씨큐비스타 "연이은 해킹 사고, XDR 보안 한계 드러나"

[디지털데일리 김보민기자] 지난해 기존 확장탐지및대응(XDR) 보안망을 우회하는 해킹 사고가 발생하면서 보안 전략에 전환이 필요하다는 지적이 제기됐다. 탐지 고도화를 넘어 엔드포인트 중심 XDR 구조적 한계를 보완하고 실질적인 방어력을 확보해야 한다는 취지다.

사이버 위협헌팅 보안기업 씨큐비스타는 지난 한 해 국내에서 발생한 주요 지능형 해킹사고들을 종합 분석한 결과, 은닉형 공격에 대응하기 위해 차세대 네트워크탐지및대응(NDR)을 핵심축으로 전환이 시급하다고 20일 밝혔다.

씨큐비스타에 따르면 2025년 국내 통신사와 대형 전자상거래 플랫폼, 보증보험사 등에서 발생한 대규모 침해사고들은 XDR 중심 보안 구조적 한계를 여실히 드러낸 사례로 평가된다. 특히 통신사 해킹 사건의 경우 공격자는 XDR 가시성 범위를 정면으로 회피하는 방식으로 침투를 성공시켰다.

해당 공격에서 공격자는 파일리스(Fileless) 백도어를 활용해 디스크에 어떠한 악성 파일도 남기지 않았고 프로세스 실행 흔적이나 시스템 이벤트 로그 역시 생성하지 않았다. 또한 외부와 통신은 정상적인 TLS 세션으로 위장 수행해 엔드포인트 기반 탐지 체계가 위협 자체를 인지하지 못하도록 만들었다. 이로 인해 공격자는 장기간 은닉 상태를 유지할 수 있었고, 결과적으로 엔드포인트 기반 엔드포인트탐지및대응(EDR) 및 XDR 기반 보안 체계가 무력화됐다.

씨큐비스타는 문제 핵심이 EDR 및 XDR이 전제하는 탐지 구조에 있다고 진단했다. XDR은 엔드포인트 로그, 애플리케이션 이벤트, 보안 장비 로그 등 '관찰 가능한 데이터 존재'를 전제로 동작하는 보안 체계다. 그러나 최근 공격 기법은 파일리스 공격, 커널 영역 은닉, 정상 계정 탈취 및 악용, TLS·QUIC 기반 암호화 통신 등 로그를 남기지 않거나 정상 행위와 구분하기 어려운 방향으로 진화하고 있다.

이러한 환경에서는 XDR이 정교한 분석 엔진과 AI 모델을 갖추더라도 분석 입력값이 되는 로그와 이벤트가 존재하지 않는 한 조기 탐지는 구조적으로 불가능하다.

전덕조 씨큐비스타 대표는 "이제 보안 중심은 '엔드포인트에서 무엇이 실행됐는가'를 보는 관점에서, 네트워크 상에서 실제로 어떤 통신 행위가 발생하고 있는지를 관찰·분석하는 구조로 이동해야 한다"며 "암호화 여부와 무관하게 통신 행위 자체를 분석·상관·추적할 수 있는 고급 NDR 중심 보안 아키텍처가 차세대 침해 대응 핵심이 될 것"이라고 강조했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -