[데이터넷] 사이버 공격으로 인해 클라우드가 위험에 처했다고, 클라우드를 포기할 수는 없다. 클라우드는 뉴노멀 시대를 위한 비즈니스 혁신의 핵심 키가 되고 있기 때문이다. 전통적인 보안 솔루션이 클라우드에 맞지 않다고 해서 모든 보안 솔루션과 전략을 포기하고 클라우드만을 위한 전략으로 일시에 변화시킬 수도 없다.

클라우드 환경에서도 변하지 않는 공격자의 궁극적인 목표는 중요 정보와 시스템에 접근해 유출하거나 파괴하는 것이다. 어떤 도구와 수단, 방법을 사용하든 공격자의 핵심 행위는 분명하기 때문에 이러한 정황을 빠르게 파악하고 대처하기 위해서는 기존 보안 솔루션과 대응 시스템을 통해 축적한 전문성이 반드시 필요하다.

김혁준 나루씨류리티 대표는 “클라우드에 최적화된 보안 솔루션과 프로세스를 도입하는 것도 좋은 전략이지만, 그보다 비즈니스를 보호하기 위해 어떤 전략을 세워야 하는지를 먼저 살피는 비즈니스 중심 보안 전략이 필요하다”며 “비즈니스 관점에서 보안을 바라보면, 클라우드 환경이라 해도 진짜로 보호해야 할 데이터와 시스템을 공격하는 행위 자체에 대대적인 변화가 있는 것은 아니다. 내부망을 가시화하고 위협을 분석하는 전문 역량은 클라우드에서도 필수”라고 설명했다.

이상행위 분석으로 클라우드 보호

김혁준 대표는 클라우드는 온프레미스보다 더 효과적으로 공격자의 행위를 가시화 할 수 있다고 설명한다. 장기간 지속적으로 엔드포인트와 네트워크 흐름을 추적하면 이상행위를 발견할 수 있으며 공격자가 무엇을 원하고 있는지, 어떤 전략·전술을 갖고 이동하는지 알아낼 수 있다. 동적 마이크로세그멘테이션이 가능한 클라우드는 필요에 따라 폐쇄망이나 외부 접속이 제한된 망으로 분리하는 것도 용이하기 때문에 중요 데이터와 시스템을 보호하는 전략을 수립하는데 더 도움이 된다.

나루씨큐리티의 내부망 분석 플랫폼 ‘커넥텀’은 나루씨큐리티가 지금까지 수행해 온 위협헌팅, 침해대응 역량을 자동화 한 솔루션으로, 위협 대응 전문가 관점에서 내부망을 모니터링하고 지능적이고 정교한 위협을 찾아 대응한다. 나루씨큐리티는 이를 클라우드 환경에 최적화 해 출시하고 클라우드 시장으로도 진출했다.

김혁준 대표는 “내부망에서 발생하는 이상행위를 분석함으로써 외부에서 유입된 공격 프로세스를 찾아 대응할 수 있을 뿐 아니라 내부자가 실수 혹은 의도적으로 보안정책을 위반하는 것도 찾을 수 있다. 허가되지 않은 클라우드에 접속하는 것을 막는 CASB를 비롯해 여러 클라우드 보안 솔루션을 대체하거나 보완할 수 있다”고 말했다.

통합 플랫폼으로 복잡한 클라우드 단순하게 운영

클라우드로 전환하는 그 어떤 기업도 단일 클라우드만을 사용하지 않는다. 클라우드로 거의 대부분의 비즈니스가 이전된다 해도 비즈니스 핵심 시스템은 여전히 온프레미스에 남는다. 따라서 보안 전략은 온프레미스부터 프라이빗 클라우드, 다종다양한 퍼블릭 클라우드를 모두 아우르는 프레임워크를 기반으로 전개돼야 한다.

글로벌 IT 기업들은 자사 솔루션을 완벽하게 통합·연계하는 플랫폼을 통해 멀티 클라우드의 복잡한 보안 문제를 해결한다. 여러 포인트 솔루션이 한 몸처럼 동작해 탐지된 이벤트를 추적하고 연관된 이벤트와 연계분석하면서 위험도를 측정하고 각 단계별 대응 방안을 제안하는 플랫폼을 운영한다.

주니퍼 ‘콘트레일 시큐리티’, 시스코의 ‘시큐어X’, 포티넷 ‘보안 패브릭’ 등이 그 대표적인 예가 될 수 있다. 이들은 자사 솔루션 뿐 아니라 에코시스템 내의 다른 파트너 기술도 완벽에 가깝게 통합될 수 있다고 주장한다.

주니퍼 콘트레일 시큐리티는 SDN 컨트롤러 하이퍼바이저 레벨 보안을 제공해 멀티 클라우드의 다양한 환경에 보안 정책을 배포한다. 정의된 정책은 자동 배포되며, 애플리케이션 내부 및 애플리케이션간 트래픽 플로우를 모니터링하고 이상행위를 찾아낸다. 분산된 보안·네트워크 정책을 활용해 방어 체계를 오케스트레이션하고, 고급 보안 서비스를 제공한다.

시스코의 ‘시큐어X’는 시스코 및 파트너 솔루션을 통합시킨 플랫폼으로, 시스코 제품 사용자에게 무상으로 제공된다. 탈로스의 위협 데이터를 이용해 정교하고 지능적인 최신 위협을 방어할 수 있도록 하며, 멀티 클라우드의 복잡한 보안 관리를 쉽고 단순하게 하도록 지원한다.

포티넷의 보안 패브릭은 포티넷 제품을 패브릭처럼 엮어 운영하도록 했으며, 클라우드는 물론이고 IoT·OT까지 통합 보호할 수 있도록 한다. 포티가드를 통해 제공되는 위협 인텔리전스를 이용할 수 있어 최신 사회공학기법을 이용하는 공격까지 대응할 수 있다. 포티넷은 보안 패브릭과 연계되는 포티AI, 포티SIEM, 포티SOAR를 통해 SOC를 고도화 하는데 도움을 주고 있다.

AI로 정교한 위협 탐지·대응

AI는 반복되는 위협 탐지와 분석 활동을 자동화하고, 대규모 위협 정보를 빠르게 분석해 신종 위협을 찾아내는데 좋은 성과를 보인다. 멀티 클라우드에서도 AI를 활용한 보안 대응 시스템이 반드시 필요한데, 온프레미스보다 복잡하고 관리 포인트가 많은 멀티 클라우드에서 보안 전문가의 수동 분석에만 의존하지 못하기 때문에 AI 기반 보안 관제 솔루션이 필요하다.

다크트레이스는 ‘사이버 AI 전문가’ 모듈을 AI 보안 플랫폼에 통합시켜 보안 전문가 업무를 획기적으로 줄여준다. 사이버 AI 전문가 모듈은 다크트레이스 AI 전문가들이 위협을 식별하고 분석하는 역량을 학습한 것으로, 보다 정확하고 정교한 위협 대응을 가능하게 한다. 사전 학습 없이 이상징후를 탐지할 수 있으며, 클라우드에서도 동일하게 작동해 클라우드 위협에 대응할 수 있다.

벡트라 역시 AI 기반 관제 솔루션을 제공하는데, 벡트라는 지도학습 기반 솔루션으로 오탐을 줄여 보안 분석가의 업무를 증가시키지 않도록 한다. 비지도학습 기반 머신러닝은 유사한 종류의 이상행위에 대해 각각 이벤트를 발생시키기 때문에 과도한 이벤트 발생으로 인한 보안 피로도가 높다. 또한 오염된 대량의 데이터를 학습해 잘못된 탐지 결과를 도출할 수 있다는 우려도 있다. 지도학습 기반 머신러닝은 정제된 학습 데이터를 이용하기 때문에 이와같은 우려를 덜 수 있으며, 머신러닝 분석에서 오탐을 현저하게 떨어뜨릴 수 있다.

NTA 솔루션 전문기업 쿼드마이너 역시 AI를 적용하고 클라우드를 지원하는 솔루션을 출시하면서 시장 변화에 적극 대응한다. 쿼드마이너의 ‘클라우드 블랙박스’는 온프레미스를 위한 ‘블랙박스’와 동일한 기능·성능을 제공하면서 동적 클라우드 변화에 대응할 수 있는 네트워크 분석 역량을 제공한다. 모든 패킷을 100% 저장하고 분석해 모든 종류의 사이버 보안 위협을 탐지·대응할 수 있으며 2만5000개 이상 룰과 시나리오 기반 사용자 해윙 분석을 위협을 탐지한다.

홍재완 쿼드마이너 COO는 “퍼블릭 클라우드는 공격의 2배 많은 애플리케이션 수정 작업이 발생하는데, 기존의 NTA 솔루션이나 보안관제 솔루션은 어떤 것이 정상 수정 작업이고, 어떤것이 공격인지 구분하지 못한다. 클라우드 블랙박스는 퍼블릭·프라이빗 트래픽까지 모두 저장하고 분석해 침해에 대응하며, 원인 분석과 해결 방안까지 제공할 수 있다”며 “글로벌 관제 솔루션과 연동해 더 정교한 위협 탐지 시스템이 가능하도록 지원하는 한편, 내년 멀티 클라우드 모니터링이 가능한 ‘클라우드 블랙박스 SaaS’를 오픈할 예정”이라고 말했다.

엔드포인트부터 클라우드까지 통합

멀티 클라우드의 보안관제의 핵심은 ‘통합’이다. 기존 환경과 프라이빗·퍼블릭 클라우드의 다른 환경을 통합해 일관적인 보안 정책에 따라 운영할 수 있어야 한다. 엔드포인트부터 파일, 네트워크까지도 통합된 가시성을 제공하는 것이 진정한 통합 플랫폼이라고 할 수 있다.

RSA는 로그, 패킷, 엔드포인트, 파일, 클라우드까지 모두 통합한 단일 플랫폼을 통해 멀티 클라우드를 보호하고, 사용자 행위분석, 써드파티 위협 인텔리전스를 연동해 오·미탐 없이 공격을 정확하게 분류할 수 있다.

통합 플랫폼은 ‘XDR’이라는 이름으로 시장에 소개되고 있다. EDR·NDR을 포괄하는 XDR은 모든 환경에서 이벤트를 수집하고 분석해 조용하고 은밀하게 진행되는 위협을 방어한다. 스텔라사이버의 ‘오픈 XDR(Open-XDR)’은 어떠한 행위도 놓치지 않고(Anywhere and eXtended), 탐지·분석해(Detect), 대응(Response)한다. 각각의 솔루션으로 한 부분의 보안 탐지를 진행하던 기존의 방식을 벗어나 통합된 보안 분석으로 통해 그동안 찾지 못했던 맹점을 찾아낸다. 각 솔루션의 탐지 결과를 연관 분석해 신뢰도 높은 보안 이벤트를 탐지하고 적극로 대응한다.

스텔라사이버의 오픈 XDR은 이미 구축된 국내외 기존 보안 솔루션과 연동되며, 자체적으로 제공하는 NTA, ML-IDS, NG-SIEM, UEBA, SOAR 등의 기능을 연계시켜 완전히 오픈된 보안 분석 생태계를 구성한다.

블랙베리 사일런스 MDR 서비스 기업인 파고네트웍스는 자체 개발한 보안 플랫폼 ‘파고TIP’에 엔드포인트·네트워크 위협 대응을 통합한 새로운 개념의 XDR MDR 서비스를 제안한다. 파고TIP은 ▲제품 ▲서비스 프로세스 ▲IOC 연동으로 이뤄진다. 제품으로는 엔드포인트 보안(EPP) ‘블랙베리 프로텍트’ EDR ‘블랙베리 옵틱스’, 네트워크 위협 탐지 솔루션인 차세대 NDR ‘블루헥사곤’이 연동되며, 이들 제품에서 탐지한 이벤트를 분석하고 대응하는 가상 SOC를 제공한다. 탐지·차단된 악성위협으로부터 추출된 위협 인텔리전스를 방화벽, SIEM, NAC, SOAR 등 다른 보안 솔루션과 능동적으로 연동해 관리되지 않거나 가시화되지 않은 시스템에 대한 멀웨어 침해 조기 탐지 방어 프로세스를 제공한다.

클라우드 최적화 관제 서비스 제공

토종 SIEM 솔루션 기업 로그프레소는 멀티 클라우드 체계를 통합하는 빅데이터 보안 분석 플랫폼 ‘소나’를 소개한다. 이 솔루션은 멀티 클라우드 환경에서도 빅데이터 원천 기술과 앱 확장성을 이용해 최고의 단위 보안시스템들을 효과적으로 오케스트레이션할 수 있다.

SIEM 솔루션의 대표주자인 마이크로포커스 ‘아크사이트’는 올해 출시 20년을 맞아 아키텍처의 대대적인 개선을 예고하며 경쟁력을 회복할 것이라고 소개했다. 아크사이트는 주요 퍼블릭 클라우드 지원 준비를 완료했으며, 1000개 이상 실시간 상관분석 룰을 통해 오탐 없이 위협을 탐지한다.

클라우드 기반 빅데이터 분석과 SIEM을 제공하는 수모로직은 클라우드의 특수한 환경을 제대로 이해하는 보안 분석을 제공한다고 소개한다. 도커, 쿠버네티스, 서버리스 컴퓨팅과 같은 새로운 환경에서 발생하는 이벤트를 온프레미스 SIEM에서 처리하지 못한다. 수모로직은 클라우드 환경을 위한 SIEM을 제공하며 시장 공략에 나선다.

클라우드 사업자들은 자사 서비스 안정성과 고객 보호를 위해 클라우드 보안 관제 수준을 높인다. 마이크로소프트는 애저에서 SIEM, SOAR, UEBA를 통합한 ‘애저 SIEM’을 통해 클라우드 네이티브한 차세대 보안운영센터를 제공한다.

클라우드 매니지먼트 기업 베스핀글로벌은 자체 개발한 ‘섹옵스(SecOps)’를 출시하고 여러 퍼블릭 클라우드를 사용하는 고객을 보호한다. 섹옵스는 클라우드 네이티브 환경의 보안 요소를 식별하고 최적의 솔루션과 전문가 기술지원, 구성 서비스를 제공한다. 베스핀글로벌의 보안 서비스에 운영·관제를 통합하며 SK인포섹과 함께 원스톱으로 제공한다.

보안관제 기업들도 클라우드 지원에 적극 나선다. 안랩은 자체제작한 클라우드 보안 백서를 활용해 고객의 클라우드 준비도를 파악하고 이를 기반으로 컨설팅하며, 보안관제 서비스도 함께 업그레이드한다. 6월 AWS WAF 관제 서비스를 출시하고 시장 진화를 이끌고 있다.

이글루시큐리티는 AI 기반 보안관제 서비스를 클라우드에도 적용해 기업의 디지털 전환을 지원한다. 멀티 클라우드에 최적화된 SIEM 솔루션 ‘스파이더 티엠 AI 에디션’을 활용한 보안관제로 게임, 금융, 통신, 교육 등 다양한 산업분야의 보안관제 요구에 대응한다.

‘스파이더 티엠 AI 에디션’은 지도·비지도 학습 기반 머신러닝을 사용하며, 엔드포인트, 웹, 네트워크, 클라우드 전반의 분석을 통해 위협을 찾아낸다. 또한 이글루시큐리티는 지속적으로 AI 보안관제 관련 기술의 특허를 취득하면서 관제 운영의 효율성과 정확성을 높여나가고 있다.