보안 산업 동향

XDR이 보안 운영 센터(SOC)에 끼치는 영향 - 보안 분석가의 귀중 한 시간을 대응에 더 많이 쓸 수 있게 한다!

보안 분석가와 이들이 몸담고 있는 SOC 부서에 주어진 자원은 한정되어 있습니다. 시간, 인력, 도구같이 주어진 자원을 어떻게 더 잘 쓸 것인가? 여기서 SOC 운영 효율이 판가름됩니다. 관련해 이번 포스팅에서는 최근 많은 조직의 보안 투자 우선순위 목록에 이름을 올린 XDR(eXtended Detection and Response)이 SOC 운영에 어떤 긍정적 영향을 끼치는지 그리고 XDR을 고를 때 유의할 점은 무엇인지 살펴보겠습니다.

XDR이란 무엇?

XDR은 보안 관련 제어 포인트, 데이터, 분석, 운영을 단일 플랫폼에 통합한 솔루션입니다. 보통 시장에 나와 있는 XDR은 엔드포인트, 네트워크, 서버, 클라우드 등 다양한 대상과 위치에 배포한 센서를 통해 원격 측정을 하고, 이렇게 수집한 데이터를 분석해 여기저기서 올라오는 얼럿(alert)의 우선순위를 정하여 더 빠른 대응을 지원합니다. XDR은 최근 기업의 컴퓨팅 환경이 DMZ 경계 밖으로 빠르게 확장하면서 주목받고 있습니다. 최종 사용자를 위한 엔드포인트는 코로나19 시대를 맞아 더욱 빠른 속도로 모빌리티가 강화되고 있고, 중요 업무 시스템을 클라우드로 이전하는 속도도 빨라지고 있다 보니 자연스럽게 그 수요가 커지고 있는 것입니다.

XDR은 라진 엔터프라이즈 컴퓨팅 환경에 발맞춰 SOC는 탐지와 대응 범위를 확장하는 데 있어 매우 요긴하게 쓰입니다. 이런 이유로 많은 조직이 도입을 서두르고 있습니다. 이런 트렌드는 IT 시장 조사 기관인 ESG(Enterprise Strategy Group)가 발표한 보고서에 잘 나타나 있습니다.

ESG가 최근 실시한 설문 조사에 따르면 응답자 중 70%가 이미 XDR을 사용 중이거나 향후 6개월 내에 도입을 고려 중이라고 합니다. XDR을 이용 중인 조직이 느끼는 효과는 무엇일까요? 80%의 응답자가 XDR로 보안 분석 작업이 개선될 것으로 보고 있고, 40%가 XDR로 얼럿 우선순위를 정하는 것이 훨씬 수월할 것이라 믿고 있는 것으로 조사되었습니다.

네, 보안 분석가들은 XDR이 우선순위에 따라 얼럿을 살펴 각종 이벤트에 더 쉽게 대응하는 데 도움을 줄 것이라 기대하고 있습니다. ESG 보고서에 담긴 상세 내용은 ESG 보고서를 참조 바랍니다.

장기적 관점에서 XDR의 가치를 높이려면? 명확한 도입 기준이 필요

그렇다면 보안 팀을 운영하는 조직의 MUST HAVE 도구로 자리 잡고 있는 XDR을 도입할 때 어떤 점을 유의해야 할까요? XDR은 포인트 솔루션이 아니라 '유연한 통합'을 전제로 한 플랫폼의 성격을 띱니다. 따라서 단편적인 기능보다는 장기적 안목에서 조직의 보안 운영 센터 전략에 맞는 것을 도입할 수 있는 명확한 기준이 필요합니다. 보편적인 기준을 제시하자면 다음과 같습니다.

  1. 종속 걱정 없는 솔루션: ​XDR을 통해 보안 운영을 간소화하는 것은 환영할 만한 일입니다. 하지만 이를 위해 단일 업체로부터 보안 제어와 센서(네트워크, 엔드포인트, 클라우드 등)를 모두 도입해야 한다면? 이런 식의 접근은 특정 솔루션에 종속될 우려가 있습니다. 따라서 최신 기술과 솔루션을 자유롭게 선택하는 가운데 XDR 기반의 탐지와 대응 역량을 개선해 나아갈 수 있어야 합니다.
  2. 머신 기반의 상관관계 분석 및 탐지 역량 제공: 사람이 얼럿, 네트워크 이벤트, 계정 서비스, 취약성 스캔 데이터 등을 일일이 살펴 상관관계를 분석해 오탐과 실제 위협을 정확하게 구분하는 것은 불가능에 가깝습니다. 이런 작업은 머신에게 맡기는 것이 맞습니다. 머신은 대규모 데이터 세트를 샅샅이 뒤져가며 사람보다 빠르고 정확하게 패턴을 찾아냅니다. 상관관계 분석을 머신이 처리하면 보안 분석가가 각종 모니터링 화면 앞에서 보내는 시간을 줄일 수 있습니다. 이렇게 절약한 시간은 오롯이 사고 대응에 쏟아부을 수 있습니다. 더불어 교대 근무를 해가며 사람이 직접 화면을 응시할 필요 없이 머신 기반 탐지를 통해 24x7 탐지 체제를 가동할 수도 있습니다.
  3. 사전 구축된 데이터 모델 제공: SIEM이나 SOAR 플랫폼에서 사용자 지정 규칙, 컨텐츠, 코드를 작성하는 것을 즐기는 보안 전문가는 아마 없을 것입니다. 적시에 위협 인텔리전스를 통합하는 복잡한 대응 모델을 누군가 대신 마련해 준다면? 보안 담당자의 시간을 줄이고, 보안 팀 측면에서 비용을 낮추고 효율을 높일 수 있습니다.
  4. 다양한 SIEM, SOAR, 케이스 관리 도구와 유연한 통합: XDR은 연관 솔루션과 큰 시너지 효과를 가져오는 특징이 있습니다. 따라서 SIEM, SOAR, 케이스 관리 도구와 유연한 통합 지원은 기본 중 기본입니다. 긴밀한 통합이 이루어지려면 자동화된 케이스 생성, 시간이 지남에 따라 새로운 이벤트를 추가하고 이를 케이스에 포함하는 것 그리고 탐지 모델 개선을 위해 SOAR에서 XDR로 피드백을 제공하는 등의 기능이 지원되어야 합니다.

이상으로 XDR을 바라보는 현업 보안 분석가의 시각 그리고 XDR 도입 시 고려해야 할 사항을 간단히 알아보았습니다. 더 자세한 사항은 파이어아이로 문의 바랍니다.