모두가 알다시피 2024년에서 2025년으로 넘어오는 동안 많은 일이 있었다. 국내에는 계엄 이슈가 가장 컸었고, 미국에서는 트럼프의 당선으로 많은 것이 변화되고 있다. 이러한 상황에서 IT와 보안환경의 변화 역시 많은 부분이 변화되고 있다. ChatGPT(챗지피티)를 포함하여 AI가 일상생활로 녹아 들었고, 이는 IT 환경에도 많은 변화를 가져오게 되었으며, 이는 필수 불가결하게 보안과 관련한 이슈로 이어지게 되었다.

이러한 상황에서 국내 보안환경의 변화는 기술부분, 정책부분, 시장부분으로 볼 수 있을 듯하다. 기술 부분에서는 AI보안과 XDR(eXtended Detection and Response)을 꼽아 볼 수 있겠다. AI보안은 ‘AI를 보안에 어떻게 활용할 것인지 vs AI를 통한 공격을 어떻게 막을 것인지’, XDR은 ‘통합보안에서의 XDR’이 화두가 되고 있다.

정책 부분에서는 제로트러스트와 N2SF(국가 망 보안체계, National Network Security Framework)를 꼽아볼 수 있겠다. 제로트러스트 환경과 N2SF에서는 ‘변화하는 환경에서 어떻게 대응해야 할 것인지’가 핵심 이슈로 떠오르고 있다.

시장 부분에서는 국내 보안시장의 협업체계 태동이 하나의 변곡점으로 다가오고 있다. 제로트러스트, 나아가 N2SF를 수행하기 위해서는 한두 업체의 힘으로 불가능한 것을 모두가 알게 되었고, 정부에서도 협업 기조를 끌고 감에 따라 그동안 서로 경쟁하고 폐쇄적이었던 국내 보안 기업 간의 협업이 그 어느 때보다 활발한 시점이다.

변화하는 보안 환경 속에서의 XDR은 어떠한 역할을 수행해야 하는지, 그리고 이글루코퍼레이션은 어떠한 XDR 전략을 통해 변화하는 환경에 대응할 것인지를 이번 칼럼을 통해 이야기해 보고자 한다.

01. XDR의 개요

가트너에 따르면 XDR은 확장 탐지 및 대응, 즉 데이터를 자동으로 수집하고 상호 연결하는 통합 보안 사고 감지 및 대응 플랫폼으로 정의하고 있다.

가트너는 XDR 아키텍쳐를 이미지와 같이 제시하고 있으며, 이 이미지에 따르면 XDR은 다양한 정보를 수집할 수 있는 센서 레이어, 그리고 정책과 데이터 레이어, 마지막으로 이를 표출할 수 있는 대시보드 레이어로 구성되어 있다. 또한 티케팅, 위협 인텔리전스, 인증, SIEM과의 연계로 XDR의 핵심 요소를 표현했다.

XDR을 설명하기 위해 가트너의 2024년 보안운영 하이프 사이클을 예시로 들어보고자 한다. 가트너의 하이프사이클은 가트너의 핵심 레포트 중 하나로, 기술의 성숙도를 표현하는 시각적 도구로 설명할 수 있다. 기술이 처음 생성되는 발생기부터 사람들에게 관심이 증폭되는 버블기, 그리고 관심이 식어가는 환멸기를 거쳐 많은 기업들이 참여하기 시작하는 계몽기와 기술이 주류가 되는 안정기까지 어떤 흐름으로 시장에서 보고 있는지를 표현하게 된다.

가트너는 보안운영 하이프 사이클을 통해 보안관련 기술이 시장에 어떻게 표출되고 있는지를 매년 발표하고 있다. 2024년 하이프 사이클에서 중요한 요소는 Cybersecurity AI Assistant가 새로 관심을 받고 있으며, OT 보안, 즉 CPS 시스템이 관심의 최고조인 버블기에 도달한 것으로 볼 수 있다. 공격 표면 관리와 SOAR의 경우는 환멸기인데, 이는 관심이 식었다기보다는 이미 많은 사람들이 이를 알고 쓰기 시작하는 단계라 보면 될 듯 하다. 이는 시장을 만족시킬만한 제품을 개발하는데 성공한 기업만이 지속적으로 투자하고, 여기에서 살아남은 기업들이 계몽기와 안정기로 발돋움하게 된다. 여기에서 XDR은 폭발적인 관심을 얻고 환멸기에 안착했고, 통합보안과 관련한 주력 시스템이 되기 위한 단계가 되었다.

02. Native XDR과 Open XDR

XDR의 경우 초기에는 EDR이나 NDR처럼 직접 엔드포인트나 네트워크에 대한 탐지를 할 수 있는 시스템으로부터 시작이 되었고 홍보가 되었다. 이후 XDR의 개념이 다양하게 확장되면서 최근에는 앞서 얘기한 것처럼 Native XDR과, 기존에 있는 보안 솔루션과 연계하며 활용할 수 있는 Open XDR로 나눠지게 되었다. Open XDR은 특히 이글루코퍼레이션처럼 SIEM과 SOAR를 보유하고 있는 기업 중심으로 제품화가 이루어지고 있다. Native XDR과 Open XDR은 어느 쪽이 ‘정답이다’라고 할 수는 없으나, 본 칼럼에서는 이글루코퍼레이션이 추구하는 Open XDR 중심으로 XDR이 통합보안의 영역에서 어떤 역할을 하는지를 얘기하고자 한다.

03. 보안관제에서의 XDR의 역할

보안운영, 보안관제를 수행하는 조직이라면 저마다의 보안관제방법론을 가지고 있으며, 이글루코퍼레이션 역시도 25년간 통합보안운영과 관제를 수행한 노하우를 바탕으로 보안관제방법론을 보유하고 있다. 이글루코퍼레이션의 보안관제방법론은 식별-예방-탐지-대응-복구의 일련의 흐름을 가지고 있는 5개의 기능과, 그리고 이 모든 것을 아우르는 관리 및 거버넌스로 이루어져 있다.

이 중 실시간 보안관제의 핵심 기능인 탐지 부분에서는 수집-탐지-분석-대응-조치와 보고, 그리고 정책관리라는 프로세스로 업무를 수행하고 있으며, 보안관제를 수행하는 대부분의 기업, 기관이 비슷한 흐름으로 보안관제를 수행하고 있으리라 판단된다.

아무리 좋은 방법론을 가지고 있어도 이를 제대로 수행하기 위해서는 좋은 도구, 즉 제대로 된 통합보안관제시스템이 필요하다. 특히 최근처럼 수많은 보안솔루션을 동시에 관제 하기 위해서는 통합보안관제시스템이 필수 요소로 자리 잡고 있으며, 그동안 ESM, SIEM이 그 역할을 수행했고, 이제는 XDR이 이 부분을 담당하게 되었다.

04. 이글루코퍼레이션이 생각하는 XDR

이글루코퍼레이션이 생각하는 XDR은 단순히 SIEM의 다음 버전인 통합보안관제시스템이 아니다.
통합보안관제시스템의 관점에서는 SIEM, AI, SOAR의 결합이라 얘기할 수 있겠고, 보안운영의 관점에서는 통합보안운영 및 통합보안관제 노하우의 결합이라고 얘기할 수 있을 듯하다.

1) X : 모든 것, 그리고 확장

XDR에서 표현하는 X는 모든 것, 그리고 확장이라는 두 가지 의미를 모두 가지고 있다.

즉 모든 것을 수집해야 한다. 여기에서 모든 것은 기존의 보안장비가 아닌, 보안과 관련된 모든 것을 뜻한다. 이는 기존의 네트워크 보안장비의 보안 요소를 넘어 제로트러스트의 핵심요소인 식별자-신원, 기기-엔드포인트, 네트워크, 시스템, 어플리케이션-워크로드, 데이터뿐만 아니라 지속적으로 이슈가 되고 있는 공격표면정보나 위협 인텔리전스 등 모든 것을 수집하고 분석할 수 있어야 한다는 것을 뜻한다.

즉, 모든 것을 수집하고, 모든 것을 저장하고, 그 대상을 확장해야만 한다. 그러기 위해서는 각각의 환경에 대한 직접적인 연계 또는 이를 수행할 수 있는 개별 보안 솔루션과의 연계를 얼마나 잘 하고 있는지, 잘할 수 있는지가 중요하다.

2) D : 수집한 모든 것을 탐지하고 분석

Detection에 해당하는 D의 기능에서는 수집한 모든 것을 탐지, 분석할 수 있어야 한다.

이를 위해서는 SIEM의 기능을 통한 정책 설정뿐만 아니라, AI를 통한 경보 분석이나 이상행위 탐지, AI 어시스턴트와 sLLM을 통한 분석 지원, 위협 인텔리전스,사용자 행위 기반 분석인 IEBA, Attack Path Analysis, Security Contents 등을 통한 분석을 해야 한다.

즉 정책 수립 및 경보 발생, 통합 운영 관리, 가시성 및 분석을 위한 다양한 기능이 필요하며, 이를 통해 AI, 머신러닝, UEBA 기반 자동 위협 분석 및 탐지를 해야 한다.

이를 위해서는 단순히 기능적인 요소가 아닌, 보안에 대한 정확한 노하우가 반영되어야 하며, 이러한 노하우가 솔루션에 녹아들어 가야, 기존에 수행했던 보안운영과 보안 관제의 성숙도를 향상시킬 수 있다.

3) R : 자동 대응

Response 즉 대응에 해당하는 R의 기능에서는 자동 대응이 핵심 요소이며 이 기능의 핵심은 SOAR와 Playbook이다.

Playbook을 활용한 SOAR의 기능을 통해 보안 오케스트레이션 및 자동화가 이루어진다. 불필요한 요소는 자동화하고 그만큼의 리소스를 심화 분석에 투입한다면, 이를 통해 보안운영의 성숙도를 높일 수 있다. SOAR를 통한 자동화를 위해서는 위협 스코어링 및 플레이북 기반 자동 대응이 핵심이며 또한 자동 대응을 위해서는 차단 시스템과의 API를 통한 연계 역시 중요한 요소이다.

4) 운영 및 관제 영역의 확장

이러한 XDR의 가장 중요한 요소는 기존의 네트워크를 기반으로 한 레거시 보안 환경뿐만 아니라 새로운 영역, OT/ICS와 같은 산업보안의 영역, 클라우드의 영역에서도 이러한 프로세스의 업무를 수행할 수 있어야 한다.

기존의 네트워크와 보안 시스템 기반의 레거시 보안 환경뿐만 아니라, OT/ICS/CPS로 이루어지는 운영기술과 산업 기술 영역에서 OT 보안 솔루션과의 연계 및 어떤 정보를 어떻게 수집하고 분석할 것인가, 그리고 업무망과의 제어망의 통합보안까지 염두 해야 한다.

그리고 온프레미스 환경이 클라우드 환경으로 급속히 전환되고 있는 상황에서, Cloud Native에 대한 대응, 즉, Microservice Architecture, Container, DevOps, 그리고 설정 변경 모니터링 등 클라우드 환경만의 특성에 맞는 업무를 대응할 수 있어야 한다.

5) 이글루코퍼레이션이 생각하는 AI 기반 오픈 XDR 전략

지금까지 XDR의 각 기능별 요소를 개별로 설명을 했고, 이를 하나로 모아보면 다음과 같이 표현을 할 수 있다.

지금까지 설명한 XDR의 기능을 통해 이글루코퍼레이션만의 오픈 XDR(AI-Driven Open XDR) 전략을 화면과 같이 구현했으며, 이를 통해 지금까지와는 차별화된 보안 운영·분석·대응 효율성을 극대화할 수 있다.

다각화된 데이터 수집, AI·ML·UEBA 기반 자동 위협 분석·탐지, 위협 스코어링·플레이북 기반 자동 대응, 기존의 네트워크 환경뿐만 아니라 운영기술과 클라우드 환경으로의 확장, XDR은 이 모든 것이 하나의 플랫폼에서 구현이 되어야 한다.

여기에는 이글루코퍼레이션이 XDR을 어떻게 생각하는지, 이를 제품에 어떻게 녹였는지, 이를 보안 관제와 운영에 어떻게 활용할지가 표현되어 있다.

6) 연계와 협업

그리고 또 한 가지 중요한 요소가 있다.

‘과연 이러한 부분을 이글루가 모두 할 수 있나?’ 라고 물어본다면 과장을 보태서 단연코 못한다고 말할 수 있을 듯하다.

XDR의 주요 요소인 수집 분석 대응, 그리고 확장 부분에서, 수집을 위한 다양한 솔루션과의 연계, 분석 및 표출을 위한 다양한 플랫폼 및 기능의 연계, 차단 대응을 위한 포인트 보안 솔루션과의 연계, OT/ICS 환경과 클라우드 환경에서 발생하는 정보를 수집하기 위한 연계 등 다양한 부분에서 수많은 연계가 필요하다.

앞서 보안 환경의 변화를 말하면서, 시장의 변화 부분에서 보안 기업들의 협업을 언급했다. 이글루코퍼레이션 역시도 혼자서는 할 수 없다는 기조 하에 다양한 기업과의 협업을 진행하고 있다. 또한 이글루얼라이언스 프로세스를 수립 중에 있으며 이를 통해 다양한 보안 기업과의 협업 및 연계를 확장 시켜 나갈 예정이다.

05. Zero Trust와 N2SF에서의 XDR

1) Zero Trust 환경에서 XDR은 정책 정보 지점에서 PIP 구현 및 정책 평가를 수행

제로 트러스트 아키텍처에서는 정책결정 지점 즉 PDP와 정책 시행 지점 PEP, 그리고 정책정보 지점 PIP로 구성되어 있다. 쉽게 설명하자면 PDP는 제어를 위해 정책을 결정하는 부분을 말하며, PEP는 실제 보안 시스템 등을 통해 차단 여부를 결정하는 부분을 말한다. 정책정보 지점, PIP는 정책결정 지점 PDP가 정책을 결정하기 위한 다양한 정보를 주는 부분을 뜻한다.

XDR은 정책 정보 지점에서 PIP 구현 및 정책 평가를 수행할 수 있다. 이와 더불어 이글루코퍼레이션의 역량을 바탕으로 ZTA설계를 위한 컨설팅 및 MP수립, 보안관제를 위한 방법론 및 프로세스 수립, 그리고 이를 통한 통합보안운영 및 관제가 가능하다.

2) N2SF 환경에서 XDR은 정보의 흐름을 모니터링 하고 분석하기 위한 핵심 역할을 수행

현재 국내 보안 관련 기업이나 기관에서 가장 크게 관심을 갖고 있는 것은 바로 국가망 보안체계, 즉 N2SF(National Network Security Framework)이다.

N2SF 환경의 가장 중요한 요소는 정보의 흐름을 모니터링하고 분석을 해야 한다는 것이다. 기밀정보, 민감정보, 공개정보인 CSO 등급의 정보들이 각각 어디에서 생성되어 어디로 흘러가는지, 이것이 N2SF에서 가장 중요한 부분이다.

N2SF 환경에서 XDR은 PIP, 즉 정책정보 및 지원의 역할을 하며 N2SF 거버넌스 지속 모니터링, 보안 오케스트레이션 및 자동화 관리, 서비스·공격·데이터 흐름 모니터링을 수행해야 한다. 즉, 거버넌스 관리, 가시성 및 분석 관리, 자동화 및 통합의 역할을 수행한다. 즉 N2SF 환경에서 XDR은 정보의 흐름을 분석하기 위한 핵심 역할을 수행하게 될 것이다.

06. 이글루코퍼레이션의 DNA

IT 환경과 보안환경이 복잡해짐에 따라 수많은 보안 전문기업들이 생겨나고 새로운 보안솔루션과 아키텍쳐들이 생겨나고 있다. 한 조직의 보안 아키텍쳐를 수립하기 위해서는 수많은 보안 솔루션을 도입해야 하고, 이를 위해서는 수많은 보안 전문기업들이 포함되게 된다. 일반적인 사람들이 볼 때에는 그냥 보안기업일 뿐이지만, 이러한 보안 전문기업은 모두 저마다 잘하는 분야가 있으며, 보안 전문기업들의 DNA는 좋든 싫든 그 회사에 내재되어 있다.

이글루코퍼레이션의 경우는 1999년부터 통합운영, 통합보안 한길만을 걸어왔으며,
이를 위해 솔루션 분야에서는 ESM>SIEM>XDR로 이어지는 통합보안관제솔루션과 이를 지원하기 위한 AI보안관제, SOAR 등 다양한 솔루션들을 개발했고,
또한 서비스 분야에서는 보안관제로 시작하여 컨설팅, 진단, 분석, 교육, 위협인텔리전스, 나아가서 AI 보안데이터 분석까지 보안 전반을 위한 서비스를 제공하고 있다.

이글루코퍼레이션의 이러한 DNA는 통합보안의 중요성이 다시금 부각되고 있는 현시점에서 누구보다 더, 그리고 누구보다 잘 고객의 요구에 대응할 수 있는 기업으로 성장했고, 또한 보안 조직의 어려움을 해결하는 조력자이자 새로운 비즈니스 기회를 제시하는 길잡이로 성장했다.

이러한 DNA를 가지고 있는 이글루코퍼레이션은 이를 위한 다양한 솔루션과 서비스를 가지고 있기에, 보안과 관련한 어려운 부분이 있을 때 이글루코퍼레이션을 찾는다면 그 해답을 얻으실 수 있을 듯하다.

그리고, 이글루코퍼레이션이 추구하는 XDR전략은 무엇인지, 이를 표출하는 이글루코퍼레이션의 '스파이더 이엑스디 (SPiDER ExD)'는 어떤 모습일지도 함께 제공해 줄 수 있을 것이다.