[데이터넷] MDR은 매니지드 보안 서비스(MSS)에서 ‘대응(Response)’ 기능을 강화한 것으로 인식되고 있다. 매니지드 보안 서비스(MSS)는 고객 환경을 분석해 보안관리 대상을 선정하고, 고객 맞춤 보안 솔루션을 운영하고 관리하는 서비스이며, MDR은 위협 탐지와 대응에 초점을 맞춘 서비스다. 보안관제 기업들이 MSS에서 MDR로 고도화하면서 차세대 보안관제로 진화하고 있다고 주장하고 있으며, SOAR를 도입해 광범위한 위협을 가시화하고 자동화 대응한다고 주장한다.
조학수 윈스 부사장은 “전통적인 보안관제는 공격 여부를 모니터링 할 뿐, 정책을 새롭게 생성하고 적용하는 것은 개별 장비에서 진행해야 한다. MDR은 SOAR를 적용해 ‘자동화된 보안운영’이 가능하도록 고도화돼 보안관제 업무를 효율화하고 지능적인 위협에 즉시 대응할 수 있다”고 말했다.
진화하는 위협 대응을 위해서는 네트워크 기반 보안관제 뿐 아니라 엔드포인트와 클라우드 보안 관제도 필요하다. 이 때문에 엔드포인트 침해 탐지 및 대응(EDR)에 대한 매니지드 서비스를 보안관제 서비스와 함께 제공하는 모델도 주목받는다. 안랩은 안랩 EDR의 매니지드 서비스를 제공하는 한편, 기존 MSS에 EDR 관제를 연계해 위협 탐지·대응 역량을 한차원 높였다.
위수복 안랩 부장은 “수학적인 머신러닝만으로 엔드포인트와 네트워크 통합보안관리를 완성할 수 없으며, 분석 전문가의 인사이트가 반드시 적용돼야 한다. 안랩은 MSS 전문성과 엔드포인트 보안 전문성을 결합해 MSS와 EDR 관제 서비스를 연계 적용해 전체 위협에 대응할 수 있는 전략을 제공한다”며 “이를 통해 멀티 클라우드의 복잡한 환경에서도 위협에 체계적으로 대응할 수 있다”고 말했다.
MSS·매니지드 EDR 결합으로 위협 대응 효과 높여
MSS와 매니지드 EDR 서비스는 시만텍 역시 강조하는 분야다. 시만텍은 AI를 적용한 글로벌 위협 인텔리전스(TI)인 ‘글로벌 인텔리전스 네트워크(GIN)와 보안관제센터(SOC)를 연계해 자동화된 대응이 가능하게 함으로써 보안위협을 능동적으로 탐지한다.
시만텍 MSS는 엔드포인트부터 네트워크까지 IT 전반의 위협을 탐지하며, EDR 관제 서비스와 매니지드 네트워크 포렌식 서비스를 추가하면서 SOC 분석가가 최신 위협의 침해지표를 검색하고 위협을 찾고 침해된 시스템을 찾아 조치한다. 또한 한국어 지원을 제공하며 글로벌 인텔리전스와 연동해 최신 위협에 즉시 대응할 수 있다.
시만텍은 MSS 도입 성공사례로 AIG손해보험을 든다. AIG손해보험은 시만텍 MSS를 통해 글로벌 보안 위협 활동과 연계해 현지의 보안 위협을 규명하고 보안 관련 의사 결정 속도를 향상시켰다. 또한 연중무휴 24시간 사내 보안 모니터링 대비 23% 비용을 절감시켰다.
또한 시만텍은 SIEM과 SOAR를 포함하는 위협 탐지·대응 프레임워크 ‘통합 사이버 방어(ICD)’ 플랫폼을 통해 차세대 보안관제 시장의 새로운 관점을 제공한다. ICD는 엔드포인트부터 네트워크, 클라우드까지 지원하며, 시만텍 엔드포인트 보안 솔루션 SEP와 EDR, 매니지드 EDR, 네트워크 포렌식, 프록시 등을 통합관리할 수 있다.
강기호 시만텍코리아 이사는 “기존의 SIEM는 내부 데이터만을 분석했기 때문에 포괄적인 인텔리전스를 확보할 수 없었다. 특히 외부로 나간 데이터는 관리할 수 없었으며, 차세대 보안관제 시스템에서 요구하는 하이퍼 코릴레이션 분석이 어려웠다”며 “멀티 클라우드로 확장되는 환경에서 SIEM은 비즈니스 맥락을 이해하는 위협관리를 제공해야 하며, 차세대 SIEM은 이러한 요구를 만족시킬 수 있어야 한다. 시만텍 ICD는 전방위적인 위협 대응을 위해 필요한 기술을 통합해 차세대 보안관제의 요구를 만족시킨다”고 말했다.
엔드포인트·네트워크 전반 아우르는 ‘XDR’
고도화되는 위협 대응을 위해서는 발견되는 모든 위협을 분석해 공격 전체 가시성을 확보해야 한다. 엔드포인트, 네트워크, 클라우드 전반에서 위협 탐지와 대응을 할 수 있도록 ‘XDR’이 필요하다는 주장도 힘을 얻고 있다. 팔로알토네트웍스가 ‘코텍스(Cortex)’ 플랫폼을 출시하면서 XDR 전략을 구체화하고 있따.
코텍스 작동 방식을 설명하면 엔드포인트와 네트워크, 클라우드에서 위협 정보를 수집해 ‘코텍스 데이터 레이크(Cortex Data Lake)’에 모으고, 이를 ‘코텍스 XDR’에서 분석한다. 코텍스 XDR에는 위협 탐지, 분석, 조사, 침해대응 등을 담당하는 여러 엔진이 통합돼 있다.
김병장 팔로알토코리아 전무는 “코텍스는 엔드포인트, 네트워크, 클라우드 전반에서 위협을 탐지해 공격 전반의 가시성을 확보할 수 있다. 클라우드를 이용해 대량의 데이터도 즉시 분석할 수 있으며, 로그의 유실과 분실이 없어 오탐·미탐을 최소화한 고도회된 대응이 가능하다”며 “방대한 멀티 클라우드 전반에서도 즉각적이고 자동화된 위협 탐지·대응을 지원한다”고 설명했다.
파고네트웍스는 AI 기반 안티바이러스 솔루션 ‘사일런스’와 AI 기반 네트워크 위협 분석(NTA) 솔루션 ‘어웨이크’의 MDR 서비스를 출시하고 XDR 시장을 열어가고 있다. 직접 개발한 ‘TIP(Threat Insights Platform)’을 활용해 엔드포인트와 네트워크에서 탐지한 위협의 수준을 지표화하고 전문 위협 분석 조직이 대응 수준을 판단해 조치하거나 고객사에 알리는 서비스까지 제공한다.
파고네트웍스는 보안 시스템 도입만으로 위협에 대응할 수 없다는 것을 전제로 MDR 서비스를 직접 제공하고 있다. 전문 보안 대응 조직을 통해 고객이 현재 직면한 위협에 대응할 수 있도록 해 고객의 보안 대응 역량을 향상키시고 고급 보안 탐지 시스템의 활용도를 높이도록 한다.
권영목 파고네트웍스 대표는 “MDR은 침해 시도 뿐 아니라 현재 진행 중인 공격까지 파악해 대응할 수 있어야 하는데, 이를 위해서는 침해대응 전문 인력이 필요하다. 파고네트웍스는 이 분야의 전문 인력으로 조직된 위협분석 대응팀을 통해 고객이 보안 문제를 효율적으로 해결할 수 있도록 도와준다”고 말했다.
파고네트웍스의 MDR 서비스는 대형 엔터프라이즈 뿐 아니라 SMB에서도 적극 도입하고 있다. 보안 조직을 갖추지 못한 중소·중견기업들도 MDR 서비스를 통해 보안 수준을 높이고 있다. 특히 최근 랜섬웨어 공격 피해가 늘어나는 병원, POS, 제조공장 등에서 파고네트웍스 MDR 서비스에 높은 관심을 보이고 있다.
