보안

블로그 | XDR은 보안 과정이지 고정된 개념이 아니다

Jon Oltsik | CSO 2022.11.18
보안 업계에서는 수년간 확장 탐지 및 대응(Extended Detection and Response, XDR)에 대한 논의를 진행했다. 하지만 정작 XDR이 정확히 무엇인지 그 정의도 통합되지 않았다. 어쩌면 이제 XDR를 한 가지로 정의하는 데 힘을 쏟는 대신, 보안 운영 센터 현대화 전략에 XDR을 어떻게 활용할지 먼저 생각해야 할 것 같다. 
 
ⓒ Getty Images Bank

많은 전문가가 비슷하게 생각한다. IT 시장 분석 전략 기획 업체 ESG(Enterprise Strategy Group)이 실시한 조사에 따르면 보안 전문가의 62%가 XDR이라는 용어에 대해 "매우 친숙하다"고 답했다. 2020년 24%에 불과했던 것에 비해 눈에 띄게 증가한 수치다. 

그러나 여전히 29%가 XDR에 대해 잘 알지 못하거나 전혀 알지 못한다고 답했다. 따라서 지난 몇 년 동안 업계에서 큰 화두로 떠올랐으며 RSA 컨퍼런스에서의 널리 보도됐음에도 거의 5명 중 1명의 보안 전문가가 XDR를 명확히 모른다. 
 

기본 정의도 중구난방 

인포섹 전문가 XDR이라는 개념을 각자 다르게 해석하는 것으로 드러났다. XDR에 대해 "매우 친숙하다"고 주장하는 사람들의 대다수(62%)는 XDR이 엔드포인트 감지 및 대응(Endpoint Detection and Response, EDR) 기술의 확장이라고 답변했지만, 21%는 XDR이 특정 공급업체가 마케팅하는 솔루션의 이름이라고 생각했다. 또한 16%는 XDR이 통합된 이기종 보안 기술 아키텍처라고 주장했다(여담으로 XDR이라는 개념에 대해 "매우 친숙함"을 꼽은 사람 중 1%가 개념의 정의를 묻는 말에 "모른다"라고 답변하기도 했다) 즉, "매우 친숙함"하다고 답변한 사람 중에서도 친숙함의 개념이 상대적이다. 각자가 정의하는 XDR 개념에 친숙한 것이다. 

잠재적인 보안 솔루션 배치 모델을 검토할 상황은 더 혼란스러워진다. XDR에 대해 "매우 친숙하다"라고 주장하는 사람 중 61%는 XDR이 기존 보안 기술을 보완하리라 생각했으며, 37%는 XDR이 보안 기술을 공통 플랫폼으로 통합하는 데 도움이 되리라 말했다. 

XDR에 대해 "어느 정도"만 알고 있는 보안 전문가들을 대상으로 조사했을 때는 58%가 XDR이 기존 보안 기술을 보완하리라 생각했지만, 37%는 XDR이 보안 기술을 공통 플랫폼으로 통합하는 데 도움이 되리라 말했다. 이 결과 XDR이 현재의 기술을 보완하고 통합할 가능성이 높다는 결론을 내릴 수 있지만, 어떤 기술이 보완되고, 어떤 기간에 통합될 것인지에 대한 의문이 남는다.

ESG는 또한 XDR의 정의와 의견이 기업 규모에 따라 달라진다는 점을 발견했다. 직원 수가 10,000명 이상인 조직에서 근무하는 보안 전문가에게 XDR의 정의를 물어본 결과 34%가 XDR이 EDR 기술의 확장이라고 답했으며, 24%는 XDR이 특정 업체의 솔루션명이라고 생각했다. 41%는 XDR이 통합된 이기종 보안 기술 아키텍처라고 주장했다. 대기업은 이미 많은 툴과 기술을 보유하고 있고 기존 투자를 "폐기 및 대체(rip and replace)"하려고 하지 않기 때문에 XDR을 아키텍처로 생각했을 것이다. 그들은 용해제가 아닌 접착제를 원한다.
 

정의보다 과정에 집중하라 

보안 산업 분석가로서 필자는 이 난제를 더 명확하게 설명하고자 한다. 일단 XDR에 대한 엄격한 정의는 없다. 일부 XDR 제품은 이메일 보안 기술에서 데이터를 수집하고, 일부 제품은 ASM(Attack Surface Management, 공격 표면 관리)과 같은 툴에서 사이버 위험 원격 측정을 포함하며, 일부 제품은 EDR 기술을 기반으로 구축되며, 일부 제품은 SIEM의 결과물이다. 업계의 논쟁과 독단에도 불구하고 보안 전문가들은 자사의 요구 사항에 맞게 XDR에 접근해야 한다.

정의는 별로 중요하지 않다. 브루스 슈나이어가 수년 전에 썼듯이, 보안은 과정이지 제품이 아니다. 따라서, XDR의 정의에 관한 논쟁은 역효과를 낳는다. XDR이 어떤 보안 솔루션 분야에 속하는지 파악하는 대신, 기업에 달성하고자 하는 결과에 집중해야 한다. 

ESG 조사에 따르면 36%의 응답자가 XDR을 활용해 하이브리드 IT 전반에 걸쳐 위협 감지 기능을 확장하고 강화하기를, 33%가 보안 경고의 충실도와 우선순위를 개선하기를, 29%는 XDR이 중앙 보안 운영 허브 역할을 하기를, 25%는 XDR이 알려지지 않은 위협을 탐지하는 데 도움을 주기를 기대한다. XDR에 대한 논의는 철저히 이런 문제를 해결하는 수단으로 여겨져야 한다. 

XDR은 더 깊은 문제를 드러낸다. 기업 85%가 향후 12개월에서 18개월 동안 위협 탐지 및 대응 기술에 대한 지출을 늘릴 계획이다. 이는 오늘날 기업들이 사용하는 도구와 기술이 불충분하다는 것을 의미한다. 사용하기가 너무 어렵거나 확장에 한계가 있기 때문이다. 기업이 어떻게 활용하느냐에 따라 XDR은 이 혼란을 가중시킬 수도 있고, 문제를 해결하는 데 도움이 될 수도 있다. 

산업이 XDR에 열광하는 동안, 다행이도 CISO는 전문가답게 본질을 놓치지 않았다. 필자가 CISO와 위협 탐지 및 대응에 대해 이야기하면, SOC(보안 운영 센터) 현대화로 대화를 유도한다. CISO는 ‘여기서 XDR이 어떤 역할을 할 수 있을까?’와 같은 질문을 던진다. 이렇듯 학술적으로 XDR의 정의가 뭔지 논쟁하는 대신 SOC에 확장성, 인텔리전스, 분석 및 자동화를 추가할 방법을 모색하는 자세를 갖춰야 바람직하다. 

*필자 Jon Oltsik은 ESG 수석 분석가이자 회사의 사이버 보안 서비스 창립자다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.