[데이터넷] IT의 모든 영역에서 ‘통합과 자동화’는 매우 중요한 키워드다. 복잡성이 높아지는 멀티·하이브리드 클라우드에서 제각각 동작하는 기술은 관리와 통제가 어렵고 장애·침해의 통로가 될 수 있다. 수동 관리 작업은 급증하는 이벤트를 처리하지 못하며 실수 혹은 사각지대의 관리 소홀로 인한 문제를 겪게 된다.

보안 분야에서 통합과 자동화 추세는 ‘XDR’의 부상으로 가속화됐다. XDR은 엔드포인트, 네트워크, 클라우드 등 모든 위협 탐지와 기술을 통합한 플랫폼으로, 차세대 SOC를 위해 필수로 인정받고 있다. XDR에 통합되는 네트워크 보안 기술은 네트워크 포렌식과 가시성, 로그관리, 위협헌팅 등으로, 쿼드마이너는 이 기술을 매니지드 위협 탐지 및 대응 서비스(MDR)로 제공하면서 XDR 플랫폼·서비스를 지속적으로 강화하겠다고 밝힌다.

위협 헌팅으로 네트워크 침해 탐지·대응

쿼드마이너는 연내 MDR을 제공해 고객이 겪고 있는 보안 문제를 해결할 수 있도록 지원한다고 밝히면서 그 첫 번째 서비스로 위협헌팅 서비스를 시작한다. 이 서비스는 NDR 솔루션 ‘네트워크 블랙박스’에 포함된 위협헌팅을 전문가를 통해 제공하는 것으로, 네트워크 블랙박스 솔루션을 더 잘 활용할 수 있는 방법을 제안하기 위해 시작한 것이다.

위협헌팅은 일상적으로 네트워크에서 침해 증거를 찾아 분석해 네트워크를 침입한 공격자를 조기에 찾아 대응하기 위한 것으로, 높은 전문성이 필요하기 때문에 확산이 쉽지 않았다. 많은 보안관제 서비스 기업들도 전문인력 부족으로 위협헌팅 서비스를 제공하지 못 한다.

쿼드마이너는 고속 네트워크 풀 패킷 분석으로 위협을 실시간 가시화하는 네트워크 블랙박스의 핵심 기술 중 하나가 위협헌팅이며, 이를 MDR 서비스로 제공해 공격을 조기에 식별하고 제거할 수 있게 한다고 설명한다.

곽희선 쿼드마이너 상무는 “클라우드 전환으로 시스템, 애플리케이션, 사용자가 외부에 노출되고 있으며, ‘이미 침해당했다’는 전제로 보안전략을 새롭게 수립해야 하는데, 이때 필요한 것이 상시 위협헌팅”이라며 “최근 글로벌 보안 벤더들이 상시 위협헌팅 서비스를 발표하는 한편, 자동화된 헌팅 툴을 공개하면서 이 기술에 대한 관심이 생기기 시작했다. 이러한 추세에 맞춰 쿼드마이너는 업계에서 가장 인정받는 위협헌팅 기술과 전문가를 확보하고 높은 수준의 서비스를 제공하게 될 것”이라고 밝혔다.

모든 트래픽 가시성 제공하는 NDR

업계에서 가장 뛰어난 차세대 IPS ‘티핑포인트’를 인수한 트렌드마이크로는 이 기술을 중심으로 트렌드 마이크로 위협 탐지와 대응 역량을 총 집결한 NDR 솔루션 ‘네트워크 원(Network One)’을 출시하고 XDR 플랫폼 ‘비전 원(Vision One)’과 통합될 수 있도록 제안한다. 네트워크 원은 관리되지 않는 자산 및 섀도우 IT 배포와 같이 네트워크에서 고위험이거나 보이지 않는 부분에서 상황별 원격 측정을 분석하여 조직이 위 협 및 공격에 대한 탄력적으로 대처할 수 있게 한다.

네트워크 트래픽에 대한 가시성을 향상시켜 프린터, IoT 장치, BYOD 시스템 등 관리되지 않는 자산을 탐지·보호할 수 있으며, 단일 장치 내에서 동서남북으로 이동하는 트래픽에 대한 가시성을 확보할 수 있게 한다.

버그바운티 조직 제로데이 이니셔티브(ZDI)를 통해 알려지지 않은 취약점까지 식별해 조치방안을 빠르게 공개함으로써 위협에 노출되는 시간을 줄인다. 지난해 공개된 취약점 중 64%가 ZDI에서 공개한 것이다.

NSPM으로 급변하는 네트워크 정책 관리

네트워크 보안의 변신은 보안조직에게는 거대한 업무 부담으로 다가온다. 기존에 설정한 정책과 설정을 새로운 환경에 맞춰 바꿔야 하는데, 방화벽 정책 한 줄 잘못 수정했다가 크리티컬 시스템이 일시 중단되는 대 형 사고를 겪을 수 있기 때문이다. 그래서 네트워크 보안 정책 관리(NSPM)가 필수 솔루션으로 제안된다. NSPM은 네트워크 현황을 가시화하고, 구성오류, 잘못된 정책 설정, 불필요하게 남용된 권한, 규제준수 위반사항 등을 확인해 조치할 수 있게 하는 솔루션이다.

네트워크는 비즈니스 연속성과 직결되기 때문에 쉽게 정책을 변경할 수 없는데, 이 때문에 한 번 설정된 정책이나 예외설정이 변경되지 않고 유지되면서 매우 복잡한 상황에 이르게 된다. 예외적으로 외부 연결을 허용했다가 포트를 닫지 않아 장기간 외부에 공개된 상태로 방치되기도 하며, 정책 충돌로 인한 서비스 장애도 발생할 수 있다. NSPM은 이러한 장애와 규제준수 위 반 항목을 실시간으로 찾아 최적의 대응을 제안한다.

파이어몬이 NSPM을 가장 먼저 제안하고 시장을 만들어 온 기업으로, 초기에는 방화벽 정책관리만을 주로 이야기하다가 이제는 네트워크, 클라우드 전반의 정책관리로 확장시켰다. 파이어몬은 국산 방화벽을 비롯해 다양한 국내외 네트워크·보안솔루션의 통합관리가 가능하며, 클라우드 내 VPC, VNET, SD-WAN, SASE 등의 새로운 환경도 지원한다.

서비스나우, 지라 등 SaaS 형태의 ITSM과도 연계되며, 수만가지 정책 중에서 필요한 정책을 검색하고 수정·최적화하는 업무를 편리하게 수행할 수 있게 한다. 모든 과정은 자동화된 워크플로우를 통해 이뤄지며, 정확한 리포트를 정기적으로 제공해 관리조직이 네트워크 운영 전반을 파악하고 더 효율적으로 운영할 수 있도록 한다.

이기웅 파이어몬코리아 지사장은 “향후 NSPM 솔루션에 요구되는 기술적 요건이 많아질 것이며, 연계되어야 하는 시스템과 솔루션도 빠르게 늘어날 것이다. 파이어몬은 다양한 플랫폼에 유연하게 적용할 수 있어 고객의 디지털 트랜스포메이션 여정을 안전하게 지킬 것”이라며 “국내 고객들도 이 점을 인정하고 있어 여전히 압도적인 시장 우위를 지키고 있다”고 밝혔다.

방화벽 정책관리로 복잡한 네트워크 보호

국내에서 NSPM은 아직 방화벽 정책관리에 머물고 있지만, 토종 방화벽 지원 능력과 국내 규제 준수에 특화됐다는 점이 강점으로 인정받으면서 다양한 산업군에 제공되고 있다.

에스에스앤씨가 제공하는 ‘FPMS’는 사용자의 신청부터 정책 사용 종료까지 전체 보안정책 라이프 사 이클을 관리하며, 방화벽 정책 관련 장애 없이 효율적이고 안정적인 방화벽 운영을 지원한다. 모든 방화벽 정책 정보를 관리함으로써 이기종 방화벽 교체시 정책을 자동으로 마이그레이션하는 기능을 사용해 안정 적이고 편리하게 정책 변환과 이전 작업을 수행할 수 있다.

FPMS는 승인된 정책과 기존에 반영된 방화벽 특성에 맞는 정책 규칙들을 재설계해 최적화된 정책으로 반영하고 유지관리 할 수 있다. 승인된 신청 정보에 대 해 방화벽별로 분류하고, IP 주소와 포트 등의 형식들의 정합성에 문제가 있는지 확인한다.

복잡한 방화벽 정책을 자동으로 정합성 검증 및 적용, 운영 장애율을 최소화하고 서비스 리드타임을 대폭 감소시킨다. 운영 안정성 확보로 방화벽 운영자의 업무 부담을 대폭 줄여줄 뿐 아니라 사용자의 편의성을 제고해준다.

유넷시스템의 ‘애니몬FM’도 국내 공공·금융시장을 중심으로 적극적인 영업 활동을 펼치고 있다. ‘애니 몬FM’은 구독형 모델로도 제공되며, AWS, 애저 등 클라우드 환경까지 포괄적으로 지원한다. 2FA를 적용해 방화벽 관리자 인증을 강화했으며, 재택근무 시에도 사내 방화벽에 안전하게 접근해 효율적으로 방화 벽 정책관리를 할 수 있다.

조금씩 단계적으로 변하는 네트워크 보안

클라우드 확장으로 네트워크 보안 혁신이 가속화되고 있지만, 레거시 네트워크 보안 솔루션의 공급이 급 격하게 줄어들지는 않는다. 서비스 사업자나 대규모 데이터센터를 위한 하이퍼스케일 통합 보안 어플라이언스는 지속적으로 공급이 늘어날 것이다. 그러나 그 외의 분야는 클라우드에 맞는 새로운 기술을 접목하면서 완전히 새로운 솔루션으로 변신할 것으로 예상된다.

네트워크 보안은 다른 분야에 비해 변화의 속도가 엄청나게 빠르다고 할 수는 없다. 네트워크 인프라를 변경해야 하기 때문에 쉽게 교체·업그레이드할 수 없으며, 작은 사업 단위로 단계별로 변경하면서 조금씩 전진할 것으로 보인다. 새로 도입하는 클라우드라면 최신 네트워크 보안 기술을 사용할 수 있지만, 충분히 검증된 레퍼런스가 없다면 크리티컬한 서비스에는 쉽게 적용하기 어렵다.

김창희 안랩 팀장은 “네트워크 변화에 맞춰 보안 솔루션을 도입할 때에는 조직의 환경과 특성을 파악하는 것은 물론이고, 제품을 공급하는 기업의 능력과 통합 보안 및 서비스 체계를 갖추고 있는지, 분석·대응 인 프라를 보유하고 있는지, 충분한 제품 유지보수를 보장하는지, 공인 인증기관으로부터 좋은 평가를 받고 있는지 등을 살펴봐야 한다”고 조언했다.