[데이터넷] 클라우드, 재택·원격근무로 인해 공격자의 무대가 한층 더 넓어졌다. 공격표면은 무한대로 확장됐으며, 실수나 악의를 가진 내부자, 내부자 권한을 탈취한 공격자로 인한 위협도 심각한 상황이다. 이에 더해 클라우드 공동 책임모델에 따라 클라우드 사업자와 사용자가 보안 책임을 나누면서 발생하는 문제도 있다. 사용자는 클라우드에 대한 완벽한 가시성과 통제권을 갖지 못하면서 보안 책임을 져야한다는 난제에 부딪혔다.

이에 제로 트러스트 보안 원칙과 통합·자동화된 보안 대응이 주목을 받는다. 모든 접근을 신뢰하지 않으면서 모든 접근 시도를 검증하고 모니터링하는 제로 트러스트는 무한대로 넓어진 보안 경계를 보호할 수 있는 이상적인 보안 전략으로 꼽힌다. 통합·자동화는 보안운영센터(SOC)의 업무를 효율화하면서 급증하는 보안위협에 대응할 수 있게 한다.

정윤기 RSA코리아 부장은 “클라우드로 보안 경계가 허물어지고 있으며, 모든 계층에서 가시성과 통찰력을 확보해야 한다는 난제가 발생했다. 공격자들은 매우 지능화되고 있으며, 기존의 탐지·대응 기술은 극히 제한적인 보안만을 제공할 수 있다. 비효율적이고 단편화된 대응으로 SOC와 보안조직은 공격을 제대로 인지하고 대응하지 못한다”며 “제로 트러스트와 통합·자동화된 보안 전략 도입이 시급한 상황”이라고 지적했다.

제로 트러스트 시작은 ‘인증’

정윤기 부장은 데이터넷TV ‘제 3회 클라우드 보안 인사이트 2021’의 ‘클라우드 환경에서 XDR의 필요성’ 세션을 통해 제로 트러스트 기반 차세대 인증 기술과 보안 통합·자동화를 위한 XDR·SOAR에 대해 자세히 설명했다.

먼저 제로 트러스트에 대해 ‘인증’이 기본이라고 설명하며 정 부장은 “제로 트러스트는 비신뢰 원칙으로, 접근하는 모든 사용자에 대해 철저한 인증과 검증을 요구한다. 구체적으로 이중인증(2FA)·다중인증(MFA)을 적용해 사용자와 접근하는 상황에 대한 인증을 강화한다. 패스워드 뿐 아니라 생체인증, PIN·패턴인증 등을 이용해 한층 편리하고도 강력한 인증을 구현할 수 있어야 한다”고 말했다.

RSA의 ‘시큐어ID’는 하이브리드 클라우드 인증 요건을 만족하는 솔루션으로, 온프레미스와 클라우드에서 MFA를 지원한다. 기업 내부 임직원 뿐 아니라 고객사, 협력업체, 소비자 계정과 접근권한도 관리할 수 있다.

단일 플랫폼으로 보안 탐지·대응 효과 높여

제로 트러스트는 서비스에 접근하는 사용자·기기의 무결성을 검증하는 것 뿐 아니라 내부에서 발생하는 위협을 지속적으로 모니터링하는 것에도 중점을 두고 있다. 기존에 정의된 탐지 패턴·시나리오 뿐 아니라 새롭게 발생하는 이상행위도 탐지할 수 있어야 한다.

그런데 너무 많은 보안 시스템에서 발생하는 과도한 보안 이벤트로 인해 실제 보안위협을 정확하게 인식할 수 없으며, SOC 업무를 과중하게 만든다. 특히 하이브리드 클라우드에서는 온프레미스 뿐 아니라 클라우드의 다양한 위협 이벤트도 관리해야 하기 때문에 대응이 쉽지 않다.

그래서 통합과 자동화를 통해 실제 비즈니스를 위협하는 이벤트에만 정확하게 대응해야 한다. 가트너는 차세대 SOC가 갖춰야 하는 세 가지 필수 요소로 ▲보안 체계 구축을 위한 SIEM ▲네트워크 위협 탐지와 대응(NDR) ▲엔드포인트 위협 탐지와 대응(EDR)을 들었다. 이 세 요소를 단일 플랫폼에 통합한 XDR은 로그와 네트워크, 엔드포인트 정보를 수집하고 분석해 위협을 빠르게 식별하고 대응할 수 있게 한다.

다양한 소스에서 다양한 종류의 이벤트를 기존 룰·패턴 기반, 그리고 머신러닝을 이용해 분석하면서 알려진 시나리오를 통한 공격과 알려지지 않은 시나리오를 이용한 공격을 탐지할 수 있으며, 탐지된 이벤트에 대한 자동화된 대응으로 SOC 업무 폭증을 제거할 수 있다.

RSA는 ‘넷위트니스 플랫폼’에 ▲SIEM 솔루션 ‘로그’ ▲NDR 솔루션 ‘네트워크’ ▲EDR 솔루션 ‘엔드포인트 ▲상관분석 엔진 ‘ESA’ ▲AI 기반 분석 ‘디텍트AI’ ▲SOAR ‘오케스트레이터’를 통합했다. 단일 플랫폼에서 모든 이벤트를 분석하기 때문에 보안 사각지대 없이 모든 영역에서 위협을 탐지하고 차단한다.

AI 이용해 새로운 위협도 빠르게 식별

‘넷위트니스 로그’는 다양한 IT·보안 시스템에서 위협 로그를 수집해 이상행위를 탐지하며, ‘넷위트니스 네트워크’는 비즈니스 정보와 연계한 풀패킷 분석으로 정교한 위협 탐지가 가능하다. ‘넷위트니스 엔드포인트’는 엔드포인트 메모리를 실시간 탐지해 실제 발생한 공격을 식별하고, 차단·관리한다. 발견된 위협을 NDR·SIEM의 정보와 비교 분석해 일관된 모니터링을 제공할 수 있다. 더불어 발견된 위협이 어떻게 유입됐으며, 확산되고 내부 전파됏는지 추적해 영향 받은 시스템을 격리하고 향후 공격 상황을 모니터링한다.

넷위트니스의 상관분석 엔진 ‘ESA’는 SIEM, NDR, EDR에서 발견된 위협의 상관관계를 분석한다. 예를 들어 NDR에서 위험국가에서 실행파일 다운로드를 탐지하고, SIEM에서 신규 시스템 계정이 생성되고 권한이 상승되는 것을 발견했으며, 시스템 커널의 메모리가 변경됐다는 것을 EDR이 발견했다. 각각 개별 이벤트는 확실한 위협이라고 보기 어려울 수 있지만, 이 이벤트를 연결하면 위험한 행위가 진행되고 있다는 것을 알 수 있다.

이처럼 알려진 시나리오 기반 위협 뿐 아니라 알려지지 않은 시나리오 기반 위협도 차단하기 위해 ‘디텍트AI’를 제공하는데, 평소 행위와 어떻게 다른지 파악하고, 위험도를 수치화 해 SOC가 효과적으로 대응할 수 있게 한다. 알려지지 않은 위협 대응 속도를 더 빠르게 하기 위해 마이터 어택 등 외부 IoC를 연계하며, 지속적으로 새롭게 발견된 위협을 업데이트하고 플레이북을 개선시킨다.

정 부장은 “넷위트니스 구성요소들은 각각 개별적으로 작동하는 것이 아니라 유기적으로 긴밀하게 연동되면서 상호보완적인 역할을 한다. 지속적인 업데이트를 통해 새로운 위협에도 적극 대응할 수 있도록 하며, 완벽하게 통합되고 자동화된 보안 탐지·대응으로 보안 조직이 효과적으로 위협을 제거할 수 있도록 도와준다”고 강조했다.

김선애 기자 다른기사 보기