[아이티데일리] 

코로나19, 그리고 보안관제체계의 변화

백신 보급 확대로 코로나19(COVID-19) 팬데믹 사태가 종결되지 않을까 하는 기대는 잠시 접어두고, 알파 변이를 넘어 델타 변이가 대세가 되는 추세 속에서 전 세계를 강타한 이 원인 불명의 바이러스는 약 1년 8개월이라는 시간 동안 공포, 경악, 희망, 적응 등의 단계를 거치며 어느덧 우리들 일상의 한 부분으로 받아들여지고 있다. 그리고 이는 비단 개개인의 삶에 국한되지 않고, 산업 지형 전반에 영향을 주며 많은 변화를 야기하고 있다. 코로나 상황이 종식되더라도 그 이전의 시대로 회귀하지 않을 것이라는, 다시 말해 코로나가 준 변화가 비가역적일 것이라는 흐름 속에 오늘날 보안업계 역시 이에 맞는 보안관제센터(SOC) 운영 방안을 부단히 찾아가고 있다.

과거의 보안관제는 성의 방어 개념과 유사했다. 보호해야 할 자산을 중심으로 긴 성벽을 둘러싸서 그 안으로 아무도 들어오지 못하게 하는, 네트워크를 기반으로 하는 성곽식 보안체계가 가장 기본적이었다.

그러나 다양한 IT 인프라 활용에 따라 정보 자산에 대한 접근 경로와 방식이 다양해진 만큼, 이전에 없던 보안 위협이 등장하거나 공격자가 비집고 들어올 수 있는 틈이 무궁무진해졌다. 사무실 근무와 가상사설망(VPN)을 통한 원격·재택 근무를 병행하는 사용자를 타깃으로 한 계정 탈취 공격이 등장했다. 여기에서 더 나아가 IT뿐만 아니라 클라우드와 운영 기술(OT)·사물인터넷(IoT) 환경을 노리는 사이버 공격은 코로나 시대에 사는 현재와 미래에 더욱더 진화된 형태로 등장할 것으로 보인다.

이렇듯 다양한 환경에 대한 보안 위협이 가시화되면서 그에 대한 대안으로 XDR이 부상하고 있다. 확장된 탐지 및 대응을 의미하는 XDR(eXtended Detection and Response)은 언뜻 EDR(Endpoint Detection and Response)과 유사해 보인다. 그러나 EDR이 엔드포인트 위협에 대한 탐지 및 대응을 위해 필요한 기술이라면, 그에 반해 XDR은 모든 영역에 대한 탐지 및 대응을 아우른다. 한 마디로 엔드포인트 위협뿐만 아니라 클라우드, IoT, 네트워크 등 IT·OT 전체에서 발생하는 위협을 탐지하고 연계 분석한다는, 보다 확장된 개념으로 XDR을 정의할 수 있다.

이러한 배경에서 코로나19가 촉발한 전례없는 변화의 시기에 주목받고 있는 XDR을 통합보안관제 측면에서 살펴보며, 향후 SOC와 보안업계가 나아가야 할 방향에 대해 고민하는 시간을 가져보고자 한다.

통합보안관제, 그리고 XDR

통합보안관제 관점에서 XDR을 어떻게 해석하고 또 적용할 수 있을지에 대해 살펴보기 앞서, 우선 기존의 보안관제 프로세스를 짚고 넘어갈 필요가 있다.

통합보안관제 업무 프로세스는 일반적으로 ‘수집, 탐지, 분석, 대응, 관리’의 다섯 단계로 구분된다. 보다 자세하게는, ▲어떤 데이터를 수집하고 수집된 데이터의 저장 및 관리는 어떻게 할 것인지에 대한 ‘수집(Collection) 단계’ ▲어떻게, 얼마나 빨리 탐지하고 탐지 정책의 관리는 어떤식으로 이뤄질 것인지에 대한 ‘탐지(Detection) 단계’ ▲어떤 방식으로 분석을 하며 분석 범위를 얼마나 넓힐 수 있을 것인지에 대한 ‘분석(Analysis) 단계’ ▲어떻게 대응하고 대응 범위를 얼마나 넓힐 수 있을 것인지에 대한 ‘대응(Response) 단계’ ▲어떻게 통합적으로 관리하고 그 관리 범위를 넓힐 수 있을 것인지에 대한 ‘관리(Management) 단계’를 거쳐 통합보안관제가 수행되게 된다.

그렇다면 이제 앞서 살펴본 ‘확장된 탐지 및 대응’이라는 XDR의 개념을 바탕으로, 통합보안관제 프로세스의 각 단계를 재해석해보도록 하겠다.

■ 수집 확장(Extended Collection Target)
수집 분야의 확장은 SOC 운영에 있어 필수적인 방화벽(FW), 침입방지시스템(IPS), 안티바이러스(AV)와 같은 보안 시스템부터 엔드포인트 대응을 위한 EDR, 네트워크 패킷 분석을 위한 네트워크 탐지 및 대응(NDR) 영역으로까지, SOC 운영 범위 자체의 확대를 통해 다양한 기초 데이터 확보가 가능해진다. 또 IT 영역뿐만 아니라 클라우드, IoT, OT 영역으로까지 수집 범위를 넓힘으로써 융복합적인 SOC 운영을 실현할 수 있다.

■ 탐지 확장(Extended Detection, Analysis and Response)
탐지 분야의 확장은 기본적인 임계치 기반과 패턴 기반의 탐지, SIEM을 통한 빅데이터 기반 상관 분석 탐지를 넘어 AI 기술을 활용한 이상 행위에 대한 탐지까지 그 범위를 확대할 수 있다. 기존 탐지 기술 및 방식으로 탐지하기 어려웠던 알려지지 않은 위협이나 최신 위협, 이상 행위 등을 AI 알고리즘을 통해 식별해냄으로써 날로 고도화되는 보안 위협 대응에 소요되는 시간 또한 크게 단축시킬 수 있다.

■ 위협 인텔리전스 분석 확장(Extended Information & Intelligence)
분석 분야의 확장은 SOC에서 운영 중인 탐지 기반 장비의 이벤트뿐만 아니라 사이버 위협 인텔리전스(Cyber Threat Intelligence) 연동을 통한 국내외 위협 정보와 자산 정보, 취약점 정보 등을 분석 시스템에 통합 적용하여 분석 범위 및 정확도를 넓힐 수 있다. 탐지된 이벤트에 위협 인텔리전스를 접목하여 신변종 보안 위협과 연계되어 있는지 확인하는 등 한 차원 높은 수준의 분석 체계 구축이 가능하다.

■ 대응 확장(Extended Response)
디지털 전환이 가속화됨에 따라 기존의 보안 체계로는 예측하기 어려운 복합적인 사이버 공격이 증가하고 있으며, 송유관 해킹과 같은 국가기반시설을 노리는 공격이 더욱 정교하고 빈번해지는 추세다. 그러나 이렇듯 사이버 공격은 날로 진화를 거듭하고 있는 것에 반해 SOC는 여전히 전문 인력에 의한 수동 대응 중심의 운영에 머무르고 있다. 이에 SOAR(Security Orchestration, Automation and Response, 보안 오케스트레이션·자동화 및 대응)를 통한 플레이북(Playbook) 기반의 자동화된 대응 구현이 대응 분야의 확장을 위한 핵심 기술로 주목 받고 있다.

SOAR는 솔루션, 업무 절차, 위협 정보 등 수많은 요소들을 하나의 과정으로 묶은 플레이북에 기반해 단순 반복적인 프로세스를 표준화된 절차에 따라 자동 처리함으로써, 대응 과정과 시간을 단축하고 위협 판단 및 대응 품질을 상향 평준화할 수 있다.

■ 보안관제 영역 확장(Extended Managed Security Spectrum)
보안관제 분야의 확장은 API 연동 등의 방식을 통해 SIEM을 중심으로 국내외 이기종 보안 솔루션 및 업무 시스템을 연계해 SOC 환경에서 수집, 탐지뿐만 아니라 차단과 격리 조치까지 일괄 수행이 가능하도록 하는 보안관제 오케스트레이션(Orchestration) 구현을 의미한다.

그리고 지금까지 살펴본 각 단계별 확장성을 포함한 새로운 XDR 통합보안관제 플랫폼은 다음과 같이 제안해볼 수 있다. 보안관제 프로세스 각 영역의 깊이와 넓이의 확장을 목표로 여러 솔루션을 통합하게 되면서, 궁극적으로는 급변하는 환경 속에서 보다 효율적이고 효과적인 SOC 운영이 가능하도록 하는 한층 강화된 통합보안관제체계가 완성됐다.

사실 지금으로서 XDR은 아직 초기 시장이기 때문에 명확한 정의나 범위에 대한 의견이 분분하며 그 어떤 시각이 맞다고 단언할 수도 없는 상태다. 그러나 모든 신기술이 그렇듯 환경과 시장이 요구하는 대로, 또 기대와 현실 사이 간극에 어느 정도 타협하면서, 시간의 흐름에 따라 자연스럽게 자리 잡을 것으로 생각된다.

그러면서 초반 IT에 제한적이었던 적용 범위는 점차 클라우드, OT, IoT 등의 영역으로 확대되고 또 향후에는 여러 환경을 긴밀하게 통합할 수 있는 플랫폼으로, 안정적인 SOC 운영을 위한 기본적인 통합보안관제체계로의 발전을 거듭할 수 있길 기대하는 바다.