2021.04.27

글로벌 칼럼 | CISO가 XDR 업체에게 듣고 싶어하는 8가지

Jon Oltsik | CSO
RSA 컨퍼런스가 이제 한 달 내로 다가왔다. 보안 업계 내에 진행 중인 SASE(Secure Access Service Edge), XDR(eXtended Detection and Response), 그리고 제로트러스트(Zero Trust)와 관련해 부풀려진 이야기에 대비해야 할 시점이다. 
 
ⓒ Getty Images Bank

물론, 모두 혁신적이고 지극히 유망한 분야이지만 다소 부담스럽기도 하다. SASE와 제로트러스트에 대해서는 다음 주에 자세히 다룰 예정이며 이번 기고에서는 XDR에 집중하고자 한다. 

ESG 조사에 따르면, 83%의 기업이 2021년에 위협 탐지 및 대응에 지출을 늘릴 것이라고 한다. 현재의 도구와 기법이 불충분하다는 것을 분명히 인지하고 있다는 의미다. XDR은 이런 시장 수요를 적극 활용할 수 있다. 단, 전제 조건은 보안업체들이 업계에서 부풀려진 이야기를 거르고 보안 전문가와 제대로 연계할 수 있어야 한다는 점이다. XDR 업체는 기업 고객과 대화하기 전에 다음과 같은 내용을 준비해야 한다.

1. XDR의 정의 
ESG 조사에 따르면, 보안 전문가 중에서 XDR과 관련된 기술 개념에 ‘매우 정통’하다고 자신있게 말하는 비율은 24%에 불과하다. 기업 고객 가운데 3/4이 구입 대상에 대해 제대로 알지 못한다면 판매 실적이 좋을 수 없다. 여기서 문제는 XDR이 제품보다는 아키텍처에 가깝고(SOAPA(Security Operations and Analytics Platform Architecture)), 아키텍처는 제품에 비해 제대로 설명할 수 없다는 점이다. 또한, XDR은 제어 기반(EDR+NDR+기타), 관리 기반, 오픈 XDR, 소프트웨어 오버레이 등 종류가 다양하다. 그래서 솔직하고 자세한 시장 교육이 시급하다.

2. 알고리즘 공개 
XDR에 대한 핵심 가치 제안 가운데 하나는 기존의 위협 탐지 기술에 비해 분석이 우월하다는 것이다. XDR는 개별 도구로부터 텔레메트리를 수집해 처리한 후, 이 모든 데이터를 어떻게든 합쳐서 좀 더 시의 적절하고 정확하며 종합적인 위협 탐지를 해낼 수 있다고 업체들은 주장한다. 그럴 듯한 이야기이긴 하지만 비판적인 보안 전문가라면 예전에 들어봤던 이야기다(지난번 UEBA(User and Entity Behavior Analytics) 분야에서 똑같은 주장을 한 업체가 떠오른다). XDR 업체는 이론의 단계를 벗어나 데이터 과학의 영역으로 최소한 약간은 진입해야 한다. 여기서 관건은 위협 탐지 정확성이라는 명심해야 한다. 보안 운영 간소화도 중요하지만 XDR로 운영이 손쉬워지더라도 정교한 다단계 공격을 탐지해내지 못한다면 아무 소용이 없다.
 
3. 자세한 구현 지침 

제어 기반 XDR 업체에게는 매우 어려운 과제다. 통합된 보안 기술 아키텍처가 직관적으로는 타당하지만, 오늘날 많은 기업에서 사용하는 최상급 위협 탐지 및 대응 도구와 비교하면 완전히 별개의 이야기다. 사용자는 어디서부터 시작해야 할까? 시간이 지나면서 도구를 어떻게 통합할까? XDR로 처음부터 시작하지 않고 현재의 경험과 커스텀 규칙을 어떻게 유지할까? XDR 업체는 예상 기업 고객을 위한 적절한 참조 아키텍처, 사례 연구, 훈련 지침 없이는 굳이 기업 고객을 만날 생각도 말아야 한다.

4. 보안 운영 모델 설명
XDR이 무엇을 할 수 있는지에 대한 이야기는 많이 나왔지만, 보안 운영 팀이 어떻게 제품을 다뤄야 하는지에 대해 설명하는 업체는 드물다. 경보를 우선순위에 따라 어떻게 분류하는가? 우선순위 높은 경보는 어떻게 조사하는가? 대응 조치를 어떻게 자동화하는가? XDR 도구는 ITSM 시스템과 어떻게 연동하는가? XDR 업체는 자사의 솔루션이 보안 운영 프로세스를 모두 지원할 뿐만 아니라 현재보다 우월한 대안을 제공할 수 있다는 것을 입증해야 한다.

5. 데이터 딜레마
XDR의 비전은 보안 운영의 버팀목인 SIEM(Security Information & Event Management)을 궁극적으로 대체하는 일괄 방식의 SOAPA이다. 이해는 한다. 하지만, SIEM 시스템은 데이터 관리의 수퍼스타이다. 수집기, 전달기, 인덱스기, 메시징 버스 등으로 구성된 복잡한 네트워크를 기반으로 구축됐으며 매일 수십 테라바이트 분량의 데이터를 정기적으로 수집해 처리, 분석한다. ESG 조사에 따르면, 보안 데이터 관리 활동이 많이 진행 중이며, 대기업은 이미 스트림 처리/애널리틱스와 같은 분야에 투자하고 있고 새로운 데이터 소스(더 많은 위협 인텔리전스 소스 포함)를 데이터 파이프라인에 추가하고 있다. 많은 대기업 보안 운영팀은 대부분 XDR 기술이 수 테라바이트 분량의 데이터를 처리할 수 있을 지에 대해 회의적이다. XDR 업체는 그동안 데이터 관리에 대해 별로 설득력없는 설명을 많이 했다. 이제는 좀 더 구체적으로 이야기할 필요가 있다.

6. 서드파티 통합
대형 보안 업체들이 고객에게 XDR 전체를 팔고 싶어하는 것은 이해하지만 매우 어려운 일이다. 오픈 소프트웨어 XDR 솔루션을 선택한 한 CISO는 “XDR 업체들은 내가 기존의 EDR, NDR, 그리고 SIEM을 한 업체의 제품으로 모두 교체해 해당 업체의 솔루션을 표준화할 것이라고 생각한다. 나의 문제는 모든 것을 다 하나씩 갖고 있다는 것이다. 모든 것이라 함은 EDR과 NDR은 물론 심지어 SIEM도 여러 가지 종류가 있다는 의미한다. 이 모든 부분을 교체한다는 것은 그야말로 비현실적이다”라고 말했다. 이런 상황은 매우 흔하다. 동향을 잘 읽는 XDR 업체라면 API, 커스텀 커넥터, 파트너십 등 통합 옵션을 빠짐없이 준비할 것이다. 필자는 XDR 업계 전체가 표준 상호운영방식을 수립하는 모습을 보고 싶다. 이는 필자가 2016년부터 주장했던 SOAPA 비전의 일환이기도 하다.  

7. 클라우드 가시성  
XDR 프로젝트를 어느 부분에서 시작하고 싶냐는 질문에 “클라우드 기반 워크로드 및 SaaS를 위한 위협 탐지 및 대응 기능을 갖춘 XDR 솔루션을 구현하는 방식으로” 하고 싶다고 응답한 비율이 가장 높았다(43%). 본지에서는 XDR 프로젝트가 EDR이나 NDR을 대체하는 방식으로 시작할 가능성이 높다고 생각했기 때문에 이 결과는 의외였다. 이는 무슨 의미일까? 클라우드 가시성은 여러 기업에게 두려운 사각지대이다. 이 문제를 해결하기 위해 XDR 업체들은 그들이 수집, 처리, 분석, 시각화하는 서로 다른 클라우드 데이터 일체에 대해 기꺼이 논의할 의향이 있어야 한다. 그리고 엔드투엔드, 네트워크, 서버, 서비스, 전체 하이브리드 IT 인프라에 걸친 사이버 킬 체인의 일부로 모든 클라우드 데이터를 맥락화 할 수 있어야 한다는 점도 중요하다. 

8. ID 관련성
많은 XDR 얼리 어댑터와 대화를 나눌 때 필자가 그동안 공통적으로 반복해서 들은 이야기가 있다. 바로 XDR는 사이버공격의 인간적인 요소를 놓치는 경우가 많아서 인증, 네트워크 디렉터리, IAM과의 적절한 통합이 부족하다는 것이다. 특히 이것이 해당되는 기업은 광범위하게 SaaS 애플리케이션을 사용하는 기업과 많은 개발자가 새로운 종류의 클라우드 애플리케이션 개발 도구를 열심히 사용하는 기업이다. 매우 모순된 것은 지난해 업계에서 보안 운영 신기술을 두고 논의한 것이 바로 UEBA 기술이었기 때문이다. UEBA는 사용자를 중심으로 하는 반면, XDR은 기술에 치중한다. 보안 업체들은 사용자가 두 가지 모두 필요하다고 분명히 말하고 있다는 사실에 대해 대응할 준비가 되어 있어야 한다. 

기업은 위협 탐지 및 대응 지원이 분명히 필요하며 XDR을 열린 마음으로 대할 의향이 있다. 하지만, CISO는 이 문제가 얼마나 복잡한지 잘 알고 있다. XDR 업체들은 XDR이 현재 어느 위치에 있고, 보안 운영 기술 및 프로세스에 어떻게 적용되며, 시간에 따라 어떻게 진화하는지에 대한 허심탄회한 대화를 할 준비가 되어 있는가? editor@itworld.co.kr 


CISO / SIEM / XDR / SASE
2021.04.27

글로벌 칼럼 | CISO가 XDR 업체에게 듣고 싶어하는 8가지

Jon Oltsik | CSO
RSA 컨퍼런스가 이제 한 달 내로 다가왔다. 보안 업계 내에 진행 중인 SASE(Secure Access Service Edge), XDR(eXtended Detection and Response), 그리고 제로트러스트(Zero Trust)와 관련해 부풀려진 이야기에 대비해야 할 시점이다. 
 
ⓒ Getty Images Bank

물론, 모두 혁신적이고 지극히 유망한 분야이지만 다소 부담스럽기도 하다. SASE와 제로트러스트에 대해서는 다음 주에 자세히 다룰 예정이며 이번 기고에서는 XDR에 집중하고자 한다. 

ESG 조사에 따르면, 83%의 기업이 2021년에 위협 탐지 및 대응에 지출을 늘릴 것이라고 한다. 현재의 도구와 기법이 불충분하다는 것을 분명히 인지하고 있다는 의미다. XDR은 이런 시장 수요를 적극 활용할 수 있다. 단, 전제 조건은 보안업체들이 업계에서 부풀려진 이야기를 거르고 보안 전문가와 제대로 연계할 수 있어야 한다는 점이다. XDR 업체는 기업 고객과 대화하기 전에 다음과 같은 내용을 준비해야 한다.

1. XDR의 정의 
ESG 조사에 따르면, 보안 전문가 중에서 XDR과 관련된 기술 개념에 ‘매우 정통’하다고 자신있게 말하는 비율은 24%에 불과하다. 기업 고객 가운데 3/4이 구입 대상에 대해 제대로 알지 못한다면 판매 실적이 좋을 수 없다. 여기서 문제는 XDR이 제품보다는 아키텍처에 가깝고(SOAPA(Security Operations and Analytics Platform Architecture)), 아키텍처는 제품에 비해 제대로 설명할 수 없다는 점이다. 또한, XDR은 제어 기반(EDR+NDR+기타), 관리 기반, 오픈 XDR, 소프트웨어 오버레이 등 종류가 다양하다. 그래서 솔직하고 자세한 시장 교육이 시급하다.

2. 알고리즘 공개 
XDR에 대한 핵심 가치 제안 가운데 하나는 기존의 위협 탐지 기술에 비해 분석이 우월하다는 것이다. XDR는 개별 도구로부터 텔레메트리를 수집해 처리한 후, 이 모든 데이터를 어떻게든 합쳐서 좀 더 시의 적절하고 정확하며 종합적인 위협 탐지를 해낼 수 있다고 업체들은 주장한다. 그럴 듯한 이야기이긴 하지만 비판적인 보안 전문가라면 예전에 들어봤던 이야기다(지난번 UEBA(User and Entity Behavior Analytics) 분야에서 똑같은 주장을 한 업체가 떠오른다). XDR 업체는 이론의 단계를 벗어나 데이터 과학의 영역으로 최소한 약간은 진입해야 한다. 여기서 관건은 위협 탐지 정확성이라는 명심해야 한다. 보안 운영 간소화도 중요하지만 XDR로 운영이 손쉬워지더라도 정교한 다단계 공격을 탐지해내지 못한다면 아무 소용이 없다.
 
3. 자세한 구현 지침 

제어 기반 XDR 업체에게는 매우 어려운 과제다. 통합된 보안 기술 아키텍처가 직관적으로는 타당하지만, 오늘날 많은 기업에서 사용하는 최상급 위협 탐지 및 대응 도구와 비교하면 완전히 별개의 이야기다. 사용자는 어디서부터 시작해야 할까? 시간이 지나면서 도구를 어떻게 통합할까? XDR로 처음부터 시작하지 않고 현재의 경험과 커스텀 규칙을 어떻게 유지할까? XDR 업체는 예상 기업 고객을 위한 적절한 참조 아키텍처, 사례 연구, 훈련 지침 없이는 굳이 기업 고객을 만날 생각도 말아야 한다.

4. 보안 운영 모델 설명
XDR이 무엇을 할 수 있는지에 대한 이야기는 많이 나왔지만, 보안 운영 팀이 어떻게 제품을 다뤄야 하는지에 대해 설명하는 업체는 드물다. 경보를 우선순위에 따라 어떻게 분류하는가? 우선순위 높은 경보는 어떻게 조사하는가? 대응 조치를 어떻게 자동화하는가? XDR 도구는 ITSM 시스템과 어떻게 연동하는가? XDR 업체는 자사의 솔루션이 보안 운영 프로세스를 모두 지원할 뿐만 아니라 현재보다 우월한 대안을 제공할 수 있다는 것을 입증해야 한다.

5. 데이터 딜레마
XDR의 비전은 보안 운영의 버팀목인 SIEM(Security Information & Event Management)을 궁극적으로 대체하는 일괄 방식의 SOAPA이다. 이해는 한다. 하지만, SIEM 시스템은 데이터 관리의 수퍼스타이다. 수집기, 전달기, 인덱스기, 메시징 버스 등으로 구성된 복잡한 네트워크를 기반으로 구축됐으며 매일 수십 테라바이트 분량의 데이터를 정기적으로 수집해 처리, 분석한다. ESG 조사에 따르면, 보안 데이터 관리 활동이 많이 진행 중이며, 대기업은 이미 스트림 처리/애널리틱스와 같은 분야에 투자하고 있고 새로운 데이터 소스(더 많은 위협 인텔리전스 소스 포함)를 데이터 파이프라인에 추가하고 있다. 많은 대기업 보안 운영팀은 대부분 XDR 기술이 수 테라바이트 분량의 데이터를 처리할 수 있을 지에 대해 회의적이다. XDR 업체는 그동안 데이터 관리에 대해 별로 설득력없는 설명을 많이 했다. 이제는 좀 더 구체적으로 이야기할 필요가 있다.

6. 서드파티 통합
대형 보안 업체들이 고객에게 XDR 전체를 팔고 싶어하는 것은 이해하지만 매우 어려운 일이다. 오픈 소프트웨어 XDR 솔루션을 선택한 한 CISO는 “XDR 업체들은 내가 기존의 EDR, NDR, 그리고 SIEM을 한 업체의 제품으로 모두 교체해 해당 업체의 솔루션을 표준화할 것이라고 생각한다. 나의 문제는 모든 것을 다 하나씩 갖고 있다는 것이다. 모든 것이라 함은 EDR과 NDR은 물론 심지어 SIEM도 여러 가지 종류가 있다는 의미한다. 이 모든 부분을 교체한다는 것은 그야말로 비현실적이다”라고 말했다. 이런 상황은 매우 흔하다. 동향을 잘 읽는 XDR 업체라면 API, 커스텀 커넥터, 파트너십 등 통합 옵션을 빠짐없이 준비할 것이다. 필자는 XDR 업계 전체가 표준 상호운영방식을 수립하는 모습을 보고 싶다. 이는 필자가 2016년부터 주장했던 SOAPA 비전의 일환이기도 하다.  

7. 클라우드 가시성  
XDR 프로젝트를 어느 부분에서 시작하고 싶냐는 질문에 “클라우드 기반 워크로드 및 SaaS를 위한 위협 탐지 및 대응 기능을 갖춘 XDR 솔루션을 구현하는 방식으로” 하고 싶다고 응답한 비율이 가장 높았다(43%). 본지에서는 XDR 프로젝트가 EDR이나 NDR을 대체하는 방식으로 시작할 가능성이 높다고 생각했기 때문에 이 결과는 의외였다. 이는 무슨 의미일까? 클라우드 가시성은 여러 기업에게 두려운 사각지대이다. 이 문제를 해결하기 위해 XDR 업체들은 그들이 수집, 처리, 분석, 시각화하는 서로 다른 클라우드 데이터 일체에 대해 기꺼이 논의할 의향이 있어야 한다. 그리고 엔드투엔드, 네트워크, 서버, 서비스, 전체 하이브리드 IT 인프라에 걸친 사이버 킬 체인의 일부로 모든 클라우드 데이터를 맥락화 할 수 있어야 한다는 점도 중요하다. 

8. ID 관련성
많은 XDR 얼리 어댑터와 대화를 나눌 때 필자가 그동안 공통적으로 반복해서 들은 이야기가 있다. 바로 XDR는 사이버공격의 인간적인 요소를 놓치는 경우가 많아서 인증, 네트워크 디렉터리, IAM과의 적절한 통합이 부족하다는 것이다. 특히 이것이 해당되는 기업은 광범위하게 SaaS 애플리케이션을 사용하는 기업과 많은 개발자가 새로운 종류의 클라우드 애플리케이션 개발 도구를 열심히 사용하는 기업이다. 매우 모순된 것은 지난해 업계에서 보안 운영 신기술을 두고 논의한 것이 바로 UEBA 기술이었기 때문이다. UEBA는 사용자를 중심으로 하는 반면, XDR은 기술에 치중한다. 보안 업체들은 사용자가 두 가지 모두 필요하다고 분명히 말하고 있다는 사실에 대해 대응할 준비가 되어 있어야 한다. 

기업은 위협 탐지 및 대응 지원이 분명히 필요하며 XDR을 열린 마음으로 대할 의향이 있다. 하지만, CISO는 이 문제가 얼마나 복잡한지 잘 알고 있다. XDR 업체들은 XDR이 현재 어느 위치에 있고, 보안 운영 기술 및 프로세스에 어떻게 적용되며, 시간에 따라 어떻게 진화하는지에 대한 허심탄회한 대화를 할 준비가 되어 있는가? editor@itworld.co.kr 


CISO / SIEM / XDR / SASE
X