솔루션을 빅데이터 플랫폼에 수집해 연관관계를 분석하고, 위협 인텔리전스(TI)와 사이버 보안 킬체인·마이터 어택(MITRE ATT&CK) 등 공격 전술·전략 분석 프레임워크와 연계해 실제 공격을 밝혀내는 새로운 보안 전략이 필요하다. 그것이 XDR”이라고 말했다.

▲ 왕정석 스텔라사이버 한국지사장은 “XDR은 모든 소스에서 위협 정보를 수집하고 연계분석해 보안 탐지를 우회하는 위협을 정확하게 탐지하고, 보안 업무를 효율화한다. 이를 통해 위협 원인 파악과 대응·복구 시간을 최소화 해 비즈니스를 보호한다”고 말했다.
▲왕정석 스텔라사이버 한국지사장은 “XDR은 모든 소스에서 위협 정보를 수집하고 연계분석해 보안 탐지를 우회하는 위협을 정확하게 탐지하고, 보안 업무를 효율화한다. 이를 통해 위협 원인 파악과 대응·복구 시간을 최소화 해 비즈니스를 보호한다”고 말했다.

사용자-시스템 연관성 분석해 지능적 위협 탐지

왕정석 지사장은 26일 데이터넷TV ‘제 20회 차세대 보안 비전’에서 ‘XDR 플랫폼을 통한 전략적 통합 보안 분석과 대응’이라는 주제의 세션을 통해 기존 보안 체계의 문제를 지적하고 XDR의 필요성을 역설했다.

보안위협을 탐지하고 대응하기 위해 다양한 방법이 제안되고 있는데, 그 중 APT 방어에 활용되어 온 사이버 보안 킬체인은 특정 보안 이슈에 대응하는 것이 아니라 공격자가 목표 조직을 탐색하고 침투하며 내부 확장해 데이터 유출·시스템 파괴 후 탈출하는 전 과정을 프로세스로 보여줘 대응 방안을 제안한다.

최근 자주 활용되는 보안 프레임워크인 마이터 어택(MITRE ATT&CK)은 이미 진행되고 있는 다양한 공격을 탐지하고 대응하는 방법을 안내한 것으로, 적대적인 침해 행위에 대응하는 전술·전략을 안내한다. 이는 엔터프라이즈 뿐 아니라 제조·생산망, 사회중요 인프라, 첨단 IT 기업, 공공·금융기관 등 다양한 산업군에서 활용한다.

XDR은 상기 보안 프레임워크 외에도 컨텍스트 인지 사용자 행위 분석(UBA)도 활용해 분산된 본·지사 운영, 클라우드, 재택·원격근무 등 다양한 업무 환경을 보호한다. 엔드포인트·네트워크 보안 위협 분석으로 파악하지 못하는 정상 권한을 가진 사용자의 이상행위를 찾아내 계정을 탈취한 공격자 혹은 실수·고의로 침해행위를 벌이는 사용자를 찾아 위협을 제거한다.

왕정석 지사장은 “확장된 탐지와 대응을 위해 아주 중요한 원칙은 사용자와 시스템의 연관성, 사용자가 접속하는 서비스의 특성 등을 종합적으로 분석하며, 정상 사용자의 정상 행위가 맞는지 확인하는 것”이라며 “사용자가 접속하는 환경과 행위를 지속적으로 추적하면서 모니터링 해 정상 권한의 활동이라도 평소와 다른 이상행위가 일어나는지 살펴본다. 이는 개별 보안 솔루션에서 발생시키는 단절된 이벤트만으로 가시화할 수 없는 것”이라고 강조했다.

통합·자동화로 보안조직의 업무 부하 줄여

XDR이 주목받는 가장 중요한 배경은 보안조직이 심각한 업무 부하를 안고 있기 때문이다. 통합되지 않은 수많은 보안 솔루션을 운영해야 해 관리 사각지대에서 발생하는 취약점 문제가 발생할 수 있다. 잘못된 설정이나 구성 오류, 사용자와 관리자 실수로 인한 장애·사고가 일어날 수 있다. 개별 보안 솔루션이 발생시키는 너무 많은 이벤트를 처리할 수 없으며, 탐지된 위협에 모두 대응할 수 없다는 점도 난제로 꼽힌다.

왕 지사장은 “현재 보안 조직이 갖고 있는 문제는 어떤 보안 솔루션이 어떻게 구성돼 있는지, 잘 작동하는지조차 파악하지 못한다는 것이다. 이는 특정 시점에 발생한 보안 문제를 해결하기 위해 보안 솔루션을 도입했기 때문”이라며 “개별 솔루션이 제각각 작동하면서 보안 복잡성을 높여 오히려 리스크를 높였고, 보안 피로도를 높여 SOC가 제대로 일하지 못하게 했다”고 지적했다.

그는 “XDR은 다양한 이벤트를 수집한 후 위협 행위를 분석해 어떤 형태의 침해가 어떤 경로로 진행되고 있는지 조사하고, 정확하고 빠르게 대응할 수 있게 한다. 또한 다양한 컨텍스트를 인지해 사용자와 시스템의 연관성, 한다”며 “통합과 자동화를 통해 적은 리소스와 적은 비용으로, 쉽고 빠르게 현재 보안 체계를 파악하고 개선시키며, SOAR와 연계해 SOC 효율성을 높인다”고 설명했다.

▲스텔라사이버 ‘오픈XDR’은 광범위한 에코 시스템을 지원해 다양한 써드파티 솔루션과 원활하게 연계될 수 있다. 이를 통해 기존에 구축된 보안 시스템을 효율화하고 보안 예산과 리소스 투입을 최적화 해 통합보안관제 플랫폼을 개선시킬 수 있다.
▲스텔라사이버 ‘오픈XDR’은 광범위한 에코 시스템을 지원해 다양한 써드파티 솔루션과 원활하게 연계될 수 있다. 이를 통해 기존에 구축된 보안 시스템을 효율화하고 보안 예산과 리소스 투입을 최적화 해 통합보안관제 플랫폼을 개선시킬 수 있다.

단순한 보안 모델로 하이브리드 환경 보호해야

XDR이 주목받으면서 여러 IT 벤더들이 자사 보안 솔루션을 통합해 제공하는 방식으로 제안한다. 써드파티 통합도 가능하다고 하지만 자사 솔루션 통합에 우선순위를 둔다. 스텔라사이버의 ‘오픈XDR’은 최초 설계부터 개방형 에코 시스템을 지원하는 기능을 강조한다.

기존 구축된 모든 장비를 활용해 장비 운영의 효율성을 높이면서 통합·자동화된 탐지와 대응을 구현한다. 또한 플랫폼 내에서 즉시 사용 가능한 UBA, 머신러닝 기반 IDS, 빅데이터 기반 SIEM, NTA, MDR, 위협 헌팅 등의 앱을 제공하며, 탐지된 내용을 즉각 대응할 수 있는 SOAR 모듈을 제공한다.

다양한 IT 인프라 환경 전반에서 광범위한 데이터를 수집하고, 수집 정보를 정형화 한 후 머신러닝·AI로 분석해 위협행위를 탐지한다. 초기 침투부터 내부 확산, 침해 시도 등을 정확하게 분석하고 추적하며, 위협의 근거와 공격자·공격형태·히스토리 등 상세 분석 방안을 제공하고, 탐지된 위협에 대한 자동화된 대응 체계 수립을 지원한다.

서비스 로그, 네트워크 트래픽, 파일, 프로세스, 커맨드, 위협 인텔리전스, 지역 정보, 호스트 네임, 사용자 정보, 애플리케이션, VM로그, 클라우드 로그, 컨테이너 로그 등 13개 소스가 미리 통합돼 있으며, 이외의 소스도 쉽게 추가할 수 있다.

카카오톡·라인·유튜브·클라우드 서비스 등 다양한 애플리케이션을 지원하며 4000여개의 프로토콜을 실시간로 분석할 수 있다. OT/SCADA 프로토콜도 분석해 OT 환경까지 XDR을 확장시킨다.

왕정석 지사장은 “스텔라사이버 오픈XDR은 정보보호 통합관제 시스템, 차세대 SOC 핵심 플랫폼으로 사용할 수 있다. 보안조직의 위협 대응 수행 능력을 향상시킬 수 있도록 실제 보안 업무에 적용할 수 있도록 도와준다. 하이브리드 클라우드나 재택·원격근무 등 다양한 업무 환경도 원활하게 지원한다”고 설명했다.

그는 이어 “하이브리드 업무 환경이 본격 확산되면서 보안 복잡성은 더욱 더 높아지고 있다. 이를 통합·자동화해 단순화해야 진화하는 위협에 대응할 수 있다. 보안 업무 부담을 줄이고 합리적인 비용으로, 클라우드 속도를 지원하는 XDR 통합 보안 플랫폼이 필수인 시점”이라며 “기업·기관 환경에 다양한 형태로 테스트 해 최적의 XDR 플랫폼을 선택하고 성공적으로 운영하기를 바란다”고 말했다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.