전문가가 주도하는 위협 탐지 & 대응, MDR 제대로 알고 시작하기
최근 위협에 대한 탐지 & 대응이 주요 화두로 떠오르면서 주목 받고 있는 것이 바로 MDR(Managed Detection & Response)이다. 월간’안’ 독자들도 MDR이라는 개념을 한 번 쯤은 들어봤을 것이다. 이번 글에서는 보안 업계 화두인 MDR의 본질과 필요성, 그리고 발전 방향성에 대해 살펴본다.

월간안 11월호에서는 메이저 업그레이드를 거쳐 재탄생한 AhnLab EDR(Endpoint Detection & Response)을 소개한 바 있다: AhnLab EDR의 진화, 고객에겐 무엇이 중요한가?
AhnLab EDR 신규 버전을 도입하는 고객은 안랩 보안 전문가가 직접 모니터링과 분석 & 대응을 수행하는 MDR(Managed Detection & Response) 서비스를 함께 제공 받을 수 있다. 고객사 EDR에서 탐지된 이벤트 로그를 안랩으로 전송하면, 안랩 보안 전문가가 위험 가능성이 높은 이벤트를 기준으로 1/2차 분석 보고서와 월간 통계 보고서를 함께 제공해 고객의 EDR 활용성을 높인다.
이를 넘어, 맞춤형 MDR 서비스를 원하는 고객은 유상으로 제공되는 ‘EDR Premium’을 이용할 수 있다. ‘EDR Premium’을 사용하는 고객에게는 위험 가능성이 높은 이벤트 뿐만 아니라 EDR이 탐지하는 의심 행위에 대해서도 모니터링 및 분석, 대응 서비스를 제공하며 분기별로 전문가의 의견이 포함된 리뷰 보고서도 제공한다. 또한, 안랩의 보안 전문가가 보안 이슈를 반영해 생성한 맞춤형 탐지룰을 이용하여 조직에 최적화된 위협 헌팅(Threat Hunting)도 가능하다.
이처럼, MDR은 전문가 주도 하에 위협 탐지 & 대응의 전문성을 높이고 활용도를 극대화한다. 다만, 많은 사람들이 들어봤지만 아직은 생소한 개념이기도하다. MDR에 대해 좀 더 깊이 들어가보자.
국내에도 MDR이 필요할까?
사실 MDR은 한국 시장에서 완전히 활성화된 개념은 아니다. 아직 업계에서는 MDR의 정의를 놓고 이견과 혼선이 존재한다. MDR을 그 자체로 정의하기도 하지만, 어떤 업체는 EDR에 중점을 두고 MDR을 제공한다는 의미에서 ‘Managed EDR’로 표현한다. MDR의 연동 모듈이 EDR을 넘어 클라우드, 네트워크 영역을 포함한다는 이유로 XDR(eXtended Detection & Response)과 혼용하는 경우도 있다. 이처럼 여러 기업들이 각자 원하는 방식에 따라 MDR을 서비스 또는 플랫폼, 연동 모듈에 기반해 각각 다르게 정의한다.
일각에서는 MDR 서비스가 과연 한국 시장에 적합한지에 대한 의문을 제기한다. 결론부터 말하면, 한국도 글로벌 트렌드에 맞게 전통적인 매니지드 보안 서비스(Managed Security Service, MSS) 개념에서 더 나아가 MDR을 본격적으로 도입, 활성화할 필요가 있다. 현재의 보안 위협은 고도화된 공격 기법을 활용해 넓어진 공격 표면을 적극적으로 노린다. 또, 국경이라는 경계도 점점 희미해지고 있다. 해외 공격자들도 국내 기업들을 향해 공격을 감행하고 있어, 보안 태세 확립이 필요한 상황이다. 이제, 공격으로부터 엔드포인트 영역을 세밀하게 막고 API를 사용해 위협에 대응해야 하며, 능동적인 위협 추적(Threat Hunting)까지 요구된다.
MSS와 MDR
좀 더 나아가 MSS와 MDR을 간단히 비교해 보자.
먼저, MSS는 네트워크에 기반한 보안 서비스로, 엔드포인트 로그 수집 및 분석에 한계가 있어 정교한 위협에 적극적으로 대응하기 어렵다. MSS의 경우, 주로 방화벽이나 침입차단시스템(Intrusion Prevention System, IPS)과 같은 보안 솔루션을 사용하며, 이러한 장비들은 네트워크의 상단에 위치하는 경우가 대부분이다. 공격자는 최초 침투 후, 네트워크 하단에 위치한 엔드포인트 영역 간 이동을 수행하는데, 이러한 통신은 보안 솔루션의 위치 상 탐지가 어렵다. 그렇기 때문에, 엔드포인트에 대한 적극적인 대응이나 조치 가이드 제시에는 한계가 있다.
이 관점에서, 침입 대응 서비스는 ‘MSS + α’ 형태로 제공되어 왔다. 쉽게 말하면, 글로벌에서 말하는 MDR 서비스를 국내는 이미 MSS 서비스와 함께 제공해왔다고 볼 수 있다. 다만, 이와 같은 형태의 서비스를 정의할 단어가 그동안 존재하지 않았고, 엔드포인트 대응이라는 관점에서 방법론이 달랐던 것이다.
MDR은 위에 설명한 MSS의 단점 및 한계를 보완한다. MDR은 네트워크 이벤트 뿐만 아니라, 엔드포인트 중심의 이벤트를 수집하고, 위협 조사 및 추적을 통해 네트워크 기반 정보와 결합하여 더 상세한 분석 내용을 제공할 수 있다. 엔드포인트 대상 의심 행위 차단, 시스템 격리 등 세밀한 대응이 가능하며, 개별 엔드포인트에 대한 최적화된 위협 완화 및 복구 조치 가이드도 제공할 수 있다. 아울러, 위협 대응에 SOAR(Security Orchestration, Automation and Response)를 활용하면 ‘Task 자동화’를 통해 보안 운영 효율성 제고하여, 고도화된 차세대 보안관제로 발전해 나갈 수 있다.
결국 MDR은 엔드포인트부터 네트워크, 클라우드 텔레메트리(Telemerty)에 걸쳐 정보를 수집하며, 알려지지 않은 위협 탐지를 위한 머신러닝과 마이터 어택(MITRE ATT&CK) 프레임워크 적용, 신속한 대응을 위한 자동화 툴까지, 이 모든 것들을 유기적으로 통합하기 위해 등장한 개념이라고 할 수 있다. 따라서 MDR 서비스가 조직에 안착하게 되면, 모든 영역에서 발생하는 이벤트에 대한 정확한 분석과 신속한 대응이 가능하다.
효과적인 MDR 적용을 위해 풀어야할 숙제
MDR은 위협 탐지부터 대응, 통합 플랫폼과의 연동에 이르기까지 구축하는 과정이 쉽지만은 않다. 일단, 인력 측면에서 탐지 영역을 살펴보면, 기업의 일반 보안 담당자는 탐지 시 무엇을 봐야 하고, 어떤 조치를 취해야 하는지 판단하는 데 어려움을 겪는다. 많은 기업이 다양한 추가 정보를 덧붙이는 방식으로 이런 문제를 해결하고 있지만, 로그 분석 및 판단, 최종 의사결정은 결국 사람이 해야 한다. 결국 인력 문제로 귀결되는데, 적어도 3년 이상의 악성코드 및 네트워크 분석 경험이 있는 시니어 수준의 전문 대응 인력이 위 작업을 수행 가능할 것으로 보인다. 하지만, 이런 인력들을 채용하기가 쉽지 않은 것이 현실이다.
대응 영역은 플레이북(Playbook)을 통한 자동화 구현이 주요 골자이다. 자동화를 적용하려면 분석가가 프로세스를 정확히 이해하고, 이를 직접 코딩할 수 있어야 한다. 여기서 코딩은 일반적인 스크립트를 짜는 수준에서 더 나아가, 플레이북(Playbook) 상의 아키텍처를 완벽하게 구성하는 작업까지 포함한다. 이런 작업은 전문 개발자만 할 수 있다. 하지만, 보안팀에 자동화 구현 및 API 활용 능력, 보안 사고에 대한 전체적인 조사 활동과 보고서 작성, 대응 방법 제공 역량을 모두 갖춘 인력을 확보한 기업은 거의 없을 것이다.
연동의 경우, 많은 로그량과 제한된 모니터링이라는 문제가 있다. 일차적으로 엔드포인트에서 발생하는 수많은 로그를 선별한 후 통합 모니터링 시스템으로 전달해야 하는데, 이것을 정제하고, 정규화 하기 위한 과정이 결코 쉽지 않고, 오히려 탐지, 대응 단계보다 더 많은 리소스가 요구되는 경우가 대부분이다. 이런 복잡한 과정을 해결하기 위해 시장에 출시된 것이 MDR이다.
하지만 국내에서는 특정 업체의 한 가지 솔루션만 사용하는 기업이 드물며, 플랫폼 제공업체는 일반적으로 자사 제품에 한해서만 서비스를 지원한다. 최근 이기종을 쉽게 연동할 수 있는 컨셉을 적용한 개방형 XDR 개념도 등장했지만, 여러 솔루션이 완벽하게 통합될 지는 단정할 수 없다.
안랩 보안 전문가가 알려주는 성공적인 MDR 구현 방법
안랩은 악성코드 탐지와 관련해 매우 우수한 기술력을 보유하고 있다. 시그니쳐(Signature) 기반 뿐만 아니라, 행위 기반으로 알려지지 않은 위협을 탐지하고, 놓치는 부분은 머신러닝(Machine Learning, ML) 기술로 보완한다.
대응 단계에서는 자동 대응 영역을 구분하고, 자사 SOAR 플랫폼인 AhnLab Sefinity AIR를 활용해 플레이북(playbook)과 API를 기반으로 프로세스를 자동화한다. 예를 들어, 기업 내부에서 위협 이벤트가 탐지되면 악성코드에 감염된 직원의 인사 정보를 파악한 후, 소명할 시간을 준다. 해당 직원이 기간 내 피드백을 제출하지 않을 경우, 네트워크를 강제로 차단함으로써 보안 위협에 대응한다.
연동 시에도 SOAR를 활용하며, 엔드포인트에 대한 로그 수집과 수집한 로그를 정제하는데 사용한다. 다만, 엔드포인트 솔루션은 특성상 기업에 따라 불필요한 로그가 상당히 많이 발생될 수 있기 때문에, 안정화 관점에서의 정제가 필요하다. 수많은 로그를 정제하기 위한 작업을 예외처리 즉, 최적화라 표현한다. 일반적으로 신규 고객의 로그 처리를 안정화 할 때까지 약 6개월 정도가 소요된다.
안랩의 이벤트 처리 로직은 총 32단계로 구성되어 있다. 예외처리, TI(Threat Intelligence) 정보 연동, 숙련된 전문가의 태깅(Tagging), 중복 발생 로그 처리 등 다양한 로직이 AhnLab Sefinity AIR를 통해 구현되어 있다. 이를 통해 필요한 데이터만 정제한 후, MDR 센터로 전송한다.
더 나아가, 안랩은 분석가 관점에서 모니터링 시스템을 설계했다. 여타 모니터링 시스템의 GUI(Graphic User Interface)는 여러 개의 이벤트가 발생할 때 일일이 클릭해서 확인해야 하는 번거로움이 있지만, 안랩의 UI는 오버뷰(Overview)를 제공한다. 이 기능은 개별적으로 발생한 이벤트의 연관 로그를 한 번에 묶어서 보여주는 것이다. 이를 통해, 분석가는 이벤트를 그룹 단위로 빠르게 확인하여 분석하고, 한 번에 처리할 수 있다.
정리하면, 안랩의 MDR은 AhnLab EDR을 기반으로 알려지지 않은 위협까지 정교하게 탐지하고, 대응 및 연동은 AhnLab Sefinity AIR를 활용해 전처리와 자동화를 적용한다.
MDR 서비스를 성공적으로 구현하려면 사람과 툴, 프로세스의 결합이 필요하다. 동시에 이들은 서로 유기적으로 연결돼야 한다. 결국 탐지부터 대응, 조사, 연동에 이르는 모든 과정에서 툴의 도움을 받을 수밖에 없는데, 현재로서는 SIEM(Security Information & Event Management)과 SOAR를 결합하는 것도 한 가지 방법이다. SIEM이 로그를 정제하고, SOAR로 업무를 자동화하는 것이다. 물론 대응의 매커니즘을 처리하는 것도 SOAR의 몫이다.
MDR을 안착시키고, 위협 탐지 & 대응을 효과적으로 구현하는 것은 간단하지만은 않은 일이다. 따라서, 안랩과 같이 탁월한 기술력과 노하우를 가진 전문 업체의 도움을 받는 것을 권장한다. 안랩은 MSSP(Management Security Service Provider)로서 많은 경험 및 레퍼런스를 보유하고 있다. 또한 EDR 및 대응 플랫폼을 자체적으로 보유하고 있으며, 분석 역량 역시 국내 최고 수준이다.
앞으로도 안랩은 자사가 보유한 기술력과 서비스를 지속적으로 고도화해 고객들을 위한 최적의 위협 탐지 & 대응 역량을 제공할 예정이다.
- AhnLabACSC 김승관 부장