[데이터넷] ‘확장, 자동화, 통합’. 최근 보안 기술 시장에서 가장 주목하는 키워드다. 너무 많은 보안 솔루션으로 인해 관리 포인트가 늘어나고, 너무 많은 이벤트로 인해 경보 피로도가 쌓이며, 포인트 보안 솔루션으로 보지 못하는 사각지대로 인한 보안위협이 증가하는 것이 현재 보안 현실이다. 엔드포인트, 네트워크, 클라우드 모두를 통합하고, 멀티·하이브리드 클라우드로 보안 영역을 확장하며, 위협 탐지와 대응을 자동화하는 것이 최신 보안 트렌드이며, XDR과 SOAR가 대표적인 솔루션이다.

정확한 탐지·빠른 대응으로 SOC 효율화

XDR, SOAR를 도입해 보안탐지효과를 높이고 보안운영센터(SOC)를 효율화한 사례가 매우 많다. RSA 넷위트니스의 경우 ▲네트워크 풀패킷 분석 ‘넷위트니스 네트워크’ ▲SIEM ‘넷위트니스 로그’ ▲EDR ‘넷위트니스 엔드포인트’ ▲‘넷위트니스 오케스트레이터’ ▲‘넷위트니스 사용자·엔티티 행위분석(UEBA)’ ▲프로페셔널 서비스를 제공하며, 기업 환경에 맞게 선택·사용할 수 있게 했다. 단일 플랫폼에서 구동되기 때문에 확장이 쉽고 다양한 클라우드에서도 온프레미스와 같은 보안 분석과 가시성, 대응을 지원한다. 넷위트니스 제품군은 금융, 제조, 공공 등 다양한 고객에게 공급됐다.

파이어아이는 맨디언트 위협 탐지·대응 서비스에 XDR과 SOAR 솔루션 ‘힐릭스’를 결합해 제안한다. 개별 솔루션이나 클라우드로도 이용 가능한 XDR과 힐릭스는 다양한 보안 제품 연계 분석, 위협 인텔리전스, 보안 전문가의 침해대응 서비스 역량이 결합돼 완성도 높은 위협 탐지와 대응을 제공한다.

거의 대부분의 대규모 글로벌 보안 기업들이 XDR, SOAR를 제공한다고 해도 과언은 아니다. 팔로알토 네트웍스, 포티넷, 마이크로소프트, 트렌드마이크로, 카스퍼스키, VM웨어, IBM 등이 완성도 높은 XDR·SOAR를 제공하며, XDR 전문기업 스텔라사이버, NDR 전문기업 쿼드마이너, EPP·EDR 전문기업 센티넬원, 크라우드스트라이크 등도 XDR·SOAR 확장 계획을 밝힌다.

토종 기업 중에서는 안랩이 ‘세피니티 에어’, 이글루시큐리티가 ‘스파이더 SOAR’를 출시하며 SOAR 시장을 공략한다. 이들은 오랫동안 다양한 기업에게 보안관제와 침해대응 서비스를 제공하면서 축적한 전문성을 기반으로 솔루션과 서비스를 제공한다.

AI로 보안 확장·통합·자동화 가속화

XDR, SOAR를 구성하는 세부적인 기술 모듈을 각각 비교하면 벤더마다 조금씩 차이는 있다. 그러나 부족한 기능은 협력이나 인수를 통해 완성도를 높이기 때문에 플랫폼의 기술 우위를 비교하는 것은 어려운 일이다. 다만 얼마나 유연하게 써드파티와 통합되는지, 플랫폼의 안정성과 속도, 기술지원 문제는 어떤지, 글로벌 혹은 국내 성공사례를 다양하게 확보했는지 등을 따져서 자사 환경에 최적의 솔루션을 선택하는 것이 좋다.

최근 XDR, SOAR에는 특화된 AI 엔진이 구축되는데, 방대한 위협 이벤트를 연계 분석해서 위험도 높은 이슈를 찾아주고, 탐지된 이벤트의 성격·상황별로 분류해 자동으로 대응함으로써 SOC 업무를 줄이기 위한 것이다. 또 UEBA를 이용해 내부 사용자를 모니터링하고 정상 권한을 탈취한 공격자나 악의·실수로 인한 위협행위를 지능적으로 찾아내는 기술도 적용된다.

또 SOC 개선을 위해 사용되는 SOAR는 다양한 플레이북을 지원해 위협의 성격별로 자동 대응이 가능하게 해 SOC 업무를 줄일 수 있다.

안랩 세피니티 에어 사용 기업의 경우, 평균 55%의 업무시간 절감 효과를 보인 것으로 나타났다.

공격표면 관리로 침해 가능성 낮춰 최근 위협 탐지와 대응 시장에서 급부상하고 있는 기술로 공격표면 관리(ASM)가 있다. ASM은 외부에 공개된 취약점을 찾아 대응하는 솔루션으로, 2018년 가트너가 보안 리더에게 “사이버 보안 리스크 관리를 위해 공격 표면을 줄이고 모니터링하며, 관리해야 한다”고 촉구하면서 관심 받기 시작했다. 가트너가 지난해 ‘2021년 신흥기술: 외부 공격 표면 관리를 위한 중요한 인사이트’ 보고서를 공개하면서 집중 조명을 받게 됐다.

ASM이 부상하는 이유는 클라우드로 비즈니스가 확장되면서 외부에서 연결되는 지점이 많아졌기 때문이다. 관리되지 않은 지점이 늘어나면서 무단으로 열린 포트, 방치된 취약점을 이용해 공격자가 침입하기 쉬워졌다. 코로나19로 재택·원격근무가 늘어나면서 RDP·VPN 등 외부에서 접속할 수 있는 지점이 급증했으며, RDP·VPN의 취약점이나 무단연결로 인한 침해 위협도 높아진 상황이다.

그룹아이비에 따르면 2020년 발생한 보안 사고의 45%이 이상이 관리되지 않은 경계기반 인프라에서 발생했다. 단 하나의 취약점으로 공격자가 침투할 수 있는데, 유럽의 한 은행을 공격한 해커는 공격대상 서버에서 실행되는 RDP를 통해 침투한 후 도메인 관리자 계정을 탈취하고 가짜 계정을 생성한 후 랜섬웨어 공격을 실행, 오랜 시간 동안 은행 업무를 마비시켰다. 최초 침투부터 내부 시스템을 장악하고 공격에 성공하기까지 4시간 18분이 소요됐으며, 단 하나의 열려 있는 포트를 통해 공격이 진행됐다.

연중무휴 취약점 찾는 공격자

ASM이 필요한 이유에 대해 팔로알토 네트웍스 백서에서는 새로운 취약점이 ‘매우 많이’ 발견된다는 점을 들었다. 공격자들은 연중무휴, 24시간 새로운 취약점이나 악용할 수 있는 취약점을 찾고 있다. 취약점이 공개되면 패치 전 공격하는데, 실제로 마이크로소프트 익스체인지 서버 제로데이 취약점이 공개된지 5분만에 공격자들이 취약한 시스템을 찾는 것을 발견했다. 또 글로벌 기업이 12시간마다 혹은 하루 2회 새로운 심각한 취약성을 발견한다고 밝혔다.

이처럼 급증하는 외부 노출된 취약점을 제거하기위해 ASM을 통해 조직 전체의 자산을 파악하고, 분류하며 관리한다. 지속적으로 취약성이나 잘못된 구성 설정 및 규제준수 위반 등을 파악하고 검증해야 하며, 다크웹 상에서 회사의 기밀정보나 관리자 계정, 접근권한 등이 판매·유통되는지 확인한다. 또 수시로 변경되는 서비스를 확인하고 추정해 새로운 취약점이나 구성오류, 사용자 실수 등을 파악하는 것이 필요하다.

보안에 많은 투자를 한 기업이나 엄격한 규제준수 의무를 갖고 있는 기업들은 IT 시스템이 갖고 있는 취약점을 찾기 위해 취약점 스캐너, 침투테스트, 보안위협 등급 툴 등을 사용하고 있다. 이 솔루션은 ASM과 탐지 범위가 다르다. 이들은 시스템 내부, 네트워크 내부에서 존재하는 취약점을 찾는 것이다.

ASM은 외부에 공개된 자산의 취약점을 찾고, 다크웹 등에서 기업의 중요 기밀정보와 중요 자격증명 데이터가 유통되는지 찾는 기능을 제공한다. 알려진 자산 중 잘못 구성되거나 방치된 자산, 관리조직이 파악하지 못하고 무단으로 사용되는 섀도우 IT, 위장 사이트와 모바일 앱, 타사 공급업체 등에서 공급받은 취약한 시스템과 소프트웨어 등이 관리대상이다.

따라서 기존의 취약점 탐지·침투테스트 툴과 ASM을 함께 사용하면 보안 경계가 클라우드로 확장된 멀티·하이브리드 환경을 보다 안전하게 관리할 수 있다.

국내 활동 시작한 ASM 솔루션

ASM이 주목받으면서 업계 움직임도 본격화되고 있다. 가장 먼저 국내에서 활동을 시작한 그룹아이비는 인텔리전스 기반 ASM ‘애셋제로’를 공략한다. 애셋제로는 특허 받은 분산환경 네트워크 스캐너로 열린 포트, 배너, 서비스, 소프트웨어·버전을 탐지한다.

애셋제로는 다크웹을 포함한 모든 인터넷과 외부 공격면에서 기업의 노출된 자산을 찾아 위험성을 식별한다. 그룹아이비의 위협인텔리전스를 통해 탐지된 위협 이벤트를 정확하게 식별하게 최적의 조치사항을 권고한다. 대기업이나 소규모 기업 등 모든 규모의 기업들이 쉽게 사용할수 있도록 사용자 친화적 관리 환경을 제공한다.

팔로알토 네트웍스는 지난해 익스팬스를 인수하고, XDR 플랫폼 ‘코어텍스’에 익스팬스를 추가한 ‘코어텍스 익스팬스’로 시장 공략에 나선다. 익스팬스는 승인된·승인되지 않은 자산을 파악하고 취약점을 찾아내며, 인터넷 흐름을 분석해 알 수 없는 행위를 탐지한다. 제 3자의 인터넷 자산, 서비스, 잘못된 구성, M&A 대상 위협을 식별하고 다른 운영데이터와 결합해 실제 실행 가능한 위협 데이터를 제공한다.

인트리그를 인수한 파이어아이는 맨디언트 위협 인텔리전스와 결합시켜 멀티·하이브리드 및 온프레미스 환경 전반에서 리스크를 식별하고 이해한다. 공격표면 전체에 대한 가시성과 공격자의 취약점 정보를 결합시키고, 정확한 이벤트만 전달해 보안관리자의 업무를 최소화할 수 있도록 한다.