RSA “완벽한 통합 플랫폼 기반 차세대 보안관제 제공”

'데이터넷TV' 웨비나서 “로그·NDR·EDR·UEBA 통합으로 지능적 위협 대응” 강조
재택근무·클라우드 환경서도 보안 가시성 확보…위협 적시 탐지·대응 제공
‘비즈니스 중심 보안’ 전략 완성하는 리스크 관리 포트폴리오 제공

[데이터넷] 버라이즌의 ‘2020 데이터 유출 조사 보고서’에 따르면 침해사고의 70%는 외부 공격자에 의해, 30%는 내부자에 의해 발생한다. 공격자의 55%는 범죄조직과 연루돼 있으며, 10%는 국가기반 공격에 의해 발생한다. 시스템 관리자와 개별 사용자에 의한 침해사고도 각각 10%에 달한다.

이 통계가 의미하는 것은 침해사고가 외부의 악의적인 공격자 혹은 불만을 품은 내부인에 의해서만 발생하는 것은 아니라는 것이다. 관리 실수, 보안 정책을 숙지하지 못한 사용자에 의한 공격도 상당한 수준에 이른다는 것이다.

조남용 RSA코리아 기술팀 총괄 이사는 “공격자는 관리되지 않은 지점, 보안 사각지대를 이용해 침투해 은밀하게 활동하면서 침해 활동을 진행한다. 보안조직이 이를 발견하기까지 평균 101일이 걸리며, 탐지 후 조치하는데 30일이 걸린다”며 “재택·원격근무와 클라우드가 도입되면서 보안 경계가 무너지고, 위협을 탐지하고 대응하는 것이 더 어려워졌다”고 밝혔다.

완벽한 통합 플랫폼 제공

RSA코리아는 <데이터넷TV>와 함께 진행한 웨비나 ‘차세대 SIEM과 네트워크 위협 탐지(NDR) 발전 방향’을 통해 차세대 보안관제 시스템이 갖춰야 할 필수 요소와 완성된 통합 플랫폼으로 제공하는 ‘넷위트니스’에 대해 자세히 설명했다.

조남용 이사는 “지금까지 보안은 초기 침투를 막는데 초점을 맞추고 있었지만, 보안 경계가 허물어지는 현재 상황에서는 이미 침투한 공격을 찾아내는데에도 집중해야 한다. 단순한 차단-허용 정책이 아니라 지속적인 가시성을 확보하고 분석하는 체계로 전환해야 한다”고 강조했다.

이 문제를 해결하기 위해 보안관제 역량의 획기적인 진보가 필요하지만, 이를 이루기가 쉽지 않다. 모든 위협을 적시에 탐지하기 어려우며, 공격의 전체 범위와 영향도를 파악하는 것도 부족하고, 높은 수준의 보안관제 전문가를 충분히 고용하는데에도 한계가 있다.

가트너는 차세대 보안관제를 위해 ‘SOC 비저빌리티 트라이어드(SOC Visibility Triad)’가 필요하다고 권고하면서 ▲SIEM/UEBA ▲NDR ▲EDR을 통합해야 하며, 완벽한 가시성을 모든 공격 범위를 빠르게 파악하고 신속하게 대응할 수 있어야 한다고 강조했다.

RSA 넷위트니스는 SIEM 솔루션 ‘넷위트니스 로그’, NDR 솔루션 ‘넷위트니스 패킷’, EDR 솔루션 ‘넷위트니스 EDR’을 통합해 로그와 패킷, 엔드포인트 행위 분석, 넷플로우를 수집하고 위협 인텔리전스와 비즈니스 컨텍스트를 결합해 데이터를 강화하고 가시성을 확보한다.

빠른 실시간 탐지와 머신러닝 기반 UEBA, 아카이빙으로 위협을 탐지하고, 사건이력 관리, 오케스트레이션과 자동화, 세션 재조합 등을 통한 위협 조사와 대응이 가능하다.

조남용 이사는 “재택근무 시 직원 소유 기기를 이용해 업무를 하거나 많은 SaaS를 사용해 보안 가시성 확보에 어려움이 있을 수 있다. RSA 넷위트니스는 모든 정황과 행위를 연계분석해 비즈니스·업무 환경이 급변하는 상황에서도 알려지지 않은·예측하지 못한 공격에 대응할 수 있다”고 말했다.

▲조남용 RSA코리아 이사는 “‘넷위트니스’는 로그, NDR, EDR을 통합해 이벤트를 연계하고 UEBA·AI를 이용한 정밀한 분석으로 진화하는 위협에 대응한다”고 강조했다.

관제인력 전문성 강화 지원

최근 주목받는 ‘XDR’이 극대화된 통합 플랫폼의 이점을 제공할 수 있다고 평가된다. 그러나 많은 경우 XDR 플랫폼은 사용자 환경을 통합한 수준에 머물고 있으며, 완전한 네이티브 통합까지 구현하지 못했다는 분석이 지배적이다.

RSA는 수 년간 패킷과 로그, 엔드포인트를 하나의 플랫폼에 통합해왔으며, 경쟁사에 비해 높은 수준의 통합을 제공할 수 있다고 강조한다. 광범위한 이벤트 연관분석, 데이터 사이언스를 통한 정확한 AI 분석, 비즈니스 정보 연계를 통한 대응과 조치·조율이 가능하다고 강조한다.

또 넷위트니스는 모듈형 구성을 제공해 차세대 보안관제를 단계적으로 확장할 수 있게 도와준다. 이미 운영중인 SIEM과 연동해 운영할 수 있으며, 필요에 따라 로그, 패캣, 엔드포인트 제품을 선택해 추가하면서 단계적으로 확장해 나갈 수 있다. 더불어 RSA 전문 구축 컨설팅을 통해 보안관제 인력 역량을 강화할 수 있도록 지원하는 프로그램도 제공한다.

조남용 이사는 “넷위트니스의 재구매율이 매우 높다. 그만큼 솔루션에 대한 만족도가 높다는 뜻”이라며 “넷위트니스는 필요에 따라 신규 도입·확장이 용이하며, RSA 소속 전문인력의 구축 컨설팅을 통해 고객사 관제인력의 전문성이 한층 강화될 수 있도록 도와줄 수 있다”고 말했다.

▲RSA 차세대 보안관제 플랫폼은 실효적인 대응과 조치, 유연하고 확장 가능한 아키텍처로 실제 보안관제 역량을 한층 높일 수 있다.

비즈니스 중심 보안으로 고객 성장 지원

한편 RSA는 차세대 보안관제 플랫폼 뿐 아니라 비즈니스 리스크 관리, 멀티 클라우드·제로 트러스트, 디지털 리스크 관리를 위한 컨설팅 등 다양한 솔루션과 서비스를 제공하고 있다.

조 이사는 “공급망 공격과 같이 신뢰된 채널을 악용하는 공격은 하나의 솔루션이나 강력한 통제만으로 해결할 수 있는 것은 아니다. 어떤 방법을 사용하든 공격자가 침투해서 우리 비즈니스에 영향을 미치고 실제 피해를 입히지 않도록 지속적으로 탐지하고 대응하는 것이 필요하다”며 “RSA는 비즈니스 중심 보안을 위한 기술과 솔루션, 플랫폼, 서비스까지 준비해 고객의 성장을 지원하고 있다”고 말했다.

김선애 기자 다른기사 보기