사람들은 코로나19 바이러스 감염을 예방하기 위해 마스크를 착용한다. 사이버 세계에도 정보 보안을 위한 마스크가 존재하지만 보안 사고는 지속적으로 발생한다. 편의성과 보안성은 반비례하고, 보통 공격기술이 방어기술보다 먼저 출현하기 때문이다.
사이버 공격에 대한 대응 기술은 이전 기술들의 한계에 따른 새로운 공격 기술의 출현으로 개발 및 보강돼왔다. 대응 기술의 진화는 ‘기술 자체’와 ‘패러다임의 변화’, 이 두가지 관점에서 살펴볼 수 있다. 먼저 기술 관점에서 대응 기술의 진화는 네트워크 패킷 제어-내용 제어-인텔리전스 기반 로그 분석-가상화 기반 행위 분석-AI 기반 분석 순으로 진화해왔다. 그에 따른 기술력과 그 대상도 달라졌다. 이제는 이전 기술들이 AI와 접목되어 탐지 정확성을 높여주는 방향으로 발전하고 있다.
패러다임 관점에서 보안 대응의 가장 큰 변화는 초창기 네트워크 기반 차단 위주의 보안에서 탐지, 더 나아가 공격의 원인을 분석하여 효과적인 대응 및 향후 예방까지 가능해야한다는 것이다. 따라서 네트워크 분야에서는 NDR(Network Detection and Response)이, 엔드포인트 분야에서는 EDR(Endpoint Detection Response) 솔루션이 제시됐다.
EDR과 NDR같은 비교적 최근에 출시된 솔루션들의 경우 AI와 행위 기반 분석 기술을 포함하나, 아직까지 탐지 결과에 대한 추가 분석 공수가 필수적이다. 탐지 결과가 틀릴 수도 있기 때문이다. 향후 보안 솔루션은 AI 기술이 발달함에 따라, 탐지 정확도를 높여 사람의 손길이 줄어드는 추세로 발전할 것이다. 하지만 그 과정에서 사람의 수동 작업은 필수적이며 이는 AI 발전에 많은 영향을 줄 것이다.
결국 신 기술로 탐지한 보안공격 중 비교적 높은 정확도로 잡힌 결과는 사전에 차단하고, 그 외 낮은 가능성에 있는 결과들은 사람의 추가 분석(Hunting)이 필요한 상황이다. 그래서 나온 개념이 MDR(Managed Detection and Response)이다.
MDR 서비스는 고객의 네트워크 및 호스트 계층에서 탐지된 위협들을 분석하고 대응하는 서비스 또는 아웃소싱 된 행위를 말한다. 기존 보안관제 서비스는 주로 네트워크 기반 위협들을 분석, 비교적 정확도가 높은 탐지 결과를 바탕으로 분석보다는 대응 위주의 서비스를 제공해왔다.
허나 AI, 사용자행위분석(UBEA)와 같은 신규 대응기술은 정확도가 높지 않고 엔드포인트 계층의 상세분석을 해야 하는 등, 기존 보안관제서비스보다 공수 분석을 더 필요로한다. 신규 기술과 솔루션들은 계속해서 출시되고있는데 그에 대한 관리 서비스는 비어있는 셈이다. 따라서 그 영역을 MDR이 매꿔주게 됐다. 이미 해외에서는 30여개의 MDR 전문 업체가 생겨나 기존 보안관제서비스와 차별점을 내세워 분석과 대응서비스를 제공중이다.
관련기사
- 에스넷시스템, 의료 AI '아이도트' 솔루션 中 공급2020.04.27
- 에스넷시스템, 서울 지하철 CBM 솔루션 구축 사례 발표2020.02.19
- 에스넷시스템, 26일 클라우드 관리 솔루션 '오션4.0' 공개2019.11.22
- 굿어스데이터, 아트박스 쇼핑몰 오라클 클라우드로 전환2019.09.20
MDR 서비스에 활용되는 대표적 솔루션은 NDR과 EDR이 있는데 이 둘은 상호 보안적으로 운영될 수 있다. 굿어스 보안사업팀은 2017년부터 NDR솔루션 벡트라(Vectra)를 고객에게 제공 중이며, 올해는 차세대 백신 EDR 솔루션인 VM웨어의 카본블랙(Carbonblack) 리셀링사업과 더불어 MDR 서비스를 출시했다.
현재 기존 백신은 차세대백신으로 대체되거나 EDR이 추가되는 양상을 보이고 있다. 보안 솔루션도 공격 차단의 개념에서 탐지, 분석, 예방으로 패러다임이 변화하고 있다. 대응 기술이 진보하고 발전하고 융합하여 신종 공격과 지능 공격을 탐지하고 방어할 수 있다고 해도 결국에는 사람의 개입이 있어야만 한다. MDR 서비스는 인력과 비용이 한정된 현 보안관리 이슈를 풀어갈 수 있는 좋은 대안이 될 것이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
