샌즈랩이 AI 기반 공격 고도화에 대응하기 위한 새로운 네트워크 보안 운영 방향으로 ‘에이전트형 NDR(Network Detection and Response)’ 구조를 제시했다. 단순히 이상 행위를 많이 잡아내는 데 그치지 않고, 위협의 흐름과 맥락까지 함께 분석해 실제 보안 운영자의 판단과 대응 우선순위를 지원하겠다는 전략이다.

샌즈랩은 AI 기반 NDR 솔루션 ‘MNX’에 자사의 사이버 위협 인텔리전스 서비스 ‘CTX’와 계정 정보 유출 알림 서비스 ‘IDPW’를 연계해 보안 운영 체계를 한 단계 확장한다고 밝혔다. 최근 암호화 트래픽이 빠르게 늘고 AI를 활용한 공격도 정교해지면서, 이상 징후를 조기에 찾아내는 것만으로는 부족하다는 판단이 깔려 있다. 이제는 침투 경로가 어디인지, 공격이 어떤 방식으로 확산되는지, 실제 정보 유출이 있었는지까지 빠르게 파악할 수 있어야 한다는 것이다.

샌즈랩이 강조한 지점도 여기에 있다. 기존 NDR 시장이 탐지 중심으로 경쟁해 왔다면, 앞으로는 탐지 결과를 어떻게 해석하고 어떤 대응 결정을 내리게 도울 수 있느냐가 더 중요해진다는 설명이다. MNX는 AI 기반 이상행위 탐지와 비정상 세션 분석, 파일 추출 뒤 백신 및 AI 분석, Drill-down 기반 공격 흐름 추적, 자동화된 플레이북 연동 기능 등을 결합해 단일 이벤트가 아니라 공격 흐름 전체를 기준으로 위협을 해석하도록 설계됐다.

이 구조는 실제 보안 운영 환경에서 의미가 크다. 경고가 많아도 그것이 어떤 공격과 연결되는지 설명되지 않으면 대응은 늦어질 수밖에 없다. 샌즈랩은 MNX가 IP 토폴로지 기반으로 공격 흐름과 네트워크 이상 징후를 시각화해, 운영자가 보다 빠르게 상황을 이해하고 우선순위를 정할 수 있도록 지원한다고 설명했다.

제품 신뢰성과 도입 안정성을 뒷받침하는 요소도 함께 내세웠다. MNX는 보안기능확인서를 보유하고 있어 공공기관과 기업이 요구하는 보안 제품 검증 기준에 대응할 수 있는 기반을 갖췄다. 도입 검토 단계에서 제품 신뢰성을 설명할 수 있는 요소를 확보했다는 점에서 경쟁력을 높일 수 있다는 평가다.

양자 보안 전환 흐름에 대응할 수 있는 점도 눈에 띈다. 샌즈랩은 MNX가 양자 내성 암호 점검 기술을 통해 네트워크 통신 구간의 양자내성 적용 여부를 식별할 수 있도록 지원한다고 밝혔다. 당장 양자 보안 체계 전환이 본격화되지 않았더라도, 향후 전환 준비 과정에서 현재 환경을 점검할 수 있는 기반을 제공하겠다는 의미다.

CTX와의 연계는 탐지 정확도와 분석 깊이를 동시에 끌어올리는 데 초점이 맞춰졌다. CTX가 수집·분석한 실시간 위협 정보를 MNX의 트래픽 분석에 반영함으로써 알려지지 않은 이상 패턴이나 공격자 인프라, 신규 C2 통신 지표를 더 빠르게 식별할 수 있도록 했다는 것이다. 네트워크 행위 정보와 위협 인텔리전스를 교차 분석해 탐지 신뢰도를 높이고, 오탐과 과탐을 줄이는 데도 힘을 실었다.

사후 분석 역량 강화도 중요한 포인트로 제시됐다. CTX가 공격자 지표와 동작 패턴을 계속 업데이트하면, MNX에 장기 저장된 샘플에 대해 재조회(Re-Scan)를 수행해 최초 침투 시점과 내부 확산 경로, 데이터 유출 여부까지 다시 확인할 수 있다는 설명이다. 침해 사실을 한참 뒤에야 인지하는 사례가 적지 않은 최근 사고 흐름을 고려하면, 이런 재분석 체계는 실제 사고 대응 과정에서 활용도가 높을 수 있다.

IDPW 연계는 계정 탈취 위협 대응 측면에서 의미를 가진다. 이메일과 도메인 기반 유출 계정 정보를 함께 제공해 네트워크 이상 행위와 계정 탈취 정황을 교차 분석할 수 있도록 했기 때문이다. 최근 대형 침해사고 상당수가 계정 탈취나 크리덴셜 악용과 연결되는 점을 감안하면, 네트워크 단위 탐지와 계정 유출 징후를 함께 보는 구조는 실무적으로 필요한 방향에 가깝다.

샌즈랩은 이런 결합 구조가 단순한 기능 추가가 아니라 최근 보안 시장의 수요 변화를 반영한 결과라고 보고 있다. 실제로 대규모 해킹과 정보유출 사고는 침해 사실을 늦게 알아차리거나, 사고 이후에야 계정 탈취 정황을 확인하는 방식으로 드러나는 경우가 많다. 이 때문에 최초 침투 시점과 확산 경로, 유출 여부를 빠르게 추적할 수 있는 사후 분석 체계의 중요성이 커지고 있다는 것이다.

샌즈랩은 MNX가 후발 주자이지만 이미 다양한 구축 경험을 확보했다고 설명했다. 대규모 10G 환경과 DMZ 구간을 포함한 분산 환경에서 구축을 진행했고, 비인가 정보 반출 행위 탐지, 내부 감염 PC 식별, 암호화 트래픽 기반 이상행위 가시화, 외부 유입 악성 트래픽 식별, 크리덴셜 스터핑과 계정 탈취 시도 탐지 등 여러 운영 시나리오에 대응해 왔다고 밝혔다.

향후 확장 방향으로는 MDR(Managed Detection and Response)형 서비스도 제시했다. 현재의 운영 지원 체계를 바탕으로 고객 환경과 수요에 따라 탐지, 분석, 대응 지원까지 연계하는 형태로 서비스 범위를 넓힐 수 있다는 것이다. 보안 인력 부족과 운영 부담이 큰 조직이 늘고 있는 상황에서, 이 같은 확장 전략은 실질적인 시장 요구와도 맞닿아 있다.

김기홍 샌즈랩 대표는 “이제 NDR은 단순히 더 많은 이상 행위를 탐지하는 솔루션이 아니라 분산된 네트워크를 모두 가시화해 실제 대응 가능한 판단으로 바꾸는 운영 체계로 진화해야 한다”며 “MNX에 CTX와 IDPW를 연계해 위협의 흐름과 맥락까지 해석할 수 있는 에이전트형 NDR 구조를 바탕으로 고객이 해킹 위협에 보다 빠르고 정확하게 대응할 수 있도록 지원하겠다”고 말했다.