대규모 사이버 공격 피해를 입은 조직의 공통점이 있다. 보안 시스템이 없어서 공격을 당한 것이 아니라는 사실이다.
인터파크는 악성코드 탐지 시스템을 운영하고 있었으며, 망분리를 구축해 인터넷을 통해 악성코드가 유입되는 것을 차단한 상태였다. 한국수력원자력, 서울메트로, 정부·공공기관에서 발생한 각종 사이버사고 모두 망분리가 이뤄져 있었으며, APT 공격 대응 솔루션을 구비하고 있었다.
보안사고가 일어나는 원인 중 하나는 보안 시스템이 없어서가 아니라 관리를 못해서이다. 너무 많은 보안시스템이 도입되면서 관리가 어려워지게 됐다. 각각의 장비들이 발생시키는 수많은 이벤트에 일일이 대응하는 것은 불가능하다. SIEM으로 이종 장비의 이벤트를 수집해 분석할 수 있지만, 개별 장비가 발생시키는 이벤트 유형이 달라 통합분석이 어렵다.
이벤트의 중요도에 따라 우선순위를 배정할 때에도 개별 시스템에서 바라보는 위협의 정보와 수준이 다르기 때문에 합리적으로 우선순위를 배정하는 것도 어려운 일이다.
APT 대응을 위한 ‘선제방어’에서 이미 진행된 공격에 대한 ‘탐지 및 대응’으로 보안 전략을 바꿔야 한다고 주장하던 보안 기업들은, 탐지·대응으로도 공격을 막지 못하게 되자, 보안 위협을 자동으로 관리하는 ‘보안 자동화’로 관점을 옮겨가기 시작했다.
선제방어, 탐지 및 대응이라는 마케팅 용어를 선점한 파이어아이가 이번에도 ‘보안 자동화’ 이슈를 선점했다. 파이어아이는 2016년 2월 보안자동화 업체 인보타스를 인수하고 시장을 만들어가고 있다. 파이어아이는 보안 자동화를 통해 보안조직이 실제 유효한 공격에만 대응하도록해 보안조직의 인력 운영을 효율화하고 조직이 놓치는 위협을 줄일 수 있다고 강조한다.
파이어아이처럼 강력한 마케팅 역량으로 성장을 거듭해온 팔로알토네트웍스도 지능형 방어 역량에 보안자동화를 추가하면서 이슈 장악력을 높이고 있다. 팔로알토네트웍스는 차세대 보안 플랫폼과 클라우드 기반 악성코드 탐지 시스템, 엔드포인트 보안 시스템, 글로벌 위협 인텔리전스, SaaS 애플리케이션 가시성 등으로 이뤄진 일련의 방어 전략을 연계하고, 관리자 개입 없이 자동으로 위협에 대응하도록 해 보안자동화의 이상을 실현하고자 한다.
