기존 XDR 보안 체계를 우회하는 고도화된 침해사고가 잇따르면서 2026년을 대비한 보안 전략 역시 구조적 전환이 필요하다는 지적이 나온다. 단순한 탐지 고도화를 넘어 엔드포인트 중심 XDR의 한계를 보완하기 위해서는 Advanced NDR 중심의 보안 아키텍처로 재편이 불가피하다는 분석이다.

 

씨큐비스타는 지난해 국내에서 발생한 주요 지능형 해킹사고를 종합 분석한 결과, 은닉형 공격에 효과적으로 대응하기 위해 차세대 NDR을 핵심축으로 한 보안 아키텍처 전환이 시급하다고 밝혔다. 씨큐비스타에 따르면 2025년 국내 통신사와 대형 전자상거래 플랫폼, 보증보험사 등에서 발생한 대규모 침해사고는 XDR 중심 보안의 구조적 한계를 단적으로 보여준 사례로 평가된다.

 

특히 통신사 해킹 사건에서는 공격자가 XDR의 가시성 범위를 정면으로 회피하는 방식으로 침투에 성공했다. 공격자는 파일리스 백도어를 활용해 디스크에 악성 파일을 남기지 않았고 프로세스 실행 흔적이나 시스템 이벤트 로그도 생성하지 않았다. 외부 통신 역시 정상적인 TLS 세션으로 위장해 수행함으로써 엔드포인트 기반 탐지 체계가 위협을 인지하지 못하도록 만들었다. 이로 인해 공격자는 장기간 은닉 상태를 유지할 수 있었고 결과적으로 EDR과 XDR 기반 보안 체계는 사실상 무력화됐다.

 

 

문제의 핵심은 EDR과 XDR이 전제하는 탐지 구조 자체에 있다. XDR은 엔드포인트 로그와 애플리케이션 이벤트, 보안 장비 로그 등 관찰 가능한 데이터의 존재를 전제로 동작한다. 그러나 최근 공격 기법은 파일리스 공격, 커널 영역 은닉, 정상 계정 탈취 및 악용, TLS·QUIC 기반 암호화 통신 등 로그를 남기지 않거나 정상 행위와 구분하기 어려운 방향으로 진화하고 있다. 이러한 환경에서는 XDR이 아무리 정교한 분석 엔진과 AI 모델을 갖추더라도 분석 입력값이 되는 로그와 이벤트가 존재하지 않는 한 조기 탐지는 구조적으로 불가능하다는 한계에 직면하게 된다.

 

이에 따라 보안의 중심을 엔드포인트에서 네트워크로 이동해야 한다는 주장이 힘을 얻고 있다. 네트워크 상에서 실제로 발생하는 통신 행위를 지속적으로 관찰하고, 암호화 여부와 무관하게 행위 자체를 분석·상관·추적할 수 있는 Advanced NDR이 차세대 침해 대응의 핵심 축으로 부상하고 있다는 설명이다.

 

전덕조 씨큐비스타 대표는 “이제 보안의 관점은 엔드포인트에서 무엇이 실행됐는가를 보는 단계에서 벗어나, 네트워크 상에서 어떤 통신 행위가 발생하고 있는지를 실시간으로 관찰·분석하는 구조로 이동해야 한다”며 “암호화 환경에서도 위협 행위를 식별할 수 있는 고급 NDR 중심의 보안 아키텍처가 2026년 이후 보안 전략의 핵심이 될 것”이라고 강조했다.

 

헬로티 구서경 기자 |