[인터뷰] "XDR 미래, 사이버공격 줄거리에서 방어 지점 찾아내야"

실시간
뉴스

보안

[인터뷰] "XDR 미래, 사이버공격 줄거리에서 방어 지점 찾아내야"

디지털데일리 발행일 2025-02-23 11:44:38

김보민 기자

URL복사

오피르 이스라엘(Ofir Israel) 체크포인트소프트웨어테크놀로지스 위협예방 부문 부사장 [ⓒ체크포인트]

[디지털데일리 김보민기자] "사이버 공격자는 끈질기고 은밀하게 위협을 하지만, 단 한 번의 실수로 덜미가 잡힐 수 있습니다. 여기서 확장탐지및대응(XDR)의 미래를 볼 수 있죠. XDR로 공격 줄거리(스토리라인)을 만든 뒤, 방어가 가능한 단 하나의 지점을 찾는 것이 중요해질 것입니다."

오피르 이스라엘(Ofir Israel) 체크포인트소프트웨어테크놀로지스(이하 체크포인트) 위협예방 부문 부사장은 태국 방콕에서 <디지털데일리>를 만나 이렇게 밝혔다. 글로벌 보안 기업들이 미래 먹거리로 XDR을 꼽고 도전장을 내민 가운데, 공격 흐름부터 방어 전략까지 제시할 수 있는 곳이 승자가 될 수 있을 것이라는 취지다.

XDR은 공격 벡터에 대한 통합 가시성을 제공해, 조직이 사이버 위협으로부터 보안 대책을 세울 수 있도록 돕는 방식을 뜻한다. 기존 계층적 보안 방식이 통합 가시성을 제공하기 어렵다는 한계가 있어, 이를 보완할 대안으로도 여겨지고 있다. 계층적 보안 방식은 엔드포인트탐지및대응(EDR), 네트워크트래픽분석(NTA), 보안정보및이벤트관리(SIEM) 등을 토대로 워크스테이션부터 클라우드까지 방어를 구현할 수 있지만 분산 형태로 가동돼 한눈에 현황을 살펴보기 어렵다는 특징이 있다.

이스라엘 부사장은 XDR의 핵심이 '스토리라인'에 있다고 강조했다. 그는 "공격자는 엔드포인트에서 위협을 가할 수도 있지만, 아이디(ID) 자격증명을 훔치는 등 엔드포인트에서 식별할 수 없는 영역에서도 위협을 가할 수 있다"며 "XDR은 두 가지 환경을 결합한 보안 체계를 만들자는 목적으로 시작된 것"이라고 설명했다. 이어 "XDR에서 가장 흥미로운 점은 모든 (위협) 신호를 결합하면 공격이 발생했다는 사실뿐만 아니라, 어떤 일이 일어났는지에 대한 이야기(스토리)도 알려준다는 것"이라며 "일종의 자동화된 사건(인시던트) 대응을 수행하는 역할"이라고 표현했다.

일례로 컴퓨터에서 멀웨어를 발견했을 때, 유입 경로부터 방식을 파악하는 것이 XDR이 방어 대책을 세우는 첫 시작이 될 수 있다는 것이다. 이스라엘 부사장은 "사용자 자격 증명이 도난당했거나 피싱 메일로 감염이 발생했다는 점을 파악했다면 공격 원인을 차단하기 쉬워진다"며 "스토리라인을 만들고, 근본 원인을 찾아서 해결하고, 공격을 차단하는 것이 기본"이라고 부연했다.

일각에서는 XDR이 과도하게 '자동화'에 의존한 보안 전략이라는 지적을 제기하기도 한다. 자동화 기반 보안 전략이 자칫 오류를 낼 수 있다는 우려다. 이와 관련해 이스라엘 부사장은 "결국 인공지능(AI)이 자율적으로 작동할 수 있으려면 기술에 대한 신뢰가 있어야 한다는 점을 보여주는 부분"이라며 "XDR뿐만 아니라 사이버보안과 자율 보안운영센터(SOC)에서도 심리적 장벽이 있는 것은 마찬가지"라고 분위기를 전했다.

현재 XDR 시장에서 활약하고 있는 보안 기업으로는 팔로알토네트웍스, 트렌드마이크로, 포티넷, 크라우드스트라이크가 있다. XDR 시장이 연평균 20% 이상 성장할 것이라는 조사 결과가 쏟아지고 있는 가운데, 체크포인트는 '규모의 경쟁'에 자신감이 있다는 입장이다.

이스라엘 부사장은 "체크포인트는 작고 큰 게이트웨이를 비롯해 클라우드 보안부터 방화벽까지 기술력을 갖추고 있다"며 "고객에게 XDR을 제공할 때 모든 기술을 통합할 수 있다"고 말했다. 이어 "다른 벤더들 또한 비슷한 전략을 꾀하지만, 애플리케이션프로그래밍인터페이스(API)를 끌어와 타사 솔루션을 연계한다는 차이점이 있다"며 "다른 회사와 연계해 XDR을 구현할 경우, 로그 정보와 데이터 뉘앙스를 모두 파악해야 한다는 복잡성이 있다"고 설명했다.

AI 사용에도 차이점이 있다고 자신했다. 이스라엘 부사장은 "일부 벤더는 '인간을 돕는다'는 목적 하에 위협을 탐지하고 스토리를 설명하는 기능을 제공하지만, 역설적으로 보안 솔루션을 가동하기 위해 인간이 일을 해야 하는 일이 발생하곤 한다"며 "체크포인트는 XDR을 제공할 때에도 에이전트 아키텍처를 사용해 AI 사용 방식을 차별화하고 있다"고 말했다.

체크포인트는 올해 XDR 사업 전략을 강화하는 데 집중할 계획이다. 이스라엘 부사장은 "현재 데이터 소스를 결합하는 작업에 집중하고 있고, 데이터 간 상관관계를 강화할 예정"이라며 "AI 영역에서 자율성을 높이고, 에이전트를 추가해 자동화된 대응이 가능하도록 할 것"이라고 강조했다.