네트워크 트래픽 분석해 위협 탐지하는 NTA에 자동화된 대응 기능 더한 NDR로 성장
최근 한국 뒤흔든 대형 사이버 공격의 ‘알려지지 않은 공격’에 대응할 수 있어 관심받아
NDR 솔루션에 대한 사용자 설문조사...고객이 가장 기대하는 NDR의 기능은 ‘내부 트래픽 가시성’
NDR 솔루션 전문기업 집중분석 : 쿼드마이너, 샌즈랩, 넷위트니스

[보안뉴스 원병철 기자] 최근 한국에서 발생한 해킹 사건을 보면, 시그니처 기반 보안 솔루션이 아닌 ‘행위 기반 분석(Behavior Analysis)’이나 ‘이상행위 탐지(Anomaly Detection)’ 기반 보안 솔루션이었다면 피해를 줄일 수 있었지 않을까 하는 의견이 제기되고 있다.


대표적인 것이 바로 NDR이다. 네트워크 탐지 및 대응(Network Detection & Response)의 줄임말인 NDR은 이름 그대로 네트워크 트래픽을 분석해 비정상적인 활동을 탐지하고 위협에 대응하는 솔루션이다. 네트워크의 모든 트래픽을 모니터링함으로써 외부에서의 침입은 물론 내부에서의 측면이동(Lateral Movement)과 같은 움직임까지 확인해 보안팀에 경고를 보내고, 연동된 다른 보안 솔루션과 함께 대응한다.

그렇다면 NDR은 언제 처음 등장했을까? 우선 ‘NDR(Network Detection & Response)’란 용어는 2020년 가트너(Gartner)의 ‘Market Guide for Network Detection and Response’ 보고서에서 처음 언급됐다. 가트너는 2010년대 네트워크 내부에서 발생하는 위협을 탐지하는 NTA(Network Traffic Analysis)가 점차 자동화된 대응 기능까지 지원하는 방향으로 발전하자, 솔루션의 범주를 새롭게 추가하고 새로운 기능을 알리기 위해 NDR 보고서를 발표했다.

업계에 따르면 초기의 NDR은 네트워크상의 트래픽으로부터 다양한 정보를 습득한 후, 학습을 통해 비정상적인 행위를 식별해 알려지지 않은 위협에 대한 탐지하는 것이 주목적이었다. 하지만 실제 기업 및 조직에서 도입해 운영하는 과정에서 이상 탐지를 통해 위협을 식별해 내는 것과 함께, 기존의 전통적인 보안장비(예를 들면, 침입탐지시스템, SIEM, EDR 등)에서 탐지된 위협들에 대해 실제 위협의 실효성과 영향도를 파악해 실질적인 대응을 즉각적으로 할 수 있도록 보안 운영을 직접적으로 지원하거나 자동화를 위한 필수적인 솔루션으로 재정의되고 있다.


최근 발생한 알려지지 않은 공격 탐지하는 ‘NDR’
NDR은 크게 세 가지 기술을 축으로 구성된다. 첫 번째는 ‘가시화·수집’으로 TAP, 미러(VPC Traffic Mirroring 등), 패킷/플로우(IPFIX·NetFlow), 클라우드 네이티브 트래픽 미러링을 통해 전 구간 데이터를 확보한다. 두 번째는 ‘분석·탐지’로 프로토콜 디코딩과 머신러닝/AI 기반 행위·이상 탐지를 수행하며, 암호화 트래픽은 호스트, SNI, JA3·JA4, QUIC FP 등 메타데이터 특성을 활용해 위협을 식별한다. 세 번째는 ‘대응·연계’로 탐지된 결과를 SOAR, NAC, 방화벽, EDR, XDR 등과 연동해 자동 대응을 지원하고, 위협 헌팅과 포렌식까지 확장할 수 있다.

특히 최근 발생한 국내 기업과 기관을 대상으로 한 ‘알려지지 않은 공격(Unknown Attack)’이 기존에 도입했던 보안 솔루션을 우회한 사건은 기업의 시스템에 침입한 사이버 공격이 실제 기업에 피해를 입히기 전에 대응할 수 있도록 실시간 네트워크 가시성 및 실시간 공격과 이상행위 탐지 기능이 필요하다고 보안업계에서는 보고 있다.

넷위트니스는 “사이버 공격 행위의 성공 여부를 떠나, 시도에 대한 ‘흔적’을 빠르게 찾아내고, 공격 경로 및 근본 원인을 실시간으로 확인하고, 필요하다면 재현해야 한다”라면서, “NDR 솔루션의 핵심 요건, 즉, ‘기존 자동화된 보안 도구가 탐지하지 못하는, 알려지지 않은 사이버 공격들에 대한 가시성 및 기업의 대응 역량 제고’가 필요한 이유”라고 설명했다.

코닉글로리는 “NDR의 핵심 이슈는 실시간 트래픽을 수집하며, 쌓이는 대량의 데이터에서 위협헌팅을 위한 얼마나 유의미한 데이터를 뽑아낼 수 있는가이며, 이를 위해 어느 정도의 AI가 적용되어 활용할 수 있는지가 중요한 요소가 될 것”이라고 설명했다.

샌즈랩은 “국내에서는 생성형 AI 기반 공격, 공급망 공격, 고도화된 랜섬웨어, DDoS 등 다양한 복합 위협이 증가하면서 실시간 위협 탐지와 포렌식 대응 능력의 중요성이 커지고 있다”라면서, “기술적으로는 △AI 기반 탐지에서 발생하는 오탐 관리, △암호화 트래픽 분석의 한계, △XDR과의 통합 및 자동 대응 체계 미비, △관리되지 않는 장치에 대한 가시성 확보가 여전히 주요 과제로 꼽힌다”라고 말했다.

쿼드마이너는 “NDR 기술의 초기 개발 목적은 알려지지 않은 위협을 네트워크상에서 수집된 정보를 기반으로 학습해 이상 탐지를 통해 식별해 내는 것이었다”라면서, “그러나 수년간 기업 및 조직에서 동일한 목적성을 가지고 기존 보안장비와 더불어 NDR을 도입해 네트워크상의 위협에 대한 전체적인 가시화까지는 가능했으나, 이 또한 기존의 보안장비처럼 추정에 의한 가시화일 뿐 다수의 탐지에 대해 기존보다 배 이상의 위협 확인을 위한 시간과 인력들이 들어가야 하는 점에 대해서 NDR 효용성에 대해 회의적인 피드백들이 늘어나고 있다”라고 지적했다.

실제로 Gartner에서 발표한 NDR 도입 고객 대상 연구 조사 결과에 따르면 그 피드백에 대해 알 수 있다는 것이 쿼드마이너의 설명이다. 예를 들면, NDR을 도입한 ‘목적’의 비중이 2021년에는 탐지가 49%로 거의 절반을 차지하지만, 2023년에는 탐지가 38%로 무려 11%가 줄었고, 기존의 헌팅을 세분화한 분석과 대응(Incident Response(IR) + Response)이 합쳐서 59%를 차지하는 등 급격히 변화되고 있음을 확인할 수 있다.

쿼드마이너는 “독립적인 탐지 솔루션화 보다는 NDR에서 수집된 정보들을 토대로 보안 운영 프로세스 전반에 걸친 분석과 대응의 영역에서의 도구화로의 진화 및 안착이 되고 있음을 알 수 있다”라면서, “2025년에 들어와서는 NDR의 역할이 확연하게 타 보안 솔루션과의 통합을 통한 보안 운영 자동화를 지원하는 도구 형태로의 프로젝트가 많이 발생하고 있다”라고 설명했다. 다만 “일부 기업들이 AI 기술을 이용한 탐지 영역의 확장이나 정확도를 올리는 쪽에 보다 집중하고 있고, 이런 점들이 실제 시장에서의 요구 사항이나 활용도와는 달리 검증되지 않은 AI 탐지 기능의 무분별한 마케팅 플레이가 더욱 가속화되고 있다”라면서, “이에 따라 실사용자인 기업이나 조직이 NDR 솔루션에 대한 단독 솔루션으로써의 도입을 망설이고 있다”라고 지적했다.


떠오르는 NDR 산업, 고객 이해도부터 높여야
NDR은 새롭게 떠오르고 있는 보안 솔루션으로 꾸준하게 성장세를 거듭하고 있다. 글로벌 시장 조사기업 ‘Business Research INSIGHTS’는 ‘NDR 시장 규모, 점유율, 성장 및 산업분석’ 보고서를 통해 글로벌 NDR 시장은 2024년 32억 1,000만달러에서 시작해 2025년에는 36억 5,000만달러로 증가하며 상당한 성장이 예상된다고 밝혔다. 또한 2025년부터 2033년까지 연평균 성장률 13.7%를 달성하며, 2033년 102억달러에 도달할 것으로 예측했다.

‘COHERENT Market Insights’도 보고서를 통해 전 세계 NDR 시장 규모는 2025년 34억 6,590만달러로 평가됐으며, 20232년까지 연평균 성장률 16.5%를 기록하며 2032년 100억 9,470만달러에 도달할 것으로 예상했다.

‘Mordor Intelligence’도 보고서에서 NDR 시장이 2025년 38억 9,000만달러를 기록했으며, 연평균 6.62%를 기록하며 2030년까지 53억 6,000만달러로 확대될 것으로 예상했다.

업계에서는 NDR 시장 초창기에는 도입 비용이나 운영 경험 등을 이유로 중기업 이상, 디지털 혁신을 추진하고 있는 모든 업종에서 관심을 가졌다고 설명한다. 그러나 NDR이 2017년경에 처음 소개되고, 8년이 지난 지금은 Gartner에서 2024년에 발표한 보안 운영 기술의 Hype Cycle에서 언급한 것처럼 ‘계몽의 단계’에 진입한 점을 볼 때, 고객의 유형이나 규모와 상관없이 보안 운영자 동화를 추진해야 하는 관점에서 모두가 선택해야 할 필수적인 솔루션이 되었다고 분석했다.

그렇다면 현재 NDR 산업에서 가장 어려운 점은 무엇이 있을까? 우선 코닉글로리는 NDR을 제대로 활용하기 위하여서는 Full Packet Capture가 필수조건이며, 전체 데이터의 수집 및 포렌식에 활용되어야 하지만, 이는 NDR의 초기 도입 비용을 크게 높여 고객이 쉽게 접근하지 못하는 장벽으로 다가선다고 지적했다.

쿼드마이너는 현재 NDR 도입 목적은 신속한 위협판정과 대응을 위한 ‘보안 운영 프로세스 자동화 지원’이지만, 제조사별로 제공되는 정보의 포맷이나 방식(API)이 독립적이고, 국내 기업의 경우 폐쇄적이기까지 해서 실효용이 떨어진다고 지적했다. 때문에 쿼드마이너가 진행하는 기술 협력 파트너십 프로그램처럼 타사 보안 솔루션과의 기술적 협력 관계를 통해 정보 제공 등이 이뤄져야 한다고 강조했다.

샌즈랩은 NDR 시장의 가장 큰 문제는 가시성과 정확성, 그리고 효율성이며, 때문에 국내 환경에 알맞은 최적화된 탐지 모델이 필수라고 강조했다.

넷위트니스는 사이버 공격은 갈수록 진화하는 반면, 아직 상당수의 기업은 NDR을 비롯한 보안 솔루션 투자를 단순히 비용 지출 항목으로만 인식하고 있으며, 때문에 당국의 컴플라이언스 충족을 위한 영역에만 투자하고 있다고 꼬집었다. 따라서 비단 NDR뿐만 아니라 기업의 보안 수준 제고를 위한 투자를 장려하는 방향으로 전반적인 인식 전환이 함께 이뤄져야 할 것이라고 조언했다.

그렇다면 NDR 산업에서 파악한 고객들의 반응은 어떨까? 우선 고객, 즉 사용자들은 NDR을 비롯해 EDR과 SIEM, SOAR와 XDR 등 최근 등장한 보안 솔루션에 대해 정확하게 파악하지 못한 경우가 많다. 단순히 경쟁하는 관계인지 아니면 상호 보완 하는 관계인지, 혹은 어느 것을 먼저 도입해야 할지 판단하지 못하는 사용자들이 많다고 업계에서는 보고 있다.

이와 관련 가트너는 지난 2019년 ‘SOC visibility triad(보안 관제 가시성의 3요소)’로서 로그(SIEM 영역), 네트워크 데이터(NDR 영역), 엔드포인트 데이터(EDR 영역)를 꼽은 바 있다. 이는 한가지 영역이 아니라 여러 가지 영역에서의 사이버 침해 행위를 탐지하고 대응한다는 XDR(eXtended Detection & Response)의 개념으로 발전했으며, NDR은 SIEM과 함께 각각 XDR을 구성하는 축으로서, 경쟁하기보다는 각자의 전문적인 영역에서 보안 가시성 및 보안 대응 수준을 제고한다고 넷위트니스는 설명한다.


보안전문가들의 NDR 솔루션에 대한 설문조사
그렇다면 실제 보안전문가들의 NDR 솔루션에 대한 생각은 어떨까? <시큐리티월드>와 <보안뉴스>는 보안전문가들의 의견을 듣기 위해, 2025년 9월 3일부터 9월 8일까지 6일간 약 10만명의 보안전문가들에게 설문조사를 실시했다. 이번 설문조사에는 공공(18.9%)과 민간(81.8%)의 보안전문가 1,482명이 답했다.

먼저 설문 응답자의 네트워크 환경에 대해 물어봤다. 절반에 가까운 49.3%가 ‘온프레미스’를 선택했으며, ‘클라우드’를 선택한 응답자는 15.5%였다. 나머지 35.2%는 온프레미스와 클라우드를 필요에 따라 섞어 쓰는 ‘하이브리드’ 방식을 사용했다. 하이브리드 방식을 사용할 경우 온프레미스와 클라우드의 비율에 대해서도 물어봤다. 전체 하이브리드 방식 사용자 중 8.8%는 ‘온프레미스 7에 클라우드 3’을 사용한다고 답했으며, 6.8%는 ‘온프레미스 5에 클라우드 5’를 사용한다고 밝혔다. 또한 6.1%는 ‘온프레미스 9에 클라우드 1’을 사용한다고 밝혀 비율의 차이는 크게 없는 것으로 조사됐다.

기업이나 기관의 평균 네트워크 트래픽 규모에 대해 묻자 43.9%가 ‘100Mbps~1Gbps’라고 답했으며, 17.6%는 ‘1Gbps~5Gbps’라고 답했다. 또한 12.8%는 100Mbps 이하라고 답했으며, 10.1%는 ‘5Gbps~10Gbps’라고 답했다. 또한 8.8%는 ‘100Gbps’를 선택했으며, 6.8%는 ‘10Gbps~100Gbps’를 사용한다고 답했다.

이어 NDR의 핵심 기능에 대해 물어봤다. 40.5%는 ‘탐지된 위협 분석 및 대응 자동화’를 선택했으며, 29.7%는 ‘네트워크 분석 및 탐지’를 선택했다. 또한 18.9%는 ‘네트워크 가시성 확보’를 골랐으며, 10/9%는 SIEM, SOAR 등과 연동을 통한 관제 영역 확장 기능을 선택했다.

그렇다면 실제로 사용자들이 NDR에 기대하는 기능은 무엇일까? 26.4%는 ‘내부 트래픽 가시성’을 선택했으며, 17.6%는 ‘자동화된 대응’을 선택했다. 또한 12.2%는 ‘네트워크 흐름 가시화’를 골랐으며, 8.8%는 ‘네트워크 트래픽 처리용량’을 선택했다.

실제 사용자들은 NDR을 얼마나 사용하고 있을까? NDR 도입 여부에 대해 묻자 82.4%는 ‘도입하지 않았다’라고 답했으며, 17.6%는 ‘도입했다’라고 답해 아직까지 시장이 활성화되지 않았다는 것을 보여줬다. 또한 NDR을 도입할 계획이 있는지 묻자, 51.4%는 ‘당분간 도입할 계획이 없다’라고 답했고, 40.5%는 ‘추후 도입할 계획이 있다’라고 답했다. 심지어 8.1%는 ‘1년 이내 도입할 계획이 있다’라고 답해 시장의 성장 가능성을 보여줬다.

고객의 니즈에 부합하기 위해 발전한 차세대 보안 솔루션
지능형 지속 위협 공격이 증가하고 기존 시그니처 방식으로는 모든 공격에 대응할 수 없게 되자, 그 대안으로 등장한 솔루션 중 하나인 NDR은 네트워크에서 수집된 데이터를 근간으로 한 학습을 바탕으로 보안 위협을 탐지한다. 때문에 어떤 데이터를 수집하고 분석하는 것도 중요하다.

AI 기반 탐지 관련 특허들을 보면 많은 수가 메타데이터를 기반으로 한 탐지로, 알고리즘이나 모델을 다각화해 정확도를 올리는 형태의 특허들이 대부분이다. 여기에 트래픽의 페이로드 상에서 수집되는 데이터, 즉, 콘텐츠 본문과 원본 파일의 콘텐츠까지 학습할 데이터의 범위를 확장해 보다 정교한 탐지와 분석을 추가할 수 있을 것으로 업계에서는 보고 있다.

NDR에 대한 사용자의 반응은 나쁘지 않다. 비인가 애플리케이션 사용과 외부로의 비정상 데이터 전송, 내부 시스템 간의 비정상 흐름이나 ChatGPT와 같은 생성형 AI 서비스로의 자료 유출 등 새로운 유형의 위협에 직면하고 있다. NDR은 네트워크 전 구간을 가시화하고, 데이터가 어디로 어떻게 이동하는지 실시간으로 파악할 수 있도록 해주며, 고객들도 SIEM이나 EDR이 보지 못하는 영역을 메워주는 보완재로 인식하고 있다. 특히 다른 솔루션과 연동했을 때 탐지와 대응 범위가 넓어지고, 자동화 수준이 높아지는 점에서 만족도가 큰 것은 고무적이다.

NDR은 갑자기 허공에서 떨어진 솔루션이 아니다. 기존 네트워크의 위협을 탐지하던 NTA에 고객의 니즈인 ‘대응’이 포함돼 발전한 보안 솔루션이며, EDR과 SIEM 등과 함께 상호 보완하며 XDR의 한 축을 담당하기도 한다. 진화된 사이버 위협에 대응하고 고객의 니즈에 부합하기 위한 방향으로 발전한 차세대 보안 솔루션이 바로 NDR인 것이다.


[NDR 솔루션 집중분석-1] 쿼드마이너
풀 패킷 기반 차세대 NDR 솔루션 ‘Network Blackbox’
전수 패킷 수집·탐지·헌팅·포렌식·대응까지 통합 지원

네트워크 블랙박스(Network Blackbox)는 고속 대용량 네트워크 환경에서도 손실 없는 전수 패킷 수집과 분석을 통해 알려진·알려지지 않은 위협을 탐지할 수 있는 차세대 NDR(Network Detection & Response) 솔루션이다.

전수 패킷 수집(Full-Packet Capture)부터 탐지(Detection), 헌팅(Hunting), 포렌식(Forensic), 대응(Response)에 이르는 보안 운영 전 과정을 아우르며, 고도화되는 사이버 공격에 대한 선제적 탐지와 신속한 대응을 지원한다. 특히, 애플리케이션 레벨까지 재조합된 풀 패킷 스트림 분석을 통해 정밀한 위협 인식과 증적 확보가 가능해, 최근 기업과 공공기관이 요구하는 가시성·신뢰성 높은 보안 체계를 구현하는 데 핵심적 역할을 하고 있다.

풀 패킷 기반의 가시성과 정밀 분석 역량
Network Blackbox는 기업 네트워크 전 구간의 트래픽을 100% 수집·저장·분석해 알려진 공격은 물론 미탐 가능성이 높은 지능형 위협까지 탐지한다. 단순한 로그 기반 분석을 넘어, 풀 패킷 스트림을 애플리케이션 레벨로 재조합해 다양한 증적 데이터를 추출·분석함으로써 정밀한 위협 인텔리전스를 확보한다. 이를 통해 보안 운영자는 공격 행위의 근본 원인과 경로를 정확히 파악하고, 침해 사고 발생 시 법적 증거로도 활용할 수 있는 수준의 포렌식 데이터를 확보할 수 있다.

헌팅 기능을 통한 능동적 위협 탐색
Network Blackbox는 단순 탐지를 넘어 위협 헌팅 기능을 제공해 보안 운영자가 잠재적 공격을 선제적으로 식별할 수 있도록 한다. 축적된 풀 패킷 데이터를 활용한 심층 분석을 통해 은밀히 진행되는 공격 징후를 포착할 수 있으며, 이를 기반으로 조직 내 위협 상황을 조기에 인지하고 대응 전략을 수립할 수 있다.

차세대 NDR로서의 성장 가능성
최근 SK텔레콤의 유심 해킹 사태와 같이 네트워크 기반 공격이 사회적으로 큰 이슈가 되면서, 주요 통신사·금융권·공공기관이 NDR 도입에 속도를 내고 있다. Network Blackbox는 이러한 수요 증가에 맞춰 고성능 패킷 처리 아키텍처와 확장가능한 보안 프레임워크를 제공함으로써, 사이버 보안 전략의 핵심 솔루션으로 자리매김하고 있다.


[NDR 솔루션 집중분석-2] 샌즈랩
AI NDR(Network Detection and Response) 솔루션 ‘MNX’
보안 사각지대에서 발생하는 모든 실시간 위협을 AI 어시스턴트가 감시한다

차세대 AI NDR 솔루션은 네트워크 전 구간에 대한 가시성을 확보해 보이지 않는 취약점을 해소하고 AI 기반의 자동화된 위협 대응과 알림 기능을 통해 보안 업무 효율성을 높이고 비용 절감 효과까지 제공한다. 이렇게 단순 탐지를 넘어 AI 기반 분석·대응·운영 효율성까지 강화한 올인원 NDR 솔루션이 국내에 출시되고 있다.

GS인증 1등급을 획득한 샌즈랩의 AI NDR 솔루션 MNX는 네트워크 전 구간의 트래픽 패킷을 완벽히 수집·분석해 알려지지 않은 위협까지 식별하는 차세대 솔루션이다. 기존 보안 체계를 우회하거나 탐지가 어려운 위협을 AI로 가시화하며, 높은 탐지 성능과 운영 편의성을 동시에 제공한다.

MNX는 △자체 개발한 AI 탐지 모델과 시그니처, TI(Threat Intelligence) 연동 분석으로 다양한 위협을 놓치지 않고 탐지하며, 도입 전 대비 탐지 정확도가 최대 98% 향상된다. △기존 NDR의 단순한 일괄 대응 방식을 넘어, 위협 특성에 따라 차별화된 시나리오 기반 맞춤형 대응이 가능하다. △LLM 기반 AI 어시스턴트는 위협의 원인과 영향, 단계별 조치 가이드를 자동 제공해 운영자의 부담을 줄이고 대응 속도를 끌어올린다. △또한 직관적인 UI와 고성능 검색 기능으로 보안 전문 인력이 부족한 조직도 쉽게 운영할 수 있어, 외산 솔루션 대비 높은 사용성을 제공한다. △마지막으로 양자 내성 암호(PQC) 점검 기능을 통해 네트워크 통신이 안전한 암호체계로 이뤄지고 있는지를 실시간 식별·시각화한다. ‘내성’과 ‘취약’으로 구분된 직관적 상태 표시로, 향후 양자컴퓨팅 기반 해킹 가능성까지 즉각 확인할 수 있다.

샌즈랩은 최근 출시한 개인정보 유출 알림 서비스 ‘IDPW’를 MNX에 통합해 경쟁력을 더욱 강화하고 있다. IDPW는 다크웹·불법 유통망에서의 개인정보 유출을 탐지하고 사용자에게 실시간 알림을 제공한다. MNX와 연동하면 네트워크 내부 위협 탐지와 더불어 유출 계정 기반 로그인 시도 및 크리덴셜 스터핑(계정 탈취 공격)을 실시간 차단할 수 있다. 이를 통해 보안 담당자는 내부망의 공격 징후와 외부 유출 정황을 동시에 확인할 수 있어, 입체적이고 선제적인 보안 운영이 가능하다. 샌즈랩은 이처럼 내부 위협(NDR)과 외부 위협(CTI·IDPW)을 통합 관리하는 전방위 대응 체계를 구축하며 차세대 NDR 시장의 기준을 높이고 있다.

또한 글로벌 시장 확대에도 속도를 내고 있다. 샌즈랩은 지난 4월 현지 파트너십을 체결하며 일본 시장 진출을 본격화했다. 일본은 중소기업(SMB) 보안 및 공공 클라우드 보안 수요가 빠르게 증가하는 지역으로, 샌즈랩은 클라우드 버전 MNX를 개발 및 수출해 제품 다각화 전략을 추진하고 향후 대형 IT 전시회 참가 등을 통해 현지 관계자 및 수요처 대상 홍보와 판로 확대에 나선다.

MNX를 활용 중인 기업·기관은 공통으로 ‘네트워크 가시성 확보’를 가장 큰 장점으로 꼽는다. 패킷 단위 분석으로 프로토콜과 애플리케이션 레벨까지 가시화해 비인가 소프트웨어 사용, 원격 제어 시도, 대용량 데이터 유출 등 눈에 보이지 않는 위협까지 빠짐없이 포착한다. 결과적으로 탐지 속도는 5배 이상 향상, 위협 대응 시간은 70% 단축되는 효과를 보고 있다.

또한 샌즈랩은 기업 규모와 네트워크 특성에 따라 ‘0.5G·1G·10G’ 모델로 세분화된 제품 라인을 제공한다. 이를 통해 중소기업부터 대기업·공공기관까지 맞춤형 도입이 가능하며, 현재 조달청 디지털서비스몰에도 등록돼 구매가 가능하다.


[NDR 솔루션 집중분석-3] 넷위트니스
넷위트니스(NetWitness), 고도의 사이버 위협 행위를 조기 탐지 및 대응하는 전 세계 대표 NDR 솔루션

네트워크 이상/침해 행위에 대응하는 솔루션이 ‘NDR(Network Detection & Response)’이라는 전문 솔루션 영역으로서 분류되고 있으며, 넷위트니스(NetWitness)는 이러한 NDR 솔루션의 글로벌 대표 주자로서 자리매김하고 있다. 넷위트니스는, 기업의 네트워크 인프라에 대한 전반적인 가시성 및 실시간 이상/침해 행위를 탐지 및 대응하는 네트워크 포렌식 기반의 NDR 솔루션이다. 넷위트니스의 특징은 다음과 같다.

넷위트니스는 미국 국토안보부 산하 국가사이버안전센터에서 개발한 후 상용화된 NDR 솔루션으로서, 전 세계에서 가장 보안에 민감한 기업과 기관들이 널리 사용 중인 대표적으로 검증된 솔루션이다. 국내외에서 정교한 사이버 공격에 대응하는 데 초점을 두고 있으며, 증거 기반으로 사이버 공격 및 위협 행위에 대한 실시간 탐지, 실시간 대응 기능을 제공한다. 때문에 미국 및 주요 동맹국 정부, 국방, 국제기구, 정보기관, 방산기업, 글로벌 대기업 및 금융기관에서 널리 사용되고 있으며, 국내에서도 다수의 대기업 및 주요 공공기관, 금융기관에서 폭넓게 활용 중이다.

넷위트니스를 도입한 기업 및 기관의 보안팀은 국내외 사이버 공격에 대비한 보안 관제, 위협 헌팅, 사내 컴플라이언스 준수 여부 확인, 감사를 대비한 증적 데이터 제공 등의 용도로 다양하게 사용하고 있다. 실시간으로 모든 네트워크 트래픽을 수집하고 분석하기에, 증거 기반으로 네트워크상 모든 사이버 공격 행위에 대한 가시성 및 공격 경로를 확인 및 재현할 수 있으며, 정탐 및 오탐에 대한 명확한 판단 근거를 제공한다. 모든 네트워크 원본 트래픽에서 수집 시점에 실시간으로 메타데이터를 추출하고 정교한 인덱싱 (indexing)을 하며, 즉각적으로 위협/침해/특이점 정보를 세분화해 시간 순서별로, 단계별로 어떻게 전개되어 가는지 보안 담당자에게 제공하기에 공격 및 이상행위에 대한 실시간 탐지 및 대응을 할 수 있다.

특히 최근 BPFDoor 사태와 같이 고도화된 공격 시도에 대한 흔적을 조기 확보, 탐지 및 분석의 중요성이 대두되고 있음을 감안하면, 넷위트니스가 제공하는 실시간 증거 기반 탐지 및 대응 기능은 보안 담당자의 솔루션 활용성을 극대화할 수 있다.

각 기업 및 기관의 보안 담당자들은 넷위트니스가 제공하는 위협 탐지 룰(rule) 뿐만 아니라 고객사 환경에 맞춰 제작하는 커스텀 룰, 고객사가 보유한 기존 위협 인텔리전스 정보(Threat Intelligence) 및 넷위트니스가 제공하는 최신 위협 인텔리전스 정보 등을 다양하게 활용하거나 위협 헌팅을 하면서 국내외 정교한 사이버 공격을 대비하고 있다. 특히 넷위트니스는 ‘FirstWatch’라는 글로벌 위협 인텔리전스 전문 기관을 운용하고 있으며, 전 세계 굴지의 다양한 기관 및 기업들과의 공조를 통해 가장 최신의 위협 정보를 한국 고객에게도 제공하고 있다. 덕분에 다수의 한국 기업 및 기관들이 글로벌 APT(Advanced Persistent Threat) 그룹의 공격에 대해 피해를 입기 전에 빠르게 위협 탐지 및 대응 조치를 통해 피해를 예방하고 있다.

이렇게 다수의 기업이 넷위트니스를 적극적으로 활용한 덕분에 넷위트니스는 2012년 한국 진출이래 꾸준하게 다수의 기업 및 기관들이 확장 구매하고 애용하는, 전 세계에서 가장 검증된, 가장 신뢰받는, 대표 NDR 솔루션 중 하나로 자리매김하고 있다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>