보안

IDG 블로그 | XDR이 SOC 현대화에 기여할 가능성에 대한 단상

Jon Oltsik | CSO 2021.11.26
지난 2020년 필자가 처음 XDR(Extended Detection and Response)에 대한 글을 쓰기 시작한 이후, XDR은 분명히 많은 발전을 이뤘다.
 
ⓒ Getty Images Bank

가장 눈에 띄는 변화는 EDR(Endpoint Detection Response) 솔루션 외에 XDR을 제공하는 업체가 늘었다는 점이다. 이제 XDR은 CASB(Cloud Access Security Brokers), SaaS 앱, IAM 시스템 같은 곳에서 더 많은 데이터 자원을 수집하고, 가공하고, 텔레메트리(telemetry)를 분석한다.

‘XDR 연합’도 최소 3곳 이상 생겼다. 크라우드스트라이크(CrowdStrike)를 필두로 한 크라우드XDR 연합(CrowdXDR Alliance)이 있으며, 엑사빔(Exabeam)과 엑스트라홉(Extrahop), 마임캐스트(Mimecast), 넷스코프(Netskope), 센티넬원(SentinelOne)이 참여하는 XDR 연합(The XDR Alliance)도 있다. 나머지 한 곳은 IBM와 맥아피가 참여하는 OCA(Open Cybersecurity Alliance)다.

그렇다. 오늘날 XDR은 기능과 특성을 확장하며 성장하고 있다. 분명 훌륭한 시작이지만, 일부 업체는 XDR이 SIEM(Security Information and Event Management)이나 SOAR(Security Orchestration, Automation, and Response), TIP(Threat Intelligence Platforms) 같은 기본 기술의 역할을 축소하며 보안운영센터(Security Operations Center, SOC)의 모든 것을 아우를 수 있다고 믿는다. 많은 기업이 더 많은 인텔리전스와 자동화 워크플로우, 분석 프로세스용 의사결정 지원으로 SOC를 현대화하고자 하기 때문이다.

따라서, 모든 사람이 XDR에 대해 이야기하고 있지만 같은 이야기를 하는 사람은 아무도 없다. IT 컨설팅 업체 ESG는 XDR을 “위협 방지, 탐지, 대응의 상호 운용과 조직화를 위해 설계된 하이브리드 IT 아키텍처에 걸친 통합된 보안 제품 묶음으로, 컨트롤 포인트와 보안 원격 측정, 분석, 운영을 단일 엔터프라이즈 시스템에 통합한다”라고 정의했다.


XDR과 SOC 현대화의 연관성

ESG가 기업 보안 전문가 339명을 대상으로 SOC 현대화에서 XDR의 역할에 대해 물었다. 설문조사 결과는 다음과 같다. 
 
  • 보안 전문가 58%는 XDR이 현재의 보안 분석 역량을 높이고, 개선하고, 종합하는 방법으로 SOC 현대화에 기여할 것이라고 답했다. 이는 사이버 킬 체인 전반에 걸친 데이터 분석으로 고품질 경보를 제공하는 XDR의 주요 목적이기도 하다. 경보 분류와 같은 티어1 분석 작업을 자동화해 SOC를 현대화할 수 있고, SOC의 효율성과 애널리스트의 생산성도 향상할 수 있다.
 
  • 보안 전문가 55%가 XDR이 보안 프로세스 자동화를 위해 SOAR을 통합함으로써 SOC를 현대화할 것이라고 답했다. 이 전망은 분명하지 않다. XDR 시스템은 바이러스 토탈 같은 무료 바이러스 검사 홈페이지와 파일 해시를 매칭하는 간단한 작업 자동화를 코드화하는 반면, SOAR은 엔드 투 엔드 프로세스를 자동화하기 때문이다. 심지어 SOAR는 ITSM 시스템과 통합되기도 한다. ITSM과 SOAR 솔루션을 제공하는 서비스나우가 대표적이다. 즉, XDR과 SOAR은 현재 서로 느슨하게 결합되어 있으며, 필자는 이런 결합이 바뀔 것이라고 생각하지 않는다. SOAR 지원 없이 기본 업무 자동화를 수행하는 것이 최고의 XDR 시스템이 될 것이다.
 
  • 보안 전문가 37%는 XDR이 데이터 레이크(Data Lake) 역할을 함으로써 SOC를 현대화할 수 있다고 예상했다. 가능성 있는 의견이다. 크라우드스트라이크가 휴미오(Humio)를, 센티넬원이 스케일러(Scalyr)을 인수한 것도 이런 이유에서다. 휴미오와 스케일러 모두 클라우드 기반 빅데이터 분석 엔진 업체다. 여전히 많은 기업이 SIEM을 데이터 레이크로 활용하고 있으며, SIEM 솔루션 업체 대부분이 클라우드 기반이다. 크로니클(Chronicle)이나 데보(Devo) 같은 플랫폼은 적극적인 위협 탐지와 조사를 위해 외부 데이터를 불러오기도 한다. 따라서 XDR은 데이터 레이크보다는 데이터 스트림(Data Stream)에 가까울 수 있다. 

필자의 비견으로 봤을 때, 현재 대형 업체는 XDR 기술 도입과 SOC 현대화라는 별도의 작업을 동시에 진행할 뿐이다. XDR은 포인트 툴을 통합하면서 위협 감지 효율성을 개선하는 기술이고, SOC 현대화는 마이터가 개발한 ATT&CK 프레임워크에 따라 분석 워크플로우와 엔드 투 엔트 프로세스 자동화를 통합하는 코드로서의 위협 탐지(Detections as Code)에 관한 것이다.

XDR가 SOC의 현대화에 기여할 것임은 확실하다. 하지만 XDR 솔루션 업체는 이미 고급 분석 기술 개발과 신규 데이터 리소스 수용, 업무 자동화, 직관적인 사용법 구현 작업을 하느라 분주하다. 적어도 앞으로 몇 년 동안은 이런 개발 업무에 집중하는 XDR 업체가 성공을 거둘 것으로 예상한다. editor@itworld.co.kr
 
 Tags XDR SOC

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.