[데이터넷] 코로나19 위기 상황에서 ICT는 오히려 빛을 발하며 한 단계 더 진화해 성장을 이어 나갔다. 비즈니스 환경이 급변하고 디지털 트랜스포메이션이 다양한 산업 분야로 확산되며 ICT의 중요성이 더욱 커졌기 때문이다. ICT 기술 분야별 분석과 평가를 통해 2023년 ICT 시장을 전망한다.<편집자>

APT 공격이 심각한 문제가 되었을 때 다단계 방어가 최적의 보안 전략으로 채택됐다. 방화벽에서 정책에 따라 차단하고 백신과 IPS에서 시그니처를 이용해 차단하며, 샌드박스에서 알려지지 않은 악성코드를 분석하고, SIEM과 UBA로 이상행위를 찾아 대응하는 방식이었다.

알려진 공격과 알려지지 않은 공격, 이를 우회하는 공격을 순차적으로 막을 수 있는 좋은 전략이었지만, 너무 많은 보안 솔루션을 구입해 비용 부담이 늘었으며, 각각의 보안 장비에서 발생하는 수많은 이벤트로 경고 피로를 겪게 됐다. 연계되지 않고 독립된 경고는 공격 전반을 보여주지 못했다. 보안조직은 너무 많은 보안장비를 운영하는데 업무 시간의 대부분을 보내야 했기 때문에 실제로 진행 중인 위협을 제대로 식별하지 못했으며, 공격에 속수무책으로 당할 수밖에 없었다.

너무 많은 보안 솔루션으로 문제 발생

위협 선제차단에 무게를 두었던 APT 방어 전략은 진행 중인 위협을 빠르게 탐지하고 대응하는(Detection and Response) 전략으로 확장됐다. 선제방어에 실패 했을 때 AI/ML을 이용해 내부에서 진행되는 행위를 분석해 위협을 빠르게 식별하고 공격이 확산되기 전에 제어하기 위해 시작됐다.

엔드포인트 백신과 네트워크 IPS 시그니처 기반 차단을 우회하는 공격을 식별하는 EDR과 NDR이 등장했으며, NDR은 SIEM과 함께 사용되면서 네트워크 전반의 위협을 탐지하는 솔루션으로, EDR은 차세대 백신인 EPP와 함께 사용되면서 엔드포인트에 대한 지능적인 위협을 차단하는 솔루션으로 자리잡았다.

보안 복잡성 문제가 심각해지면서 통합의 범위가 점점 넓어지게 됐다. 많은 공격이 엔드포인트에서 시작해 네트워크로 확장된다. 사회공학기법을 이용한 악성메일과 클라우드의 취약한 설정과 계정, 취약점 등이 공격에 사용된다. 그래서 엔드포인트, 네트워크, 클라우드, 이메일의 위협을 모두 연계해 분석하는 XDR이 등장하게 됐다.

XDR의 등장 배경에는 ‘공급업체 수를 줄여야 한 다’는 미션이 있다. 다단계 보안 전략은 각 분야별로 가장 좋은 솔루션을 선택해 최고의 탐지 성능을 유지하면서 특정 벤더 종속성을 낮춰야 한다고 강조했다. 이른바 ‘베스트 오브 브리드(Best of Breed)’ 전략이다. 그런데 업계 최고의 솔루션들이 각각 작동하면서 보안조직의 업무를 증가시키고 보안 대응을 혼란하게 만들었다.

특히 급증하는 보안 이벤트로 인한 경고피로가 심각해졌는데, 오르카 시큐리티 조사에 따르면 보안 툴에서 발생하는 경보 중 오탐 40%, 낮은 우선순위 경보 40%이며, 실제로 중요한 경보는 10%밖에 되지 않는다. 중요하지 않은 경보가 너무 많이 누적되면서 경보 에 둔감해진다는 문제가 생겼다.

보안 현장에서는 실제로 위협을 탐지·대응 효율성을 높이는 방법에 집중하면서 공급업체 수를 줄여 관리 포인트를 줄이고 이벤트를 통합 분석해 경고피로를 낮추는 방법을 택하게 됐다. 체크포인트 조사에 따르면 CISO의 2/3 이상이 더 적은 수의 공급업체의 솔루션으로 업무를 수행하면 회사의 보안이 강화될 것이라고 주장한다.

빠르게 성장하는 XDR

VM웨어 조사에 따르면 기업 75%가 XDR을 도입하지 않았지만, 이 중 27%는 1년 이내에 도입 할 계획이라고 답했다. XDR 사용자의 86%, 비사용자 74%가 XDR이 미래의 보안 수단이 될 것이라고 답했다. 현재 XDR을 도입한 기업은 많지 않지만, 시장은 빠르게 성장하고 있다는 뜻이다.

XDR은 여러 소스에서 데이터를 가져와야하기 때문에 다양한 솔루션과의 연계가 필수다. 가장 이상적인 것은 하나의 벤더 기술로 통합되는 것이지만, 모든 보안 기술을 완성도 있게 제공하는 벤더는 없으며, 벤더 종속성이 강화되는 것도 바람직하지는 않다.

오픈XDR이 종속성을 낮출 수 있다는 점에서 주목된다. 스텔라사이버가 오픈XDR의 선구자 역할을 하고 있는데, 스텔라사이버는 자사 XDR 플랫폼에 모든 보안 탐지·대응 기능을 통합할 수 있다고 강조한다. 스텔라사이버 오픈XDR은 고급 AI 위협 탐지와 대응 기술을 갖췄으며, 유연하고 확장성이 높고 비용을 효율적으로 사용할 수 있어 다양한 활용사례를 만들 수 있다.

스텔라사이버는 차세대 보안운영센터(SOC)를 위해 제공되고 있으며, MDR의 플랫폼으로도 사용되고 있다. 파고네트웍스가 자사 MDR 플랫폼에 스텔라사이버를 적용해 네트워크 전반의 위협을 탐지하는 기능을 고도화하고 있다.

스타트업 에이섹이 스텔라사이버와 국내 사이버 위협 인텔리전스(CTI) 서비스를 결합해 우리나라 환경에 최적화된 XDR ‘쓰렛트랙커(TreatTracker)’를 공급하고 있다. 쓰렛트랙커는 빠른 위협 헌팅을 지원해 탐지 정확도를 한층 높였다. 기존 고객사 시스템을 교체하지 않고 오픈XDR 플랫폼에 연동할 수 있어 투자를 보호 하면서 XDR로 단계적으로 전환할 수 있다.

CTI 기업 NSHC도 XDR 개발 계획을 발표해 주목된다. NSHC는 CTI를 활용해 외부 위협 탐지를 최적화하는 오픈XDR ‘더보임(THE.BOIM)’을 개발, 매니지드 보안 서비스 형태로 5월부터 제공할 계획이다. 더보임은 클라우드 위혐 탐지와 대응(CDR), EDR, NDR을 결합해 위협 탐지 범위를 확대하며, 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)과 통합해 클라우드 네이티브 보안까지 확장할 계획이다.

NSHC의 CTI 서비스 ‘쓰렛리콘(ThreatRecon)’과 ‘다크트레이서(DarkTracer)’은 국내외 주요 공격그룹의 위협 행위를 분석하고, 다크웹 동향을 모니터링해 개인·기밀정보 거래, 공격 동향 등의 정보를 제공한다. NSHC는 측정그능한 모든 형태의 데이터를 지표화 해 사이버 공격그룹을 특정하고, 그들의 활동상황을 분석하며 추적하는데 풍부한 데이터를 제공한다.

보안 탐지·대응 전문성 갖춘 XDR

XDR이 갖춰야 할 필수 요건은 ‘통합과 자동화’다. 복잡성을 제거하기 위해 제안된 솔루션인 만큼, 모든 보안 요소를 통합해 정확하게 위협을 가시화해야 하고, 탐지와 대응을 자동화해 보안조직의 업무를 줄여야 한다.

많은 XDR이 API를 이용해 이종 솔루션 통합은 어느정도 완성했지만 자동화된 대응을 만족스러운 수준으로 제공하지는 못한다. 자동 대응은 오탐 우려로 쉽게 적용하기 어렵기 때문이다.

트렌드마이크로는 35년 동안 전 세계 위협을 분석, 대응해 온 전문성을 기반으로 자동 대응까지 지원하는 ‘비전원’을 소개한다. 트렌드마이크로는 매년 5조 가량의 위협 쿼리를 처리하며 2억5000만개 센서와 전 세계 16개 리서치센터를 기반으로 위협을 탐지하고 취약점을 찾아낸다. 동적인 공격 접점의 지속적인 관리와 사이버 위험 현황 평가, 위협에 대한 시의적절한 대응을 지원한다. 비전원은 엔드포인트, 네트워크, 이메일, 클라우드, IoT·OT 등 트렌드마이크로 보안 솔루션을 통합하며, 계정 보호, SIEM, SOAR 등 타사 솔루션 연계도 원활하게 지원한다.

RSA도 오랜 기간 위협 탐지·대응 기술을 제공해 온 전문성을 앞세워 XDR 시장을 공략한다. RSA는 네트 워크 패킷, 로그, 엔드포인트, 클라우드에서 이벤트를 수집하며, AI를 이용해 분석하고, 오케스트레이터를 이용해 자동으로 대응한다. 모듈식 통합을 제공해 필요한 기능만 사용하면서 추가 확장이 가능해 투자 예산을 효과적으로 운영할 수 있다. 플레이북을 자동 생성하고 실행, 수정해 공격을 정확하게 식별하며 공격 배후를 파악해 대응할 수 있게 한다.

VM웨어는 엔드포인트 보안 솔루션 ‘카본블랙’을 XDR로 확장시킨다. 네트워크와 엔드포인트 기술 전 체에 대한 액세스를 활용해 엔드포인트에서 실행되는 모든 프로세스와 패킷, 액세스 포인트, 위협 인텔리전스, 원격 데이터 측정 기술을 활용해 횡적 보안을 강화 한다.

가트너 “NDR, 22.5% 성장”

XDR이 EDR과 NDR, 클라우드 위협 탐지와 대응을 통합하고 있지만, 그렇다고 해서 EDR, NDR이 사라지는 것은 아니다. EDR, NDR 전문 솔루션은 그 영역의 탐지 능력을 고도화하면서 진화하고 있다. 센티넬원과 크라우드스트라이크는 ID 위협 탐지와 대응(ITDR)을 결합하면서 실제 공격에 대한 대응 능력을 확장하는 방향으로 XDR 전략을 취하고 있다.

NDR은 네트워크 포렌식으로만 인식되거나 위협헌팅 도구로 제한되어왔는데, 가트너가 NDR에 대한 ‘마켓 가이드’를 12월 공개하면서 독자적인 시장으로 성장할 수 있다고 예측했다. 가트너는 NDR이 22.5% 성장했으며, 클라우드 NDR 적용이 2027년 50% 이상으로 확대될 것으로 예상했다.

가트너는 NDR이 XDR에 비해 사용이 쉬워 소규모 보안조직도 운영할 수 있다는 것을 장점으로 들었다. 자동 차단을 보장하지 않지만 SIEM, EDR 등 다른 보안 솔루션과 연계해 포인트 솔루션 의존도를 낮추면서 보안 탐지와 대응을 고도화할 수 있다고 설명했다.

이 보고서에서 주목할만한 벤더로 꼽힌 쿼드마이너는 모든 트래픽을 캡처, 분석해 비정상행위를 실시간에 가깝게 분석하고 위험도와 영향도를 확인해 정확한 탐지와 대응을 가능하게 한다. 또한 공격의 최종 목표에 도달하기 전에 잠재된 위협을 찾을 수 있는 위협 헌팅 기술도 제공한다.

쿼드마이너는 ▲자산 위험도 분석 ▲위협 헌팅 ▲설명 가능한 보안(XSec) ▲실행 가능한 유연한 연동 대응을 통해 제로 트러스트 원칙의 보안 대응이 가능하다고 설명한다. 또한 매니지드 위협 헌팅 서비스를 제공해 파악되지 못했던 침투 시도를 발견하고 분석, 대응할 수 있게 한다.

나아가 전문 연구원이 다양한 소스에서 수집한 위협 인텔리전스 정보를 정제해 위협 헌팅과 탐지룰로 만들어 온라인 업데이트 할 계획이다. 또한 SOAR, SIEM 등 다양한 서드파티 솔루션과 협력해 실질적인 XDR 체 계를 구축할 계획도 갖고 있다.

부족한 공격 대응 역량, SOAR로 해결

XDR과 함께 언급되는 것이 SOAR이다. 우리나라에서는 XDR과 SOAR의 개념을 혼동해서 사용하는 경우가 많은데, XDR은 탐지와 대응 도구로 보안 분석가의 업무를 줄여주는 솔루션이고, SOAR는 SOC를 효율화 하는 관제 시스템이다. 둘 다 SOC를 개선하는데 도움을 주지만, 목적과 기능은 다르다.

SOAR는 구축된 모든 보안 솔루션이 제 역할을 할 수 있도록 하고, 보안관제 요원의 업무를 자동화해 업무 부담을 줄이며, 관제요원의 성숙도에 관계없이 관제 서비스 수준을 높일 수 있도록 한다. SOAR는 차세대 SIEM으로 인식되기도 하는데, 어떤 면에서는 맞고 어떤 면에서는 틀리다. SIEM은 SOAR에 연동되는 여러 보안 솔루션 중 하나일 수 있고, 아니면 SIEM이 발전해 SOAR가 될 수도 있다.

SOAR에 관심이 쏠리는 이유는 점점 지능화된 공격에 대응할 수 있는 역량을 갖춘 조직이 많지 않기 때문이다. IBM 조사에 따르면 보안 대응이 필요한 조직 중 절반 이상이 역량을 갖추지 못했다. 고급 보안 전문가 를 고용했다 해도 이 사람을 유지하는 것도 어려운 일 이다. 공격빈도가 증가하고 복잡한 SOC를 운영하는데 더 많은 전문가가 필요하지만, 준비된 전문가는 너무나 부족하다.

우리나라에도 SOAR 구축 사례가 꽤 있지만, 완성도 높은 사례는 그리 많지 않다. SOAR는 고객사의 SOC가 제대로 준비되어 있어야 성공할 수 있는데, SOC의 표준화·자동화 수준이 높지 않고, 자체 플레이북이 충분히 마련되지 않았다고 평가된다. 또 SOAR와 연동되지 않는 오래된 보안 솔 루션이 많아 SOAR 프로젝트를 처음 시작할 때만큼 완성된 결과를 내놓지는 못하는 상황이다.

그럼에도 불구하고 SOAR는 차세대 보안관제를 위한 필수 솔루션으로 인정받고 있다. 보안관제요원의 업무 부담을 줄이고, 실수로 인한 문제를 제거하며, 초보 관제요원도 SOAR를 운영하면서 빠르게 숙련된 보 안요원으로 성장할 수 있다.

포티넷이 국내 SOAR 시장에서 앞선 경쟁력을 보이고 있는데, 국내 환경에 최적화된 플레이북을 제공해 SOC를 효과적으로 운영할 수 있게 한다. 완성된 패키지로 제공되는 ‘포티SOAR’는 경쟁사에서 2개월 이상 걸리는 구축 프로젝트를 단 이틀 만에 완료해 빠르게 SOC를 운영할 수 있게 했다. 포티SOAR는 포티넷 시큐리티 패브릭에 통합돼 원활한 확장이 가능하도록 한다. 시큐리티 패브릭은 동-서(East-West), 남-북 (South-North) 트래픽을 모두 통합해 분석해 보안 분 석과 운영 효율성을 극대화하고 비즈니스 연속성을 보장한다.

국내 최적화 SOAR 경쟁력 입증

SOAR는 SOC 혹은 보안관제센터를 개선하기 위한 것이기 때문에 우리나라 기업 현장에 최적화된 구축·운영 환경이 필수다. 그래서 국내 보안관제 서비스를 제공해 온 안랩, 이글루코퍼레이션 등이 시장에서 좋은 평가를 받고 있다.

이글루코퍼레이션의 ‘스파이더 SOAR’는 국내 보안 기업 중 가장 먼저 상용화된 솔루션으로, 오랜 기간 보안관제를 수행하면서 축적한 플레이북을 담고 있다. 스파이더 SOAR의 플레이북은 누구나 쉽게 생성, 편집 할 수 있으며, 사용자 친화적인 UI로 관리 용이성을 높였다. 플레이북 작성만으로 추가 상세로그 분석, 대응 문구 입력까지 처리할 수 있으며, 최적화된 자동 대응을 지원한다.

휴네시온의 자회사인 시큐어시스템즈가 ‘시큐어 SOAR’를 출시하고 시장 공략에 나서 주목된다. 시큐어시스템즈는 윈스에서 보안관제시스템 개발, 운영을 총괄해 온 손동식 대표가 창업했으며, 휴네시온이 전략적 투자를 하면서 자회사로 편입됐다. 시큐어SOAR는 AI, CTI, 자동 분석과 대응 기술을 접목해 오탐을 줄이고 데이터 연계분석으로 탐지 정확도를 높였다.

시큐어시스템즈는 휴네시온의 ‘아이원NAC’과 연동 해 다양한 이종 솔루션 이벤트를 통합, 분석하고, 위 협 식별과 자동 차단하는 방식으로 보안관제를 수행한 다. 이를 통해 한층 더 편리하고 안전한 보안관리가 가능하도록 한다.