[CCTV뉴스=신동훈 기자] 해킹을 완벽하게 막는 것은 불가능하고, 보안 사고는 불가피하다. 때문에 중견기업에서 보안을 책임지는 인프라 및 운영 리더들은 이미 해킹을 당했을 것이라 가정해야 한다. 보안 전략의 일부는 사고를 감지하고 대응하는 시간을 단축하는 것이 되어야 하고, 한편으로는 해커의 공격 능력을 격리하고 억제하는 것이 포함되어야 한다. 새로운 위협이 등장하면서 보안 요구사항도 변화하고 있다. 기존 보안 인프라로 조직을 보호하고 새로운 공격을 감지할 것인가? 아니면 새로운 보안 투자가 필요한가?

본 기고는 중견기업이 궁금해하는 세 가지 신흥 보안 기술을 분석한다. 현재 시장에서 신흥 보안 기술의 도입률은 5% 미만에 불과하지만, 해당 기술들의 이점은 높게 평가되고 있다. 그러므로 중견기업의 인프라 및 운영 리더들은 이 기술들을 검토해 진화된 공격으로부터 조직을 효과적으로 보호해야 한다.

글 제임스 브라우닝(James Browning), Gartner Distinguished VP Analyst

탐지 및 대응 관리(MDR) 서비스는 언제, 왜 사용해야 하는가?

MDR 제공업체는 고급 분석과 위협 인텔리전스를 활용한 턴키(turn-key) 솔루션을 통해 고객들에게 연중무휴 위협 모니터링, 감지, 대응 서비스를 제공한다. MDR 제공업체는 센서, 네트워크 프로브(network probe)나 엔드포인트 에이전트(endpoint agent)를 배포해 고객 시스템의 데이터를 수집한다. 그 후 데이터 분석을 통해 위협 증거를 찾고, 위협이 감지되면 고객에게 알린다.

MDR은 방화벽을 외주화 하는 것이 아니다. MDR은 미처 발견하지 못하고 지나치는 해킹건을 감지하기 위해 필요한 ‘훈련된 눈을 빌려주는 것’과 같으며, 기존 방화벽과 엔드포인트 보호 보안을 우회하는 10%의 해킹 건을 찾아낸다. MDR 제공업체는 광범위한 관리 보안 서비스를 제공하는 관리형 보안 서비스 제공업체(MSSP, managed security service providers)와 달리 위협 감지와 대응에만 주력하는 것이 특징이다.

MDR 제공업체는 위협 차단 및 대응 서비스도 제공한다. 위협 감지 시간을 단축하는 것도 좋지만, 피해 방지 및 완화에 너무 많은 시간이 소요된다면 공격이 확산돼 더 많은 시스템을 손상시키고 추가적인 피해를 입힐 수 있다. 대부분의 대기업들은 사고 대응을 전담하는 보안 팀을 보유하고 있는 반면, 중견기업들은 전문 업체가 제공하는 위협 차단 서비스에 더 관심을 보인다.

오늘날 MDR 제공업체들은 위협 감지 및 대응 기능에 특히 초점을 맞추며 기존 MSSP 모델과 차별화를 꾀해왔다. MDR 시장은 성장세를 보여왔지만, 고객들은 향후 이 시장이 MSSP 시장에 흡수될 가능성이 있음을 인지해야 한다.

MDR에 대한 수요는 특히 중견 시장에서 강세를 나타냈다. MDR은 사고 대응과 위협 차단을 위해 보안 전문성 및 실시간 운영의 격차를 메우는 턴키 서비스를 제공한다. 아직 위협 감지 및 대응 기술과 내부 역량 구축에 투자를 하지 않았거나 작은 규모로 투자하고 있는 기업들은 MDR 서비스를 고려해볼 필요가 있다.

주요 MDR 업체

얼러트 로직 (Alert Logic), 아틱 울프 (Arctic Wolf), 크라우드스트라이크 (CrowdStrike), 이센타이어(eSentire), 니모닉 (mnemonic), F-시큐어 (F-Secure), 팔라디언 (Paladion), 래피드7 (Rapid7), 레드 캐너리 (Red Canary)

제언