XDR이 현대 SOC(Security Operations Center)에 미치는 영향에 대한 ESG 연구에 따르면, 첨단 사이버위협 탐지의 개선은 기업 보안 운영의 최우선 과제이며, 기업의 83%가 향후 12~18개월 동안 위협 탐지 및 대응 관련 지출을 늘릴 계획이다. 이는 놀랄 일이 아니다. 위협 탐지 및 대응은 항상 기업 보안의 최우선 순위였다.
불행히도 데이터는 다른 일면을 보여준다.
지난 몇 년 동안 사이버보안 기술에 수백만 달러를 투자했음에도 불구하고 대부분의 기업은 여전히 적절한 시간 내에 사이버 공격을 탐지하거나 대응할 수 없다. 오히려 상황이 악화되고 있다고 말해도 무방하다.
더 나은 보안의 필요성을 인식한 보안 업계는 XDR(eXtended Detection and Response)을 제안하고 있다. 필자는 지난해 6월 XDR에 대한 블로그를 게시해 용어를 정의하고, 시장이 어떻게 발전할 것인지에 대해 예상한 바 있다. 당시 예상했던 것처럼 XDR 혁신은 꾸준히 진행되어 왔으며, 올해에는 공급 측면에서 많은 일이 있을 것이라 기대한다.
분명히 XDR은 만병통치약이 아닌 새로운 기술이다. 그럼에도 불구하고 XDR에 대한 많은 업계 혁신과 투자가 이뤄지고 있다. XDR은 기업이 보안 분석 효율성을 강화하고, 보안 운영을 간소화하며, 긴밀하게 통합된 보안 운영 및 분석 플랫폼 아키텍처(Security Operations and Analytics Platform Architecture, SOAPA)로 SOC를 안정화하는 데 도움을 줄 수 있다.
이런 잠재력을 감안할 때, 기업은 2021년 XDR에 대한 계획을 수립해야 한다. 필자는 CISO에게 다음과 같은 5단계를 수행할 것을 제안한다.
- 많은 선행 연구를 통해 광범위한 네트워크를 구성한다
보안 전문가의 24%만이 XDR에 대해 “매우 친숙하다”라고 말했는데, 이는 새로운 기술과 많은 혼란스러운 마케팅 때문이다. 이런 지식 격차를 감안할 때, 기업에서 가장 먼저해야 할 일은 모든 유형의 XDR에 대해 학습하는 것이다. XDR은 플랫폼 기반(분석 및 제어 평면을 포함한 다중 제어), 소프트웨어 전용(즉, 기존 제어 위에 소프트웨어 계층), 개방형 XDR 등으로 나눌 수 있다.
이는 SOC 팀이 XDR이 기존 도구 및 프로세스를 보완하거나 대체할 수 있는 전략을 결정하는데 도움이 될 것이다. 보안 공급업체들은 XDR을 통합 아키텍처로, EDR, NDR 또는 보안 분석 기술의 향후 전략으로 내세울 가능성이 높다. 시장 초기 단계에서 CISO는 전략적 보안 기술 파트너를 초대해 보안 팀에 XDR을 교육하고 제품 로드맵을 파악해야 한다. 이를 통해 팀의 속도를 높이고 XDR 전략을 수립하는 데 도움이 될 것이다.
- 기업의 약점과 사각 지대를 식별한다
또 다른 위협 탐지 및 대응 기술을 사용하기 전에 기존 도구와 프로세스를 조사해 작동 여부를 확인하는 것이 좋다. SOC 팀이 EDR, NDR, 및 SIEM을 완전히 활용하고 있는가? 아니면 기술 또는 리소스 격차가 있는가? 기술과 관련이 없는 위협에 대한 평균 탐지 시간/평균 대응 시간을 늦추는 프로세스 병목 현상이 있는가?
이런 질문 사항 가운데 하나가 사실이라면 SOAR(Security Orchestration, Automation, and Response)과 전문 서비스가 다른 분석 도구보다 더 합리적일 수 있다. 현대의 사이버 위협은 네트워크를 통해 측면으로 이동하기 때문에 보안 모니터링과 관련해 기업에 약점이나 사각 지대가 있는지 조사할 필요도 있다.
예를 들어, ESG 보고서에서는 퍼블릭 클라우드 인프라와 관련된 보안 모니터링 약점을 지적했다. 이와 같은 경우, XDR은 클라우드 보안 가시성을 개선하고 클라우드 보안 분석을 기존 EDR, NDR, 위협 인텔리전스 등과 통합해 시작해야 한다.
- 프로젝트 계획을 위한 시작점을 선택한다
XDR은 제품이 아닌 아키텍처이므로, XDR을 완전히 배포하고 구성하는 데 몇 년이 걸릴 수 있다. 하지만, 어디선가부터 시작해야 한다. ESG의 SOC 설문조사에서 응답자의 43%가 클라우드 기반 워크로드 및 SaaS에 대한 위협 탐지 및 대응 기능을 갖춘 XDR 솔루션을 구현해 프로젝트를 시작할 것이라고 답한 것은 놀라운 일이 아니다.
합리적인 시작점이긴 하지만 XDR 기술은 전술적 범위에서 전략적으로 발전할 수 있다. 기업이 XDR 구축을 시작하는 위치에 관계없이 보안 팀은 XDR 및 프로젝트 효과를 측정하는데 사용할 일련의 매트릭을 정의하고 통합 지점을 파악해야 한다.
- XDR을 사용해 보안 운영 모범 사례를 설정한다
많은 기업에서 보안 작업은 무질서하고 많은 수작업 프로세스와 지속적인 예방 활동을 특징으로 한다. 일부 SOC 팀은 SOAR을 사용해 이런 혼란을 해결하지만 SOAR 플랫폼은 플레이북과 코드 조정 루틴을 작성하기 위한 직원 리소스와 기술이 필요하다. XDR은 대부분의 기업에 적합한 많은 공통 보안 프로세스를 ‘캐닝(canning)’해 리소스와 기술이 부족한 기업의 SOAR 역할을 한다.
일부 XDR 플랫폼은 기업이 MITRE ATT&CK 프레임워크를 운영하는데 큰 도움이 될 수 있다. XDR 솔루션을 선택할 때 CISO는 각 공급업체가 보안 운영 모범 사례를 지원하고 촉진하는 방법과 기업이 이런 변화에 얼마나 잘 적응할 수 있는지를 평가해야 한다.
- IT 운영팀을 참여시킨다
사고 대응에는 보안 팀과 IT 팀 간의 강력한 협업과 협력이 필요하다. 팀의 노력을 지원하고 개선하기 위해 XDR 플랫폼은 기존 프로세스 전환에 적응하고 서비스나우(ServiceNow), 지라(Jira), 마이크로소프트 OMS(Microsoft Operations Management Suite) 등과 같은 기존 보안 운영 도구와 통합해야 한다. 즉, XDR 프로젝트는 기존 데이터 분석, 사례 관리, 사고 우선 순위 지정 및 완화 노력을 방해하지 않는 선에서 개선해야 한다.
사이버보안은 반짝이는 물체 증후군(shiny object syndrome)에 고통받는 경향이 있다. 새로운 기술이 등장하고 업계는 열광한다. 안타깝게도 기업이 이런 새로운 도구를 사용하는 경우, 기술을 완전히 익히거나 최대 효과를 얻기 위해서는 보안 작업을 수정하는 데 시간을 할애해야 하지만, 그렇지 않은 경우가 많다.
XDR은 완전히 배포하는 데 수개월 또는 수년이 걸리는 아키텍처로, 기업에게는 바르게 구현할 수 있는 시간이 필요하다. XDR을 공식 프로젝트와 향후 미래 전략으로 구축하면 사이버보안의 힘을 배가시킬 수 있다. editor@itworld.co.kr