[데이터넷] 그동안 기업·기관은 새로운 위협이 등장할 때마다 이에 대응할 수 있는 보안 시스템을 구축해왔다. 악성코드 차단을 위해 백신과 IPS를 도입했고, 알려지지 않은 신종 악성코드가 유행하자 샌드박스를 구입했다. 웹사이트를 무단으로 변경해 악성코드를 유포하는 드라이브 바이 다운로드가 유행하면서 웹방화벽, 유해사이트 차단 솔루션 도입을 서둘렀으며, 이메일을 이용한 악성파일 공격이 이어지자 이메일 APT 방어 솔루션이 부상했다.

‘완벽한 선제방어는 불가능하다’는 것이 정설처럼 나오면서 ‘탐지와 차단’으로 보안 전략의 중심이 이동하자 차세대 SIEM 도입에 많은 관심을 기울였으며, AI가 유행하자 AI 기반 네트워크 위협 대응(MDR) 솔루션을 구축했다. 클라우드가 확산되자 이를 보호할 수 있는 보안 솔루션을 또 다시 검토하고 도입하고 있다.

이렇게 많은 보안 솔루션이 구축돼 있지만, 보안사고는 끊임없이 발생한다. 보안사고를 겪은 기업은 대부분 보안 시스템이 잘 갖춰진 곳이었다. 시그니처 보안 솔루션은 최신 DB로 업그레이드해 실시간 감시 모드로 작동하고 있었으며, 샌드박스도 설치돼 있었다. 그럼에도 불구하고 피해를 입었다면 기존의 보안 정책에 근본적인 문제가 있다는 것을 뜻한다.

보안 시스템 갖춰도 공격 당한다

시스코의 ‘2018 아태지역 보안역량 벤치마크 보고서’에 따르면 조사 응답자들은 너무 많은 보안 벤더와 솔루션으로 인한 복잡성과 취약점이 증가한다고 밝혔다. 아태지역 82%의 응답자가 보안위협 경보에 대해 여러 협력사와 제품 간 협업·조율이 어렵다고 답했다. 조사 대상 기업 5%는 50곳 이상의 보안 솔루션 공급업체와 협업하고 있으며, 47%는 10곳 이상 보안업체 제품을 사용하고 있다고 답했다.

너무 많은 보안 솔루션으로 인해 장애·충돌이 발생하지만 복잡한 보안 구성으로 인해 장애 원인을 찾는 것도 어렵다. 또한 개별 보안 솔루션에서 너무 많은 보안 이벤트를 발생시키고 있으며 이를 모두 다 분석하지 못하고 넘어가는 ‘사이버 피로감’이 심각하다. 보안관제 인력이 하루 처리할 수 있는 이벤트는 최대20여건인데, 보안 장비가 쏟아내는 이벤트는 수천만건에 이른다. 보안 장비는 위협 심각성에 따라 대응 우선순위를 제공하지만, 높은 순위에 있는 이벤트도 분석하기에 버거운 상황이다.

멀티 클라우드로 확장되면 복잡성은 더 심각해진다. 기존에 겪던 문제에 더해 복잡한 클라우드 구성으로 인한 관리 어려움이 가중된다. 특히 퍼블릭 클라우드는 서비스 사업자와 책임을 나눠지는 모델을 택하고 있기 때문에 보안 가시성을 확보하는 것이 더 어렵다.

이 같은 복잡한 보안 문제를 해결하는 방법은 ‘통합’이다. 통합보안으로 관리 포인트와 장애 발생 지점을 줄이며, 보안 이벤트의 연계 분석으로 발생하는 이벤트의 양을 줄여 분석가의 업무 부담을 줄여야 한다. 통합 솔루션은 표준화·자동화 프로세스에 따라 작동해 관리자 개입을 최소화한 상태에서 정확하게 위협을 탐지하고 정책에 따라 대응한다.

멀티 클라우드 필수 보안 전략 ‘통합’

통합보안은 멀티 클라우드에 필수 보안 전략으로 꼽히고 있다. 멀티 클라우드는 온프레미스와 프라이빗 데이터센터에서 발생하는 보안 문제에 여러 퍼블릭 클라우드를 운영하면서 발생하는 문제까지 더해지기 때문이다. 특정 클라우드에 종속되지 않은 독립적인 통합 보안 플랫폼을 이용해 멀티 클라우드 전체를 가시화하고 지능적인 위협 분석으로 실제 위협에 대응할 수 있어야한다.

팔로알토네트웍스의 ‘프리즈마(Prisma)’ 제품군이 멀티 클라우드 통합 보안을 촉진시킨다. 프리즈마는 ▲분산된 업무환경을 보호하는 ‘프리즈마 액세스’ ▲퍼블릭 클라우드에서 워크로드 보호, 컨테이너·서버리스 컴퓨팅 등 코드로서의 인프라(IaC) 탬플릿 취약점 탐지, 클라우드 구성 오류 탐지와 보안 등의 기능을 하는 ‘프리즈마 퍼블릭 클라우드’ ▲클라우드 접근 보안 중개(CASB), 데이터 거버넌스, 사용자 행위 모니터링, 지능형 위협 선제방어 기능을 제공하는 ‘프리즈마 SaaS’로 구성돼 글로벌 분산환경부터 멀티·퍼블릭 클라우드, 하이브리드 클라우드에서 일관된 통합 보안 정책을 운영할 수 있게 한다.

체크포인트는 ‘ 클라우드가드(CloudGuard)’ 제품군으로 클라우드 보안을 통합했다. 클라우드 보안 형상관리(CSPM) 솔루션 ‘클라우드가드 돔나인’, CASB와 클라우드 애플리케이션 보안 기능을 제공하는 ‘클라우드가드 SaaS’, 클라우드 워크로드 보호를 포함한 인프라를 보호하는 ‘클라우드가드 IaaS’를 단일 플랫폼에서 이용할 수 있다.

시스코는 보안 제품을 연동해 위협 추적을 도와주는 시스코 위협 대응(CTR)을 무상으로 제공하며 보안 통합을 가속화 할 수 있도록 한다. CTR은 모든 보안 제품을 연동하고 수집된 이벤트와 위협 인텔리전스와 연계 분석해 보안 심화된 보안 가시성을 제공한다. 위협 인텔리전스를 제공하는 시스코 탈로스는 분석한 위협 이벤트를 지능형 멀웨어 보호 플랫폼(AMP)으로 보내 엔드포인트, 웹, 이메일, 네트워크에 정책을 내려줘 탐지된 최신 위협에 대응하도록 한다.

포티넷은 자사 모든 보안·네트워크 기술을 촘촘히 엮은 ‘보안 패브릭’으로 통합 보안 전략을 전개한다. 보안 패브릭은 포티넷 보안 솔루션 뿐 아니라 개방형 생태계를 통해 연결되는 다양한 써드파티 솔루션까지 깊이 연동되어 위협 방어 효과를 높인다. 포티가드 위협 인텔리전스를 접목해 최신 위협에 대응할 수 있으며, 무선인터넷, OT 보안 영역까지 포괄하는 통합 보안을 제공할 수 있다.

김선애 기자 다른기사 보기