벤더 기고 | 쿼드마이너 ‘QUAD XDR’이 실현하는 제로 트러스트 보안 운영 자동화

국내 한 대기업에서의 실제 이야기다. 이 기업의 현업 직원들은 SOC 요원들을 ‘양치기 소년’이라고 부른다. 보안조직에서 이상 현상을 전달하며 확인을 요청하면 ‘알았다, 확인하겠다’라고 말하지만 정작 확인하지 않는다. 물론 초기에는 확인했다. 그러나 시스템을 살펴도 별다른 문제가 없는 사례가 반복되자 그저 귀찮은 주문으로 치부하게 됐다. 안타깝지만 오늘날 기업 보안이 직면한 현실의 단면이다.

문제는 이러한 현실을 묵과할 수 있는 상황이 아니라는 점이다. 기업의 보안 환경이 다각적인 측면에서 심각해지고 있어서다. 디지털이 비즈니스에 점점 스며들면서 보안 사고는 기업의 존망을 좌우할 수 있는 위협으로 부상했다. 원격 근무, IoT, 클라우드 등으로 인해 급증한 공격 표면은 기존의 보안 솔루션과 정책으로 더 이상 대응할 수 없을 지경으로 늘어났다. 다변화되고 정교해진 공격 기법으로 인해 기업이 관리하고 모니터링해야 하는 보안 솔루션은 나날이 증가하고 있다. 경영진과 현업 부서, 보안 부문은 모두 심각성과 자원 부족이 야기하는 딜레마에 시달리고 있다.

맨디언트가 지난 3월 발간한 M-트렌드 연례 보안 연구 보고서의 한 그래프가 이러한 동향을 잘 드러낸다. 조직들의 보안 침해 사고 중, 내부에서 파악한 사례와 외부에서 알린 사례의 비율을 다룬 그래프다. 이에 따르면 2011년에는 외부에서 보안 침해를 알린 비율이 86%에 달했다. 조직 내부에서 보안 침해를 파악할 능력과 여건이 부재한 탓이었다. 다행히 지속적으로 노력과 개선에 힘입어 해당 비율은 2017년에 38%까지 낮아졌다.

그러나 거기까지였다. 이후 외부에서 침해 사실을 알리는 비율은 조금씩 증가하기 시작해 2022년에는 63%까지 치솟았다. 클라우드 전환 및 고도화, 코로나19 팬데믹 등으로 인한 업무 환경의 변화, 데이터 아키텍처의 급변 때문으로 풀이된다. 경계선 중심의 기존 보안 접근법이 유효성을 상실해가고 있음을 선명히 보여주는 자료다.

기업에게 유의미한 또다른 동향은 랜섬웨어의 전술화 트렌드다. 몇 년 전의 랜섬웨어는 디스크를 암호화하고 이를 인질 삼아 돈을 요구하는 형태를 보였다. 지금은 양상이 크게 달 라졌다. 소셜 엔지니어링 기법으로 한 사용자의 PC에 침투한 후 횡적 이동을 통해 랜섬웨 어의 전개를 준비한다. 달라진 점은 이제 이 단계에서 정보도 탈취한다는 것이다. 조직의 데이터를 탈취하고 그 흔적을 지우기 위해 랜섬웨어를 전개한다. 사이버 범죄가 조직화, 전문화되면서 나타난 이중 갈취의 양상이다. 


출처 : 맨디언트 M-트렌드 2023 보고서. 외부에서 침해 사실을 알린 비율을 나타내는 영역(짙은 푸른색)이 2011년 이후 2017년까지 감소하다가 2018년 다시 늘어나고 있다. 공격 표면이 확장된 가운데 조직 내부의 보안 통제 및 모니터링 커버리지가 약세로 전환됐다. 

제로 트러스트 아키텍처 확산 모멘텀, ‘그러나...’
보안 업계와 기업들은 결국 보안에 대한 기존 접근법에 근본적인 한계가 있음을 절감했으며, 경계와 신뢰를 송두리째 재정의할 필요성에 대한 공감대가 확산됐다. 제로 트러스트 보안이 콘셉트 단계를 벗어나 실제화된 배경이다. 미국의 바이든 행정부가 관련된 행정 명 령을 내렸으며, 우리나라에서도 정부 차원의 가이드라인이 등장했다. 

제로 트러스트 모델은 개념적으로 오늘날의 보안 요구 사항에 충실히 부응한다. 차단 또는 방지 중심의 경계선 접근이 아닌, 데이터 접속과 활용 자체에 중점을 둔다. 승인된 ID에 권한을 부여하지 않고 모든 사용자 장치와 애플리케이션에 대해 신뢰 및 위험 여부를 평가하고 제어한다. 또 상황 정보를 적극 활용해 맥락에 맞춘 동적 정책을 구현하게 된다. 무엇보다도 ‘제로 트러스트’라는 이름에서 드러나는 것처럼 모든 트랜잭션을 신뢰할 수 없는 대상으로 가정하고 전수 검사하는 접근법을 취한다.
 
그러나 현실에서의 제로 트러스트 구현은 결코 만만치 않다. 일단 조직 내 트랜잭션 자체의 양이 과거와 비할 바 아니다. 몇 메가바이트, 몇 십 메가바이트의 이메일 파일을 주고받던 시대는 진작에 지났다. 기업의 보안 솔루션 환경 또한 전에 없던 수준으로 복잡해졌다. SOC를 운영하는 규모의 조직은 적어도 50~60종의 보안 제품을 도입한 상태로 분석되고 있다. 중복을 감안하면 수백 개에 이르는 보안 솔루션이 쏟아내는 경보와 티켓을 SOC 요원들이 제대로 관리하기란 현실적으로 불가능하다. 하루 150개의 티켓이 열리고 10만 건의 보안 이벤트가 출현하는 가운데 즉각적인 위협 대응은 언감생심 시도조차 어렵다. 더욱이 보안 팀에서는 현업의 시스템을 직접 접근할 수 있는 권한이 없는 경우가 태반이다. 서두의 사례에서와 같은 현실이 펼쳐지는 것이다. 


다수의 도전 요소와 문제점으로 인해 제로 트러스트 보안 운영 환경이 악화되고 있다.

IDS, IPS에서 NTA, NDR로의 발전, 마침내 ‘XDR’로의 진화
이러한 상황을 타개하기 위한 기술들은 그간 꾸준히 등장하고 발전해왔다. 먼저 침입 탐지 시스템(Intrusion Detection System), 침입 방지 시스템(Intrusion Prevention System)이 출현했다. 이들이 전체 트랜잭션의 로우 패킷을 살펴본다는 점에서 최근의 기술들과 유사한 부분이 있다. 하지만 시그니처 데이터베이스에 기반해 알려진 공격만 탐지한다는 점에서 한계가 있다. 

이를 테면 직원을 대상으로 한 소셜 엔지니어링 기법으로 손쉽게 외부에서 내부로의 접근 권한을 확보해 조직 내부에서 횡적 이동하는 공격 사례에서 한계가 여실히 드러난다. 이러한 공격은 취약점을 악용한 것이 아니라 RDP 등과 같이 정상적인 애플리케이션을 사용한 횡적이동이다. IDS로는 잡아낼 방도가 없다는 의미다. 또 IDS가 탐지한 이벤트는 어디까지나 추정이기에 공격의 성공 여부와 영향을 확인하기 위해서는 수작업 형태의 후속 조사가 불가피하다. 한정된 보안 인력의 투입을 요구하는 것이다.

이를 감안해 출현한 범주가 NTA(Network Traffic Analysis)다. 이는 이상 트래픽을 탐지하는데 초점을 맞춘다. 처음에는 IDS로 알려진 공격을 탐지하고 NTA로 이상 트래픽를 포착하면 제로 트러스트 모델을 구현할 수 있을 것으로 기대됐다. 하지만 여기에도 한계가 있음이 이내 드러났다. 대다수 NTA 솔루션의 경우 풀 패킷 데이터 중 플로우 데이터와 메타 데이터만을 수집하고 머신러닝을 이용해 ‘추정한’ 결과를 제시할 뿐이다. 이로 인해 행동을 취하기에 앞서 탐지한 이상 트래픽이 위협적인 트래픽인지, 비정상적인 트래픽인지 확인하기 위한 수작업 형태의 추가 조사 작업이 불가피한 것이다. 

이후 등장한 풀패킷 캡처 기반의 트래픽 전수 검사 방식을 채택한 NDR(Network Detection and Response) 솔루션(Network Blackbox)은 탐지된 각 이벤트에 대해서 공격 위험성과 영향도를 추가적인 조사 없이 자체적으로 확보한 확정적 증적을 토대로 빠르게 확인시키는 역량을 갖춤으로써 전체적인 평균 탐지 시간(MTTD: Mean Time to Detection)과 평균 대응시간(MTTR: Mean Time to Response)을 획기적으로 줄여 준다. 트래픽 원본을 고스란히 보유하고 공격에 대한 확정적 증적을 마련하기 때문에 공격 성공 여부와 공격의 영향도를 사람의 개입 없이 시스템이 판단하고 빠르게 대응할 수 있게 한다. 그런 의미에서 NDR의 핵심 가치는 보안 운영 자동화를 레버리지 할 수 있는 확정적 증적 기반의 침해사고 대응(Incident Response) 기능이라고 할 수 있다. 보안 운영을 완전히 ‘자동화’할 수 있는 가능성이 이 범주의 등장으로 실현됐다고 할 수 있다. 

참고로 이와 유사하면서도 대상이 다른 범주는 EDR(Endpoint Detection and Response)이다. 엔드포인트에서 의심스러운 행동을 모니터링하고 모든 단일 활동 및 이벤트를 기록하고 정보를 연관 분석해 위협을 탐지한 다음, 감염된 엔드포인트를 격리하는 등의 자동 대응을 구현한다. 단 이는 분석 및 대응 대상이 엔드포인트로 제한된다는 한계가 있다.

최근에는 보다 포괄적인 보안 운영 자동화를 추구하는 XDR(Extended Detection and Response) 개념이 부상하고 있다. 다양한 보안 제품과 데이터를 간결하게 통합해 종합적이면서도 최적화된, 그러면서도 자동화된 보안을 구현한다는 콘셉트다. 엔드포인트는 물론 네트워크, 서버, 클라우드, 워크로드 등 다양한 요소에 대해 탐지와 분석, 대응을 구현한다
 

XDR vs. SIEM + SOAR 보안 운영을 자동화하려는 시도는 예전에도 있었다. 이벤트를 모아 상관 분석해 사건화하는 SIEM(Security Information & Event Management)과 사건화된 티켓에 대해 증적 자료를 수집해 인간 분석가에게 제시하는 SOAR(Security Orchestration, Automation and Response)를 조합하면 자동화를 부분적으로나마 구현할 수 있다. 하지만 이는 XDR과 같지 않다. XDR에서는 EDR 또는 NDR을 통해 자체적으로 확정적 증적을 확보하고 대응 작업에까지 자동화를 구현할 수 있는 반면, SOAR은 인간의 조사 작업을 부분 자동화한다고 언급할 수 있다. 결국 SOAR을 활용해도 최종 결정은 사람의 몫이다.

제로 트러스트 모델을 위한 기술의 발전 과정. 확정적 증적에 기반해 실제적 대응을 방안을 구현하는 NDR 적용이 요구된다. 

마침내 실현되는 ‘보안 운영 자동화 비전’, 그리고 QUAD XDR
XDR에 대해 주목해야 할 이유는 분명하다. 오늘날 기업 보안 현실은 안팎으로 복잡하기 짝이 없다. 제 아무리 다양한 보안 솔루션을 곳곳에 도입해도 인간 직원의 판단과 실행을 요구한다면 현실적으로 실용성에 한계를 보인다. 어쩌면 솔루션의 다양성과 복잡성 자체가 보안 운영에 걸림돌이 되기도 한다.
 
XDR은 복잡한 비즈니스 환경과 보안 지형을 아울러 보안 조사는 물론 대응까지 자동화할 가능성을 제시한다. NDR과 EDR이 도출하는 확정적 증거에 기반해 빠르고 확실한 조치를 자동으로 실행할 수 있게 하기 때문이다. XDR 솔루션이라면 NDR(부분적으로 EDR)을 꼭 담고 있어야 한다고 말할 수 있는 이유이기도 하다. 

쿼드마이너의 ‘QUAD XDR’은 이렇듯 ‘완전한 자동화’를 염두에 두고 쿼드마이너가 조합해 제공하는 플랫폼이다. 요소별로 살펴보면 트래픽을 수집하고 전수 검사하는 쿼드마이너 NDR, 인공지능 기반의 사건화를 담당하는 SIEM, 위협 인텔리전스 분석을 수행하는 TIP(Threat Intelligence Platform), 침해 사고 대응을 위한 SOA+SIRP(Security Orchestration and Automation + Security Incident Response Platform)를 모두 아우르고 있다.

달리 표현하면 공격의 대상이 된 현업 시스템을 사람이 직접 조사하지 않고도 침해에 대한 확정적 증적을 제공하는 NDR을 기반으로 쿼드마이너가 보안 업계의 전문 벤더들과 협력해 오픈 XDR 비즈니스를 펼치는 형태다. 쿼드마이너의 NDR 기술이 풀 패킷을 수집해 NTA와 IDS의 역할까지 수행하는 특징을 갖췄기에 여타 전문 벤더의 솔루션을 조합해 차별화된 XDR 오퍼링을 제안한다.

한편 이와 관련해 의문이 있을 수 있다. 여러 벤더의 솔루션을 조합해 XDR을 구현하는 접근법이라면 기업이 각각 도입하는 것과 무엇이 다른지다. 이는 XDR이 제대로 동작하기 위해서는 컨설팅과 통합 작업을 동반되어야 한다는 특성으로 대답할 수 있다. 

기업 전반에 걸쳐 확장된 탐지와 대응은 결코 ‘솔루션 도입’만으로 구현될 수 없다. 솔루션 도입은 그저 시작일 뿐이다. 기업 고유의 ITSM 운영 프로세스에의 통합, 기존 시스템들과의 통합이 필수적이다. 통합 이후에는 그 결과를 통해 기업이 자동화하려는 보안 운영 프로세스를 플레이북으로 구현하는 최적화 작업이 반드시 요구된다. 아울러 이러한 통합 및 최적화 작업은 일회성일 수 없다. 보안 지형의 변화와 기업 내부의 변화에 맞춰 지속적으로 이뤄져야 할 작업이다. 그런 의미에서 QUAD XDR은 솔루션이라기보다는 도입과 통합 최적화라는 서비스를 모두 아우르는 플랫폼이라는 표현이 적절하다.


QUAD XDR은 보안 운영의 효율성을 극대화하기 위한 오픈 플랫폼 기반의 보안 운영 오케스트레이션과 자동화 방안을 제시한다. 

QUAD XDR을 향한 양극단의 같은 니즈, ‘보안 운영 자동화’
즉 쿼드마이너는 XDR 구현의 전제 조건인 NDR 솔루션을 기반으로 보안 운영 전반의 완전한 자동화를 꾀할 수 있는 오픈 XDR 플랫폼을 구축해 새로운 개념의 보안 플랫폼 서비스인 QUAD XDR을 선보였다. QUAD XDR은 당초 해외 시장을 겨냥한 플랫폼이었지만, 몇몇 국내 기업들이 먼저 찾으며 자연스럽게 비즈니스가 창출되는 양상이다. 

흥미로운 점은 QUAD XDR에 관심을 보이는 기업 규모가 다분히 극단적으로 나뉜다는 것이다. 먼저 산업 기밀을 다루거나 방대한 지점 및 네트워크에 기반해 비즈니스를 영위함에도 불구하고 보안 팀이 아예 없거나 소수인 소규모 조직이다. 이러한 기업은 QUAD XDR이 제시하는 보안 운영 자동화에 매력을 느끼곤 한다.

다른 한편에는 방대한 보안 솔루션 라인업과 보안 조직을 확보한 대기업이 있다. 이들은 제한적인 보안 인력 자원이 범람하는 경고 메시지를 분석하는 데 모두 투입되지 않아도 된다는 가능성에 반색한다. 또 보안 핵심 KPI인 MTTD(Mean Time To Detect), MTTR(Mean Time To Repair)이 실제적으로 급감할 수 있음에 주목한다. 하루에도 100만 건씩 발생하는 SQL 인젝션 공격, 현업 사용자 이메일을 이용한 드라이브 바이 공격과 같은 단순한 공격에 어이없이 데이터가 유출되는 사고를 온전히 차단할 수 있다는 점 또한 간과할 수 없는 매력이다.

XDR의 궁극적 목표는 보안 운영 자동화여야 한다
디지털 트랜스포메이션과, 클라우드 트랜스포메이션, 코로나19가 초래한 비즈니스 환경의 변화는 제로 트러스트 모델로의 변화를 강제했다. 그리고 제로 트러스트를 실현하는 과정에서의 각종 어려움은 XDR 개념의 출현으로 이어졌다. 

이제 스스로를 XDR이라 지칭하는 솔루션들이 다수 존재하는 가운데, XDR 본연의 목표를 새삼 짚어볼 시점이다. 생성형 AI에 SQL 인젝션 공격 코드 생성을 주문하면 1분 만에 변형된 코드가 산출되는 시대다. 시스템이 확정적 증적을 자체적으로 판단하지 못한다면 보안 탐지와 분석은 인간의 손을 벗어날 수 없다. XDR은 완전한 자동화를 지향해야 한다. 기업의 보안 운영도 마찬가지다.

* 본 기고문은 쿼드마이너 김용호 CTO의 발표를 기반으로 작성됐다. ciokr@idg.co.kr