[디지털투데이 황치규 기자] 제로 트러스트 말고 요즘 보안 분야에서 많이 회자되는 또 하나의 버즈워드(Buzzword)가 있으니 바로 XDR이다. 풀어 쓰면 확장된 탐지 및 대응(extended detection and response)인데, 언제부터인가 보안 시장에서 미래를 상징하는 아키텍처로 통하는 분위기다.

최근 미국에서 열린 RSA 보안 컨퍼런스에서도 XDR은 제로 트러스트와 함께 행사 곳곳에서 볼 수 있는 키워드였다는 후문이다.

IT시장 조사 전문 업체 가트너는 2027년까지 조직들 40%가 XDR을 도입할 것이라는 낙관적인 전망을 내놨다. 2021년 XDR을 도입한 비중이 5%였음을 감안하면 가파른 상승세를 예고한 셈이다.

XDR을 향한 업체들의 움직임도 빨라지고 있다. 마이크로소프트, VM웨어, 시스코, 팔로알토네트웍스, 크라우드스트라이크, 시큐어웍스, 센티넬원, 트렐릭스, 소포스 등 보안 시장에서 힘 꽤나 쓰는 회사들이 이미 XDR이란 이름이 붙은 제품을 내놨다.

6월 말 프로토콜 보도를 보면 34개 보안 업체들이 XDR 제품을 팔고 있는 것으로 확인됐다. 매니지드 XDR 서비스 제공 업체들은 제외된 수치다. 

큰틀에서 보면 XDR은 기업 IT 환경에 걸쳐 모든 데이터들이 상호 관련성이 있고 전체적으로 분석될 수 있을 때 보안이 가장 효율적이라는 전제를 밀바탕에 깔고 있다. 공격자는 조직 한 시스템을 먼저 침투한 뒤 다른 시스템들로 이동하는 것을 것을 감안하면 보안 팀들이 엔드포인트, 네트워크, 애플리케이션, 클라우드 인프라 어느 하나만 살피면 공격자가 무엇을 하고 있는지에 대해 단면 밖에 볼 수 없다. 그런 만큼 전체를 함께 볼 수 있어야 랜섬웨어 같은 공격을 초기 단계에서 막을 수 있다는 것이 XDR이 담고 있는 주요 메시지다.

XDR 옹호론자들은 XDR 접근을 수용하면 과도한 경고들, 위협 우선순위를 매기는데 따르는 어려움, 너무 많은 툴 등 보안 팀들이 직면한 시급한 이슈들 중 많은 것들을 해결할 수 있다고 강조한다. 

XDR에 초점을 맞춘 보안 업체인 시큐어웍스의 웬디 토마스 CEO 겸 사장은 "XDR은 침해로부터 피해를 실제로 막을 수 있고, 부족한 보안 인재 풀(Pool)로도 보안을 확장하고 깊숙하게 자동화할 수 있는 방법"이라고 말했다.

XDR을 둘러싼 판이 점점 커지는 반면, 보안 업계 내부에선 XDR의 실체를 놓고 논쟁도 심심치 않게 불거지고 있는 모양새다. 지금 단계에선 진정한 XDR을 구성하는 것이 무엇인지에 대해 업계 관계자들 사이에서 합의가 거의 없는 상황이라고 프토토콜은 전했다.

맨디언트의 마셜 헤일먼 CTO는 "모든 조직들이 그들이 원하는 방식대로 XDR을 정의하고 있기 때문에 XDR이라는 용어에 대해 말하는 것은 어렵다"면서 "산업 애널리스트들도 XDR이 무엇인지 확정하지 못하고 있다"고 지적했다.

크라우드 스트라이크의 미첼 센토나스 CTO는 "XDR은 보안 산업에서 가장 잘못 사용되거나 남용되고 있는 용어들 중 하나"라고 꼬집었다.  EDR(endpoint detection and response) 회사로 유명한 크라우드 스트라이크는 지난해 가을 XDR로 영토를 확장했다.

요즘 XDR에서 X는 확장된(extended)이란 의미로 통하는데, 처음부터 그랬던 건 아니다.

니르 주크 팔로알토 네트웍스 CTO가 2018년 중    반 회사 행사에서 XDR을 발표할 때만 해도 X는 애니싱(anything)을 상징했다. 공격자가 공격에서 활용할 수 있는 어떤 유형의 시스템을 의미했다.

판이 커지고, 업체간 경쟁도 치열해지면서 XDR이라는 용어는 점점 세분화되고 있다. XDR에 대해서도 합의된 업계 정의가 없는 상황에서 하이브리드 XDR, 오픈XDR, 네이비브 XDR까지 등장했다.

프로토콜에 따르면 여러 업체들 도구들이 제공하는 데이터를 사용하는 XDR이 오픈XDR, 팔로 알토네트웍스, 마이크로소프트, 시스코 같은 단일 업체 도구에 이는 데이터를 쓰는 경우 네이티브 XDR로 불리운다.

오픈XDR와 네이비브 XDR은 각각의 장점이 있지만 둘중 어느것이 우위에 있는지를 놓고 갑론을박도 심심치 않게 벌어진다. 오픈XDR의 경우 서드파티 도구들이 효과적으로 통합돼 있지 않으면 실제로는 단점일 수 있다는 지적도 있다.

포레스터 리서치의 앨리 멜렌 애널리스트는 "오픈XDR은 고객들이 이미 투자한 제품들에서 데이터 피드를 통합함으로써 기존 보안 도구들을 활용하는 유연한 상품으로 강조되고 있다"면서도 "닥치는 대로 통합을 개발하고 가능한 한 많은 것을 지원하려고 한다면 탐지 품질이 높게 유지될 수 있을지는 의문"이라고 말했다.

XDR 목표는 보안 팀 경험을 보다 잘 조정하고 선별하는 것이므로 통합을 잘 관리하는 것이 중요하다는 것이 그의 설명이다.

어떤 출신 성분 회사들이 XDR을 제대로 할 것이냐를 놓고서도 설왕설래가 오가고 있다. 프로토콜 보도를 보면 EDR을 잘하는 회사들이 XDR에서도 상대적으로 유리하다는 메시지가 부각된 듯 하다.

맥아피 엔터프라이즈와 파이어아이 합병으로 탄생한 트렐릭스의 경우 네이티브 XDR과 오픈XDR 방식을 통합해 XDR 시장에서 선도 업체가 되겠다는 비전을 내걸었다.

브라이언 팔마 트렉릭스 CEO는 "XDR은 차세대 SIEM( security information and event management)이 아니다. XDR은 보다 광범위하다. XDR은 플랫폼으로 새로운 수준의 아키텍처를 만들기 위해 역량들을 합치는 것이다. XDR은 차세대 SIEM"이라고 말했다.

그에 따르면 XDR 회사는 엔드포인트 탐지와 보안 운영 역량을 제공할 수 있어야 한다. 그는 "엔드포인트가 없다면 어떻게 XDR 시장에서 유망한 플레이어인지 알수는 없다. 진정한 XDR이려면 엔드포인트 역량이 있어야 한다"고 말했다.

보안 운영의 경우 XDR은 자동으로 다양한 환경들에 걸쳐 탐지된 보안 이슈들간 상관 관계를 찾아 보안 애널리스트들이 추가 조사를 할 수 있도록 발견한 것들을 제시해야 한다는게 그의 설명이다.

XDR에서 탐지(detection)와 함께 또 한축을 이루는 대응(response)의 경우 많은 XDR 회사들은 부족한 부분이 있다는 지적도 있다. 프로토콜 보도를 보면 센티넬원의 니콜라스 워너 사장은 "누구나 알람을 생성할 수 있지만 아무나 실제로 대응을 지휘하고 자동적이고 효과적인 대응을 할 수 것은 아니다. 이것이 XDR와 SIEM의 차이"라고 말했다. 또 대응은 EDR 회사들이 순수 XDR 회사들에 비해 유리한 부분이라고도 덧붙였다.

XDR은 제로 트러스트와 함께 미래 보안 아키텍처를 이끌 키워드로 주목받고 있지만 실체를 놓고 업체들 비전과 생각이 충돌하는 경우가 아직은 많은 상황인 것 같다. 시장 자체보다 용어가 너무 앞서 나간다는 시선도 꽤 엿보인다. XDR 플랫폼을 제공하는 쿼리닷AI(Query.AI)의 공동 창업자이자 COO인 앤드류 말로니는 "오픈XDR이든 네이티브XDR을 얘기하든 버즈(Buzz)가 시장을 앞서고 있다"고 말했다.