복수의 퍼블릭 클라우드 사용이 일상화된 현재, 클라우드 운영에서의 ‘보안’은 반드시 필요한 요소로 꼽히고 있다. 프라이빗 클라우드는 온프레미스 시스템 운영과 크게 다르지 않지만, 퍼블릭 클라우드는 각각 다른 클라우드 사업자의 서비스를 기업 내에서 중앙통제 해야하기 때문에 API 연동, 로그 수집, 보안이벤트 관리, 사용자·단말·네트워크 통제 등이 쉽지 않다. 또한 관리조직이 파악하지 못하는 섀도우 클라우드가 발생하기 쉽기 때문에 정책을 따르지 않는 클라우드 사용을 제한해야 한다. 클라우드 보안운영을 위한 기술을 정리해본다.<편집자>
MSSP, 클라우드 지원사업 ‘주목’
클라우드 운영의 효율성을 극대화하는 모델 중 하나로 전문업체를 통한 보안관리 서비스(MSSP)가 꼽힌다. MSSP는 기업에 필요한 보안 기능을 통합 제공해 보안 관리업무를 크게 줄일 수 있고 초기 투자가 필요 없어 보안 예산을 효율적으로 사용할 수 있다. 보안컨설팅·관제 기업, 통신사 등이 이 시장을 주도하고 있으며, 보안 솔루션 기업들은 MSSP를 위한 보안 솔루션과 특별 할인 가격을 제시하면서 서비스 매출 비중을 높이고자 한다.
최근 MSSP는 병·의원, 교육기관 등 보안 투자에 인색한 기관을 ‘블루오션’으로 보고 공격적인 영업을 전개하고 있다. 이들은 ISMS 인증 의무화 대상으로, 보안 정책을 수립하고 관리해야 하지만, 보안 예산이 적고 전문인력 채용도 쉽지 않다는 이유를 들어 보안에 잘 투자하려 하지 않는다. MSSP는 각 기관의 특징에 맞춘 보안 패키지 서비스를 조합해 제공하며 월 과금 형식으로 기관의 보안 예산 부담을 줄여나가는 방식을 채택하고 있다.
MSSP는 클라우드 관리를 위해서도 선택 가능한 대안이 될 수 있다. 글로벌 통신사들은 다양한 클라우드까지 관리할 수 있는 통합보안 서비스를 출시하고 시장을 개척해나가고 있으며, SMB는 물론이고 엔터프라이즈까지 확대되고 있다.
배준호 포티넷코리아 이사는 “글로벌 통신사들이 제공하는 새로운 형태의 보안관리 서비스는 셋톱박스와 같은 형태로 고객이 원하는 보안 기능을 켰다 끄면서 필요한 보안 서비스만을 이용하는 방식이다. 라우터, 방화벽, APT 방어, 웹필터 등 다양한 보안 기능을 이용할 수 있으며, 소프트웨어 정의 인프라(SDI) 환경에서 애플리케이션 로드발란서 기능도 제공할 수 있다”며 “AT&T, 버라이즌, 보다폰 등 글로벌 통신사들이 이 비즈니스를 적극 전개하고 있으며, 국내 통신사들도 검토하고 있다”고 설명했다.
사람 의존도 줄이는 지능형 보안관제
클라우드 운영을 위해서는 보안관제도 매우 중요하다. 보안관제야 말로 온프레미스·프라이빗·퍼블릭 클라우드 전체를 투명하게 살펴보고, 모든 보안 이벤트에 대한 상세한 연계분석으로 지능형 위협을 탐지해야 한다. 글로벌 위협에도 민첩하게 대응해 워너크라이와 같은 신종 랜섬웨어에 즉각 대응할 수 있어야 하며, 각국의 컴플라이언스도 만족시킬 수 있어야 한다.
서종렬 시만텍코리아 상무는 “클라우드 보안관제는 사람에 대한 의존도를 줄이는 것이 핵심이다. 지금까지 발생한 보안 사고는 보안 시스템이나 관제 시스템이 없어서 발생한 것이 아니라, 발생한 보안 이벤트를 관리하지 못했기 때문이다. 모든 이벤트를 사람이 관리하는 것이 아니라 시스템이 위협을 스스로 인지하고 자동으로 차단 정책을 적용해야 한다”고 말했다.
클라우드 환경이라고 해서 보안관제 시스템 자체가 달라지는 것은 아니다. 클라우드 사업자들은 서비스에서 발생하는 보안로그를 외부로 보낼 수 있는 API를 제공하며, 기업은 이를 연동해 자사 관제 시스템에서 관리하면 된다. 원격관제 서비스를 이용한다면, 해당 서비스 기업이 API를 받아 관리할 수 있다.
다만 사용자 접점이 많아지는 클라우드에서는 보안 이벤트가 훨씬 더 많이 발생할 수 있으므로 머신러닝을 이용해 보안 관리자 개입 없이 보안운영이 가능해야 한다. 특히 오랜 기간 은밀하게 진행되는 고도화된 보안위협을 탐지할 수 있도록 개별 보안 시스템과 클라우드 전체에서 발생하는 위협 정보를 세밀하게 연계분석하고, 기업 전반의 위협 가시성을 확보해야 한다.
SK인포섹의 지능형 보안관제 시스템 ‘시큐디움(Secudium)’은 머신러닝기술을 탑재해 하이브리드 클라우드에서의 위협까지 차단할 수 있다. 다양한 보안장비에서 수집된 정보를 ▲악성 IP·URL 탐지 ▲탐지 룰 기반 분석 ▲이기종 보안 장비 이벤트 연관 분석 등 3단계 심층분석해 침해 위협 여부를 가린다. 침해위협으로 판명된 공격은 위협 인텔리전스 데이터베이스에 축적해 또 다른 위협 탐지·분석에 활용한다. 또한 SK인포섹은 보안관제에 최적화된 AI 기술을 개발하고 있으며, 내년 시큐디움에 탑재할 예정이다.
더불어 글로벌 위협 정보 공유 커뮤니티인 ‘사이버위협연합(CTA)’에 아시아 정보보안 기업 최초로 가입해 신규 위협정보를 공유하는데 나서고 있으며, 이를 시큐디움과 연동해 최신 위협에 적화하게 대응한다.
이글루시큐리티는 AI 기반 사이버침해대응시스템인 ‘대구 AI 기반 지능형 보안관제 체계(D-Security 이하 디시큐리티)’ 구축 프로젝트의 총괄 사업자로 지정돼 차세대 관제 시스템 운영 역량을 인정받았다. 디시큐리티는 내년 1월 완료를 목표로 하고 있으며, SIEM과 최신 위협 정보를 실시간 수집·분석해 사이버 침해 분석·대응 능력을 강화하고, 선제적 예방 체계를 마련하며, 정보 자산 운영의 효율성을 높일 수 있다.
한편 이글루시큐리티는 하반기에는 보안 위협 데이터 중 의미 있는 정보를 추출, 제공하는 ‘위협 인텔리전스’ 서비스도 선보일 계획이다. 단편적인 정보 제공에서 나아가 공격자들의 의도와 공격 패턴, 공격 대상 등을 보다 빠르게 확인할 수 있는 상세 정보가 공유되는 형태로, 오늘날 기업들이 사이버 위협에 유연히 대응하기 위해 필요로 하는 핵심 인사이트를 얻는 데 도움이 될 것으로 기대하고 있다.
정일옥 이글루시큐리티 보안분석팀 부장은 “이글루시큐리티는 관제 시스템에 머신러닝 알고리즘을 적용해 보안데이터뿐 아니라 관련된 방대한 정보를 신속하게 분석함으로써, 기업 전반을 아우르는 폭넓은 가시성을 확보할 수 있도록 한다”며 “또한 통합보안관리솔루션 ‘스파이더 티엠’에도 이를 적용해 보안 관리자가 핵심 위협 정보만 집중 분석할 수 있게 할 계획”이라고 말했다.
