XDR, 과연 우리 회사에도 필요할까?
솔직히 처음 XDR(eXtended Detection and Response)이라는 솔루션 이름을 들었을 때, ‘또 새로운 비싼 장비 도입하나’ 싶었습니다. 이미 저희 회사는 네트워크 보안을 위해 WAF(Web Application Firewall)도 구축했고, 엔드포인트 보안을 위한 기본적인 백신 프로그램도 사용 중이었죠. 게다가 최근 강화된 데이터3법과 관련해서는 여러 보안 컨설팅을 받으며 필요한 조치들을 이미 진행하고 있었기에, XDR이라는 게 기존 솔루션들과 얼마나 큰 차이를 만들어낼지 의구심이 들었습니다. 주변 보안 업체 담당자들은 ‘최신 트렌드’라며 XDR 도입을 적극 권했지만, 저는 좀 더 신중하게 접근하고 싶었어요. 솔직히 말해서, ‘이게 정말 돈 값을 할까?’ 하는 생각이 계속 머릿속을 맴돌았죠.
실제 겪었던 상황: 보안 사고와 XDR의 필요성
그런데 작년 말, 저희 협력업체 중 하나가 랜섬웨어 공격을 당했습니다. 해당 업체는 저희와 민감한 데이터를 주고받는 관계였고, 다행히 직접적인 피해는 막을 수 있었지만, 그 과정에서 저희 쪽 시스템으로의 침투 시도가 있었다는 것을 로그를 통해 확인했습니다. 당시 저희 보안팀은 여러 보안 솔루션에서 발생하는 수많은 경고 알림을 분석하느라 정신이 없었죠. 개별 솔루션들은 각자 ‘이건 이상하다’고 알림을 보내고 있었지만, 이 알림들이 서로 어떻게 연결되어 하나의 큰 공격으로 발전하는지를 파악하는 데는 상당한 시간이 소요되었습니다. 즉, 각기 다른 보안 프로그램들이 보내는 신호들을 종합적으로 분석하고 대응하는 데 한계가 있다는 것을 절실히 느낀 순간이었죠. 이때부터 ‘만약 우리 시스템까지 침투했다면?’ 하는 불안감이 현실로 다가왔고, XDR 도입에 대한 필요성을 본격적으로 느끼기 시작했습니다.
XDR 도입 후 기대와 현실의 차이
XDR 도입을 결정하고 나서, 기대했던 가장 큰 변화는 역시 보안 가시성의 향상이었습니다. 여러 보안 솔루션에서 발생하는 알림을 한곳에서 통합적으로 보고, 이를 기반으로 공격의 전체 흐름을 파악할 수 있다는 점이 매력적이었죠. 예전에는 담당자가 밤새워 로그를 분석하고, 다른 팀에 연락해서 추가 정보를 얻어야 했다면, XDR 도입 후에는 훨씬 빠르게 이상 징후를 탐지하고 대응할 수 있을 것으로 기대했습니다.
실제로 도입 후, 몇 가지 알려지지 않은 위협들을 조기에 탐지하는 데 성공했습니다. 예를 들어, 특정 PC에서 비정상적인 파일 실행 시도가 있었는데, 평소라면 단순 악성코드 탐지로 끝났을 것을 XDR이 네트워크 트래픽 분석과 연동하여 좀 더 심각한 공격으로 이어질 수 있는 패턴임을 파악하고 선제적으로 차단할 수 있었습니다. 이건 분명 이전에는 어려웠던 부분이었죠.
하지만, 모든 것이 완벽하지는 않았습니다. XDR 솔루션 역시 모든 종류의 위협을 완벽하게 잡아내지는 못했습니다. 특히, 저희가 클라우드 기반의 업무 시스템을 다양하게 활용하고 있는데, 이 클라우드 환경과의 연동이 완벽하지 않은 부분에서는 여전히 사각지대가 존재했습니다. 또한, XDR 솔루션에서 발생하는 알림의 양이 너무 많아 오히려 ‘알림 피로(alert fatigue)’를 느끼는 경우도 있었습니다. 결국, XDR이 보내주는 정보를 바탕으로 정말 중요한 알림이 무엇인지 걸러내는 작업 역시 필요하다는 것을 깨달았죠. 예상했던 것보다 솔루션 자체의 기능만큼이나, 이를 운영하고 분석하는 사람의 역량이 중요하다는 점을 다시 한번 느꼈습니다.
XDR 도입, 그래서 결론은?
XDR 도입은 분명 보안 강화에 큰 도움이 될 수 있습니다. 특히, 여러 보안 솔루션을 분산해서 사용하고 있고, 이 솔루션들 간의 연동 분석에 어려움을 겪고 있다면 XDR은 좋은 선택지가 될 수 있습니다. 저희의 경우, 기존 솔루션들을 통합적으로 관리하고 공격의 전 과정을 시각적으로 파악하는 데 considerable한 진전을 이루었습니다. 가격대는 솔루션 종류와 규모에 따라 다르겠지만, 저희는 도입 및 구축에 약 5,000만 원에서 1억 원 정도의 예산을 투입했고, 구축 완료까지 약 3개월 정도 소요되었습니다.
하지만 주의할 점도 있습니다. 모든 회사가 XDR을 도입해야 하는 것은 아닙니다. 만약 보안 솔루션을 몇 가지 사용하지 않고, 자체적으로도 로그 분석 역량이 뛰어나다면 굳이 추가적인 비용을 들여 XDR을 도입할 필요는 없을 수 있습니다. 또한, XDR 솔루션은 도입 자체보다 지속적인 운영과 분석 역량이 더 중요합니다. 아무리 좋은 솔루션을 도입해도 이를 제대로 활용하지 못하면 무용지물이 될 수 있습니다. 제 경험상, XDR 도입을 고려한다면 단순히 기능만을 비교하기보다는, 우리 회사의 IT 환경과 보안 인력의 역량을 충분히 고려해야 합니다.
이건 이런 분들에게 추천합니다.
- 여러 종류의 보안 솔루션을 사용하고 있으며, 이들을 통합적으로 관리하고 싶은 조직
- 탐지된 위협의 근본 원인을 파악하고, 공격의 전체 흐름을 시각적으로 이해하고 싶은 보안팀
- 보안 사고 발생 시, 빠른 탐지와 대응 시간을 단축하고 싶은 조직
이런 분들은 좀 더 신중하게 고려하세요.
- 보안 솔루션 도입 및 운영 예산이 매우 제한적인 소규모 조직
- 이미 자체적으로 강력한 보안 분석 및 통합 관리 시스템을 갖춘 조직
- XDR 솔루션 운영 및 분석을 담당할 전문 인력이 부족한 조직
현실적인 다음 단계
XDR 도입을 고려하고 있다면, 바로 솔루션 구매로 이어지기보다는 POC(Proof of Concept, 개념 증명)를 먼저 진행해보는 것을 추천합니다. 우리 회사 환경에서 실제로 XDR 솔루션이 어떻게 작동하는지, 예상했던 효과를 볼 수 있는지 검증하는 과정이 반드시 필요합니다. 몇몇 벤더들은 이러한 POC 프로그램을 제공하고 있으니, 이를 적극 활용해보세요. 다만, POC 기간 동안에는 벤더의 지원 외에도 자체적인 테스트 및 평가에 충분한 시간과 노력을 투자해야 합니다.
한 가지 명심해야 할 점은, XDR은 마법 지팡이가 아니라는 것입니다. 복잡한 보안 위협을 완전히 제거해주는 만능 해결책이라기보다는, 기존 보안 체계를 강화하고 운영 효율성을 높여주는 도구로 이해하는 것이 좋습니다. 즉, XDR 도입만으로 모든 보안 문제가 해결될 것이라는 환상은 버리는 것이 정신 건강에 이롭습니다.
WAF와 백신도 사용하고 데이터3법 대응까지 하셨다니, XDR을 도입할 때 기존 보안 투자 대비 효과를 따지는 게 당연하네요. 통합 가시성 확보는 정말 중요한 부분인 것 같아요.