선제방어는 공격 피해를 최소화 할 수 있는 가장 이상적인 방법이지만, 현실적으로 완벽한 사전 차단은 불가능하다. IT 복잡도가 높아지면서 자동화된 통제와 가시성을 확보하기 어려워지고 있으며, 공격자들은 날이 갈수록 지능화되고 교묘한 방법을 사용하고 있기 때문이다.
“이제 방어 전략은 ‘리스크 기반 보안(Risk-Based Security)’으로 옮겨가고 있다. 가트너는 2020년이 되면 60%의 엔터프라이즈가 정보보안 전략을 빠른 탐지와 대응을 위해 투자할 것이라고 전망했다. 선제방어는 이미 구시대의 모델이 됐으며, 이제는 데이터 분석을 중심으로 한 리스크 기반 보안 전략이 주류를 이루게 됐다.”
문현욱 래피드세븐코리아 이사는 8일 서울 삼성동에서 열린 ‘차세대 보안비전’에서 ‘클라우드 트랜스포메이션 시대에 대비하는 SECaaS’라는 주제의 발표를 통해 리스크 기반 보안 전략에 대해 상세히 설명했다. 특히 문 이사는 보안운영(SecOps)과 클라우드 기반 보안 서비스(SECaaS)의 부상을 확신하며 보안 패러다임이 변화하고 있다고 주장했다.
모듈러 방식 라이브 관제로 진화
기존의 보안관리는 사용자 인증, 패치관리, 설정, 취약점 및 자산 관리, SIEM 등을 포함하고 있었지만, 최근에 부상하는 보안운영은 기존 보안관리를 포함하면서 디지털 트랜스포메이션을 통해 확장되는 클라우드, 데브옵스, 서비스 관리, FI(Federated Identity) 등 운영 관점으로 확장된다.
보안운영은 비즈니스 전반에서 보안을 가시화하고 머신러닝 기술을 이용해 분석하며 자동화된 시스템을 통해 공격을 지능적으로 탐지·대응하는 역할을 담당하게 된다. 또한 취약점 진단, 엔드포인트 침해사고 탐지·대응을 포괄하는 모듈러 방식 라이브 관제로 진화하게 될 것으로 보인다.
보안운영을 위해서는 ▲조직 내·외부, 클라우드 자산·서비스 보안 상태 모니터링 ▲유출된 크리덴셜, 피싱, 멀웨어 공격 대비 ▲애플리케이션 개발 단계별 보안 진단, 피드백 자동화 ▲IT 운영팀, 개발팀, 보안팀이 참여하는 협의체 운영 등이 필요하다.
나아가 자동화된 보안운영은 고객이 직접 보안 솔루션을 구입해 데이터센터에 구축하고 운영하기보다 클라우드 방식의 보안(SECaaS)을 이용하거나 연간가입 방식의 서브스크립션(Subscription) 모델을 선호하는 추세다.
강력한 클라우드 플랫폼으로 쉽게 보안운영 구현
문현욱 이사는 효과적인 SECaaS 구현 모델 중 하나로 고도화된 보안관제를 들었다. 최근 보안관제 시스템은 사용자행위분석(UBA/UEBA), 네트워크 위협 분석(NTA) 시스템을 추가하면서 다음 세대로 진화하고자 하지만, 실제 환경에서는 탐지된 수많은 위협을 분석할 수 있는 고급 보안 전문가가 필요해 제대로 운영하기 어렵다.
SECaaS를 이용하면 비싼 시스템을 도입하거나 고급 보안 전문가를 대거 채용하지 않아도 사용자 계정의 비정상 행위와 위협을 자동으로 탐지하고 분석하며 필요한 대응 조치를 자동으로 취할 수 있다. 특정 공격이 발생했을 때 자동 차단하는 연동 기능도 구현할 수 있다.
자산의 취약점을 진단하고, 해결 상황을 모니터링하며, 임직원이 피싱 메일을 인지하고 대응하도록 주기적 보안 교육을 시행하는 것도 SECaaS로 쉽게 해결할 수 있으며, 애플리케이션 개발 단계별 자동 보안 진단 프로세스를 구현하는 것도 SECaaS로 효과를 높일 수 있다. 필요한 보안 모듈만을 구성하고 필요한 경우 내부 시스템과 API 연동으로 추가적인 비즈니스 목표를 달성할 수 있다.
래피드세븐은 클라우드 기반의 침해사고 대응 서비스 ‘인사이트IDR(Insight IDR)’, 애플리케이션 보안 ‘인사이트 앱섹(Insight AppSec)’, 보안운영 서비스 ‘인사이트옵스(InsightOps)’ 등을 모듈화된 SECaaS로 공급하면서 빠른 침해 탐지와 대응을 지원한다.
문 이사는 “래피드세븐은 강력한 클라우드 플랫폼 기능으로 쉽게 보안운영을 구현할 수 있도록 도와준다”며 “초기 비용 절감과 운영 리소스를 절감하고, 신속하고 유연한 구축 및 확장, 최신 지능형 위협도 자동 탐지 후 신속하게 대응할 수 있다”고 밝혔다.
