확장 탐지 및 대응(XDR)이란 무엇인가요?

확장 탐지 및 대응(XDR)은 보안 도구를 통합하고 사용자, 엔드포인트, 이메일, 애플리케이션, 네트워크, 클라우드 워크로드 및 데이터 등 모든 보안 계층에 걸쳐 보안 운영을 통합하는 개방형 사이버 보안 아키텍처입니다.XDR을 사용하면 함께 작동하도록 설계되지 않은 보안 솔루션도 위협 예방, 탐지, 조사 및 대응에서 원활하게 상호 운용할 수 있습니다.

XDR은 보안 도구와 계층 간의 가시성 격차를 제거하여 과중한 업무에 시달리는 보안 팀이 위협을 더 빠르고 효율적으로 탐지 및 해결하고, 더 나은 보안 결정을 내리고 미래의 사이버 공격을 방지하기 위해 보다 완전하고 상황에 맞는 데이터를 캡처할 수 있도록 합니다.

XDR은 2018년에 처음 정의되었지만, 보안 전문가와 업계 분석가가 XDR에 대해 이야기하는 방식은 그 이후로 빠르게 발전해 왔습니다. 예를 들어, 많은 보안 전문가들은 XDR을 모든 엔터프라이즈 보안 계층에 걸쳐 확장된 엔드포인트 탐지 및 대응(EDR)이라고 설명합니다. 그러나 오늘날 전문가들은 엔드투엔드 위협 가시성, 통합 인터페이스, 위협 탐지, 조사 및 대응을 위한 최적화된 워크플로와 같은 이점을 강조하면서 XDR의 잠재력을 통합된 도구와 기능의 합보다 훨씬 더 큰 것으로 보고 있습니다.

또한 분석가와 공급업체는 XDR 솔루션을 솔루션 공급업체의 보안 도구만 통합하는 기본 XDR 또는 공급업체에 관계없이 조직의 보안 에코시스템에 있는 모든 보안 도구를 통합하는 개방형 XDR로 분류했습니다. 그러나 엔터프라이즈 보안 팀과 보안 운영 센터(SOC)는 현재 사용 중이거나 향후 사용을 선호할 수 있는 타사 보안 도구를 통합할 수 있는 유연성을 제공하는 기본 XDR 솔루션도 개방형으로 기대한다는 사실이 점점 더 분명해지고 있습니다.

오늘날 조직은 지능형 지속 위협(지능형 지속 위협이라고도 함)의 공격을 받고 있습니다. 이러한 위협은 엔드포인트 방지 조치를 피해 몇 주 또는 몇 달 동안 네트워크에 잠복하여 이동하면서 권한을 획득하고 데이터를 훔치며 대규모 공격이나 데이터 유출에 대비하여 IT 인프라의 여러 계층에서 정보를 수집합니다. 랜섬웨어 공격, 비즈니스 이메일 침해(BEC), 분산 서비스 거부(DDoS) 공격, 사이버 스파이 활동 등 가장 피해가 크고 비용이 많이 드는 사이버 공격과 데이터 침해의 대부분은 지능형 위협 중 하나입니다.

조직은 이러한 위협에 맞서 싸우고 사이버 범죄자가 위협을 시작하는 데 사용하는 공격 벡터 또는 방법을 차단하기 위해 수십 개의 사이버 보안 도구와 기술로 무장하고 있습니다. 이러한 도구 중 일부는 특정 인프라 계층에 초점을 맞추고, 다른 도구는 여러 계층에 걸쳐 로그 데이터와 원격 분석을 수집합니다.

대부분의 경우 이러한 도구는 서로 통신하지 않고 사일로화되어 있습니다. 따라서 보안팀은 경보를 수동으로 상호 연관시켜 실제 인시던트와 오탐을 구분하고 심각도에 따라 인시던트를 분류한 후 수동으로 조율하여 위협을 완화하고 해결해야 합니다. IBM의 2021년 사이버 탄력적 조직 연구에 따르면 조직의 32%가 각 위협에 대응하여 21~30개의 개별 보안 도구를 사용한다고 보고했습니다. 13%는 31개 이상의 도구를 사용한다고 보고했습니다.

따라서 지능형 위협을 식별하고 억제하는 데는 너무 오랜 시간이 걸립니다. IBM의 2022년 데이터 침해 비용 보고서에 따르면 데이터 침해를 탐지하고 해결하는 데 평균 277일이 걸린다고 합니다. 이 평균에 따르면 1월 1일에 발생한 침해는 10월 4일이 되어서야 차단될 수 있습니다.

XDR은 계층별 포인트 솔루션 간의 사일로를 허물어 과도하게 확장된 보안 팀과 SOC에 위협을 더 빨리 식별하고, 더 빠르게 대응하고, 더 빠르게 해결하고, 이로 인한 피해를 최소화하는 데 필요한 엔드투엔드 가시성과 통합을 약속합니다.

XDR은 도입 이후 비교적 짧은 기간에 변화를 일으키고 있습니다. 2022년 데이터 침해 비용에 따르면, XDR을 구축한 조직은 XDR을 구축하지 않은 조직에 비해 데이터 침해 라이프사이클을 29일 단축하고 침해 비용을 평균 9% 절감했습니다.

XDR은 일반적으로 클라우드 기반 또는 SaaS(서비스형 소프트웨어) 솔루션으로 사용됩니다. 업계 분석 기관 중 하나인 Gartner는 XDR을 'SaaS 기반'으로 정의합니다. 또한 클라우드 또는 보안 솔루션 제공업체의 관리형 탐지 및 대응(MDR) 제품을 구동하는 핵심 기술일 수도 있습니다.

XDR 보안 솔루션은 다음을 통합할 수 있습니다.

• 안티바이러스, 사용자 및 엔터티 행동 분석(UEBA) 또는 방화벽과 같은 개별 보안 도구(또는 포인트 솔루션);
  
  
• EDR, 엔드포인트 보호 플랫폼(EPP), 네트워크 탐지 및 대응(NDR) 또는 네트워크 트래픽 분석(NTA)과 같은 계층별 보안 솔루션;
  
  
• 보안 정보 및 이벤트 관리(SIEM) 또는 보안 오케스트레이션, 자동화 및 대응(SOAR)을 포함하여 보안 계층 전반에서 데이터를 수집하거나 워크플로를 조정하는 솔루션입니다.
   

지속적인 데이터 수집

XDR은 모든 통합 보안 도구로부터 로그 데이터와 텔레메트리를 수집하여 로그인(성공 및 실패), 네트워크 연결 및 트래픽 흐름, 이메일 메시지 및 첨부 파일, 생성 및 저장된 파일, 애플리케이션 및 장치 프로세스, 구성 및 레지스트리 변경 등 인프라에서 발생하는 모든 일에 대해 지속적으로 업데이트되는 기록을 효과적으로 생성합니다. 또한 XDR은 다양한 보안 제품에서 생성된 특정 알림을 수집합니다. 

Open XDR 솔루션은 일반적으로 개방형 애플리케이션 프로그래밍 인터페이스(API)를 사용하여 이 데이터를 수집합니다. (네이티브 XDR 솔루션을 사용하려면 디바이스 및 애플리케이션에 설치된 경량 데이터 수집 도구 또는 에이전트가 필요할 수 있습니다.) 수집된 모든 데이터는 정규화되어 중앙 클라우드 기반 데이터베이스 또는 데이터 레이크에 저장됩니다. 

실시간 분석 및 위협 탐지

XDR은 고급 분석 및 머신 러닝 알고리즘을 사용하여 알려진 위협이나 의심스러운 활동이 전개되는 동안 이를 나타내는 패턴을 실시간으로 식별합니다.

이를 위해 XDR은 다양한 인프라 계층의 데이터 및 텔레메트리를 위협 인텔리전스 서비스의 데이터와 상호 연관시켜 지속적으로 업데이트되는 최신 정보, 최신 사이버 위협 전술, 벡터 등을 제공합니다. 위협 인텔리전스 서비스는 독점적(XDR 공급자가 운영), 타사 또는 커뮤니티 기반일 수 있습니다. 또한 대부분의 XDR 솔루션은 해커의 사이버 위협 전술 및 기법에 대해 자유롭게 액세스할 수 있는 글로벌 지식 기반인 MITRE ATT&CK에 데이터를 매핑합니다.

XDR 분석 및 머신 러닝 알고리즘은 자체 조사를 수행하여 실시간 데이터를 기록 데이터 및 설정된 기준과 비교하여 의심스러운 활동, 비정상적인 최종 사용자 행동 및 사이버 보안 인시던트 또는 위협을 나타낼 수 있는 모든 것을 식별할 수 있습니다. 또한 '신호' 또는 합법적인 위협을 오탐의 '노이즈'와 분리할 수 있으므로 보안 분석가는 중요한 인시던트에 집중할 수 있습니다. 가장 중요한 것은 머신 러닝 알고리즘이 데이터를 통해 지속적으로 학습하여 시간이 지남에 따라 위협을 더 잘 탐지할 수 있다는 점입니다.

XDR은 솔루션의 사용자 인터페이스(UI) 역할도 하는 중앙 관리 콘솔에 중요한 데이터와 분석 결과를 요약합니다. 보안 팀원은 콘솔에서 전사적으로 모든 보안 문제를 완벽하게 파악하고 확장된 인프라의 어느 곳에서나 조사, 위협 대응 및 해결을 시작할 수 있습니다.
 

자동화된 탐지 및 대응 기능

자동화는 XDR에서 신속한 대응을 가능하게 합니다. 보안 팀이 미리 정의하거나 머신 러닝 알고리즘에 의해 시간이 지남에 따라 '학습'된 규칙을 기반으로 하는 XDR은 자동화된 대응을 통해 위협 탐지 및 해결 속도를 높이는 동시에 보안 분석가가 더 중요한 업무에 집중할 수 있게 해줍니다. XDR은 다음과 같은 작업을 자동화할 수 있습니다.

• 심각도에 따라 경고를 분류하고 우선순위를 지정합니다.
  
  
• 영향을 받는 장치의 연결을 끊거나 종료하고, 사용자를 네트워크에서 로그아웃하고, 시스템/애플리케이션/장치 프로세스를 중지하고, 데이터 소스를 오프라인으로 전환합니다.
  
  
• 바이러스 백신/멀웨어 방지 소프트웨어를 실행하여 네트워크의 다른 엔드포인트에서 동일한 위협을 검색합니다.
  
  
• 관련 SOAR 인시던트 대응 플레이북(특정 보안 인시던트에 대응하여 여러 보안 제품을 오케스트레이션하는 자동화된 워크플로)을 트리거합니다.  

XDR은 위협 조사 및 해결 작업을 자동화할 수도 있습니다(다음 섹션 참조). 이러한 모든 자동화를 통해 보안팀은 인시던트에 더 빠르게 대응하고 인시던트로 인한 피해를 예방하거나 최소화할 수 있습니다.
 

위협 조사 및 해결

보안 위협이 격리되면 XDR 플랫폼은 보안 분석가가 위협을 추가로 조사하는 데 사용할 수 있는 기능을 제공합니다. 예를 들어, 포렌식 분석과 '추적' 보고서는 보안 분석가가 위협의 근본 원인을 정확히 찾아내고, 영향을 받은 다양한 파일을 식별하고, 공격자가 네트워크에 진입 및 이동하여 인증 자격 증명에 액세스하거나 기타 악의적인 활동을 수행하도록 만든 취약성을 식별하는 데 도움이 됩니다.

이러한 정보를 바탕으로 분석가는 해결 도구를 조정하여 위협을 제거할 수 있습니다. 해결에는 다음이 포함될 수 있습니다.

• 악성 파일을 파괴하고 엔드포인트, 서버 및 네트워크 장치에서 삭제합니다.
  
  
• 손상된 장치 및 애플리케이션 구성, 레지스트리 설정, 데이터 및 애플리케이션 파일을 복원합니다.
  
  
• 인시던트를 유발한 취약점을 제거하기 위해 업데이트 또는 패치를 적용합니다.
  
  
• 재발을 방지하기 위해 탐지 규칙을 업데이트합니다.
   

위협 헌팅 지원

위협 헌팅(사이버 위협 헌팅이라고도 함)은 보안 분석가가 네트워크에서 아직 알려지지 않은 위협 또는 조직의 자동화된 사이버 보안 도구에 의해 아직 감지되거나 해결되지 않은 알려진 위협을 검색하는 사전 예방적 보안 활동입니다.

다시 말하지만, 지능형 위협은 탐지되기까지 몇 달 동안 숨어서 대규모 공격이나 침해에 대비할 수 있습니다. 효과적이고 시기적절한 위협 헌팅은 이러한 위협을 탐지하고 해결하는 데 걸리는 시간을 단축하고 공격으로 인한 피해를 제한하거나 예방할 수 있습니다.

위협 헌터는 XDR이 위협 탐지, 대응 및 해결에 사용하는 것과 동일한 데이터 소스, 분석 및 자동화 기능을 사용하는 다양한 전술과 기술을 사용합니다. 예를 들어, 위협 헌터는 포렌식 분석 또는 특정 공격자의 방법을 설명하는 MITRE ATT&CK 데이터를 기반으로 특정 파일, 구성 변경 또는 기타 아티팩트를 검색할 수 있습니다.

이러한 노력을 지원하기 위해 XDR은 UI 기반 또는 프로그래밍 방식을 통해 보안 분석가가 분석 및 자동화 기능을 사용할 수 있도록 하여 임시 검색, 데이터 쿼리, 위협 인텔리전스와의 상관 관계 및 기타 조사를 수행할 수 있도록 합니다. 일부 XDR 솔루션에는 간단한 스크립팅 언어(일반적인 작업 자동화용) 및 자연어 쿼리 도구와 같은 위협 헌팅을 위해 특별히 제작된 도구가 포함되어 있습니다.