관리형 탐지 및 대응(MDR)이란 무엇인가요?
관리형 탐지 및 대응(MDR)은 보안 전문가, 위협 인텔리전스, 고급 도구를 조합한 조직에 24시간 위협 보호 기능을 제공하는 완전 관리형 사이버 보안 솔루션입니다.
전 세계의 개인 및 기업을 대상으로 한 사이버 보안 위협이 증가하고 있다는 사실은 널리 알려져 있으나, 강력한 방어 및 대응 메커니즘을 유지하기 위해 일부 조직들이 얼마나 노력하는지에 대해서는 그다지 알려진 바가 없습니다.
Kaspersky 연구에 따르면, 정보 보안 전문가의 41%는 조직의 사이버 보안 팀이 '약간의' 또는 '상당한 인력 부족을 겪고 있다'고 응답했습니다. 이는 보안 전문가에 대한 수요가 매우 높으며, 조직에서 올바른 기술을 갖춘 충분한 인력을 채용하고 유지하는 것이 더욱 어려워졌다는 걸 뜻합니다. 이 문제는 모든 유형의 비즈니스에 영향을 미치고 있습니다. 세계 경제 포럼에 따르면, 공공 기관의 52%가 당면한 가장 큰 사이버 회복탄력성 문제는 기술 격차인 것으로 나타났습니다. 그와 동시에, 사이버 공격에 대응하고 회복할 수 있는 기술을 갖추었다고 응답한 소규모 조직의 비율은 절반에도 미치지 못했습니다.
이러한 이유로 인해 많은 기업에서 관리형 서비스로 전환하여 데이터, 시스템, 애플리케이션, 사용자를 안전하게 지키는 데 필요한 솔루션 및 전문 지식을 이용하고 있는 추세입니다. 이를 실현하기 위한 가장 효과적인 방법 중 하나는 관리형 탐지 및 대응(MDR) 솔루션을 사용하는 것이지만, 지금까지는 아직 조직에서 MDR 보안이 비즈니스에 얼마나 중요한지를 점진적으로 깨달아가고 있는 단계에 불과합니다. 2023년 Gartner 사의 연구에 따르면, 조직의 30%만이 MDR 공급업체의 원격 위협 차단 및 억제 기능을 적극적으로 활용하고 있는 것으로 나타났으나, 이 수치는 2025년까지 50%로 증가할 것으로 예상됩니다. 그리고 때마침 2023년에 Kaspersky MDR(Managed Detection and Response) 솔루션은 430개 이상의 보안 이벤트를 처리했으며 정부 기관, 산업 조직 및 금융 기관에서 발생한 대부분의 중대한 사고를 탐지했습니다. 사이버 위협 환경은 계속해서 진화하고 있으며, 많은 조직에서 이를 따라잡기 어려워하고 있는 실정입니다.
관리형 탐지 및 대응은 어떤 방식으로 작동하나요?
그렇다면 MDR은 실제로 어떻게 작동할까요? MDR은 관리형 서비스로 제공되는 일종의 사이버 보안이며 위협 식별 및 치료 속도를 단축하고, 위협이 비즈니스에 미칠 수 있는 영향력의 규모를 최소화하는 것이 목표입니다. MDR에 사람의 보안 기술과 최첨단 기술이 결합되어 있다는 건 상당한 비용 및 자원 효율성을 달성할 수 있다는 의미입니다.
올바른 MDR 서비스는 일반적으로 5가지 기본 기능으로 구성됩니다.
이벤트의 우선순위 결정
숙련된 직원이 수행하는 보안 이벤트 검사 및 사전 설정된 자동 규칙에 따른 이벤트 평가가 통합되어 있으므로, 어떤 이벤트가 다른 이벤트와 비교하여 더 연관성이 높거나 더 위험한지 식별합니다. 오탐 및 문제가 될 가능성이 낮은 사항은 우선순위를 낮추는 한편, 가장 중대한 문제는 다른 MDR 서비스를 통해 해결하고 더 자세히 평가할 수 있도록 대기열의 맨 앞에 놓습니다.
위협 검색
자동화는 잠재적인 위협을 식별하기 위한 매우 강력한 도구이지만, 이 기능을 만능 솔루션으로 신뢰하는 것은 어렵습니다. 고도로 숙련된 '위협 사냥꾼'은 사이버 범죄자가 잠재적인 데이터 보안 침해 또는 공격을 준비하는 과정에서 수행하는 비정상적 활동 및 다양한 종류의 행동을 능숙하게 찾아낼 수 있습니다. 사람의 수작업과 디지털 작업을 통해 위협을 훨씬 더 빠르게 보고할 수 있으므로, 더 신속한 치료가 가능해집니다.
위협 조사
위협을 식별했다면, 그 다음 단계는 위협을 상세히 분석하고 문제의 원인을 파악하는 것입니다. 관리형 조사 서비스는 '무엇을, 언제, 어디서' 원칙에 따라 사고의 원인을 찾아내고 영향을 받았거나, 영향을 받을뻔했던 시스템, 데이터, 애플리케이션, 사용자를 파악합니다. 이러한 모든 맥락은 위협을 차단할 수 있는 가장 효과적이고 적절한 방법을 알아내는 데 중요한 역할을 합니다.
대응 지원
조직은 MDR 보안을 지원하는 파트너와의 협업을 통해 자문 및 솔루션을 이용할 수 있습니다. 전문가는 자신의 경험 및 위협 검색과 조사를 통해 수집한 정보를 토대로, 문제를 해결하기 위한 최선의 방법에 대해 조언을 제공할 수 있습니다. 이렇게 하면 문제로 이어질 뻔한 위협을 제거할 수 있습니다. 또는 이를 활용하여 이미 발생한 공격에 대응하고 치료할 수도 있습니다.
관리형 치료
치료 프로세스가 필요한 경우, 이 프로세스의 목표는 모든 위협의 흔적을 제거하고 시스템, 애플리케이션, 데이터를 공격이 발생하기 이전 상태로 되돌리는 것입니다. 이 작업에는 맬웨어 제거, 레지스트리 지우기, 무단 액세스 거부, 시스템 복원 및 기타 조치 같은 광범위한 프로세스가 수반될 수 있습니다. 사용되는 조치는 위협 또는 공격의 특성에 따라 달라지며, MDR 보안 전문가와 협의하여 선정됩니다.
MDR은 기존의 안티바이러스 소프트웨어와 어떤 점이 다른가요?
MDR 서비스와 기존 안티바이러스 기반 보안의 가장 큰 차이점은 MDR은 사전 대응적인 반면, 안티 바이러스 솔루션은 사후 대응적이라는 점입니다.
일반적으로 말하자면 안티바이러스 시스템은 서명 탐지 방식에 기반합니다. 다양한 맬웨어 변종은 고유한 지문을 갖고 있는데, 시스템에서는 이러한 지문을 검색합니다. 하지만 점점 더 많은 사이버 범죄자가 기존의 것과 전혀 다른 고유한 맬웨어 변종을 개발하고 있으므로, 이러한 지문을 통해서는 그러한 변종을 탐지할 수 없습니다. 그리고 안티바이러스는 변종이 발생하기 전까지는 해당 변종을 탐지할 수 없기 때문에 대처가 너무 늦어서 영향이 미치는 걸 예방하지 못하는 경우가 많습니다.
반면, 관리형 탐지 및 대응 도구는 이러한 방식에서 벗어나 24시간 연중무휴로 시스템상의 맬웨어 감염을 선제적으로 확인하고, 맬웨어가 미치는 영향을 완화합니다.
MDR과 EDR의 차이는 무엇인가요?
EDR은 엔드포인트 탐지 및 대응(Endpoint Detection and Response)의 약어이며, MDR의 우선순위 결정 단계에서 사용되는 자동 규칙과 함께 연동됩니다. EDR을 배포하면 모든 엔드포인트에 대한 이벤트 및 행동 패턴이 기록됩니다. 그런 다음에는 보안 팀이 설정해둔 자동 규칙과 대조하여 이러한 기록에 대한 평가가 이루어집니다. 탐지된 모든 의심스러운 패턴 또는 활동은 보안 팀에 보고되어 추가 조사가 진행되도록 합니다.
따라서 대다수 조직의 관점에서 보았을 때 EDR은 MDR을 구성하는 요소 중 하나로, 숙련된 IT 보안 전문가 및 올바르게 수립된 프로세스와 방법론과 함께 작동하는 서비스입니다.
관리형 탐지 및 대응은 XDR과 동일한 건가요?
완전히 그렇지는 않습니다. 확장형 탐지 및 대응(Extended Detection and Response)의 약어인 XDR을 가장 단순하게 설명하자면 MDR의 원칙을 한 차원 더 높인 것이라고 할 수 있습니다. XDR은 폭넓은 다양한 소스에서 수집한 방대한 양의 데이터를 통합하여 훨씬 더 풍부한 정보를 통해 선제적으로 위협 추적 및 조사를 진행할 수 있도록 합니다. 또한 XDR은 데이터 손실 방지 및 신원 및 액세스 관리(IAM, Identity and Access Management)를 비롯한 더욱 개선된 도구를 활용하여 비즈니스 전반에 걸친 위협 환경에 대한 전체적으로 확인할 수 있도록 합니다.
MDR의 주요 이점은 무엇인가요?
관리형 탐지 및 대응 서비스는 조직의 보안 접근 방식을 여러 가지 다양한 방식으로 전환하고, 보안 운영의 거의 모든 영역에서 성능을 강화할 수 있습니다. MDR 보안의 이점에는 다음과 같은 사항이 포함되나, 이에 국한되지 않습니다.
탐지 시간 단축
일부 조직은 보안 사고 한 건을 탐지하는 데 몇 달이 소모되기도 합니다. 그러는 동안 시스템, 애플리케이션, 데이터에 막대한 피해가 발생할 수 있으며 간혹 기업에서 전혀 눈치채지 못하는 경우도 있습니다. MDR은 이 기간을 며칠 또는 몇 시간, 혹은 심지어 몇 분으로 단축할 수 있으므로, 공격이 미치는 잠재적인 영향력의 범위를 크게 줄일 수 있습니다.
보안 상태 개선
MDR 서비스는 보안 침해가 중대한 영향을 미칠 가능성을 크게 낮춰주므로, 공격 발생 시 기업의 방어를 더욱 강화하고 회복탄력성을 높일 수 있습니다. 또한 기업의 전반적인 보안 구성의 최적화에도 도움이 되며, 비즈니스 요구 사항 및 공격 프로필이 한층 더 복잡해져도 그대로 유지됩니다.
지속적인 위협 탐지
관리형 탐지 및 대응 도구의 기능은 24시간 연중무휴로 위협을 검색하여 위협 및 맬웨어가 시스템 내부에 '숨어서' 향후 활동할 준비를 하지 못하도록 보장하는 것입니다. 데이터 패턴 및 동작을 꾸준히 분석할 수 있으므로, 악의적인 활동이 발생하기도 전에 이상 징후를 보고할 수 있습니다.
더욱 빠른 위협 대응 및 치료
위에서 언급한 세 가지 사항 모두 다른 방식으로는 실현하기 어려운 빠른 속도로 위협 대응 및 치료를 진행하는 데 기여하는 요소입니다. 문제를 사전에 파악하면 MDR에 따라 위협 대응을 더 신속하게 준비할 수 있으므로, 영향을 받은 영역에 올바른 치료 활동을 훨씬 더 정확한 시간에 적용할 수 있습니다.
보안 직원의 업무 부담 경감
이미 보안 인력이 부족한 상태에서 기존 직원들에게 여러 가지 보안 기술을 맡길 경우, 아까운 시간에 훨씬 더 큰 부담과 스트레스가 가중될 수 있습니다. 이 경우 허점이 발생하여 사고로 이어질 수 있을 뿐만 아니라, 시간이 없으므로 도구를 제대로 활용하지 못하게 됩니다. 이와 같은 업무 부담의 상당 부분을 관리형 서비스 및 숙련된 제3자 전문가에게 분담하면 이러한 중압감을 완화하고, 사내 팀의 일상 업무 효율성을 극대화할 수 있습니다.
경보 피로로 인한 위험 최소화
여러 가지 보안 기술을 사용할 경우 보안 팀이 인지하고 처리해야 할 경보 및 사고의 횟수가 대폭 늘어납니다. 이러한 방식의 알림은 형식적으로 반복되고 인적 오류가 발생하기 쉬울 뿐만 아니라, 보안 직원이 어떤 문제가 가장 긴급하고 다른 것보다 먼저 해결해야 하는지 파악하기 어렵기까지 합니다. MDR 서비스의 우선순위 결정 프로세스는 가장 긴급한 문제를 분석하고 플래그를 지정한 다음, 보안 팀 대신 이벤트 분류를 처리하여 이러한 문제를 해결합니다.
관리형 탐지 및 대응 서비스에서는 무엇을 살펴보아야 하나요?
MDR 서비스 시장은 강세를 보이고 있습니다. Gartner의 연구에 따르면, MDR 시장은 48%의 성장률을 보이며 2025년까지 22억 달러 규모에 이를 것으로 전망됩니다. 이는 수많은 다양한 공급업체에서 관리형 탐지 및 대응 도구를 제공하고 있다는 것을 뜻하므로, 귀사의 특정한 요구 사항 및 요건에 알맞은 제품을 파악하기 어려울 수 있습니다. 제품을 선택하는 과정에서 다음과 같은 4가지 특성을 살펴보는 것이 좋습니다.
추가적인 MDR 기술
보안 팀 내부에서 이미 상당한 기술을 갖추고 있겠지만, 전 세계의 기술 격차 현황에 비춰보자면 몇 가지 영역을 강화하고 싶을 수도 있습니다. 공급업체를 고려하는 과정을 시작할 때부터 이러한 격차를 파악하고, 이러한 기술 및 성숙도에 특화된 공급업체를 찾아서 귀사의 팀을 보강하고 완성할 수 있도록 해야 합니다.
MDR 보안 지식 및 기능
올바른 관리형 탐지 및 대응 서비스는 현재의 보안 환경에 대한 최신 지식을 갖추고 있습니다. 가장 최근에 발생한 위협에 대해 알고 있으며 사이버 범죄의 다양한 기본적인 동인(예: 관련된 지정학적 및 문화적 상황 포함)에 대해 숙지하고 있습니다. 이러한 지식을 보안 기술 및 기능과 함께 활용하면 대부분의 사내 보안 팀에 가치를 더할 수 있습니다.
MDR 서비스 제공 및 협업
미래의 MDR 보안 서비스가 제공할 수 있는 전문 지식 및 기술이 만족스러울 수도 있겠지만, 이러한 서비스는 기존의 팀, 기술은 물론 전사적으로도 원활하게 통합되어야 합니다. MDR 보안 서비스는 명확한 커뮤니케이션을 제대로 수행하겠다는 약속을 증명하여 양쪽 당사자 간에 정보 및 인사이트가 원활하게 오고 가도록 할 수 있어야 합니다. 이렇게 하면 사내 보안 팀이 새로운 접근 방식을 훨씬 더 빨리 숙지하는 데 도움이 됩니다. 또한 보안 팀의 일반 업무 시간 외에도 시스템을 안전하게 보호할 수 있는 24시간 보호를 구현한다는 약속을 증명할 수 있어야 합니다.
포괄적인 솔루션
마지막으로, 모든 요소를 고려하는 MDR 보안 서비스를 찾아야 합니다. Kaspersky Managed Detection and Response 같은 솔루션은 고급 보호 기술, 선제적 위협 추적, 자동 대응 및 안내형 대응, 자신 있게 활용할 수 있는 전 세계적으로 널리 알려진 전문 지식을 제공합니다. 이를 통해 사이버 위협의 위험을 최소화할 수 있을 뿐만 아니라, MDR에 대한 IT 보안 투자를 극대화할 수도 있습니다.
Kaspersky Managed Detection and Response 및 Kaspersky Incident Response는 Quadrant Knowledge Solutions에서 선정한 2023년 기술 리더 부문에 올랐습니다. 이는 해당 솔루션이 사이버 범죄자로부터 기업을 보호하는 데 뛰어난 효과가 있다는 걸 보증하는 결과입니다.
