마이크로소프트 “정교한 사이버공격 대응, 보안 목적 이루려면 ‘통합과 연계’ 중요”
마이크로소프트 365 디펜더 XDR 플랫폼과 센티넬 SIEM·SOAR 플랫폼으로 구현 가능
“사이버공격에 대응하기 위해 기업들은 이메일, 엔드포인트, 아이덴티티, 클라우드 앱과 워크로드를 보호하기 위한 각각의 다양한 솔루션을 도입해왔다. 그러나 최근 사이버공격이 더욱 증가하고 정교해지면서 제대로 대응하지 못하는 상황에 처했다.”
한국마이크로소프트 신호철 보안비즈니스 총괄 매니저는 최근 개최된 바이라인플러스 ‘보안운영 자동화·통합보안 위험관리 핵심 플랫폼으로 부상한 SOAR와 XDR’ 웹세미나에서 사이버보안 환경이 변화하고 있는 가운데 공격 방어가 더 어려워졌다고 진단했다.
신 매니저는 최근의 변화로 “코로나 팬데믹 이후 하이브리드 워크 확대로 공격표면(Attack Surface) 확장되면서 관리해야 할 포인트가 증가한 것을 물론 공격 가능성이 더 커졌다. 사이버범죄는 더욱 정교화해지면서 공격에 대응하기 위한 사이버보안 위험 완화를 위한 비용과 노력은 더 많이 들고 있다”고 진단했다.
이같은 위협 환경에서 “우리는 각각의 포인트 솔루션들을 저글링하고 있는 상황이 아닌가 싶다”라면서 사이버공격 대응을 어렵게 만드는 원인으로 ‘통합과 연계’의 부재를 지목했다. 그는 ”개별 포인트 솔루션으로는 보안을 구현할 수 없고 서로 유기적으로 통합되고 연결돼야 한다“며 ”그런 점에서 확장 위협 대응(XDR)이 점점 더 중요해지고 있다“고 강조했다.
또한 “예방(Prevention) 보안의 시대는 지났다. 더 이상 예방만으로 보안을 할 수 없다”며 “얼마나 빨리 탐지하고 대응하느냐가 더욱 중요해지는 상황에서 포인트 차원이 아니라 종합적으로 확장된(extended) 형태로 탐지하고 대응할 때 랜섬웨어처럼 정교한 위협에 대응할 수 있는 것”이라고 덧붙였다.
이에 더해 “엔드포인트와 이메일부터 워크로드, 클라우드까지 엔드투엔드(end to end)로 연결돼 공격자를 찾아내고 근본적으로 퇴치할 수 있는 통합된 체계를 갖춰나가는 것이 바로 XDR”이라고 정의하며 “이를 위한 종합상황실인 보안정보이벤트관리(SIEM)·보안오케스트레이션자동화대응(SOAR)까지 유기적으로 잘 연결될 때 보안 목적을 이룰 수 있다”고 제시했다.
엔드포인트·이메일·클라우드 앱 등 모든 도메인 위협 탐지·대응, 센티넬로 위협 상황 통합 관리
마이크로소프트도 XDR과 SIEM·SOAR 영역에 해당하는 솔루션을 제공하고 있다. 아이덴티티 보호(Entra), 컴플라이언스(Purview), 프라이버시 보호(Priva), 디바이스 관리(Intune), 위협 보호(Defender), SIEM·SOAR(Sentinel)로 구성된 6가지 마이크로소프트 보안 제품군 가운데 디펜더와 센티넬이 해당된다.
신 매니저에 따르면, 마이크로소프트 디펜더는 엔드포인트와 인프라에 관련된 그런 포인트들을 연결해 XDR을 수행한다. 센티넬은 다양한 포인트에서 나오는 로그와 이벤트를 수집해 상관분석하는 종합상황실로 대응할 수 있는 체계를 만들어내는 SIEM·SOAR다.
마이크로소프트 365 디펜더와 마이크로소프트 디펜더 포 클라우드(for Cloud), 마이크로소프트 센티넬이 삼각편대로 구성돼 있다. 마이크로소프트 365 디펜더는 사용자 업무 환경을 위한 제품이다. 마이크로소프트 디펜더 포 클라우드는 클라우드 인프라용 XDR 솔루션이다. 센티넬은 이들 두 디펜더 제품을 포함해 기존에 조직에서 사용 중인 다양한 보안 솔루션 제품군들과 통합·연계된다. 타사 또는 파트너 제품군들과도 애플리케이션프로그래밍인터페이스(API)로 연계된다는 게 신 매니저의 설명이다.
마이크로소프트 365 디펜더는 아이덴티티, 엔드포인트, 클라우드 앱, 오피스 365를 위한 보안 제품군들로 구성된다. 신 매니저는 “랩톱이나 모바일 기기와 같은 엔드포인트상에서 윈도우, 맥OS, iOS, 안드로이드, 리눅스까지 다양한 플랫폼을 지원하는 안티바이러스와 엔드포인트 위협 탐지 대응(EDR)이 통합된 솔루션을 제공한다. 그리고 소프트웨어서비스(SaaS) 사용 환경의 다양한 위협을 탐지할 수 있는 클라우드접근보안중개(CASB)와 이메일·셰어포인트·원드라이브 등과 같은 협업 영역 위협 대응을 위한 보안 솔루션까지 제공한다”고 했다.
이어 “결국 각각의 솔루션을 제공하는 것을 넘어 크로스 도메인으로 서로 유기적으로 연결해 보안 기능을 제공하는 것이 관건으로, 마이크로소프트는 하나의 통합된 XDR 플랫폼으로 마이크로소프트 365 디펜더를 제공하고 있다. 이는 별도로 구매해야 하는 솔루션은 아니다”라며 “멀티 도메인에 대한 위협 예방, 보호, 탐지, 조사, 대응 기능을 통합 지원하는 플랫폼”이라고 설명했다.
그는 “마이크로소프트 365 디펜더는 아이덴티티, 엔드포인트, 클라우드 앱, 이메일같은 협업 플랫폼에서 나오는 모든 시그널들이 상호 공유된다. 특정 공격 행위나 전체적인 공격 패턴을 찾아내고 시각화해 자동으로 치료하고 완화할 수 있도록 지원한다”며 “모든 영역에서 발생하는 위협 상황을 하나의 포털에서 관리할 수 있게 한다. 이는 SIEM·SOAR와 연계할 수 있고, 워크플로우 관리나 티켓팅 시스템과 API로 연계해 다양한 사내 시스템들과도 연동할 수 있는 통합 XDR 플랫폼”이라고도 했다.
마이크로소프트 디펜더 365 운영으로 얻을 수 있는 기대 효과로는 “더 적은 노력과 더 적은 비용으로 더 많은 일을 할 수 있도록 제공하는 마이크로소프트의 캐치프레이즈인 ‘두 모어 위드 레스(Do more with less)’를 구현한다”며 “기존에 포인트 솔루션으로 대응하던 것에 비해 비용을 줄일 수 있다. 수많은 경보(alert)를 줄이는데 이는 오탐지를 감소시키는 것과 같다. 자동화된 방식으로 공격 대응에 필요한 여러 노력도 줄일 수 있는 플랫폼”이라고 제시했다.
마이크로소프트는 보안 역량과 인력이 부족한 기업을 위해 보안 매니지드 서비스도 제공한다. 마이크로소프트 전문가들이 위협 요인을 발견하고 분석해 서비스 이용 기업에게 알려줘 즉각 대응할 수 있도록 지원하는 위협 헌팅 서비스인 ‘마이크로소프트 디펜더 엑스퍼트 포 헌팅(Defender Experts for Hunting)’과, XDR 서비스 사용 기업에 공격 징후가 있을 때 마이크로소프트 전문가들이 즉각 알려줘 사전에 대응할 수 있게 하는 것은 물론 사건이 발생했을 때 빠르게 조치하고 해결할 수 있게 하는 서비스인 ‘마이크로소프트 디펜더 엑스퍼트 포 XDR(Defender Experts for XDR)’ 등의 보안 전문가 서비스도 제공한다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
