이번 글에서는 요즘 정보보안 분야에서 화두가 되고 있는 XDR에 대해 상세하게 알아보는 시간을 갖도록 하겠습니다. 제가 근무중인 현재 회사에서도 XDR을 적극 도입하여 사이버 보안 위협에 대한 실시간 감시를 지속적으로 모니터링하고 더불어 해킹 사고를 미연에 방지하고자 불철주야 노력중에 있습니다.
XDR 개념 설명
XDR이란? 개방형 사이버 보안 아키텍처인 확장 탐지 및 대응(XDR)은 다양한 보안 도구를 통합하고 사용자, 엔드포인트, 이메일, 앱, 네트워크, 클라우드 상에서의 업무를 모두 아우르는 보안 체계입니다. XDR을 활용하면 서로 호환되지 않는 보안 시스템들도 위협 방어, 탐지, 조사 그리고 대응 과정에서 부드럽게 연동될 수 있습니다.
XDR 기술이 중요한 이유는 무엇인가요?
현재의 보안 상황은 서비스, 인스턴스 그리고 자산들이 마구잡이로 늘어나는 것이 특징입니다. 특히 서비스로서의 소프트웨어(SaaS) 및 서비스로서의 인프라스트럭처(IaaS) 분야에서 두드러지는 인프라 배포의 편의성과 신속성 때문에 보안 운영 센터(SOC)는 파악하기 어려운 일시적인 클라우드 자원의 모호함 속에서 싸워야 했습니다.
보안 측면에서 살펴보면, 클라우드 활용과 애플리케이션 보급이 무계획적으로 늘어나는 상황은 이미 갖춘 보안 체제에도 상당한 허점을 초래할 가능성이 높습니다. 엔드포인트, 이메일, 네트워크 및 애플리케이션 전반에 걸친 비즈니스 통합과 효율성 유지는 이제 전례 없는 수준의 보안 보호가 필요합니다.
엔드포인트에 XDR을 배치해야하는 이유는?
최근 몇 년간 원격 근무와 혼합 업무 형태가 늘어났고, 이러한 추세는 2025년까지도 계속될 것으로 전망되고 있습니다. 이에 따라 보안 담당자가 관리해야 할 엔드포인트의 숫자도 지속적으로 늘어나고 있는 상황입니다. 해당 공격자는 이러한 점을 적극 이용하는 것을 몹시 선호합니다. Verizon의 최근 데이터 침해 보고서에 따르면, 사이버 공격은 이제 39초마다 발생한다고 합니다. 해당 공격 중 삼분의 일은 악성 소프트웨어를 설치하여 특정 기기를 표적으로 삼습니다.
엔드포인트는 해커가 이용할 수 있는 최대 공격 영역을 가리키지만 전통적인 안티바이러스 소프트웨어는 전체 사이버 공격 중 절반도 탐지하지 못합니다.
해당 솔루션은 최신 악성코드 서명으로 컴파일 된 계속해서 업데이트 되는 데이터베이스를 활용하며, 수상한 다운로드 파일들의 서명과 대조하는 방식으로 동작합니다. 하지만 이러한 방식은 기존에 파악되지 않았던 악성 코드를 감지하지 못하는 한계가 있습니다. 이렇게 되면 신종 악성 코드가 등장한 순간부터 기존 보안 프로그램으로 완전히 잡아낼 수 있게 되기까지의 기간이 늘어나게 됩니다.
XDR 기술이 이메일 보안에 중요한 이유
이메일은 다양한 직급에서 활용되는 연락 수단이어서 주요한 보안 위협으로 여겨집니다. 특별한 암호 해제 없이 다양한 기기에서 접속이 가능하기 때문에 이메일 계정은 특히 보안에 취약합니다.
BEC(Business Email Compromise)는 찾아내기가 매우 힘든 공격 중 하나입니다. 이를 방지하기 위해서는 회사 내 각 부서간 소통과 협업을 강화하고, 보안 체계를 고도화하여 악의적인 행위자가 접근할 수 있는 정보를 최소화해야 합니다. 그 후 이러한 정보는 한층 더 효과적인 피싱 공격을 설계하는 데 활용됩니다. 위협 범위는 무단 계정 접속을 초과하여 확대됩니다. 네트워크 및 서버를 통해 전송되는 이메일 중 상당수가 적절한 보안 조치가 이루어지지 않아 위협에 노출되어 있습니다. 그러므로 자신의 컴퓨터가 안전하다고 해도 이메일 전송 통로는 보안성이 떨어져 해커들의 공격에 노출될 가능성이 높습니다.
또한 인터넷 범죄자는 이메일 정보를 간단하게 바꾸거나 메시지, 문서, 링크 및 발신자의 이메일 주소를 포함한 이메일 콘텐츠를 수정할 수도 있습니다. 이러한 취약점은 이메일의 메타데이터가 발신처, 수신처 등의 세부 정보를 노출시키는 이메일 시스템의 근본적으로 공개된 구조 때문에 발생합니다. 악성 공격자는 이메일의 발신 정보를 조작하여 마치 신뢰할 수 있는 곳에서 보낸 것처럼 속여서 이러한 기능을 악용하는데, 이는 명백한 사기 행위입니다. 이메일이나 다른 메시지 전송 수단은 주요한 보안 위협 요인 중 하나이지만, 현재 대다수의 보안 시스템은 이런 방식들과 제대로 연동되지 않아서 수많은 해킹 사건들의 발생 원인이 되고 있습니다.
XDR 솔루션이 네트워크 보안에 중요한 이유
네트워크 보안은 외부에서의 침입과 내부에서의 정보 유출을 모두 방어해야 합니다. 경계에서의 보안 장치는 네트워크로의 사이버 공격 침입을 막는 것을 목적으로 합니다. 하지만 해커들이 이러한 방어 수단을 우회하는 경우도 있기 때문에, IT 보안 담당자들은 노트북을 비롯한 사내 자산과 데이터를 보호하기 위한 대책을 마련해서 실행합니다. 이러한 방식을 적용하면 해커가 네트워크에 침입하더라도 움직임에 제약이 걸립니다.
조직은 네트워크 환경의 여러 부분을 분리하여 각각 별도로 관리해야 합니다. 최종적으로 보면 위협 인텔리전스는 아직도 따로따로 분리되어 있어서 보안 분석가가 각각의 데이터 포인트를 직접 합쳐야 합니다. 업무 흐름과 데이터는 다양한 네트워크 환경에서도 매끄럽게 이동하지만, 이를 구축하는 조직 문화는 여전히 경직된 구분을 갖고 있습니다.
이런 상황에서는 일관된 지도 및 통제가 상당히 어렵습니다. 네트워크 상의 위협과 경고가 과도하게 많다는 것은, 이를 처리하기 위한 노동력이 조직의 한정된 자원을 계속해서 소비하게 된다는 것을 뜻합니다.
XDR의 장점과 활용 사례
악성코드 탐지 및 대응 사례
해당 도메인 내의 자산에 대한 악성 코드만 탐지 가능한 보안 제품 입니다. 단일 엔드포인트가 무방비 상태로 노출되는 상황은 우리가 생각하는 것보다 훨씬 더 빈번하게 발생합니다. 이는 엔드포인트 보호가 대규모로 이루어져야 하기 때문입니다. XDR은 최신 기술인 EDR(엔드포인트 탐지 및 대응)을 결합하여 엔드포인트에서의 상황 파악을 가능하게 합니다. EDR은 각 엔드포인트에 에이전트를 설치하여 엔드포인트 영역에서의 뛰어난 가시성 확보를 지원하였습니다.
이렇게 함으로써 로그 데이터를 가장자리에서 추적 가능하지만 끝점별로 늘어난 데이터 양은 제대로 수집 및 처리하지 않으면 의미가 없게 됩니다. XDR은 지속적인 엔드포인트 데이터 흐름을 분석하고 이를 다양한 기술 스택에서의 위협 정보와 연동시킴으로써 EDR의 발전된 형태를 보여줍니다.
같은 역할은 직원들이 받은 메일함을 악성코드 유포로부터 안전하게 지킬 수 있도록 도와줍니다. 분산 된 페이로드 배포 패턴은 기존 해결책에 어려움을 주지만, XDR의 사용자 행동 분석은 장치 또는 네트워크 관점에서 전체 공격 경로를 추적하는 데 유용합니다. XDR의 뛰어난 행위 분석 기능은 사용자와 최종 단말 장치 양측의 활동을 꾸준하게 정밀하게 감시하여 현재 이루어지고 있는 활동과 발전하는 공격 유형 사이의 연관성을 파악하며, 이를 통해 악의적인 활동에 대한 즉시 대응을 가능케 합니다.
랜섬웨어 탐지 사례
랜섬웨어 공격은 흔히 생각하는 것처럼 그렇게 신속하지 않습니다. 암호화 과정은 불과 몇 초밖에 걸리지 않지만, 초기 접근 권한을 확보하고 네트워크 내부에서 우회하며 현재 보안 시스템을 무력화시키는 과정은 모두 치밀하게 계획된 공격 순서를 교란시킬 수 있는 중요한 지점들입니다. 본질이 중요시 되는 시기에 XDR 시스템이 사전 암호화 랜섬웨어 탐지 속도를 높여주는 역할을 한다는 것은 당연한 결과라고 볼 수 있습니다.
XDR 솔루션을 활용하면 방어의 기초가 되는 지속적인 행동 분석을 통해 수상한 파일이나 계정 접근 패턴을 탐지할 수 있습니다. 만약 악의적인 의도를 가진 사람이 Cobalt Strike와 같은 우회 공격용 도구를 이용한다면 이 문제에 대한 심각성이 더욱 커질 것 입니다. 최종 공격 단계에 가까워질수록 손상된 사용자 계정은 로그 파일 수정 및 보안 기능 해제를 시도하여 방어 체계를 회피할 가능성이 있습니다. 툴킷에만 의존하면, 해당 공격자의 모든 활동을 파악할 수 있는 수단은 보안 분석가뿐 입니다. 하지만 무관한 경고 때문에 혼란스러워지면 적절한 시기에 알아채기가 매우 어렵습니다.
이와 같이 XDR의 개념을 제대로 이해하고 정보보안 관련 실무에 도입하게 되면 다양한 관점에서 업무 효율과 더불어 지속적인 위협 공격에 대한 빠른 대처를 할수 있습니다. 적극적으로 XDR에 대해 고려해보시는 것을 권유드립니다.