엔드포인트에서 네트워크·클라우드까지 일관된 보호 제공
[데이터넷] 클라우드 통합 보안을 효과적으로 수행하는 방법으로 클라우드 보안 서비스(SECaaS)가 있다. 클라우드 네이티브 아키텍처 기반으로 설계된 SECaaS는 클라우드 유연성과 민첩성을 보장하면서 보안을 강화하는 방법으로 제안된다.
지스케일러의 ‘ZIA’가 그 대표적인 솔루션으로 클라우드 플랫폼에서 ▲액세스 컨트롤: 클라우드 방화벽, URL 필터링, 밴드위스 컨트롤, DNS 필터링 ▲위협 방어: IPS, 진화된 보호, 클라우드 샌드박스, 안티바이러스, DNS 보안 ▲데이터 보호: DLP, CASB, 파일 타입 컨트롤 등을 제공한다.
토종 보안 기업 모니터랩도 단일 클라우드 플랫폼에서 여러 보안 기능을 제공하는 통합 전략을 전개한다. 글로벌 15개 지역 40개 데이터센터 서비스 인프라를 통해 서비스하는 ‘아이온클라우드’를 통해 웹방화벽, 웹멀웨어 탐지(WMD), 보안 웹게이트웨이(SWG)를 통합했으며, 2020년 차세대 방화벽, 데이터 유출 방지(DLP) 기능을 추가할 계획이다. 또한 퍼블릭 클라우드와 자체 ISP 트랜짓 노드를 통합한 하이브리드 SECaaS 플랫폼을 출시해 다양한 고객 환경에 맞는 클라우드 보안을 제공한다.
SOAR로 통합 보안 구체화
통합보안은 이상적이지만 현실화하기 쉽지 않다. 단일 보안 벤더에만 전적으로 의지한다면 쉽게 통합할 수 있을지 모르지만, 이종 벤더 솔루션을 함께 운영하는 현실에서는 상당한 제약이 따른다. 같은 벤더 솔루션이라해도 버전에 따라, 운영 환경에 따라 통합되지 않는 경우도 있으며, API를 제공하지 않는 솔루션 벤더는 통합이 불가능하다. 특히 보안 솔루션마다 제공하는 위협 이벤트의 성격이나 위협 순위를 매기는 기준이 다르다는 문제가 있으며, 지원하는 데이터·프로토콜 포맷도 달라 통합에 어려움을 겪게 된다.
차세대 SIEM은 모든 보안·IT 시스템에서 이벤트를 수집·분석해 복잡한 보안관리를 쉽고 단순하게 하며 보안운영센터(SOC)의 업무를 줄여준다고 하지만, SIEM 조차 통합하지 못하는 보안 솔루션이 부지기수이며, 과도한 이벤트로 인해 SOC 업무를 급증시킨다는 문제가 있다.
SOC 업무를 줄여 관제인력이 고급 위협 분석에 전념할 수 있도록 지원하는 새로운 솔루션으로 보안 오케스트레이션, 자동화, 대응(SOAR)이 제안된다. SOAR는 보안·IT 솔루션에서 이벤트를 수집해 분석 시스템으로 보내고, 분석 완료된 위협 정보를 기반으로 정책을 만들어 보안 시스템으로 내려보내는 과정을 자동화한 것이다. 보안대응 대부분의 업무를 자동화해 SOC 업무를 대폭 줄일 수 있으며, 보안 시스템이 제 역할을 충실히 할 수 있도록 도와주는 역할을 한다.
SOAR는 보안관제 프로세스가 자동화 돼 있어야 도입 가능한 솔루션이다. 공격그룹과 유형을 분류하고 개별 공격 케이스에 대한 대응 방안까지 규정한 플레이북이 충분히 준비돼 있어야 보안 관제 플로우를 표준화 할 수 있으며, 표준화된 플로우를 기반으로 프로세스를 자동화 할 수 있다.
우리나라에서 SOAR를 도입할 만큼 표준화와 자동화가 준비된 곳이 많지 않아 SOAR 시장의 급속한 확산을 기대하기는 어렵지만, 소규모 시범사업을 통해 성공사례를 축적하고 있어 서서히 시장 성숙도가 올라가고 있다고 분석된다.
글로벌 기업들은 SOAR 전문기업을 잇달아 인수하면서 시장을 뜨겁게 달구고 있다. 파이어아이가 힐릭스를, 스플렁크가 팬텀을, MS가 헥사다이트를, 래피드7이 커맨드를, 팔로알토네트웍스가 데미스토를 인수하면서 시장 공략에 나섰다. 국내에서는 안랩이 보안관제 플랫폼에 SOAR를 적용한 패키지 ‘세피니티 에어’를 출시하고 경쟁에 뛰어들었다.
EDR에서 XDR로…확장되는 통합 영역
통합보안 전략은 엔드포인트 보안 영역에서도 활발하게 이뤄지고 있다. 엔드포인트는 공격이 시작되는 지점으로, 엔드포인트를 타깃으로 한 다양한 신·변종 위협이 쉴 새 없이 등장하고 있다.
따라서 시그니처 기반 백신 엔진과 함께 행위 분석, 평판분석, 취약점 탐지, AI 분석, 중요정보 유출 방지 등의 엔진을 함께 제공해 공격을 차단해야 한다. 선제방어 단계를 거친 후 위협 인텔리전스에서 분석해 새롭게 발견된 위협과 연계되어있는지 확인하며, 이 단계에서도 위협인지 판단하지 못하는 것은 EDR 솔루션에서 분석한다. 그래도 확인하지 못하는 것은 악성코
드 분석가가 투입되어 위협 여부를 분석한다.
이 처럼 복잡한 과정이 단일 프로세스에 의해 자동으로 연결되도록 엔드포인트 통합 플랫폼(EPP)에 포함돼 있다. 이상적인 EPP는 백신, EDR, 위협 인텔리전스 뿐 아니라 보안관제까지 연계되어야 한다. 엔드포인트 리소스 사용을 최소화하며 다종다양한 단말 환경을 지원하고 대규모 엔드포인트를 간편하게 지원할 수 있게 해야 한다.
안랩, 이스트시큐리티가 이 같은 통합 전략으로 엔드포인트 보안 시장을 진화시키고 있다. 지니언스는 NAC와 연동할 수 있는 EDR을 이용해 단말의 이상행위를 지능적으로 탐지하며, 소만사는 DLP와 연동하는 EDR을 이용해 엔드포인트 데이터 중심 보안 전략을 전개한다. 글로벌 기업들도 EPP전략을 가속화한다. 사일런스 한국 총판 파고네트웍스는 AV와 EDR, 그리고 자사의 MDR 서비스를 통합해 지능화된 위협 탐지를 제공한다.
엔드포인트 뿐 아니라 네트워크, 클라우드까지 통합하는 탐지·대응을 제공한다는 XDR도 소개되고 있다. 팔로알토네트웍스, 트렌드마이크로 등이 XDR 전략으로 진화해야 한다고 주장하고 있다.
XDR 전문 기업을 표방하는 스텔라사이버도 한국에 진출하며 시장을 열어가고 있다. 스텔라사이버는 멀티 머신러닝을 제공해 각 업무 환경에 맞도록 멀티테넌시 방식의 머신러닝을 제공할 수 있다. 스텔라사이버는 사이버킬체인에 따른 위협 대응 전략을 제공해 AI 보안 솔루션의 ‘노이즈’ 문제를 해결하고 정확한 위협 탐지가 가능하다.
