[데이터넷] 비즈니스 기반이 클라우드로 확장되면서 보안관제의 복잡성은 더욱 높아졌다. 클라우드는 온프레미스 시스템보다 더 많은 로그를 발생시킨다. 클라우드 내 보안장비, 수시로 생성되는 컨테이너와 컨테이너 통신 시 발생하는 로그 등으로 인해 보안 가시성을 확보하는 데 어려움을 겪는다.

클라우드에서 새로운 인스턴스가 생성되고 정책이 잘못 설정된 경우 데이터가 외부로 공개될 수 있다. 또한 특정 비즈니스 네트워크 영역에 보안 탐지를 우회할 수 있는 홀이 남을 수도 있다.

이에 더해 퍼블릭 클라우드는 책임공유모델에 따라 서비스 사업자와 사용자가 책임져야 하는 영역이 구분 돼 있는데, 서비스 사업자 책임 영역 내에서 발생하는 부분에 대해서는 사용자가 알 수 없기 때문에 완벽한 가시성을 확보할 수 없다.

홍재완 쿼드마이너 CTO는 “SaaS는 공격 탐지보다 2배 많은 애플리케이션 수정 작업이 발생하기 때문에 어떤 것이 공격이고, 어떤 것이 작업인지 구분하지 못한다. 그러나 과금을 우려해 낮은 퍼포먼스로 구성된 보안관제 시스템은 이러한 문제를 평가하지 못한다”며 “쿠버네티스와 같은 클라우드 오케스트레이션 솔루션에서 제공하는 스케일아웃 발생 시, 고객이 예상했던 것과 정반대의 상황이 발생해 네트워크 및 기타 다른 리소스를 과도하게 소모하는 문제가 발생하기도 하며, 이를 컨트롤하는 API 서버간의 통신을 정확히 확인하 지 못해 원인분석을 하기 어려운 문제도 발생한다”고 지적했다.

클라우드 위한 SIEM 필요

클라우드나 온프레미스나 발생하는 위협의 형태가 크게 다르지 않으며, 사용 중인 클라우드에서 로그를 수집해 분석하면 된다고 생각하기 쉽다. 그러나 클라우드 인스턴스는 단 몇 초면 생성되고 수시로 삭제된다. 인프라 변경이 없는 온프레미스 환경에서의 로그 수집·분석 관점으로 클라우드에 접근하면 안된다는 뜻 이다.

거의 대부분의 SIEM 솔루션이 클라우드를 지원하고 있지만, 온프레미스 환경에서 SIEM을 운영하는 방식 에서 벗어나지 않았기 때문에 한계가 있다. 클라우드 내에 SIEM이 가능한 가상머신(VM)을 정해놓고, 그 이상 사용 시 수동으로 변경 작업을 해야 하기 때문에 관리가 매우 복잡하다. 즉 클라우드를 기반으로 설계 된 보안 아키텍처가 필요하다는 뜻이다.

이석호 수모로직코리아 지사장은 “지난 몇 년 동안 빅데이터 전문기업이 SIEM 시장을 이끌어오면서 큰 변화를 만들어왔지만, 이들도 전통적인 SIEM 아키텍처와 크게 다르지 않기 때문에 클라우드의 복잡성 문제를 해결하지 못한다. 클라우드의 민첩성을 지원하는 클라 우드 기반 SIEM이 필요하다”고 말했다.

클라우드 네이티브 SOC 지원 솔루션 상륙

수모로직은 클라우드 개발환경을 지원하는 ‘수모로 직 앱’과 ‘클라우드 SIEM’, 클라우드 비즈니스 인텔리전스 플랫폼을 제공하는 클라우드 전문기업이다. 삼성전자 미국법인에서 IoT 제품에 사용하고 있으며, 그 외에도 많은 기업들이 데브옵스와 보안, BI를 위해 도입 중이다. 우리나라 대기업에서도 사용하고 있으며, 여러 기업·기관들이 도입을 검토하고 있다.

수모로직은 클라우드 네이티브 아키텍처로 설계돼 클라우드의 요구를 완벽하게 지원할 수 있다. 클라우드 SIEM은 하이브리드, 멀티클라우드, 마이크로 서비스 등 현대적인 IT 환경에 대한 위협 감지 및 사고 대응 기능을 제공한다. 신속한 매치와 사용 편의성, 머신러닝 기반 위협 탐지 및 조사, 포렌식 분석, 보안 이벤트 통합 뷰를 지원한다.

클라우드 네이티브 SOC 솔루션 ‘클라우드 SIEM 엔터프라이즈’는 이상적인 클라우드 SOC 운영을 가능케 하는 솔루션으로, 무제한 확장성과 효율적인 워크플로우, 고급 통찰력, 향상된 가시성과 생산성을 제공한다. 탐지된 위협 수준을 수치화하고 관제팀에 알리는 과정을 자동화하며, 자동화된 위협 통찰력을 제공해 보안관제 효율성을 한층 높인다. 이 솔루션은 하반 기 아태지역에 공식 출시될 계획이다.

수모로직은 SOC 분석가의 행동을 모델로 한 ASC(Adaptive Signal Clustering) 엔진을 탑재해 분석가의 역량을 상향평준화하며, SOAR 기능을 접목해 클라우 드 보안 운영을 자동화한다. 또한 실시간 클라우드 사용을 분석해 컴플라이언스 위배, 잘못된 설정을 바로잡는 클라우드 보안 형상관리(CSPM)도 제공한다.

이석호 지사장은 “국내 기업들도 클라우드 이전을 가속화하면서 클라우드에 최적화된 보안 플랫폼을 시 급히 요구하고 있다. 수모로직은 클라우드 네이티브 아키텍처를 통해 클라우드에 최적화된 보안관제를 제 공할 수 있도록 돕는다. 수모로직 클라우드 SIEM 제품 군은 기업·기관이 직접 도입해 운영할 수 있으며, 매니지드 서비스 기업이 도입해 자사 고객의 클라우드 트랜 스포메이션을 안전하게 지원할 수 있다”고 말했다.

클라우드 트래픽 모니터링 솔루션 ‘필수’

클라우드 보안 위협 탐지를 보다 정밀하게 하기 위해 클라우드 트래픽에 대한 세밀한 가시성도 필요하다. 클라우드를 지원하는 네트워크 위협 분석(NTA) 솔루션이 그 대안이 될 수 있다. 쿼드마이너의 ‘클라우드 블랙박스’는 퍼블릭·프라이빗 클라우드에서 발생하는 모든 트래픽을 저장·분석한다.

홍재완 쿼드마이너 CTO는 “온프레미스 보안 장비를 VM으로 만들어 클라우드에 올리는 것 만으로 클라 우드 보안이 완성됐다고 생각해서는 안된다. 클라우드는 수시로 인프라와 서비스가 변경되고 용량이 확장· 축소되는데, 전통적인 방법의 보안 장비는 이렇게 변동이 심한 환경을 지원하지 못한다. 특히 클라우드 사용에 대한 가시성을 확보하지 못해 보안홀을 남겨두거나 밴드위스를 갑자기 대규모로 사용해 요금 폭탄을 맞게 되기도 한다”며 “클라우드는 사용자가 보지 못하는 사업자 책임 영역이 있기 때문에 통제와 가시성 확보가 어렵다. 이러한 특성을 고려한 클라우드 네트워크 분석 장비가 필요하다”고 말했다.

빠른 수집·분석으로 NTA 수준 높여

클라우드 블랙박스는 현재 국내 유명 증권사 등에서 POC 중이며, 금융·엔터프라이즈·공공 등에서 관심을 받고 있다. 트래픽 미러링으로 고객 서비스에 영향을 주지 않고, 에이전트 패킷 수집, 분석, 검색 기능이 분 리돼 각각 인스턴트로 제공되기 때문에 대용량 트래픽 분석 및 조회에 의한 추가 과금이나 성능저하 영향을 최소화했다.

쿼드마이너는 구축형 NTA 솔루션 ‘네트워크 블랙 박스’로 국내외에서 큰 인기를 끌고 있다. 대규모 네트 워크 트래픽의 빠른 수집과 분석으로 NTA의 수준을 한 차원 높였다. 위협 탐지와 대응에 최적화된 머신러 닝 알고리즘을 이용해 지능적인 공격에 대응한다. 쿼드 마이너의 기술은 국내뿐 아니라 해외에서도 인정받고 있으며, 일본, 미국, 아시아 등 세계 각지로 진출을 시 도하고 있다.

쿼드마이너는 올해 AI 기능을 포함시켜 글로벌 관제 시스템에 적용할 수 있도록 하는 한편, 타사 SIEM을 사용하는 고객이 클라우드 블랙박스 앱을 설치해 사용 할 수 있도록 할 계획이다. 내년에는 멀티 클라우드 모 니터링이 가능한 SaaS 서비스도 오픈할 계획이다. 또한 글로벌 IDS 솔루션의 일부 서비스가 중단돼 해당 기 능을 요구하는 고객에게 맞춤형으로 제공하는 윈백 프로그램도 진행 중이다.

위협 탐지·대응 경험 녹인 클라우드 보안관제

보안관제 서비스도 클라우드·IoT의 복잡한 보안 문 제를 해결하기 위해 자사 서비스에 다양한 기술을 추가 하면서 진화하고 있다. SK인포섹은 20여년간 관제 서비스를 제공하면서 축적한 위협 탐지와 대응 노하우를 기반으로 클라우드, IoT 융복합 보안관제 서비스를 제 공한다. 자사의 위협대응 전문가 조직 ‘EQST’를 통해 축적한 위협 인텔리전스가 연계된 보안관제 플랫폼 ‘시 큐디움’은 전통적인 IT 환경 뿐 아니라 글로벌 분산된 비즈니스, 멀티 클라우드, IoT 융복합 환경까지 일원화 된 관리 서비스를 제공한다.

자체 개발한 SOAR 프로세스를 관제 서비스에 접목해 관제 운영 효율성을 극대화하고 있으며, 보안관제에 최적화된 머신러닝을 적용해 위협 탐지 효과를 높이고 관제요원의 업무 효율성을 높이고 있다. 조만간 엔드포인트를 위한 매니지드 서비스도 출시해 엔드포인트부터 네트워크, 클라우드, IoT에 이르는 통합 보안을 완성할 계획이다.

이우재 SK인포섹 플랫폼서비스기획팀 전문위원은 “SK인포섹은 20여년간 보안관제 서비스를 제공해 온 전문기업으로, 그동안 쌓아온 전문적인 위협 탐지·대응 역량으로 국내외 고객이 직면한 위협을 관리할 수 있도록 지원한다. 표준화·자동화된 관제 프로세스를 통해 관제요원의 실력에 관계없이 고급 보안 관제 서비스를 이용할 수 있도록 한다”고 말했다.