기업들의 신기술 개발은 지속 가능한 경영의 핵심입니다. 이 순간에도 수많은 기업은 신기술 개발에 여념이 없습니다. 기술의 진화는 결국 인간 삶을 바꿀 혁신적인 제품 탄생을 의미합니다. 기술을 알면 우리 일상의 미래를 예측해볼 수 있습니다. 각종 미디어에 등장하지만 독자들에게 아직은 낯선 기술 용어들. 그래서 뉴스핌에서는 'Tech 스토리'라는 고정 꼭지를 만들었습니다. 산업부 기자들이 기업들의 '힙(hip)한' 기술 이야기를 술술 풀어 독자들에게 전달합니다.

[서울=뉴스핌] 양태훈 기자 = 국내 이동통신 3사(SK텔레콤·KT·LG유플러스) 이용자들의 개인정보가 최근 연이은 해킹 공격에 의해 유출되면서, 국가 기간통신망의 보안 취약성이 도마에 올랐습니다.

이번 해킹으로 통신 3사 이용자들의 휴대전화 번호부터 가입자식별번호(International Mobile Subscriber Identity, IMSI), 유심 인증키, 국제단말기식별번호(International Mobile Equipment Identity, IMEI), 실명 및 계정 정보 등 민감한 개인정보가 대량으로 유출됐습니다. 해커들은 내부망 침투 후 다수 서버에 악성코드를 설치하거나, 불법 초소형 기지국과 협력사 네트워크를 통한 공급망 공격 등 복합적인 방식을 사용했습니다.

사이버보안과 침해사고 대응을 전담하는 한국인터넷진흥원(KISA)은 해킹 피해 접수 직후 현장 조사단을 파견해 악성코드 분석과 확산 방지 조치를 진행, 과학기술정보통신부는 재발방지를 위해 직권조사 권한 강화와 침해사고조사심의위원회 설치 등의 제도 개선을 추진 중입니다.

그러나 보안 업계에서는 이번 사태를 계기로 통합 가시성과 자동 대응을 갖춘 '확장 탐지 및 대응(Extended Detection & Response, XDR)'과 '관리형 XDR(Managed XDR, MXDR)' 등 통합형 보안 기술이 차세대 보안 패러다임으로 떠오르고 있습니다. 기존의 분절된 보안 시스템으로는 최근의 고도화된 사이버 공격을 효과적으로 막아낼 수 없다는 한계가 명확하게 드러났기 때문입니다. 

◆ '공격의 맥락'을 읽는 통합 보안 체계 'XDR'·'MXDR'

'XDR'은 기업 내 각종 보안 시스템에서 발생하는 데이터를 통합해 위협의 전체 흐름을 분석하는 기술입니다. 엔드포인트, 네트워크, 이메일, 클라우드 등에서 생성되는 로그와 이벤트를 한 플랫폼에 모아 AI 기반으로 상관분석함으로써, 다단계·다벡터 공격의 징후를 조기에 탐지할 수 있습니다.

기존의 '엔드포인트 탐지 및 대응 솔루션(Endpoint Detection and Response, EDR)' 기술이 단일 보안 장비가 개별 이벤트를 탐지하는 데 그쳤다면, XDR은 이들 간의 연관성을 분석해 '공격의 맥락(Context)'을 파악하는 게 특징입니다. 예컨대 감염 단말의 격리, 의심 IP 차단, 관리자 경보 등 자동화된 대응 절차를 신속히 실행함으로써 평균 대응 시간을 크게 줄일 수 있습니다.

가트너 '보안 운영 하이프 사이클(Hype Cycle for Security Operations)'. [자료=가트너]

시장조사업체 가트너(Gartner)는 보안 분야의 트렌드를 조사한 '보안 운영 하이프 사이클(Hype Cycle for Security Operations)' 보고서에서 XDR을 여러 보안 구성 요소의 데이터를 자동 수집·분석해 통합적으로 위협을 탐지·대응하는 플랫폼으로 정의하고, 향후 보안 운영의 핵심 기술로 꼽았습니다.

다만, 가트너는 XDR이 통합보안과 관련한 주력 시스템이 되기 위한 단계인 환멸기(Through of Disillusionment)에 놓여있다고 분석했습니다. 엔드포인트부터 네트워크, 클라우드, 이메일 등 다양한 도메인의 데이터를 통합하기 복잡하고, 이를 운영하고 분석할 수 있는 전문 보안 인력 부족 등의 한계를 극복해야 계몽기(Slope of Enlightenment)로 나아갈 수 있다고 본 것입니다.

실제로 XDR에 대한 전망은 밝습니다. 시장조사업체 마켓앤마켓(MarketsandMarkets)은 글로벌 XDR 시장 규모가 2023년 37억 2000만 달러에서 올해 79억 2000만 달러로 112.9% 성장하고, 2030년에는 308억 6000만 달러에 이를 것으로 전망한 바 있습니다.

'안랩 XDR' 개념도. [자료=안랩]

이런 가운데, XDR 기술을 서비스 형태로 제공하는 MXDR 역시 주목받고 있습니다. MXDR은 기업 내부에 XDR 플랫폼을 단순 도입하는 수준을 넘어, 보안 전문업체의 인력과 운영 역량이 결합된 통합 보안 관제 서비스를 제공하는 게 특징입니다. 예컨대 조직 내부의 위협을 다각도로 분석하고, 위험도에 따라 대응 우선순위까지 지정해 선제적 대응이 가능한 지능형 보안 인프라의 역할을 수행할 수 있습니다. 구체적으로 조직 내 모든 보안 영역에서 발생하는 데이터를 실시간으로 수집하고 통합하는 것에서 나아가 AI를 통해 수집한 방대한 데이터를 실시간으로 분석, 보안 전문가로 구성된 전담팀이 최종적으로 위험 요소를 고려해 최적의 대응 방안을 실시간으로 결정할 수 있습니다. 

◆ 통신사 해킹 이후 달라진 보안 전략…SK쉴더스·안랩, MXDR 선점 경쟁

한국인터넷진흥원은 이번 해킹 사태 이후, 각 기업에 유사 침해사고 대응을 위한 백도어 탐지, 비정상 프로세스·숨은 포트 점검과 함께 EDR·XDR 기반 전수검사를 권고했습니다. 이에 따라 XDR 도입에 대한 관심이 빠르게 확대되고 있습니다. 특히 보안 예산과 인력 확보에 한계가 있는 중견기업 및 스타트업을 중심으로 빠르게 확산되고 있는 상황입니다.

국내 기업 중에서는 대표적으로 'SK쉴더스'와 '안랩'이 MXDR 서비스를 제공하고 있습니다. 먼저, SK쉴더스는 보안 관제 플랫폼 '시큐디움(Secudium)'을 AI 기반 MXDR 체계로 확장하기 위해 2026년까지 총 200억원을 투입한다는 계획입니다. 올해 상반기 1단계 고도화에 80억 원을 투입해 핵심 로그 처리 엔진 교체 및 보안 오케스트레이션·자동 대응 체계(Security Orchestration, Automation, and Response)를 강화하는 등 기반 작업을 마쳤으며, 내년까지 추가로 120억 원을 들여 2단계 고도화를 완료한다는 방침입니다.

사진은 1차 고도화가 완료된 '시큐디움센터'에서 SK쉴더스 구성원이 실시간 관제를 수행하는 모습. [사진=SK쉴더스]

SK쉴더스의 MXDR은 기존의 전통적인 보안 관제보다 한층 진화한 서비스로, 관제 범위를 네트워크·서버뿐 아니라 엔드포인트까지 확대하고, AI 기반 분석을 통해 정상 업무 패턴 대비 이상행위를 조기에 식별해내는 게 특징입니다. 단일 이벤트만 보는 것이 아니라 다수 보안 지점의 정보를 통합 분석해 공격 징후를 종합적으로 파악하고 선제적으로 대응하는 것도 가능하다는 게 SK쉴더스의 설명입니다. 

SK쉴더스는 서비스 제공 방식도 고객 중심으로 개선한다는 방침입니다. 보안 관제를 서비스형 소프트웨어 방식으로 전환해, 고객이 별도 장비 구축 없이도 필요한 시점에 서비스를 이용할 수 있도록 할 계획입니다.

SK쉴더스 측은 이와 관련해 "진화하는 해킹 위협에 대응하기 위해 업계 최대 수준의 투자를 단행해 차세대 MXDR 관제 서비스를 단계적으로 고도화하고 있으며, 이번 투자를 통해 보안 관제의 미래 표준을 제시하고, 글로벌 시장에서 신뢰받는 선도 기업으로 자리매김하겠다"며 "국내 사이버보안 1위 SK쉴더스는 해킹 사고 전문 대응 조직인 탑서트(Top-CERT)와 화이트해커 그룹 EQST(이큐스트, Experts, Qualified Security Team) 등을 통해 사전 예방에서부터 사후 사고 대응까지 사이버보안의 전 과정을 서비스하고 있다"고 자신감을 전했습니다.

[자료=안랩]

안랩은 자체 AI 플랫폼 '안랩 AI 플러스'를 기반으로 MXDR 서비스 개발을 추진하고 있습니다. 안랩은 올해 4월 서비스형 소프트웨어형 'AhnLab XDR'에 AI 보안 어시스턴트 '애니(Annie)'를 처음 연동하면서 AI 기반 보안 고도화의 첫 단계를 시작했습니다. 안랩 AI 플러스는 30년간 축적한 위협 분석 데이터, 악성코드 및 침해 사고 대응 경험 등 방대한 보안 정보를 기반으로 개발됐으며, 생성형 AI 및 대규모 언어모델(LLM) 기반 지능형 보안 탐지·분석을 강화하는 것이 특징입니다.

안랩은 기존 EDR 기반 '관리형 탐지 및 대응 서비스(Managed Detection and Response, MDR)' 서비스를 XDR로 확장해 관리형 보안 서비스(Managed Security Service, MSS)와 MDR을 모두 아우르는 통합 솔루션으로 발전시키는 것이 핵심입니다. 안랩 XDR에 적용된 AI 보안 어시스턴트는 파일, URL, 행위 정보, 스미싱 문자 등 다양한 형태의 비정형 데이터를 분석하고, 위협 발생 원인과 공격 방식을 심층적으로 파악해 탐지 결과와 대응 가이드를 함께 제공합니다. 이를 통해 보안 담당자는 보안 이벤트를 보다 직관적으로 이해하고 빠르게 위협 요소를 식별할 수 있게 됩니다.

안랩 측은 이에 대해 "다양한 보안 솔루션을 운영하고 있다고 하더라도 기업 및 기관 내에서는 탐지한 위협 이벤트를 분석하고 의사 결정을 하는 데에는 많은 노하우가 필요하다"며 "안랩은 고객사의 구축된 EDR 이벤트를 분석하고 대응 가이드를 제공하는 MDR 서비스를 기본으로 제공, XDR을 통해 수집된 이벤트를 분석하여 리스크를 최소화할 수 있는 대형 가이드를 제공하는 MXDR 서비스를 제공하고 있다"고 설명했습니다. 

* 용어 설명

엔드포인트 탐지 및 대응 솔루션(Endpoint Detection and Response, EDR) : 기업 네트워크에 연결된 모든 엔드포인트(사용자 장치)에서 발생하는 위협을 지속적으로 모니터링, 탐지, 분석하고 대응해 피해를 최소화하는 보안 솔루션이다. PC, 노트북, 서버, 모바일 장치 등 개별 단말기(엔드포인트)에서 발생하는 모든 활동을 실시간으로 감시하고, 이상 징후를 발견하면 즉시 조치해 공격 확산을 막는 대응 시스템이라고 할 수 있다.

관리형 탐지 및 대응 서비스(Managed Detection and Response, MDR) : 기업 또는 조직을 사이버 위협으로부터 24시간 연중무휴로 선제적으로 보호하는 아웃소싱 보안 서비스를 말한다. 단순히 보안 솔루션을 제공하는 것을 넘어, 보안 분석가의 전문 지식과 고급 기술을 결합해 위협을 능동적으로 찾아내고 신속하게 대응하는 데 초점을 맞춘 게 특징이다.

dconnect@newspim.com