[Securing a New World③] 보안의 미래, 통합·자동화·단순성
상태바
[Securing a New World③] 보안의 미래, 통합·자동화·단순성
  • 김선애 기자
  • 승인 2021.08.09 10:50
  • 댓글 0
이 기사를 공유합니다

XDR·SIEM 통합으로 보안위협 대응 …클라우드 규모로 지능적인 우회 공격 차단
엔터프라이즈 전체 위협 통찰력 제공해 정상 프로세스 활용 위협까지 대응

[데이터넷] 정상 사용자, 정상 프로세스를 이용하는 사이버 공격이 전 세계를 강타하고 있다. 최근 공격은 악성행위를 인식하는 개별 보안 솔루션으로 탐지할 수 없으며, 통합·연계된 보안 플랫폼을 통해 지속적으로 추적·모니터링하면서 위협 수준을 파악하고 대응해야 한다. 이 과정이 복잡해지면 보안조직의 부담이 커지고 보안 리스크를 더 높일 수 있다. 통합되고 자동화되며 단순하게 관리할 수 있는 보안 시스템이 하이브리드 환경에서 더 심각해지는 보안위협에 대응할 수 있다.

본지 연속 기획 ‘Securing a New World’ 마지막회에서는 보안을 단순화 하기 위한 통합·자동화 기술을 살펴보고 마이크로소프트가 클라우드를 통해 지원하는 XDR과 SIEM 및 SOAR에 대해 알아본다. <편집자>

대규모 사이버 공격이 전 세계를 강타하고 있다. 세계적인 IT관리 소프트웨어가 공급망 공격에 이용당했으며, 미국 최대 송유관기업, 정육업체 등 다수의 기업들이 랜섬웨어 공격으로 큰 피해를 입었다.

이 같은 최근 공격은 보안 시스템을 우회하는 다양한 전술·전략을 이용하기 때문에 기존 보안 정책으로는 대응할 수 없다. 하이브리드 업무 환경에서는 지능적인 우회공격은 더 심해질 것이며, 이에 더해 설정 오류, 관리되지 않은 취약점, 각종 컴플라이언스 등으로 인한 보안 리스크가 높아질 것이다.

심화되는 보안 문제를 해결하기 위해 보안 솔루션을 추가하는 것은 도움이 되지 않는다. 보안조직은 이미 너무 많은 보안 솔루션을 운영하고 있어 심각한 업무 부하를 느끼고 있다. 가장 좋은 대안은 기존에 투자한 보안 솔루션을 효율적으로 잘 운영하면서 하이브리드 업무 환경에 맞게 보안 정책을 정비하는 것이다.

제로 트러스트 보안 원칙에 따라 애플리케이션에 접속하려는 사용자와 기기를 검증하고 행위를 모니터링한다. 최소 권한 원칙을 부여하며, 한 번 인증받았을 때 접근 가능한 업무의 범위와 접근 허용이 지속되는 시간을 최소화해 만일 침해당했다 해도 공격이 확장되지 않도록 한다. 이 모든 과정을 자동화해 보안조직의 업무 부담을 줄이고, 현업 사용자의 불편함을 해소한다.

마이크로소프트의 제로 트러스트 모델은 시스템의 모든 요소가 침해될 수 있다는 가정 하에 보안을 설계하고, 모든 접근과 행동에 대해 자동화된 검증과 모니터링으로 업무 생산성을 해치지 않고 보안 복잡성을 증가시키지 않으면서 보안이 유지될 수 있도록 한다.

체계적이지 않은 SOC로 위협 높아져

이처럼 철저한 검증과 모니터링을 수행한다 해서 모든 보안 위협을 제거할 수 있는 것은 아니다. 공격자는 목표조직에 설치된 보안 솔루션의 특징을 파악하고, 보안 정책과 탐지 패턴을 분석해 임계치 이하의 행동, 정상 사용자와 동일한 행동으로 보안 탐지에 걸리지 않도록 한다.

외부 공격자에 의한 위협뿐 아니라 권한 있는 내부자에 의한 위협도 심각한 문제다. 내부 직원이 실수 혹은 고의로 권한 내에서 중요 정보를 유출하거나 외부에 공개하는 행위를 DLP만으로 막을 수 없다.

사이버시큐리티 인사이더(Cybersecurity Insiders) 조사에 따르면 IT 의사결정권자 68%가 현재 조직은 내부자 공격에 취약하다고 답했으며, 조직이 갖추고 있는 내부자 위협 모니터링·탐지·대응 능력이 효과적이라고 답한 비율은 42%에 불과했다.

기존 보안 시스템으로 해결하지 못하는 보안 문제를 해결하기 위해 또 다른 보안 솔루션을 추가하는 것은 오히려 보안 위협을 높이는 결과를 낳는다. 기업이 사용하는 보안 솔루션은 평균 50여종에 이르는데, 이 솔루션이 제대로 작동하는지 살펴보는 것조차 버거운 상황이다.

개별 보안 솔루션들은 위협의 우선순위를 알려주기 때문에 보안 조직이 가장 위험한 경보에만 대응하면 된다고 하지만, ‘가장 위험한 경고’조차 너무 많은 보안 솔루션이 쏟아내기 때문에 보안팀이 모두 감당할 수 없다. 또 SOC에서 위협을 탐지하고 대응하는 과정이 표준화돼 있지 않으며, 보안 분석가의 성숙도에 따라 대응 능력이 달라지기 때문에 심각한 위협을 놓치고 지나가는 경우도 많다.

알려진 대규모 사이버 공격은 SOC가 잘 조직된 조직에서 발생했다. 통합되지 않은 너무 많은 보안 솔루션과 체계적이지 않은 SOC 대응 체계, 성숙도가 다른 보안인력으로 인해 진화하는 보안위협에 대응하기 어렵다. 사이버 위협 방어를 위해서는 패치워크가 아닌 엔드 투 엔드 전략이 필요하며, 마이크로소프트 통합형 위협 방지기능이 그 해법을 제시한다.

보안 시스템 우회하는 공격자

보안조직이 직면한 문제를 해결하기 위해서는 보호되어야 할 모든 포인트에 정밀한 위협 탐지 기술을 적용하고, 탐지된 이벤트를 통합·연계 분석하며, 의심스러운 정황을 지속적으로 추적하는 기술이 필요하다. 이 과정이 완벽하게 자동화되고, 모든 프로세스가 통합돼 단순한 관리 환경을 제공해야 하며, 보안 복잡성을 낮춰야 한다.

가장 일반적인 최신 공격의 사례를 들어보자. 알려지지 않은 파일이 다운로드된 것을 발견하고 샌드박스에서 실행시켰는데, 아무 활동도 일어나지 않아 의심파일로 분류하지 않았다. 이 파일이 시스템 내부로 들어가 하드코딩된 권한을 획득하고 원격접속을 활성화해 원격지의 공격자와 연결시켰다. 알려지지 않은 원격지 서버와 연결된 정황을 내부 모니터링 시스템이 파악했지만, 정상 권한을 이용해 OS에서 기본으로 지원하는 기능을 이용했기 때문에 이상행위로 탐지하지 않았다.

샌드박스나 모니터링 시스템에서는 이 파일을 의심스러운 파일로 판단하지 못했지만, 이 파일이 외부에서 다운로드 됐을 때부터 외부 원격 시스템과 연결을 시도할 때까지 지속적으로 추적했다면 충분히 이상행위로 판단하고 추가 조사를 할 수 있었을 것이다.

의심스러운 행위를 추적하고 위협을 감지하기 위해서는 엔드포인트부터 네트워크, 클라우드에 이르기까지 모든 환경에서 중단없이 감시·분석·모니터링할 수 있는 솔루션이 필요하다. 모든 의심 행위를 보안 분석가가 추적할 수 없기 때문에 자동화가 필수며, 보안조직의 부담을 낮출 수 있도록 단순화된 보안 관리 환경으로 구성해야 한다.

이를 현실적으로 구현하는 것이 매우 어렵다. 엔드포인트, 네트워크, 클라우드에 설치된 각각의 보안 시스템에서 생성시키는 이벤트 포맷이 다르고, 탐지하는 위협의 수준도 달라 어떤 기준으로 위협의 수준을 파악해야 하는지 결정하기 어렵다.

일부 보안 솔루션은 API를 제공하지 않아 통합·연계가 어려운 경우도 있으며, 다양한 상황에 따른 위협 수준을 파악하는 것도 쉽지 않은 일이다.

AI로 위협 대응 효율화

솔루션 통합의 어려움을 해결하는 방법으로 AI를 선택할 수 있다. AI는 다양한 위협 벡터를 감안해 개별 솔루션에서 생성시키는 이벤트의 수준과 성격을 파악하고 위협정도를 판단해 보안 조직이 효과적으로 결정할 수 있도록 도와줄 수 있다.

많은 보안 솔루션에서 발생시키는 대규모 보안 이벤트를 실시간으로 분석하는 동시에, 전 세계에서 수집한 위협 인텔리전스와 연계해 새로운 위협에도 빠르게 대응할 수 있도록 한다. 이를 통해 보안 인력의 성숙도와 상관없이 일정 수준 이상의 보안을 유지할 수 있도록 한다.

AI 보안 분석·탐지 정확도를 개선하기 위해 대규모 위협 샘플 분석이 필수다. 충분히 학습되지 않은 AI는 오탐이 많아 다량의 노이즈를 발생시키고 보안조직의 업무를 폭증시킨다.

마이크로소프트는 매일 6조5000억개 이상의 위협 신호를 수집해 분석하며, 포춘 500대 기업 90%에서 사용하는 아웃룩 이메일 4700억개 이상을 분석한다. 전 세계 10억 이상의 애저 사용자와 매월 인증된 마이크로소프트계정 6300억개를 분석한다. 마이크로소프트 크라임 유닛(Microsoft Crimes Unit)에서 제공하는 봇넷 데이터, 원드라이브, 엑스박스 라이브 등 클라우드 소비자와 사용자의 활동을 분석해 이상징후를 지능적으로 파악한다.

마이크로소프트는 윈도우 디바이스에서 매달 50억개 이상 위협을 찾아내며, 방대한 양의 위협 정보를 수집해 인텔리전스를 만들고 AI로 분석해 시각화한다. 이를 ‘인텔리전트 시큐리티 그래프(Intelligent Security Graph)’로 보여주며 실시간으로 전체 마이크로소프트 솔루션과 고객에게 공유해 현재 진행 중인 위협에 효과적으로 대응할 수 있게 한다.

<그림 1> 마이크로소프트 SIEM·XDR 통합 위협 대응 플랫폼

단일 플랫폼으로 완벽한 통합 보안 구현

마이크로소프트는 AI를 XDR과 SIEM·SOAR에 적용해 통합·자동화된 위협 탐지와 대응 기능을 한층 개선한다. 많은 종류의 위협 이벤트와 의심스러운 행동 및 접근시도, 정상 기능을 사용하는 비정상적인 행위를 AI로 분석하며, 다양한 이종 솔루션의 위협 탐지와 대응을 효과적으로 통합하는데 AI가 핵심적인 역할을 한다.

XDR과 SIEM·SOAR는 하이브리드 환경을 위한 위협 탐지·대응 핵심 시스템으로 꼽힌다. XDR은 엔드포인트부터 네트워크, 클라우드까지 비즈니스 전반에서 위협 정보를 수집하고 통합 분석해 대응하며, 분석의 수준을 더 전문화하고 정밀화한다. 이로써 은밀하게 진행되는 지능형 공격까지 찾아낼 수 있는 통합되고 확장된 위협 탐지·대응 플랫폼이다.

SIEM은 비즈니스 위협 이벤트를 연계분석하고 공격 전반을 가시화한다. 이를 SOAR로 진화시켜 보안 솔루션이 제 역할을 수행할 수 있도록 지휘(Orchestration)하고, 자동 대응을 지원해 보안운영센터(SOC)를 업그레이드할 수 있게 한다.

마이크로소프트 XDR과 SIEM의 핵심 기술인 ‘통합과 자동화’는 다른 통합 솔루션과 확실한 차이가 있다. 다른 통합 솔루션은 개별 솔루션 중심의 통합을 시도했기 때문에 이벤트를 단순히 나열하는 수준에 머물렀으며, 비즈니스 전체에 대한 가시성을 제공할 수 없다.

마이크로소프트는 모든 리소스에 엔드 투 엔드 가시성을 제공하며 하나의 플랫폼에 완벽하게 통합된 보안 운영을 가능하게 한다. 개별 리소스에 대한 심층적인 이해를 바탕으로 지능적인 경고를 제공해 고도화된 보안 위협에 대응할 수 있으며, 이를 통해 보안사고 조사와 수정에 필요한 시간을 60% 단축시키고, 보안 침해 가능성을 89% 낮췄다.

<그림 2> 마이크로소프트 365와 애저 전반에서 위협을 탐지하고 대응하는 XDR ‘마이크로소프트 디펜더’

XDR로 멀티 클라우드 위협 정밀 탐지

마이크로소프트의 XDR 솔루션 ‘마이크로소프트 디펜더(Microsoft Defender)’는 XDR의 이상을 가장 완성도 있게 구현한 솔루션으로 꼽힌다. XDR의 정의는 벤더와 시장조사기관마다 다르지만, 대

체로 엔드포인트, 네트워크, 이메일, 파일, 클라우드, 서버 등 위협을 탐지할 수 있는 모든 지점에서 데이터를 수집하고, 상관관계 분석으로 공격을 가시화하고 대응하는 것을 의미한다.

XDR의 필수 기술은 보안 에코시스템에서 데이터를 수집하고 정규화하며, 원격측정 데이터 상관관계를 액션 가능한 알림과 인시던트로 변환시키고, 보안 제품의 인시던트 대응 기능을 오케스트레이션하고 자동화하는 것이 포함된다. 또 XDR은 보호·탐지·대응 기능을 향상시키고 운영·보안 인력 생산성을 높이며, TCO를 낮추는 효과를 가져다준다.

마이크로소프트 디펜더는 클라우드, 온프레미스, 기타 클라우드에 대한 엔드 투 엔드 XDR을 제공하며, SIEM 솔루션 ‘애저 센티넬(Azure Sentinel)’의 포괄적인 기능과 연결할 수 있어 위협 탐지와 자동 대응 역량을 가속화한다.

‘마이크로소프트 디펜더’는 ‘마이크로소프트 365 디펜더(Microsoft 365 Defender)’와 ‘애저 디펜더(Azure Defender)’로 구성되며, 하나의 플랫폼에 통합·연계돼 보안을 단순화하면서도 강력하게 한다.

‘M365 디펜더’는 마이터 어택(MITRE ATT&CK) 평가에서 동급 최고의 실제 탐지 기능을 제공하는 것으로 평가받았다. ‘마이크로소프트 365(M365)’ 환경 전반을 모니터링해 킬체인 전 단계에서 크로스 도메인 공격을 정확하게 탐지, 조사, 시정한다. ID, 엔드포인트, 앱, 이메일, 문서 등의 사용 환경을 분석하며, 클라우드 앱 시큐리티와 통합돼 조직 전체의 클라우드 앱과 서비스에 대한 위험을 평가하고 관리한다.

개별 도메인에서 고유한 전문 지식을 사용해 위협을 지능적으로 확인하면서 도메인 전반에서 위협을 감지하고, 데이터를 통합해 신속하고 자동화된 대응을 지원한다. 단일 대시보드에서 알림을 확인하고 조치를 수행할 수 있다. AI와 자동화 기능을 통해 보안 이벤트를 50배까지 줄여 보안조직이 위협을 더 빠르게 감지하고 대응할 수 있게 한다.

‘애저 디펜더’는 마이크로소프트 애저와 하이브리드 환경 전반을 보호한다. 업계 최고의 위협 인텔리전스를 사용해 클라우드 워크로드에 대한 심층적인 통찰력을 확보한다. SQL, 서버 가상화, 컨테이너, 네트워크, IoT, 애저 앱 서비스 전반에서 위협을 감지하고, 우선순위를 알려 가장 중요한 사항에 집중 대응할 수 있게 한다.

애저 디펜더는 ‘애저 시큐리티 센터(Azure Security Center)’를 통해 제공되며 하이브리드 클라우드 워크로드를 보호할 수 있다. 애저 시큐리티 센터는 하이브리드 클라우드 워크로드의 침해 탐지 및 대응뿐 아니라 잘못된 설정과 구성 오류, 컴플라이언스 위반을 찾아 수정하도록 해 멀티 클라우드의 공격면을 지속적으로 제거한다.

<그림 3> 엔터프라이즈 전체에 대한 통찰력을 확보하는 클라우드 네이티브 SIEM ‘애저 센티넬’

SOC 부담 줄이고 빠르게 침해 사실 포착·대응

마이크로소프트는 XDR과 클라우드 네이티브 SIEM을 연계해 하이브리드 환경에서 완벽한 엔드 투 엔드 가시성을 보장할 수 있도록 한다. 단일 환경에서 모든 위협을 탐지하고 대응하는 XDR·SIEM 통합 플랫폼을 통해 SOC 조직이 더 빠르게 위협을 감지하고 대응할 수 있게 한다.

전통적인 SIEM은 온프레미스의 로그분석에만 치중했기 때문에 다양한 클라우드 환경의 보안 위협에 대응하지 못한다. 마이크로소프트의 ‘애저 센티넬’은 기존 SIEM을 넘어 SOAR로 확장 가능한 클라우드 네이티브 SIEM으로, 클라우드 규모로 보안 데이터를 수집하고, AI 기반 상관관계 분석을 적용해 사용자의 의심스러운 활동과 패턴을 감지한다.

애저 센티넬은 내장된 머신러닝과 인텔리전스를 활용해 매일 수조 개의 이벤트를 분석하며, 노이즈를 줄이고 실제 위협에만 대응할 수 있도록 한다. 사용자 및 엔티티 행위분석(UEBA) 기능을 포함하고 있어 사용자의 이상행위를 탐지하고 침해 징후를 빠르게 포착할 수 있다.

기본 제공되는 오케스트레이션과 자동화를 통해 SOAR를 구현, 섹옵스(SecOps) 팀의 부담을 줄일 수 있다. 이를 통해 SOC의 보안 피로도를 줄이고, 보안 인력의 숙련도에 상관없이 일정 수준 이상 보안대응이 가능하도록 한다. 또한 보안 조직은 단순 반복되는 보안 분석 업무에서 벗어나 고급 보안위협 대응에 집중할 수 있어 고급 보안 전문가로 성장할 수 있는 기회를 가질 수 있게 된다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.