안랩 “XDR로 보안 담당자 업무 줄인다…맥락 분석해 효율성↑”
안랩이 앞으로의 기업 보안 환경이 확장형 위협 탐지·대응(XDR) 솔루션을 통해 더욱 효율적으로 진화할 것으로 내다봤다. 포인트 솔루션 형태에서 탈피, 위협의 맥락을 분석해 스코어를 매기고, 실제 이상 행위를 가려내는 XDR이 보안 담당자들의 업무를 줄여줄 거란 설명이다.
이건용 안랩 부장은 2일 바이라인네트워크가 개최한 ‘보안운영 자동화·통합보안 위험관리 핵심 플랫폼으로 부상한 SOAR와 XDR’ 웹세미나에서 “모든 보안 영역을 통합해 관리해야 한다”고 강조했다.
이건용 부장에 따르면, 현재까지의 기업 보안 환경은 안티바이러스(백신)를 필두로 엔드포인트 위협 탐지·대응(EDR) 솔루션이나 통합보안관제(SIEM) 솔루션 등 형태가 다른 여러 솔루션을 섞어 위협 차단에 초점을 맞추는 형태였다. 또한 이제까지가 내부와 외부로 경계를 나눠 바라보는 ‘경계 중심 보안’ 시대였다면 앞으로는 위협표면을 관리하는 시대라는 게 이 부장의 말이다.
특히 코로나19 시대 재택근무로 회사 자산의 외부 사용이 늘어난 가운데, 효율적인 보안 방식에 대한 요구가 커졌다. 늘어나는 외부 자산 만큼 보안 인력의 수가 따라가지 못하고 있어서다. 이 부장은 “보안 담당자는 보안 업무뿐 아니라 사내 의사 결정 참여나 신규 장비 구축, 전사 임직원 보안 교육 등 많은 업무를 하는 직군”이라며 “그래서 모두 효율화를 위해 XDR을 언급하고 있다”고 말했다.
XDR은 엔드포인트, 네트워크, 클라우드 등 IT 환경 전체에서 발생하는 위협을 통합 분석하는 개념이다. 과거까지 XDR의 ‘X’는 모든 것을 뜻하는 ‘Everyting’의 성격이 강했지만 최근에는 ‘Extended(확장)’의 X를 의미한다. 모든 위협 이벤트를 확장된 시각으로 관리, 시스템 전반의 위협을 낮춤으로써 보다 진화한 보안 방식으로 꼽힌다. 이 부장은 “엔드포인트, 네트워크, 클라우드, 서드파티 등까지 통합하고, 단순 연계가 아니라 맥락 분석을 통해 대응하는 체계”라고 말했다.
이 부장은 업계 의견을 종합한 결과 ▲복수의 텔레메트리를 자동으로 수집해 상호 연결하고 탐지·대응하는 플랫폼 ▲분리된 솔루션들을 단일 플랫폼으로 통합·연결한 것이 XDR의 정의로 통용된다고 언급했다. 복수의 알림을 하나의 인시던트로 도출하고, 여러 형태의 탐지옵션을 제시해 보안 운영의 효율성을 높이는 것도 XDR의 역할이다.
XDR을 더 구체적으로 보면 전통적인 보안 벤더 중심의 ‘네이티브 XDR’과 데이터 수집·분석을 하는 벤더가 진행하는 ‘오픈 XDR’로 나뉜다. 네이티브 XDR은 단일 벤더 제품 구성으로 긴밀한 통합 탐지와 대응에 초점을 맞춘다면, XDR은 여러 벤더의 포인트 솔루션 정보를 통합하고 연동 대응하는데 방점을 찍는다.
이 부장은 “두 가지 형태 모두 지향하는 바는 같다”면서 “사일로를 최소화해 위협 우선순위를 식별하고 리스크를 관리하는 것”이라고 말했다.
그는 지속적으로 리스크를 평가하고 관리하는 게 XDR의 임무라고 짚었다. 우선 가시성을 확보해 변동 사항이나 비정상 행위를 모니터링하고, 이를 분석해 최종 조치로 이어지는 게 XDR의 흐름이다. 유저가 보유한 자산이나 사용 시간, 계정 등에 대한 가시성을 우선 확보해야 뒷단의 분석과 조치를 진행할 수 있어서다.
가시성이 확보됐다면 자산의 변동과 이상 패턴을 모니터링하고 맥락 분석을 진행하게 된다. 단순한 로그가 아니라 시간, 장소, 사람 등 보안과 연관된 모든 요소를 엮어 분석해야 한다. 여기서 확인된 리스크는 우선순위에 따라 조치한다.
이 부장은 안랩 XDR의 방향성도 설명했다. 유저와 데이터 기반의 리스크 중심 접근을 지향한다.
이 부장은 병원 검진을 예로 들었다. 예컨대 안티바이러스가 A형 간염 검사를 통해 바이러스가 침투했는지 판단하는 형태라면, XDR은 종합건강검진처럼 여러 리스크를 연관 분석해 위험도를 수치화하고 종합적으로 판단한다.
그는 “XDR의 시각으로 바라보는 리스크는 ‘악성’이 아니라 ‘위협이 될 가능성이 높은 정보’”라며 ”포인트 솔루션의 단편적인 로그가 아니라 상황 분석에 의한 리스크 가능성을 확인하는 것”이라고 말했다.
그러면서 “보안 담당자가 확인해야 할 얼럿이 너무 많으면 오히려 체크가 어려울 수 있다”면서 “정말 확인해야 하는 리스크를 찾아 관리자에게 알림을 주는 것이 XDR의 핵심”이라고 강조했다.
이 부장의 말처럼 안랩의 XDR도 여러 단계로 데이터를 확인하고 분석한다. 원시 데이터 형태의 로그를 수집하고 필터링을 거친다. 서로 다른 이기종 시스템에서 수집한 데이터를 공통 스키마 형태로 정규화한다. 이어 부가적인 데이터 보강 처리를 통해 특정한 이벤트와 리스크를 확인한다.
이 부장은 ”관리자들이 일일이 (위협을) 식별하기 어렵기 때문에 리스크 스코어를 매겨 우선순위를 정해 대응을 도와준다”고 말했다.
리스크 스코어를 매기기 위해서는 시나리오 룰 설정이 중요하다. 만약 어떤 직원이 퇴근 이후에 시스템에 접근해 평소보다 많은 파일을 내려 받았다고 치자. 이 파일들을 외부 메일로 발송했고 용량 또한 컸다. 이처럼 이례적인 패턴이 발견됐을 때 XDR은 얼럿을 내려 보안 담당자에 알린다.
특히 시나리오 룰은 상황을 상상하기보다 실제 환경에서 발생할 수 있는 상황을 반영해야 한다. 이 부장은 “안랩은 오랜 기간 관제 서비스와 포렌식으로 얻은 정보와 최근 유행하는 공격 기법들을 분석해 리스크 시나리오에 반영한다”고 강조했다.
일반적으로 널리 쓰이는 툴을 통해 시스템에 접속하는 등 단편적인 상황만 보면 정상 행위로 보일 수 있지만, 안랩 XDR은 패턴을 보고 판단하기 때문에 이상 행위를 제대로 식별한다는 게 그의 설명이다. 탐지 시나리오에 반영된 레벨 스코어에 더해 각 운영 자산의 중요도에 따른 스코어를 종합해 최종 위협 스코어를 매김으로써 더 정확한 위협 판단이 가능하다.
위협 인텔리전스 솔루션 ‘안랩 TIP’나 매니지드 탐지·대응(MDR) 솔루션을 연동할 수 있는 점도 안랩 XDR이 가진 장점이다. 특히 위협 인텔리전스 솔루션 연동은 위협의 내부 영향도 파악이 용이해 고객사들에게 호평받고 있다.
이 부장은 “어떤 자산에서 (위협이) 탐지되고 있는지, 어떤 콘텐츠와 관련이 있는지, 이슈는 어떤 것인지 등의 정보를 보며 관리자가 빨리 조치할 수 있게끔 하는 기능을 제공한다”고 말했다.
안랩 XDR은 궁극적으로 보안 담당자들의 ‘할 일을 줄이는 것’이 목표다. 보안 담당자들의 고민이 큰 만큼 안랩은 다양한 위협 시나리오를 공유해 보안 노하우를 확산한다는 계획이다.
이 부장은 “산업군에 따라 모두 위협의 유형과 패턴이 다르다”면서 “(XDR을 통해) 담당자가 더 효율적으로 보안을 운영할 수 있다”고 강조했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network