클라우드 기반 MDRaaS, 정말 실효성이 있을까?
파고네트웍스 권영목 대표
클라우드 기반 매니지드 탐지 및 대응 서비스(MDR-as-a-Service)는 실효성이 있을까?
가트너가 밝힌 MDR의 필요성
국내에서는 보안관제서비스를 매니지드 시큐리티 서비스(Managed Security Service), 보안관제 사업자는 MSSP로 불렀다. 가트너에서는 최근 이를 MDR(Managed Detection&Response)이라고 부른다.
가트너에서는 MDR 서비스 대상을 호스트, 네트워크 기반, 클라우드 레이어로 정의하는데, 국내의 MSS 고객과 일치한다. 가트너 기준으로는 MDR이 제공하는 서비스의 경우 ▲고급화된 분석 ▲탐지된 위협에 대한 위협 인텔리전스 ▲위협에 대응할 수 있는 숙련된 전문가의 여부를 필수 사항으로 두고 있다. 국내 기준과 가장 큰 차이는 지원 활동에서 녹색으로 강조된 부분으로, 사고 난 위협과 탐지 억제된 위협에 대해 유효성 입증, 추가 조사, 실질적 대응 활동이 가능한가를 조건으로 두고 있다.
가트너는 왜 MDR 서비스의 중요성에 대해 언급하고 있을까? 우선은 공격자가 계속해서 증가하고 있고, 방어자(기업)의 경우 비용이나 인력, 자체 보안관제센터(SOC) 구축 운영 갈망 등이 증가하고 있기 때문이다. 즉, 공격자로부터 스스로 방어하기 위해 MDR 사업자로부터 현대식 SOC를 조달하고 자체적인 위협 탐지 및 대응 범위를 구축할 수 있다.
기업 비즈니스 관점에서 보면, 위협을 탐지하고자 하는 모든 기업의 경우 전문 인력과 최적의 툴을 필요로 한다고 가트너는 밝히고 있다. 또한, 위협 탐지 유지 활동도 가능해야 한다. 가트너에 따르면, MDR 서비스를 사용할 경우 인력과 툴을 필요로 하지 않는다.
MDR 서비스 시장
현재 MDR 서비스는 국내 보안 관제 서비스와 일부 차이가 있다. 기존 보안 관제 서비스는 주로 엄선한 기술 조합 턴키 방식인 데 반해서, MDR 서비스는 서비스에 적응성과 확장성이 존재한다. 따라서 서비스를 선택할 때 조직적이고 신뢰할만한 방식으로 능동적인 대응이 가능한지를 먼저 탐구해야 한다.
새로 등장한 MDR 서비스 벤더들은 SEIM, SOAR, XDR 등으로, 적응성과 확장성에 유리한 클라우드 네이티브 보안 운영 솔루션이 등장하고 있다.
MDR 시장 혼동 요소
기존 보안 관제 서비스들이 너나할 거 없이 MDR 서비스 기업으로 홍보하며 시장에는 일부 혼동이 생기고 있다. 이들 업체가 수준 낮은 서비스를 제공하며, 매니지드 EDR이나 XDR(탐지/대응) 서비스를 MDR로 홍보하고 있기도 하다.
따라서 가트너는 여러 조건을 통해 MDR 기업을 선별하도록 하는 여러 기준을 제시한다. 우선 EDR과 NDR 도입 시 제품 도입 후 성과에 대해서 고려해야 하며, 사고 대응 전문가를 보유했는지의 여부를 파악하라고 밝히고 있다. 또한, 이미 EDR, NDR, SIEM을 보유하고 있을 경우 각 벤더별 MDR 서비스를 사용하는 것은 비효율적이라고 밝혔다. 즉, 보안 관제 서비스를 운영 중이라면 MDR-타입 서비스를 추가 제안하는 MSSP를 고려하라고 한다.
파고네트웍스의 MDR 서비스
가트너에서는 매니지드 EDR과 매니지드 XDR을 떼어놓아야만 MDR 서비스가 될 수 있다고 밝히고 있다. 파고네트웍스 MDR은 특수 목적 EPP인 사일런스, EPP와 EDR, 체 제어 센티넬원, 오픈 XDR 솔루션인 스텔라사이버를 바탕으로 한다. 이 서비스를 단순 운영하는 것이 아니라 다양한 이벤트에서 자체적으로 위협을 탐지하고 빠르게 처리하는 솔루션도 제공한다. 능동적인 위협, 침해 여부, 침해 범위 등을 파악하는 솔루션이 대부분 포함돼 있다.
파고네트웍스는 MDR 센터를 딥액트(DeepACT)로 부른다. 현재 파고네트웍스의 모든 고객에게 MDR 서비스를 제공 중이다. 기업은 대기업부터 소규모 기업까지 다양한 편이다. 1년 전부터는 자체 SOAR와 TI 플랫폼을 자체 운영 중이다. 악성 코드, 지능형 위협, 상시 모니터링, 사고 대응 등을 지원한다. 많은 기업이 서비스를 사용 중이므로 쌓인 데이터베이스를 활용해 다양한 기업에서 활용할 수 있도록 TI 공유를 제공 중이다.
기업은 정보·자산·인프라 보호를 원하는데, 따라서 EPP, EDR, NDR, XDR과 SOAR 플랫폼을 구축하는 경우가 많다. 그러나 예산이 부족하거나, 리소스와 예산이 있더라도 전문가와 툴이 부족한 상황이 많다. 따라서 MDR 서비스가 해결 방법이 될 수 있다고 가트너는 밝히고 있다. 파고네트웍스는 이 흐름에 맞춰 공동 대응 및 협업, 능동 대응이 가능한 서비스를 제공한다.
PAGO DeepACT – MDR 서비스 내용
표에서 푸른색 부분만 제공하면 매니지드 EDR 혹은 XDR 서비스로 볼 수 있지만, 붉은색 부분을 추구해 MDR 서비스를 제공한다. 만약 알 수 없는 자산 등 매니지드 환경 설치가 불가능한 경우 파고 위협 인텔리전스 DB 생성을 통해 TI DB를 제공하고 능동적인 탐지를 가능케 한다.
MDR 서비스 케이스
솔루션 비 설치 고객사에서 PC 한 대만 감염됐을 때 원격으로 사고대응(IR) 서비스를 진행한 바 있다. 연구소 등의 특정 PC에서도 랜섬웨어가 발생하면 파견을 제공하기도 하는데, 감염과 유통 경로를 조사 후 해당 임직원을 교육한 사례다.
5000여명 이상의 제조업 기업에서 연구소 PC 300여대가 감염된 사례로, 전체 업무가 마비된 상황이다. IR을 진행하면서, 타깃팅된 랜섬웨어를 잡아내고 2·3차 감염을 위한 백도어 등을 클리닝했다. 이 PC들의 경우 MDR 서비스가 제공되지 않은 제품들이었으나 전체 서비스를 진행할 수 있다.
워너크라이 공격의 사례다. 워너크라이 공격에서는 암호화가 발생하지 않았으나, 주변 PC가 감염되며 워너크라이 변종이 발생하며 서비스거부(DoS) 위협을 통해 크래시가 발생한 사례였다.
현재 방어한 모든 멀웨어 유형의 가시성 확보가 가능하다.
악성코드 차단에 성공했지만 비상인 상황이 발생하긴 하는데, 악성코드 변종이 발생했을 경우까지 탐지해야 한다. 즉, MDR 서비스를 통해 지속적인 우회공격을 탐지할 수 있다. 탐지됐거나 예상되는 위협의 경우 MDR 팀이 고객사와 소통하게 된다.
파고네트웍스의 MDR 서비스의 목표는 이미 침투한 위협 탐지, 새롭게 침투할 위협 탐지 두가지다.
결국 탐지 및 대응 솔루션은 대부분 자동화에만 치중하는데, 전문가가 직접 탐지와 소통을 제공하는 것이 중요하다.
글. 바이라인네트워크
<이종철 기자> jude@byline.network