[데이터넷] 클라우드를 사용하는 기업 중 단일 사업자의 서비스만을 이용하는 곳은 거의 없으며, 대부분 기존의 데이터센터와 프라이빗 클라우드, 그리고 여러 개의 퍼블릭 클라우드를 사용한다. 이 같은 멀티 클라우드는 클라우드 사업자에 대한 종속성을 낮추고 비즈니스 특성에 따라 적합한 서비스를 자유롭게 선택할 수 있으며, 장애 시 백업 센터로 즉시 이관해 가용성을 보장할 수 있다는 장점이 있다.
그러나 멀티 클라우드는 관리 복잡성이 높고 체계적인 보안 운영이 어렵다는 단점이 있다. 온프레미스 및 프라이빗 클라우드는 기업이 자체 구축·운영하는 것이므로 기존과 같은 관리·보안 체계를 이용할 수 있다.
그러나 퍼블릿 클라우드는 ‘남의 자원’을 빌려쓰는 것과 같기 때문에 기업이 자체적으로 수립한 보안 관리 체계를 일괄적으로 적용하기 어렵다. 퍼블릭 클라우드 서비스마다 각각 다른 관리환경을 이용해야 하며, 퍼블릭 클라우드에서 발생하는 이벤트를 수집해 연계·분석하는 것도 쉽지 않다. 이벤트의 포맷이 다르고, 각 서비스마다 이벤트 위험 수준에 대한 평가가 다르며, 온프레미스·프라이빗 데이터센터에서 발생하는 보안 이벤트와 연동하는 것도 쉽지 않다.
클라우드 지원하는 차세대 SIEM
복잡한 멀티 클라우드 환경에서 기존과 같은 방식의 보안 모니터링과 보안 관제는 효율적이지 않다. 기존의 보안 모니터링과 관제는 보안 시스템에서 발생하는 이벤트를 분석해 시나리오 기반 대응을 수행했으나, 멀티 클라우드에서는 이벤트 수집·분석조차 용이하지 않으며, 정해진 시나리오가 신종 공격에 대응하지 못하는 경우도 많다. 멀티 클라우드를 위해 한 차원 진화된 관제·모니터링 시스템이 필요하며, 멀티 클라우드 전체를 가시화하고 분석하는 지능화된 대응 역량이 요구된다.
관제 시스템의 핵심 역할을 수행하는 SIEM은 이와 같은 요구를 수용하면서 클라우드에 최적화된 기술을 제공하면서 진화하고 있다.
RSA의 ‘넷위트니스’는 클라우드 전반을 지원하는 능력을 탑재해 클라우드 보안 관제 플랫폼으로 사용할 수 있도록 했다. 넷위트니스는 클라우드, 로그, 패킷, 엔드포인트 이벤트 수집·분석 능력을 단일 플랫폼에 통합했으며, 올해 하반기에는 사용자 계정 행위 분석(UEBA) 기능까지 통합할 계획이다. 이를 통해 멀티 클라우드 전체를 가시화하고 위협을 지능적으로 식별해 대응한다.
클라우드 기반 보안 서비스 시장을 적극 개척하고 있는 래피드7은 클라우드에서 제공하는 SIEM 솔루션 ‘인사이트IDR’과 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션 ‘인사이트 커넥트(InsightConnect)’으로 클라우드 및 온프레미스 보안 대응을 지원한다. 래피드7은 이러한 솔루션을 통해 보안관제 인력의 업무부담을 줄이면서 멀티 클라우드에서도 보안 탐지 정확도를 높일 수 있다고 주장한다.
클라우드서 발생하는 이상행위, AI로 탐지
최근 보안관제 솔루션 시장에서 AI 기반 네트워크 위협 분석(NTA)과 네트워크 위협 탐지와 대응(NDR)이 화두로 떠오르고 있다. 이 분야에서는 다크트레이스와 벡트라가 치열하게 경쟁하고 있다.
다크트레이스는 사람의 면역체계를 응용한 ‘엔터프라이즈 면역 시스템’은 정상 상황을 학습하고 비정상 상황에 대해 이벤트를 발생시키는 방식으로, 클라우드는 물론 OT/ICS 환경에서도 적용 가능한 위협 분석 기능을 제공한다.
벡트라는 ID/IPS 기능이 탁월한 NDR 솔루션으로, NTA와 네트워크 포렌식 기술을 통합하고 위협 탐지와 대응을 자동화했다. 클라우드와 분산된 작업환경, 내부망·폐쇄망 등에서도 탁월한 위협 탐지 기능을 수행하며, 전문가 없이 쉽게 운영할 수 있는 편리한 관리 환경을 제공한다.
