sejong.jeonjo@gmail.com

작성일: 2024년 4월 25일

양수리 성당 ~ 봉주르 스퀘어 카페 ~ 팔당대교

• 왕복 2시간 코스이고, 모두 평지라서 쉽게 다녀올 수 있을 듯.
• 중간에 자동차 도로를 만나지 않으니까 안전함.

작성일: 2024년 6월 4일

Network Traffic을 다루는 앱을 개발하다보면, TLS 또는 HTTPS로 암호화한 통신 내용을 봐야 할 때가 있다.

원칙적으로는 TLS 통신에서 제3자가 패킷 내용을 열람하는 것이 불가능하지만,

내 PC에 저장된 Master Secret 값을 이용하면 복호화가 가능하다. (내 PC는 제3자가 아니니까 이런 복호화가 가능한 얘기가 된다)

참고: 3가지 복호화 방법

Master Secret 값을 이용하는 경우 외에도 TLS Payload를 복호화(Decryption)하는 방법이 있다.

Wireshark 매뉴얼에 보면, Master Secret을 포함하여 총 3가지 방법을 소개하고 있다.

방법 A : (Pre)-Master Secret 정보가 담겨있는 Key load file을 사용하여 복호화하기

이 방법이 범용적으로 사용되는 복호화 방법.

Diffie-Hellman(DH) Key 교환이 발생하더라도 (Pre)-Master Secret 정보를 이용하면 복호화가 된다.

이 블로그의 대부분 내용이 이 방식으로 복호화하는 방법이 설명되어 있다.

 
방법 B : RSA private key (예:  PEM 포맷의 private key 파일)을 이용하여 복호화하기

TLS 연동할 Peer 노드(예: 서버)의 RSA private key를 한번만 Wireshark에 등록하면 되므로 가장 편하게 설정할 수 있다.

단, 아래와 같이 조건을 모두 만족하는 경우에만 RSA private key를 사용하여 복호화하는 것이 가능하다.

• 조건1: Cipher suite가 (EC)DHE 계열이 아니어야 한다.
• 조건2: TLS 1.0 ~ 1.2만 허용됨. TLS 1.3에서는 복호화할 수 없음.
• 조건3: Wireshark에 등록할 Private key는 반드시 Server certificate이어야 한다. client certificate 또는 CA(Certificate Authority) certificate은 안 된다.
• 조건4: TLS handshake 절차에서 'ClientKeyExchange' 과정이 포함되어야 함

즉, 위 4가지 조건을 모두 만족해야 햐는데 현실적으로 요즘 TLS 통신 환경에서 RSA private key를 이용하여 복호화하는 것이 거의 어렵다는 뜻 ㅠㅠ

방법 C : Pre-Shared-Key(PSK) 정보를 이용하여 복호화하기

수준 높은 보안을 요구하는 곳에서 PSK를 사용하지 않고,
PSK를 사용하는 것이 흔한 경우가 아니니까, 설명을 생략~

그렇다면,  Master Secret이라는게 무엇이길래 패킷 복호화가 가능한 것일까?

만약 Server / Client 간 통신이 mTLS 방식으로 연결된다면, 아래와 같이 절차를 따를 것이다.

1. Client는 Server certificate을 받아서 믿을만한 Network peer인지 확인 (즉, Root CA가 서명한 Certificate인지 확인)
2. Server는 Client certificate을 받아서 믿을만한 Network peer인지 확인
3. 서로 믿을만하다고 판단되면, 대칭키 교환 (여기서 교환한 대칭키는 Server, Client가 패킷을 암호화 및 복호화 할 때 사용)
4. Server, Client가 서로 암호화한 패킷을 주고, 받을 쪽에서는 패킷을 받으면 복호화 처리 (이 때 대칭키를 사용함)

위 mTLS 핸드쉐이킹 절차 3번에서 교화한 대칭키만 있으면, Server / Client 간에 주고 받은 암호화된 HTTPS(또는 TLS) 패킷을 복호화할 수 있다.

이론적으로는 위와 같고, 실제로 Chrome browser 또는 Firefox browser로 HTTPS 패킷을 보내고 받은 내용을 복호화하려면 아래와 같이 해야 한다.

##
## Firefox 브라우저로 테스트할 때.
## 
$ export SSLKEYLOGFILE=/tmp/sslkey.log
$ open /Applications/Firefox.app

##
## Chrome 브라우저로 테스트할 때.
##
$ export SSLKEYLOGFILE=/tmp/sslkey.log 
$ open /Applications/Google\ Chrome.app

Wireshark을 macOS에서 실행한 경우, 아래의 순서로 설정 화면을 열어 본다.

[ Wireshark ]  ->  [ Preferences ]  ->  [ Protocols ]  ->  [ TLS ]  ->  [ (Pre)-Master-Secret log filename ]

위 순서로 설정 화면을 오픈하고, 아래 예시 화면처럼 Master-Secret log 파일 경로를 입력하면 된다.

[ OK ] 버튼을 클릭하고, Firefox 브라우저에서 웹 브라우징을 해보면

TLS의 Payload가 눈으로 볼 수 있는 HTTP Payload로 복호화된 것을 확인할 수 있다. 

참고: 위와 동일한 내용이지만 원문을 읽고 싶다면, 아래 문서 링크를 클릭할 것 !

https://wiki.wireshark.org/TLS#using-the-pre-master-secret

예술의 전당, 남부터미널 근처에서 밥 먹을 일이 많은데,
식당에 갈 때마다 식사 후의 느낌(맛, 분위기, 친절함)을 잘 기록해놓아야겠다.

바르다김선생 + 경성찹쌀꽈배기

• 방문한 날짜: 2024년 9월
• 총평:
  • 바르다김선생(남부터미널역점)의 대부분의 메뉴가 짠맛이 강하다. 짠맛을 좋아하는 사람에게는 추천.
  • 싱겁게 먹는 것을 좋아하는 사람은 제끼는 것을 권장.
  • 경성찹쌀꽈배기는 1개월에 1번 정도 간식 타임에 먹기 딱 좋음.

나리네전집

• 방문한 날짜: 2024년 7월
• 총평:
  • 오늘 처음 갔는데, 월 2회 정도는 가고 싶은 만큼 맛과 가격, 양(Quantity)이 만족스럽다.
  • 다른 분들의 블로그를 보면, 테이블이 많이 협소하다고 해서 회사 동료들과 못 갈줄 알았는데 8명이 도란도란 얘기하면서 식사할 정도의 테이블은 있다.
  • 파전, 김치찌개, 부대찌개가 생각날 때 한번씩 들러보고 싶은 식당이다.

프랭크버거 남부터미널현대슈퍼빌점

• 방문한 날짜: 2024년 6월
• 총평:
  • 가격을 고려하면 아주 탁월한 선택이다. ^^
  • 서울 강남에서 이 가격으로 이 정도 만족스러운 퀄리티의 버거를 먹는게 가능하다니... 또 가서 먹을 의향이 있다.
  • 평일(월요일) 11시 30분에 도착했는데, 이미 모든 테이블 꽉 찼다.
  • 기다리지 않고 먹으려면, 11시 20분 전에 가서 키오스크 주문을 하는 것을 추천 !!!  
• 식당 정보 및 리뷰 링크:   https://naver.me/xTbPrj9S

찜통 남부터미널점 (3호선 남부터미널역 근처)

• 방문한 날짜: 2024년 4월
• 메뉴: 야채비빔밥, 김치찌개
• 총평: 사람이 붐비는 시간에 가도 자리가 충분하다. 맛, 서비스는 평균

롯데리아 (3호선 남부터미널역 6번 출구)

• 방문한 날짜: 2024년 2월
• 총평: 매장이 1층, 지하1층으로 되어 있어서 공간이 넉넉하다. 그래서 사람이 붐비는 시간에 가도 자리가 충분하다. 서비스는 평균

피제리아 호키포기

• 방문한 날짜: 아직 방문 전.
• 식당 정보 및 리뷰 링크:  https://naver.me/Fk5rlb2H
• 메뉴
  • 치즈 피자: 28,000원
  • 표고 & 블루치즈: 34,000원

토다 서초(TODAH)

• 방문한 날짜: 아직 방문 전.
• 메뉴
  • 핫스리 치킨 샌드위치: 8,500원
  • 훈제연어 샌드위치: 9,500원
  • 베이글: 3,000원
  • 플레인 크림치즈: 3,500원

두성전주콩나물국밥 / 남부터미널점

• 방문한 날짜: 2023년 2월
• 메뉴
  • 콩나물국밥
  • 통영굴국밥
• 총평: 콩나물국밥은 만족했으나, 내가 퉁영굴국밥은 신선한 굴향을 기대해서 그런지 실망했다. 다음에 또 이 식당에 갈 때는 콩나물국밥 종류 또는 비빔밥 종류를 먹을 생각이다.

바노이 BANOI  (베트남 쌀국수)

• 방문한 날짜: 2024년 3월
• 메뉴
  • 양지국수: 9,500원
• 총평: 맛은 평균값. 각 테이블마다 키오스크가 있어서 모니터를 보면서 주문과 결제를 바로 할 수 있는 것이 편했다.
           내 경우, 몬안베띠 보다는 바오니를 자주 가게된다.

몬안베띠  (베트남 쌀국수)

• 방문한 날짜: 2023년 1월
• 메뉴
  • 양지국수: 10,800원
• 총평: 맛은 평균값. 양은 적당히 많음. 각 테이블마다 키오스크가 있어서 모니터를 보면서 주문과 결제를 바로 할 수 있는 것이 편했다.

소소목장

• 방문한 날짜: 2024년 3월
• 총평:
  • 비빔밥은 채소가 많아서 좋았다. "소소목장" 사장이 남부식당(남부럽지 않은 고기한상 식당) 사장과 동일인 같음.
  • 평일 점심 메뉴는 10,000 ~ 11,000원 정도.

남부럽지않은고기한상 (남부)

• 방문한 날짜: 2023년 1월
• 메뉴
  • 점심 메뉴: 10,000원
• 총평: 맛은 평균값. 양은 적당히 많음. 1만원에 야채와 고기, 찌개를 같이 먹을 수 있어서 좋았다.

부산아지매국밥

내 입맛에는 딱 좋다.

월 2회 정도 먹을 생각이다.

동경규동 남부터미널점

남부터미널 근처의 규동 식당 중에서는 가장 괜찮은 것 같다.

(참고로, 남부터미널 근처의 다른 규동 식당은 단맛이 너무 쎄다)

식당 링크: https://naver.me/GNvbsrKs

카츠공방

김치카츠나베

- 추운 날씨에 먹으면 딱 좋은 메뉴이다.  월 1회 정도 먹을 생각이다.

탄탄멘

- 추운 날씨에 먹으면 딱 좋은 메뉴이다.  월 1회 정도 먹을 생각이다.

소윤화

요일마다 메뉴가 정해져있고 7,500원이다.  내가 먹어본 요일별 메뉴는 이렇다.

• 월요일: 잡채밥 (아직 안 먹어봤다)
• 화요일: 삼선볶음밥 (아직 안 먹어봤다)
• 수요일: 탕짜면 (Good)
• 목요일: 마파부두덮밥 (내가 매운 것을 잘 못 먹어서... 다음에는 목요일에 가면 다른 단품 메뉴를 먹을 생각이다.)
• 금요일: 제육덮밥 (Good)

나주곰탕

곰탕

내 입맛에 잘 맞았다. 다음에 또 먹을 생각이다.

만두국 (+ 공기밥 추가)

맛은 좋았고, 만두국에 공기밥을 추가하면 양이 많다. 나처럼 소식하는 사람은 만두국만 먹는 것이 정량이다.

함경순대

순대

맛 좋고, 양도 적당. 또 가서 먹을 생각이다.

린스시

알탕 (10,000원)

맛 좋고, 양도 적당. 또 가서 먹을 생각이다. 이 정도 맛이라면, 월 2회 정도 갈 것 같다.

밀마을칼국수

바지락칼국수 (8,000원)

맛 좋고, 양도 적당. 또 가서 먹을 생각이다. 이 정도 맛이라면, 월 2회 정도 갈 것 같다.

매운거 싫은하는 나로써는 칼국수가 딱 좋은 메뉴이다.

나는 반찬으로 나온 김치가 마음에 들었다.

들깨칼국수 (8,000원)

내가 먹은 것은 아니고, 같이 식사한 동료가 먹는 것을 봤는데.. 꽤 맛있어 보였다. 걸죽한 국물이 먹음직스러웠다.

동경도

라멘 (9,000원)

적당히 맛있다. 라멘을 먹으로 월 1회 정도 갈 것 같다.

부정부페

점심 부페 (8,000원)

부페이고 대략 6~7가지의 반찬과 국 중에서 본인 취향대로 골라 먹으면 된다.

반찬이 매일 바뀌기 때문에 식당 앞에서 오늘의 메뉴를 확인하고 들어가는 것이 좋다.

월 1회 정도 갈 것 같다.

비밀베이커리 / 예술의전당점

• 아보카도 에그 샌드위치 (5,800원)
• 아침 점심 밤 식빵 (5,500원) :  만족, 별점 4점
• 치즈 식빵 (5,000원)
• 하프 식빵, 잡곡 식빵, 우유 식빵 (4,000원)
• 양버터 스콘 (3,000원)
• 소금빵 (2,500원)
• 버터크루아상 (2,800원)
• 호두 단팥빵 (2,200원)
• 메이플 몽블랑 (3,500원)
• 에그 타르트 (1,800원)
• 도넛 종류 (3,200원)
• 치아바타 종류 (3,500원) : 만족, 별점 5점

변강쇠 떡볶이

김밥 (3,500원)

계란 라면 (4,000원)

짜파게티 (5,000원)

고기 김치 볶음밥 (8,000원)

김밥천국

원조 김밥 (3,500원)

비빔밥 (7,000원)

제육 덮밥 (7,000원)

라면 (4,000원)

시골집 쌈밥

야채가 많아서 좋다. 제육 볶음도 평균 맛은 한다.

쌈밥 (11,000원)

작성일: 2024년 5월 27일

참고:  Zero Trust 관련 문서 추천

Zero Trust Architecture 자료를 찾는 시작점을 NIST NCCoE(National Cybersecurity Centrer of Excellence) 웹 사이트로 하는 것이 좋다.

   NIST NCCoE / Implementing a Zero Trust Architecture: 웹 사이트 링크

아래 글이 Zero Trust 전반적인 내용에 대해 스토리를 쉽게 풀어내고 있다.  (가볍게 읽을 수 있는 글)

https://www.boannews.com/media/view.asp?idx=126189

참고: 3GPP의 Zero Trust 관련 표준화 작업

3GPP 문서 목록

  3GPP TR 33.794 (2024-04) Study on enablers for zero trust security

  3GPP TR 33.894 (2023-09) Study on applicability of the zero trust security principles in mobile networks

2024년 4월의 3GPP 문서에서 Use Case를 정리하는 수준으로 진행되고 있음.

예를 들어,

  - NF간 연동 메시지에서 Malformed message가 있는지 검사

  - NF간 Massive number of SBI message가 있는지 검사

       * 500 에러가 다량으로 발생하는지 검사

       * 평소보다 많은 API request 통계가 발견되는지 확인

3GPP 문서에 위와 같은 Use Case가 열거되어 있다.

단, 아직도 Use Case에 대해서 논의 중인지 Sub title만 있고 내용이 없는 것이 많다.

참고:  SDP, SPA 관련 문서

- 소프트웨어 정의 경계의 단일 패킷 인증 및 네트워크 접근통제 보안관리 개선 (정진교 이상구 김용민):  PDF 문서 링크

- Software-Defined Perimeter (SDP) 규격서 v2:  PDF 문서 링크

Core Principles (핵심 원칙)

• Verify explicity
• Implement least privilege
• Limit the "blast radius" (Assume breach)
• Automate context collection and response

관련 사업 동향

표준 동향

Zero Trust 도입에 대한 걸림돌, 이슈 등

• 복잡한 개념으로 소비자(실제 보안 솔루션 사용자)가 어려워한다.
• Zero Trust를 도입하려면 높은 비용을 지불해야 한다.
• Network traffic이 많은 사무 환경이라면, Zero Trust 도입으로 인해 Network traffic 처리 성능이 떨어지게 된다.
  (아마 보안 제품을 파는 회사는 성능 저하가 발생하지 않는다고 주장할듯.)
• 구형 보안 제품과 연동 문제(기능의 충돌, 정책의 충돌 등)

아래 설문 결과를 보더라도 Zero Trust 기술 자체에 대한 이슈보다는 "기술 도입 시 사용하게 될 비용"을 걱정한다.

Zero Trust 제품을 복잡하게 만들다보니 비용이 높아진 것이니까, 당분간은 비용 이슈가 해결될 여지는 없어 보인다.

(기술의 복잡성과 비용 이슈가 있는 SDN 시장과 비슷한 꼴...)

개인 생각:
  정부가 돈을 뿌려서 Zero Trust 도입을 장려하던지, 보안 제품 판매 업체가 가격을 대폭 낮추던지 해야 하는데  둘다 가능성은 낮을 듯.
  결국, 높은 비용을 치루더라도 꼭 지키고 싶은 데이터가 있는 소비자(회사)만 Zero Trust를 도입하지 않을까 싶다
  (예를 들어, 삼성전자, 제1금융권, NHN, Kakao 같은 회사들 ?)

Zero Trust 제품을 다루는 회사

• 모니터랩 (DPI 기능을 이용하여 App 탐지 및 제어 -> URL 필터링, 악성 사이트 차단, 파일 다운로드 차단)
• 소프트캠프 (Remote Browser Isolation)
• Symantec (Cloud 관련 보안)
• 엔키 (Zero Trust Total Servier, 공격자 관점에서 보안 수준을 측정)
• 지니언스
• 파이오링크
• 프라이빗테크놀로지
• 휴네시온

2024년 5월 13일, 새롭게 추가한 내용

Zero Trust 보안 정책의 어두운 면 (문제점, 단점, 등등)

##
## 참고: 아래 글은 DATANET의 김선애 기자가 작성한 글의 일부를 발췌한 것이다.
##      구구절절 다 맞는 말이라서 인용해본다.
##

... 중간 생략 ...

제로 트러스트로 인해 보안위협이 높아진다는 주장도 있다. 
제로 트러스트를 구현한다면서 사용자에게 불편한 강력인증을 반복해서 요구하거나, 
비정상 행위 감지 알람을 반복해서 띄우면서 업무를 불편하게 할 경우, 
직원은 불만을 갖고 보안을 우회할 방법을 찾는다. 
혹은 퇴사를 고려하게 될 수 있으며

... 중간 생략 ...

모든 보안 문제를 완벽하게 해결하는 것은 아니며, 
제로 트러스트 원칙이 적용되지 않는 분야가 있는 것도 인정해야 한다.

제로 트러스트는 턴키 방식으로 일시에 적용할 수 있는 것도 아니며, 
모든 조직에 해당하는 단일 모델이 있는것도 아니다. 
제로 트러스트를 도입하는 조직이 100곳이라면 100개의 제로 트러스트 모델이 생긴다. 
또한 단일 기술로 구현할 수 없으므로 여러 기술을 자유롭게 통합할 수 있는 
개방형 플랫폼과 에코 시스템을 만드는 것도 필수다.

... 중간 생략 ...

출처 : 데이터넷(https://www.datanet.co.kr)

작성일: 2024년 12월 12일

HTTP/1 -> HTTP/1.1 -> HTTP/2 -> HTTP/3

HTTP 프로토콜의 발전 흐름을 한눈에 볼 수 있게 만들어진 영상이다.

동영상 속 설명도 쉽고, 다이나믹한 애니메이션이 있어서 어려운 HTTP/3 QUIC을 쉽게 스터디할 수 있다.

https://youtu.be/UMwQjFzTQXw?si=Pro80CcDE0WSrnfS

참고: 아래 영상은 위 영상의 Old version이다.

HTTP/3 QUIC에 관한 설명:   https://youtu.be/a-sBfyiXysI?si=o5f8jK_2N_Xk_9xB

  - 4분 짜리 영상이라서 집중해서 볼 수 있다. 애니메이션으로 쉽게 설명해준다.  적극 추천할 만한 영상 :)

같이 보면 스터디에 도움이 되는 컨텐츠

The QUIC Protocol, HTTP3, and How HTTP has evelved.

https://youtu.be/VONSx_ftkz8?si=4YsIwLDknfx-ASEx

'우아한테크'의 QUIC

https://youtu.be/xcrjamphIp4?si=s3oUU1W5UANxIxg6

  - 한국어로 설명.  요점만 간단하게 딱딱 골라서 설명해주니까 좋다. :)

작성일: 2024년 5월 25일

AI, Machine Learning, Deep Learning 등 관련 컴퓨터 과학의 역사가 반세기가 넘다보니까,

공부를 시작하는 사람 입장에서는 어디서부터 시작해야 할지 막막하다.

원래 시작점이 수학(미분, 선형대수학, 통계학 등)이니까 대학원 수준의 수학 공부부터 해야 할까?

이렇게 하면 좋기는 하지만, 최근 몇년 사이에 TensorFlow 같은 Library가 잘 만들어져 있고 이것을 활용하는 수준으로 서비스를 개발하는 입장이라면 그냥 얇은 수학 지식만 가지고 TensorFlow를 활용하는 것이 훨씬 시간과 개발자의 에너지를 아낄 수 있다.

게다가 YouTube 영상 중에 TensorFlow 예제를 직접 보여주는 것이 있어서, 영상을 먼저 보고 공부를 시작하면 길잡이를 만난 것처럼 공부할 수 있다. (아래 영상을 보는 것을 추천 ^^)

NVIDIA TensorRT Model Optimizer

A library to quantize and compress deep learning models for optimized inference on GPUs

문서 링크:  https://github.com/NVIDIA/TensorRT-Model-Optimizer

위 Python package에 대한 설명은 아래 문서를 참고할 것!

문서 링크: https://nvidia.github.io/TensorRT-Model-Optimizer/

TensorRT Model Optimizer 관련 블로그를 읽어보는 것을 권장함.

문서 링크: 여기를 클릭

추천 YouTube  -  얄팍한 코딩 사전 

IT 세상의 다양한 지식을 쉽게, 스피디하게 설명해주니까 꼭 보길~~~

PyTorch 한국 사용자 모임 - Tutorials

PyTorch 한국 사용자 모임 - PyTorch 설치하기

작성일: 2024년 5월 25일

긴 글의 설명보다는 짧은 영상이 내용 전달이 잘 되니까, 아래 영상을 보는 것을 추천 ^^ 

https://youtu.be/aU2zs9Sdrq8?si=f26g5vb2mADhJE-t&t=158

XSIAM 관련 블로그

https://www.paloaltonetworks.com/blog/2023/11/xsiam-2-0-continuing-soc-transformation/

XSIAM 제품에 관한 전반적인 소개

https://www.paloaltonetworks.com/resources/infographics/xsiam-product-tour

작성일: 2024년 5월 20일

XDR(eXtended Detection and Response)을 짧게 요약해보면, 

보안 위협(공격)이 될만한 모든 정보(데이터)를 수집해서
위협(공격)을 빠르게 탐지하고 대응하는 보안 모델

참고:
XDR(eXtended Detection and Response)는 보안 제품군, 보안 모델, 보안 컨셉 정도로만 인지하고 넘어가는 것이 좋다.
(학술적으로, 기술적으로 표준이 되거나 기준이 있지 않다는 뜻)

XDR을 간단하게 표현하면,

해커가 공격할 만한 부분(PC, 파일 공유 서버, 웹서버, 인사 DB 서버, Source Code Repository, Email 서버, Firewall VPN 등 네트워크 장비, 클라우드 서비스 등)을 모두 찾아보고, 이런 공격 대상이 될만한 부분에서 얻을 수 있는 데이터(예: 로그, 이벤트)를 종합적으로 분석해서 해커의 공격을 탐지하고, 공격을 막기 위한 대응책을 가르킨다.

그러니까 “XDR 시스템”이라면, 위에서 설명한 해커의 공격을 탐지하고 막기 위한 대응 방안을 가진 시스템이라고 할 수 있다.

기존의 보안 모델보다 XDR이 강조하는 것은

• 각 보안 장비의 로그, 경고 데이터를 따로 분석하는게 아니고,
• 다방면의 정보, 데이터를 모아서 종합적인 판단을 통해 해커의 공격인지를 판단한다.

위 설명이 말로 표현하면 쉽지만, 현업에서 일해보면 보안 제품 제조사가 다르고,
보안 담당자도 제각각 다르다보니 실제로는 꿈같은 얘기이다.
즉, 통합이라는 표현이 들어간 시스템은 쉽게 구현되고 운영되는게 아니다.

해커가 공격하는지 여부를 확인하기 위해, XDR 보안 모델은 아래와 같은 데이터를 수집

여기에 열거된 것 외에도 수집할 수 있는 것들은 다 수집하면 된다. (다다익선. 많으면 많을 수록 좋다)

• Network IP 5 Tuple (Source IP address, Destination IP address, Source port, Destination port. Protocol)
• Rx, Tx byte (사이즈, 용량)
• Rx, Tx packet count
• Session 유지 시간
• Network application log data(DNS, HTTP, HTTPS, DHCP, …)
• User 정보
• 단말(PC)의 프로세스 정보
• AD(Active Directory) 같은 조직 구성 정보
• 파일 생성, 삭제, 변경 정보
• 파일의 Hash 값, 경로값
• PC의 Registry 변경 정보
• USB 이동 저장 장치의 마운트 이벤트
• PC의 로그 조작 이벤트
• PC 및 Network node의 host name, MAC address, OS 정보

XDR은 위의 정보를 수집해서 분석하면, 해커가 공격하는지 알 수 있다. (탐지, Detection)

즉, 각 정보 요소간에 상관 관계(Correlation Analysis)를 따져보고, 해커의 공격 시도가 있는지 판단한다는 뜻이다.

그리고 XDR은 해커의 공격이라고 의심되면, 해당 공격 시도를 차단한다. (대응, Response)

XDR은 다른 보안 모델과 뭐가 다른가?

EDR(Endpoint Detection and Response)

EDR은 Anti-Virus, Data Encryption, IPS 기능을 이용하여 공격을 차단하는 Feature와 단말의 행위를 수집하여 해커의 위협을 탐지하고 대응하는 보안 모델이다.

XDR보다 기능이 협소하다. (즉, 분석이 종합적이지 않다는 뜻)

SIEM(Security Information and Event Management)

각 Device의 로그, 이벤트 데이터를 통합하여 수집하고 보관하고, 이 로그 및 이벤트 데이터를 분석하여 공격을 탐지하는 보안 모델이다.

XDR보다 기능이 협소하다.

SOAR(Security Orchestration and Automation and Response)

보안 노드간에 API로 연동하여 통합적으로 운영하는 보안 모델이다.

개인 의견: 
‘Orchestration, Automation’이란 표현이 들어가면, 막강 천하무적 제품이 된다.
뭐… 이름이 이렇게 되어 있는데 설명이 더 필요할까?
영업 담당자가 제품 판매의 끝물에 오면, "Orchestration / 효율적 / 통합 / 자동화" 같은 표현을 쓴다.
즉, 그 시장은 Red Ocean~ 시장 확장의 될만큼 되서 더 확장하기 어려운 환경이라는 뜻.
떠오르는 시장은 이런 화려한 수식어가 붙지 않는다.

위에서 언급한 XDR, EDR, SOAR, SIEM의 Feature 관계를 그림으로 표현하면 아래와 같다.

위 그림에 대한 설명은 아래 문서(링크)를 참고.

  XDR, EDR, SOAR, SIEM 설명 문서 링크