XDR(eXtended Detection and Response) 시장이 빠르게 성장하고 있다. 복잡해지는 사이버보안 위협과 더불어, 서로 다른 보안 기술을 하나의 플랫폼으로 통합하려는 기업 수요가 늘어난 데 따른 흐름이다.

기업은 EDR(endpoint detection and response), NDR(network detection and response), SIEM(security information and event management), 위협 인텔리전스 등의 기술을 통합한 XDR 플랫폼을 도입함으로써 더 빠르고 효율적으로 위험을 탐지하고 대응할 수 있는 역량을 확보하게 된다.

XDR 플랫폼은 기업의 IT 인프라 전반에 걸쳐 위협을 통합적으로 탐지·조사·대응할 수 있도록 설계된 기술이다. 이 플랫폼은 엔드포인트, 서버, 네트워크 트래픽, 클라우드, 사용자 계정 시스템 등 다양한 소스에서 방대한 보안 데이터를 수집한 뒤, 연관성을 분석한다. 이후에는 관련 경보를 하나의 인시던트(보안 사고)로 통합해, 보안 분석가가 잠재적인 공격을 통합적으로 파악할 수 있도록 돕는다. 뿐만 아니라 잠재적으로 침해된 디바이스를 격리하는 기능 등 다양한 자동화된 대응도 지원한다.

시장 전망은 기관마다 다르지만, 비즈니스 리서치 인사이트(Business Research Insights)는 XDR 시장이 연평균 14% 성장해 2033년까지 50억 달러(약 6조 8,000억 원)에 이를 것으로 예측했다. 그랜드뷰 리서치(Grand View Research)는 연평균 성장률을 20.7%로 추정하며, 2030년에는 시장 규모가 34억 달러(약 4조 6,000억 원)를 넘어설 것으로 전망했다.

필자가 인터뷰한 전문가들은 XDR 기술이 위협 완화에 효과적인 솔루션으로 주목받고 있음에도 불구하고, 구현 복잡성과 표준화 부족이 확산의 걸림돌이 되고 있다고 분석했다. 이런 한계를 극복하기 위한 대안으로 서비스형 XDR(XDR-as-a-Service) 모델이 등장하고 있다. 또한 시장 통합 추세와 XDR 플랫폼에 AI 기술이 통합되는 흐름이 XDR 시장의 진화를 더욱 가속화하고 있다.

통합 플랫폼 vs. 동종 최고 솔루션 조합

기업이 XDR 기술을 도입할 때 가장 큰 걸림돌은 기존 EDR 플랫폼보다 비용이 높고 구현이 복잡하다는 점이다. 하지만 여러 보안 도구를 통합해 운영할 수 있다는 장점이 이런 단점을 상쇄할 수 있다.

사이버보안 업체 컨텍스트(Context)의 글로벌 리서치 및 사업개발 책임자 조 터너는 “통합 XDR 플랫폼으로의 전환 추세는 지나치게 파편화된 보안 도구 관리에 따르는 ‘피로감’에서 비롯됐다”라고 설명했다.

터너는 “EDR, NDR, SIEM 등 각 분야에서 최적의 솔루션을 조합해 보안 체계를 구성하는 방식은 오히려 복잡성을 야기한다. 특히 보안 운영센터(security operations centers, SOC) 규모가 크지 않은 중소기업일수록 이 같은 문제에 직면할 가능성이 크다”라고 설명했다.

반면, 일각에서는 XDR 플랫폼이 지나치게 방대하고 복잡해 대기업에만 적합한 솔루션일 수 있다는 의견도 있다.

MDR(managed detection and response) 솔루션 업체 헌트리스(Huntress)의 디렉터 니사르 데사이는 “XDR은 원래 엔드포인트, 네트워크, 계정, 클라우드 환경 전반의 탐지와 대응을 통합해 보안을 단순화하자는 취지에서 출발했다. 하지만 현실에서는 전문 인력을 완비한 SOC를 갖추지 못한 기업일수록 오히려 복잡성만 더해지는 경우가 많다”라고 지적했다.

데사이는 “대부분의 XDR 솔루션은 기본적으로 비관리형(unmanaged) 상태로 제공되며, 정교한 설정과 전문 역량이 필요하다. 이미 관련 인력과 프로세스, 인프라를 갖춘 대기업을 중심으로 설계된 경우가 많다. 기존 XDR 플랫폼 위에 MDR 서비스를 얹는 방식은 오히려 생태계를 단절시키고, 신호 연관성 저하·대응 지연·운영 부담 증가로 이어질 수 있다”라고 설명했다.

서비스형 XDR의 확산

상시 인력을 갖춘 SOC를 직접 운영하는 것은 많은 기업에 현실적으로 어려운 일이다. 이런 한계를 배경으로 등장한 것이 서비스형 XDR(XDR-as-a-Service)이다. 이는 관리하기 쉽고 확장할 수 있는 보안 역량에 대한 수요가 증가하고 있다는 점을 보여주는 흐름이다.

사이버보안 업체 아크로니스(Acronis)의 수석 보안 연구원 산티아고 폰티롤리는 “보안 인력이 부족하고 공격 표면이 계속 확대되는 상황에서 많은 기업이 신뢰할 수 있는 외부 업체에 24시간 탐지와 대응을 맡기고 있다. 이를 통해 기업은 인프라를 직접 구축하거나 운영할 필요 없이 통합된 위협 가시성과 신속한 인시던트 대응 역량을 확보할 수 있다”라고 설명했다.

컨텍스트의 터너는 서비스형 XDR 수요가 급증하는 배경으로 2가지를 꼽았다. 첫째, 많은 중소기업이 자체 SOC를 구축할 여력이 없고, 둘째, 매니지드 서비스 제공업체(MSP)와 매니지드 보안 서비스 제공업체(MSSP)가 반복 수익이 가능한 모델과 확장성 있는 서비스 제공 방식을 모색하고 있기 때문이다.

터너는 “서비스형 XDR은 MSP가 전체 보안 스택을 직접 구축하지 않고도 MDR 기능을 재판매할 수 있도록 해준다. 최근에는 보안 솔루션 총판 업체가 클라우드 마켓플레이스를 통해 사전 통합된 라이선스와 사용량 기반 과금 체계를 포함한 서비스형 XDR 번들을 제공하는 사례가 늘고 있다”라고 설명했다.

AI/ML, 효과적이지만 혼란도 유발

AI/ML은 XDR 시스템의 확장성과 효율성을 높이는 데 핵심적인 역할을 하고 있다.

아크로니스의 폰티롤리는 “AI/ML 기술은 방대한 데이터 속에서 패턴을 식별하고, 오탐을 줄이며, 신뢰도 높은 경보를 도출하는 데 도움을 준다. 또한 ML 모델은 엔드포인트, 네트워크, 사용자 활동 등 여러 계층의 행동을 학습해 기존 시그니처에 의존하지 않고도 위협을 탐지할 수 있게 해준다”라고 설명했다.

폰티롤리는 이어 “AI는 경보에 맥락 정보를 추가하고, 자동화 또는 반자동화된 대응을 가능하게 함으로써 인력이 부족한 보안팀도 정교한 공격에 효과적으로 대응할 수 있도록 지원한다”라고 덧붙였다.

최근 사이버보안 업계에서는 AI 기술에 대한 투자 확대가 뚜렷한 추세로 자리잡고 있다. XDR 분야에서는 경보 분류, 행위 기반 분석, 이상 탐지 등의 기능에 AI가 중요한 역할을 한다. 하지만 AI 중심의 보안 제품 마케팅이 과열되면서, 실제 제품 개발에서의 세부 기술 차별점은 구매자에게 제대로 전달되지 못하는 경우가 많다.

컨텍스트의 터너는 “현재 파트너로부터 가장 많이 듣는 어려움은 ‘차별화’에 있다. 사실상 거의 모든 업체가 자사 플랫폼을 ‘AI 기반’이라고 홍보하고 있기 때문”이라고 설명했다.

M&A로 인한 경쟁 구도 변화

최근 몇 년간 XDR 시장은 M&A를 통해 빠르게 재편되고 있으며, 이로 인해 업체 간 경쟁 구도에도 큰 변화가 일어나고 있다.

컨텍스트의 터너는 “EDR 업체가 자체적인 XDR 비전을 구현하기 위해 NDR이나 SIEM 업체를 인수하고 있다. 센티넬원(SentinelOne)의 아티보(Attivo) 인수, 크라우드스트라이크(CrowdStrike)의 ID 영역 확장이 대표적인 사례고, 팔로알토나 마이크로소프트처럼 인수보다는 통합을 통해 포트폴리오를 넓히는 곳도 있다”라고 말했다.

터너는 “일부 전통적인 SIEM이나 EDR 업체들이 인수합병 이후에는 서로 직접 경쟁하는 구도로 바뀌고 있다”라고 덧붙였다.

주요 XDR 업체로는 크라우드스트라이크, 소포스(Sophos), 센티넬원, 트렌드마이크로(Trend Micro) 등이 있으며, 이 외에도 다수의 업체가 경쟁에 참여하고 있다.

보안 업체 넷스카우트(NetScout)의 CTO 오피스 시니어 디렉터 제리 맨치니는 “대형 보안 업체는 자사의 XDR 포트폴리오를 강화하기 위해 적극적으로 인수합병에 나서고 있다. 단일 업체가 매니지드 서비스를 포함한 모든 보안을 제공하는 ‘폐쇄형(closed) XDR’ 모델을 구축하려는 전략이기도 하다”라고 설명했다.

기술 공백 메우는 파트너십과 개방형 아키텍처

M&A가 활발하게 이뤄지고 있지만, 모든 보안 기능을 포괄적으로 제공할 수 있는 업체는 거의 없는 상황이다. 이런 한계를 보완하기 위해 XDR 시장에서는 파트너십 확대라는 또 다른 흐름이 병행되고 있다.

넷스카우트의 맨치니는 “인수합병이 진행됐음에도 여전히 XDR 업체가 채워야 할 기술적 공백은 남아 있다. 최적의 보안 포트폴리오를 원하는 고객 수요를 충족하려면, 파트너십을 통해 기존 보안 솔루션과의 연동을 확대하고 다양한 데이터 제공자가 XDR 플랫폼에 정보를 입력할 수 있도록 해야 한다”라고 말했다.

이어 “이런 접근은 업체가 개방형 아키텍처를 기반으로 상호 연동되는 협업 생태계를 구축하는 방향으로 나아가도록 유도한다”라고 덧붙였다.

국경을 넘는 오픈 XDR(Open XDR) 접근법은 엘라스틱서치(Elasticsearch), 아파치 카프카(Apache Kafka), 플루언트디(Fluentd) 등 오픈소스 프레임워크를 활용해 데이터 수집 및 처리 체계를 구축하거나, 특정 업체에 종속되지 않는 플랫폼 설계를 지향한다. 이 방식은 기존 보안 도구(SIEM 등)와 연동하거나 모듈형 보안 스택을 유연하게 구성하는 데 유리하지만, 전용 플랫폼보다 구현과 운영의 복잡성이 커질 수 있다.

매니지드 XDR, 보안 운영의 새 흐름으로 부상

클라우드 기반 플랫폼을 제공하는 서비스형 XDR과 달리, 매니지드 XDR(Managed XDR)은 한층 진화된 형태로, 24시간 모니터링과 고도화된 자동화 기능까지 포함한 ‘운영 대행 서비스’를 제공한다. 업계 전문가에 따르면, 이 같은 모델은 최근 들어 빠르게 수요가 늘고 있다.

매니지드 XDR 모델은 기업이 계정 탈취나 랜섬웨어 같은 정교한 공격을 포함한 다양한 위협을 훨씬 더 효과적으로 탐지하고 대응할 수 있도록 돕는다. 여러 가지 보안 솔루션을 따로 도입하거나 전문 보안 인력을 직접 확보할 필요 없이 고도화된 보안 역량을 확보할 수 있다는 점이 강점이다.

바라쿠다 네트웍스(Barracuda Networks)의 EMEA 지역 XDR 컨설팅 솔루션 아키텍트 야즈 베카르는 “탐지와 대응 과정에서 자동화가 중요한 역할을 하긴 하지만, 매니지드 XDR의 진정한 강점은 그 뒤에 자리한 성숙한 SOC에 있다. 탐지 정확도를 유지하고, 탐지 규칙을 지속적으로 조정하며, 인시던트를 깊이 있게 분석할 수 있는 기반이 된다”라고 설명했다.

베카르는 “인간의 감독 없이 자동화에만 의존하면 보안 사각지대가 생길 수 있다”라고 강조했다.
dl-itworldkorea@foundryco.com