“통합 가시성 확보로 보안 위협 선제 대응해야”
상태바
“통합 가시성 확보로 보안 위협 선제 대응해야”
  • 데이터넷
  • 승인 2021.12.15 09:00
  • 댓글 0
이 기사를 공유합니다
통합 가시성 기반 대응체계 자동화 구축 필수 … 보안·서비스 운영 사각지대 해소

[데이터넷] IT 서비스는 주요 요소의 단위별로 이뤄지는 것이 아니라 모든 요소를 통합해 운영된다. 따라서 단위 분석, 단위 도구, 단위 가시성이 아니라 IT 서비스의 통합 가시성 보장이 필수다. 특히 변화하고 증가하는 IT 서비스 운영에 있어 네트워크 및 보안 위협에 대응하기 위한 통합 가시성 기반의 대응체계 자동화 구축 전략이 필요하다. 통합 네트워크 가시성과 AI 기반 위협 인텔리전스(Threat Intelligence)의 필요성을 살펴본다. <편집자>

▲ 홍정표 넷스카우트코리아 이사
▲ 홍정표 넷스카우트코리아 이사

IT 서비스는 보안과 네트워크, 애플리케이션, 사용자 단말 등 IT 주요 요소의 단위별로 이뤄지는 것이 아니라 주요 요소를 통합해 운영된다. 따라서 단위 분석, 단위 도구, 단위 가시성이 아니라  IT 서비스의 통합적인 가시성 확보가 요구된다.

전체 IT 통합 네트워크 가시성 확보
보안(SecOps) 관점이든 서비스 운영(Service Assurance) 관점이든 데이터 기반의 가시성은 트래픽 수집 위치 그리고 측정한 가시성 결과 도출의 수준이 동일해야 한다. 동일한 데이터 소스(Single Source of Truth)를 사용하면 보안, 네트워크, 서비스 모두의 효율적인 문제 해결이 가능할 뿐 아니라 교차 공격, 위협, 서비스 운영의 안정성에 대한 중복 노력 제거와 함께 투자, 서비스 복구 등에 다양한 관점과 분야의 효율성 증대를 가져올 수 있다.

기술 발전에 대응해 수많은 데이터의 수집 방안도 필요하다. 이에 대한 대응과 분석, 가시성 확보 방안을 마련한다면 보안 및 서비스의 유기적인 통합 운영  업무의 보장이 가능하게 된다.

전통적인 데이터센터는 물론 클라우드, 가상화 및 소프트웨어 정의 데이터센터(SDDC) 등 소프트웨어를 기반으로 하는 다양한 형태의 IT 인프라와 서비스 운영 플랫폼으로 새롭게 대두된 컨테이너, 쿠버네티스(Kubernetes) 기반의 MSA(Micro Service Architecture)까지 새로운 기술들이 혼재돼 있는 현재의 IT 서비스에서 가시성 확보는 어려운 것이 사실이다. 그러나 가시성을 확보하지 못하면 대응하기 어려운 수준의 보안 침해는 물론 서비스 운영에서 장애나 문제를 초래할 수밖에 없다.

▲ 변화하는 데이터 수집 위치와 방안
▲ 변화하는 데이터 수집 위치와 방안

결국 통합 가시성 확보와 변화하는 기술과 보안 위협에 대한 선제적 대응이 필수다. 그래야만 빠르게 확대되고 있는 IT 서비스의 안정성 보장이 가능하게 된다. 이제 가시성 확보는 선택이 아닌 필수로, 변화하고 진화하는 기술에 대해 명확한 대응 방안을 통한 가시성 확보만이 안정적인 서비스 운영을 뒷받침할 수 있게 된다.

사용자 기반 감지와 전체 네트워크 기반 감지
EDR(Endpoint Detection and Response) 시스템은 유용하지만 단점도 있는 것이 사실이다. 로그의 보관 기간이 짧고, 변화하는 수많은 단말에 대한 대응이 어려울 뿐 아니라 EDR 로그 수집이 불가능한 단말(IoT, OT 등의 에이전트 기반 EDR)이 증가하고 있다는 것이 해결이 필요한 대표적인 문제다.

이러한 단점 극복을 위해 네트워크 기반 분석, 가시성 그리고 보안 위협 탐지 방안을 수립하고 적용하는 방향으로 기술이 진화해 나가고 있다. 2020년 기준 이미 20억 개 이상의 IoT 디바이스가 활성화돼 있는 것으로 파악되는 가운데 산업 현장, 가정, 기업, 공공기관 등의 내외부에 이미 다양한 형태로 운영 중에 있다. 2021년 상반기에만 흔히 말하는 봇넷(IoT 기반의 사이버 공격) 공격이 300만회 이상 발생한 것으로 추정된다.

▲ 사용자부터 백엔드 서비스까지 구성도
▲ 사용자부터 백엔드 서비스까지 구성도

따라서 통합 네트워크 기반의 가시성 확보를 통해 엔드포인트를 포함한 전체 네트워크 및 인프라 기반의 가시성과 탐지 방안 수립이 필요하다. 트래픽이 어떤 경로를 통해 어떻게 서비스 되고 있는지 한 눈(Holistic View)에 볼 수 없다면 서비스, 보안 그 무엇도 안전하게 관리하고 있다고 말할 수 없기 때문이다.

동일한 네트워크와 사용자 구성에서 영향도 분석을 최적화하는 방안도 논의돼야 한다. 서비스 운영 측면에서의 도식화와 동시에 보안 측면의 결과를 동일한 구간에서 명확한 기준을 대상으로, 변화하는 기술에 대응하는 방안이 필요하기 때문이다. 이것이 사용자 관점, 엔드포인트 관점의 탐지와 대응 보다 전체 네트워크 기반의 탐지와 대응이 필요한 이유이기도 하다.

▲ 보안 영향도 분석(감염된 호스트와 주변 전파 현황)
▲ 보안 영향도 분석(감염된 호스트와 주변 전파 현황)

탐지 자동화 방안과 AI 기반 감지
최근 머신러닝 기반 최적화, AI 기반 감지 등 다양한 형태의 데이터 분석 및 최적화를 통한 보안 침해 등에 대한 대응이 이뤄지고 있다. 머신러닝, AI 등 모든 것들의 기반은 바로 데이터다. 즉 수많은 데이터를 기반으로 보안 대응력을 높이고 확장하는 것이 핵심이다.

이러한 위협 인텔리전스를 위해 다양한 솔루션 벤더와 기업들이 자체적인 데이터 수집 능력 확대와 데이터 분석 능력을 키우고 있다. 하지만 많은 문제를 안고 있다. 

아무리 좋은 AI 솔루션, 빅데이터 기반의 시스템을 구축하더라도 많은 데이터 확보가 어렵다는 점과 머신러닝을 통한 솔루션 학습과 AI를 위한 솔루션 설정 등 모든 것을 사람이 해야 한다는 것이다.

결국 수많은 데이터의 수집도 중요하지만 수집한 데이터의 학습과 검증에 사용자나 운영자의 개입 및 설정이 필수다. 엄밀한 데이터 기반의 위협 인텔리전스가 없다면 보안 위협 분석 및 운영, 그리고 SOAR(Security Orchestration, Automation & Response)를 통한 자동화에 인적 자원의 투입이 상당하다는 것이다.

검증된 글로벌 위협 인텔리전스, 특히 수많은 데이터 기반의 위협 인텔리전스가 없다면 확보한 가시성을 통한 검증 및 운영에도 수많은 인적 자원 투입과 시간 소요가 불가피하다.

▲ AI옵스·데이터 기반 자동화 프로세스
▲ AI옵스·데이터 기반 자동화 프로세스

마이터 어택(MITRE ATT&CK)과 같은 오픈소스나 여타 AI 시그니처 기준의 위협 인텔리전스가 있다면 보다 수월하고 편리하게, 그리고 손쉽게 NDR(Network Detection and Response) 또는 XDR(eXtended Detection and Response)에 의거한 위협 헌팅(Threat Hunting) 등을 구축해 기업 내부 업무 보호에 보다 고도화된 시스템 구현이 이뤄지게 된다.

AI 시그니처를 통한 가시성으로 운영자의 개입을 최소화하고, 보안 위협 탐지, 침해 대응에 대해서도 자동화된 분석과 위협 차단 방안을 제공해야 한다. 실시간 가시성 기반의 보안 분석과 차단에 대한 신뢰성과 자동화는 모든 보안 분석, 관리자들에게 반드시 필요한 덕목이 돼야 한다. 위협 인텔리전스 기반의 가시성 확보를 우선으로 보안 관제를 운영해야 AI옵스, 자동화의 첫 걸음이 될 수 있다.

자동화 기반 보안 위협 또는 사이버 범죄, 사이버 공격은 EDR 기준이 아닌 전체 네트워크 기준으로 가시성을 확대해야 한다. 이러한 위협 인텔리전스 기반 자동 감지 방안을 운영하지 않는다면 보안의 사각지대 나아가 서비스 운영의 사각지대가 발생할 수밖에 없다.

위협 인텔리전스는 다양한 도움을 줄 수 있다. 보안 측면의 가시성과 관제에서 시스템 구현 시 반드시 위협 인텔리전스를 검토해야 한다.

· 보안 위협 정보와 검출, 탐지 방안 자동화로 더 많은 보안 위협 지표 객관화
· 지속적으로 공격을 조기 탐지해 보안 위협 노출을 최소화하고 잠재 위협 차단
· 유사한 침해 방지를 위해 보안 위협과 공격에 대한 과거 증적, 과거 정보 분석 제공
· 공격에 노출된 구간 모니터링을 통해 보안팀의 방어 능력 최적화
· 멀웨어, 랜섬웨어 확산을 방지해 공격 발생 시 공격 범위, 영향도 등의 IT 서비스 분석 제공
· 다양한 데이터 확보 방안에 덧붙인 위협 인텔리전스 기반으로 기존 환경에 영향 없는 구성

이제는 대규모 공격이나 새로운 공격은 물론 경험하지 못한 사이버 위협, 다양한 형태의 공격에 대응할 수 있는 체계를 도입하고 구축해야 한다. 선제적 대응 방안과 동시에 항상 이러한 공격에 대비할 수 있는 운영 체계 도입은 필수다.

▲ 마이터 어택 기반 위협 인텔리전스
▲ 마이터 어택 기반 위협 인텔리전스

서비스 관리와 보안 관제는 동일한 가시성에서 출발
IT 서비스에 대한 전체 가시성 확보는 애플리케이션이든 보안, 네트워크, 데이터센터 인프라가든 전체 네트워크 기반의 보안 이벤트, 애플리케이션 인지와 분석 그리고 네트워크 포렌식과 MTTR(Mean Time To Repair), MTTK(Mean Time To Know) 등 서비스 운영, 넷옵스(NetOps), 섹옵스(SecOps)에 이르는 자연스러운 통합을 제공한다.

이러한 통합은 보안 계층에 관계없이 L3부터 L7까지 전체 서비스 가시성이 반드시 필요한 이유기도 하다. 따라서 다음과 같이 보안 위협 대응과 서비스 운영의 통합 가시성 확보 방안을 마련하고 관리해야만 한다.

· 신기술에 대응 가능한 전체 IT 통합 네트워크 가시성 확보(클라우드, MSA, 컨테이너, SDDC 등)
· 전체 네트워크 기반 보안 위협과 서비스 감지 체계 구성(XDR)
· 보안위협 탐지 자동화를 위한 AI 시그니처 기반 위협 인텔리전스 구축
· 통합 가시성 확보를 위해 조직의 통합 IT 운영(데브옵스, 섹옵스, 넷옵스 등)
· 서비스 운영, 위협 헌팅 등의 통합 가시성 확보

▲ 위협 인텔리전스
▲ 위협 인텔리전스

이처럼 애플리케이션, 인프라, 네트워크, 보안 등의 모든 IT 서비스는 통합 가시성이라는 하나의 출발점이 필요하다. 따라서 통합 네트워크 및 서비스 기반 가시성과 동시에 보안 위협 가시성을 통한 대응체계 자동화 구축이 필수다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
데이터넷
데이터넷 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사