사이버 공격 고도화로 커지는 XDR 중요성, RSA “20년 전부터 준비한 기술”

“각 기업의 IT 인프라가 온프레미스에서 클라우드 기반으로 확장되고 있고, 이에 맞춰 사이버 공격도 더욱 정교해지고 있다. 시스템이 복잡할수록 공격을 탐지하고 대응하는 것이 어려운데, RSA는 오랜 기간 XDR(확장된 탐지⋅대응) 솔루션을 개발해 왔다. 이로써 IT 인프라를 더욱 안전하게 지킬 수 있을 것으로 보인다.“

조남용 RSA코리아 이사는 2일 진행된 바이라인플러스 웨비나 ‘보안운영 자동화·통합보안 위험관리 핵심 플랫폼으로 부상한 SOAR와 XDR’ 세션에서 이 같이 말했다. RSA는 자체 XDR 솔루션 ‘넷위트니스 플랫폼(NetWitness Platform)’을 제공하고 있는데, 이를 통해 IT 인프라 시스템 내부에서 발생하는 모든 상황을 감지하고 공격을 제어할 수 있다는 것이 조남용 이사의 설명이다.

넷위트니스는 RSA가 “모든 것을 볼 수 있다면 두려워할 것이 없다(See everything, Fear nothing)”라는 슬로건을 가지고 만든 보안 탐지⋅대응 솔루션이다. 네트워크 부문(NDR)과 로그 부문(LDR), 엔드포인트 부문(EDR)을 탐지할 수 있는 솔루션이 넷위트니스에 포함돼 있다.

조 이사에 따르면, RSA는 20년 전부터 NDR 사업을 영위해 왔다. 여기에 2000년대부터 LDR 솔루션을 제공하기 시작했는데, 2012년에는 기존 넷위트니스 NDR 플랫폼에 LDR 솔루션을 통합했다.

뒤이어 RSA는 2007년 군사용 EDR 플랫폼을 개발했다. 2012년에는 자사 EDR 플랫폼이 넷위트니스 제품군에 포함됐고, 2017년에는 기존 로그 네트워크와 완전히 통합됐다. 이로써 RSA는 2017년부터 네트워크와 로그, 엔드포인트 탐지 기능을 모두 포함한 넷위트니스 XDR 솔루션을 제공할 수 있게 됐다.

조남용 이사는 넷위트니스 플랫폼을 사용하면 사용자는 여러 분산된 시스템을 통합해서 관찰할 수 있음을 강조했다. 데이터를 통합해 관찰하는 한편 자동화 체계를 적용해 포괄적인 가시성을 가질 수 있다는 것이다.

그는 “넷위트니스 플랫폼에서는 여러 데이터 세트를 통합한 다차원의 인력 탐지, 행위 분석을 수행할 수 있다”며 “포렌식 등 기술을 활용해 세션을 재구성하고, 실제 어떤 일이 발생했는지 파악할 수 있다”고 강조했다.

이어서 조남용 이사는 넷위트니스 플랫폼을 사용하면 더 적은 도구와 단일화된 인터페이스로 보안 운영을 해 신속한 대응이 가능하다는 점도 언급했다. 강력한 오케스트레이션(컴퓨터 시스템과 소프트웨어의 자동화된 구성⋅조율⋅관리) 기능으로 보안 대응 프로세스를 효율적으로 조율하고, 사건 대응 작업을 자동화해 관제 대응 체계를 구현하다는 것이다.

조 이사는 “초보 분석가도 역량 강화가 가능하고, 적은 비용으로 운영이 가능하다”며 “그간 알려지지 않았던 공격도 자동화 체계를 통해 사전에 탐지하고 대응할 수 있고, 기존 솔루션 활용도도 높일 수 있다”고 설명했다.

RSA는 추후 타 플랫폼과 호환이 가능한 오픈XDR을 제공하는 것을 목표로 삼고 있다. 더 많은 보안 솔루션과 연동해 더 많은 사용자가 넷위트니스 플랫폼을 수월하게 사용할 수 있도록 하기 위함이다.

조 이사는 “아직 오픈XDR은 초기 단계로, 생태계 확대를 위해서는 표준 제정 등의 준비가 필요하다”면서도 “더 이상 외부의 공격을 두려워하지 않아도 되는 체계를 구현할 수 있도록 노력하겠다”고 말했다.

글. 바이라인네트워크
<배유미 기자>youme@byline.network