[데이터넷] 최근 사이버 보안의 통합·자동화 트렌드가 주를 이루면서 보안 탐지·대응 분야에 XDR이 대세를 이루고 있지만, 네트워크 위협 탐지와 대응(NDR) 솔루션의 성장세도 꺾이지 않고 있어 주목된다. 가트너의 ‘2022년 네트워크 탐지 및 대응을 위한 시장 가이드’에 따르면 NDR 시장은 22.5% 성장한 것으로 나타났다.

가트너는 NDR 성장의 이유로 ‘재택근무’를 꼽았다. 재택근무로 인해 사내 트래픽이 동서(East-West)에서 남북(South-North)로 이동했으며, 사내 데이터센터와 캠퍼스를 넘어 사용자 단까지 정밀한 트래픽 분석이 필요해졌다는 이유다. 클라우드도 영향을 미쳤는데, 가트너는 클라우드의 NDR 적용이 현재 10% 미만에서 2027년까지 50% 이상으로 확대될 것으로 보았다. XDR이 대세인 상황에서도 NDR의 성장이 이어지는 이유로 가트너는 관리와 모니터링 콘솔이 사고 대응 워크플로우를 지원할 수 있다는 점, 소규모 보안팀이 원활하게 운영할 수 있다는 점을 들었다.

가트너는 NDR이 갖춰야 할 필수 기능으로 비정상적인 행위 탐지, 위반 활동에 대한 조사, SOC와 연계 등을 들었다. 원시 트래픽을 분석할 수 있는 기능, 온프레미스와 클라우드 네트워크 모두에 적용될 수 있는 배포 모델, 패턴·시그니처 없이도 위협을 탐지할 수 있는 AI·머신러닝 기반 분석과 컨텍스트 인지 분석 등이 필요하다.

NDR, 자동차단보다 사고 대응 워크플로우 지원에 초점

NDR은 태생적인 한계가 있다. NDR은 ‘자동 차단’을 보장하지 않으며, 일부 NDR은 위협사냥에 적합한 도구로 제안되고 있어 확장성이 떨어진다. 일부 NDR은 랜섬웨어·APT를 위한 수평이동을 자동 차단하지만, 대부분의 경우 사고대응 워크플로우를 ‘지원’하는 기능에 초점을 맞추고 있다.

이러한 특징을 감안할 때 NDR은 ▲하이브리드 환경을 위한 위협 탐지 시스템 ▲XDR ▲다른 보안 플랫폼의 일부로 발전할 것으로 예측된다.

하이브리드 환경에서의 NDR은 네트워크 트래픽 분석과 클라우드 인프라에 대한 이상 감지 기능을 강조하며, XDR로 진화하는 NDR은 EDR, SIEM 등 다른 위협 탐지 기술과 결합해 포인트 솔루션의 의존도를 줄이면서 플랫폼 기반 보안 탐지 시스템으로 발전하는 로드맵을 갖는다고 가트너는 설명했다. 다만 XDR은 여러 공급업체 솔루션이 결합됐을 때 장애, 마찰이 생길 가능성도 있다.

다른 보안 플랫폼에 결합되는 모델은 순수한 NDR 기술을 가진 기업이 고급 분석에 더욱 집중하면서 발전하게 된다는 예측에 기반한 것이다. NDR 기술 기업은 고급 머신러닝 분석 기술을 지속적으로 개선해 더 정확한 이상징후 탐지와 사고 대응 기능을 갖추게 된다. 대형 보안업체는 자사 포트폴리오의 일부로 NDR을 제공할 것이며, 이메일 보안 등 다른 보안 플랫폼에 통합 혹은 연계되면서 유용한 활용 사례를 만들게 될 것으로 보인다.

가트너는 NDR 경쟁업체가 지속적으로 증가하고 있다고 설명했는데, 현재 시장의 중요 플레이어는 시스코, 다크트레이스, 엑스트라홉, 기가몬, 트렐릭스, 트렌드마이크로, VM웨어 등 19개 업체를 꼽았는데, 이 국가의 본사는 미국, 중국, 프랑스 등 세계 전역에 걸쳐 있다. 보고서는 주목할만한 NDR 기업으로 우리나라의 쿼드마이너를 언급했다. 쿼드마이너는 가트너의 이전 보고서인 ‘신흥기술: 네트워크 탐지 및 대응을 위한 채택 성장 통찰력’에 연속 선정된 바 있다.

김선애 기자 다른기사 보기