가트너(Gartner)에 따르면 XDR(Extended Detection and Response)은 “여러 보안 제품을 통합해 보안 시스템을 운영하는 SaaS(Software as a Service) 기반의 위협 탐지 및 인시던트 대응 도구”를 의미합니다. Forrester Research의 경우, XDR을 “실시간 위협 탐지, 조사, 대응이 가능한 진화된 EDR(Endpoint Detection and Response)로, 엔드포인트를 통합 탐지하며 보안팀에 유연성, 확장성, 및 자동화를 제공하는 클라우드 네이티브 플랫폼”으로 좀 더 광범위하게 정의합니다.
이처럼 XDR의 정의는 다양하지만 공통된 사실은 XDR을 통해 보안 운영센터 역량 강화하고 사이버 위협으로부터 조직을 보호해야 한다는 것입니다.
XDR의 가장 일반적인 정의는‘EDR의 확장’입니다. 최근 많은 SOC(Security Operation Center) 팀은 EDR 솔루션 또는 MDR(Managed Detection and Response)을 활용하여 보안을 더욱 강화하고 있으며, XDR은 끊임없이 확장되고 있는 공격을 효과적으로 보호하는 솔루션을 제공합니다.
XDR은 탐지 및 대응의 확장을 의미하는데, Office 365 및 Google Workspace와 같은 비즈니스 소프트웨어부터 자격 증명(identity), 클라우드 환경, 네트워크 전반의 IoT/OT 장치까지 범위를 넓혀 통합적으로 보호합니다. 즉, 조직은 XDR을 통해 전체적인 보안 상태를 파악할 수 있습니다.
XDR 전략은 각 조직에 따라 차이가 있지만, 효과적인 전략을 수립하려면 몇 가지 요건을 충족해야 합니다. XDR을 어디서부터 시작해야 할지 고민 중인 보안 실무자라면 성공적인 XDR 전략에 필요한 7가지 기본 요소를 알고 있어야 합니다.
[핵심 요약]
XDR 솔루션 도입할 때는 가시성, 공격 데이터 수집, 분석, 자동화된 대응, 연동성, 탐지 기능을 고려해야 합니다. 효과적인 XDR은 포괄적으로 공격 상황을 모니터링해 공격 패턴을 분석하고, 고도화된 탐지 기능을 통해 알려지지 않은 공격까지 예방합니다.
1. 포괄적인 가시성 (Comprehensive visibility)
XDR 전략의 첫 번째 기본 요소는 ‘관련된 모든 시스템과 네트워크를 탐지하는 가시성’입니다. 내부 시스템뿐만 아니라 클라우드 시스템, 엔드포인트, 서버 및 네트워크 트래픽까지 탐지가 가능해야 보안 사고를 감지하고 대응할 수 있기 때문입니다. 포괄적인 가시성을 갖춘 XDR 플랫폼 내에서는 원격 엔드포인트, 모바일 장치, 클라우드 플랫폼 및 애플리케이션의 상관관계 파악이 가능해 공격을 예측하고 사전 방지 및 종료할 수 있습니다.
2. 위협 인텔리전스(Threat Intelligence)
XDR은 다양한 위협 인텔리전스를 수집하고 자동화할 수 있어야 합니다. 종종 위협이 누락되는 경우가 발생하는데, XDR은 능동 탐지, 인텔리전스 보고서, 맞춤형 탐지 및 심층 지원 등 단계적으로 방어하여 최근 발생한 위협의 공격 여부를 정확히 판단해야 합니다.
3. 분석 및 자동화(Analytics and Automation)
XDR 솔루션은 공격 패턴을 식별하고 잠재적인 위협까지 탐지할 수 있어야 합니다. 표면적으로 문제가 없어 보이는 이벤트에서도 위협은 발생할 수 있으며, 효과적인 XDR은 각 이벤트의 상관관계를 모니터링하여 악의적인 동작을 탐지하고 이를 사전 방지하거나 차단합니다.
특히 랜섬웨어와 같은 위협에 대해서는 즉시 위험을 차단할 수 있어야 하며, 더 고도화된 XDR은 다음 공격 단계를 예측하고, 사전에 위험을 방지합니다.
4. 경고 알림과 인시던트 우선순위화(Alert and Incident prioritization)
XDR 솔루션은 더 이상 경고 중심의 보안이 아닌 운영 중심의 보안을 제공 해야 합니다. 공격 원인부터 관련 엔드포인트까지 즉시 시각화하고 공격 데이터를 실시간 처리하여 대응 시간을 단축할 수 있기 때문입니다. 또한, 운영 중심의 보안은 공격과 사용자, 장치, ID 및 네트워크 연결 등 개별 이벤트들의 상관관계 파악이 가능해 불필요한 경고 알림을 감소시키고 악의적인 움직임을 집중적으로 해결할 수 있습니다.
공격 원인부터 관련 엔드포인트까지 즉시 시각화하고 공격 데이터를 실시간 처리하여 대응 시간을 단축할 수 있기 때문입니다. 또한, 운영 중심의 보안은 공격과 사용자, 장치, ID 및 네트워크 연결 등 개별 이벤트들의 상관관계 파악이 가능해 불필요한 경고 알림을 감소시키고 악의적인 움직임을 집중적으로 해결할 수 있습니다.
5. 자동 대응(Automated response)
효과적인 XDR 솔루션은 각 공격 상황에 맞는 단계적 대응 프레임워크를 제공합니다. 이를 통해 랜섬웨어와 같은 악명 높은 위협을 자동으로 차단할 수 있고, ID 및 네트워크에서 공격에 대해 직접 대응 및 조치할 수 있기 때문입니다.
단계적 대응 프레임워크가 구현되면, 보안 실무자는 단 한 번의 클릭으로 시스템 격리, 프로세스 중단, 원격 셸 열기 등의 조치를 취할 수 있습니다.
6. 연동(Integration)
보안 실무자는 XDR 솔루션을 평가할 때 다른 보안 솔루션과 원활한 연동이 가능하지 확인해야 합니다. 비즈니스와 관련된 워크스페이스, ID, 클라우드 및 네트워크 전반에 걸쳐 동일한 보안 수준을 유지해야 합니다.
7. 미래 대비(Future ready)
XDR 솔루션은 침해지표(IOCs, Indicators of Compromise) 및 행동지표(IOBs, Indicators of Behavior)를 활용해 이전에 보지 못했던 위협까지도 조기 탐지해야 합니다.
인텔리전스 기반 위협 차단과 차세대 안티바이러스(NGAV) 기반 동작 및 머신러닝 기술을 활용한 XDR 플랫폼은 알려지지 않은 위협도 탐지하고 예방할 수 있습니다. 즉, 미래의 어떠한 공격도 사전 예방할 수 있음을 의미합니다.
이 모든 요구 사항을 충족하는 사이버리즌 XDR 솔루션이 궁금하신가요?
두산디지털이노베이션(DDI)에 문의해 자세히 알아보세요!