군 등 다양한 정부기관과 기업 위협 대응 역량으로 공격자 행위 예측·대응
[데이터넷] “경계 기반 방어의 기본 원칙인 ‘DID(Defense-In-Depth)’는 증가하는 공격표면을 감당하지 못한다. 보안조직은 실제로 발생하는 침투 범위를 모두 파악할 수 없으며, 네트워크 내에서 정상권한으로 수행되는 위협 행위를 식별하지 못한다. 그래서 네트워크는 이미 침해됐다는 전제의 제로 트러스트 접근 전략이 필요하다.”
김혁준 나루씨큐리티 대표는 9일 열린 ‘제 22회 차세대 보안 비전’에서 ‘제로 트러스트 시대의 사이버 위협 대응’ 세션을 시작하면서 제로 트러스트 원칙에서 ‘침해되었다는 가정’이 필요한 이유에 대해 설명했다.
‘침해되었다는 가정’은 네트워크에 이미 공격자가 숨어있으며, 연결된 자산이 감염됐다는 것을 전제로 보안 전략을 설정하는 것을 말한다. 김혁준 대표는 이 점을 강조하면서 비즈니스와 관련 없는 모든 통신은 격리·차단하고, 기업의 내부와 외부에서 발생하는 모든 통신을 분석해 공격행위에 대한 연속적인 가시성을 확보해야 한다고 주장했다. 또 네트워크 변화를 추적해 공격 과정에서 발생하는 행위를 식별해야 한다고 역설했다.
모든 통신 기본 차단…명시적으로 안전한 것만 연결
김혁준 대표는 “제로 트러스트 아키텍처(ZTA)는 단위기술이나 보안 장비가 아닌 기존 방어 패러다임에서 원칙과 철학을 변화시킨 것이라고 설명했다.
ZTA는 네트워크의 구조적 변화를 통해 비정상 행위에 대한 명료한 가시성 확보를 중요하게 생각하며, 최소권한 원칙과 비즈니스 관련 없는 모든 통신을 차단하는 강력한 보안 정책을 구현한다. 이는 내부는 믿을 수 있다는 기존 경계기반 보안 전략을 뒤엎는 개념으로, 모든 통신을 기본 차단하고 명시적으로 안전하다고 입증된 것만 허용하는 강력한 보안 운영 원칙을 견지한다.
이 원칙을 지킬 수 있도록 나루씨큐리티는 기업 내부에서 발생하는 모든 통신 트래픽을 센서로 전달한다. 전달된 통신 트래픽을 네트워크 계층별 메타데이터로 변환시켜 위협 식별 정보를 태깅한 후 머신러닝 분석을 위한 6개 통신 피처를 생성해 빅데이터 분석체계에 적재한다. 그리고 위협 인텔리전스를 통한 외부 통신정보 분석으로 보호대상 네트워크를 공격하는 정황을 살펴 내부 트래픽 분석 기술과 연계해 내·외부 위협을 모두 관리할 수 있게 한다.
이를 구현할 수 있는 나루씨리티의 솔루션은 ▲네트워크 중심 사이버 위협 인텔리전스 ‘NCTI’ ▲빅데이터/머신러닝 기반 실시간 보안위협 분석 ‘커넥텀(ConnecTome)’ ▲기업 내부의 잠재 위협을 탐지하는 ‘NCA’ 등으로 구성된다. 이 세 솔루션을 유기적으로 연계해 탐지와 분석, 대응 과정을 효율화한다.
공격이 비즈니스 연속성 영향 미치기 전 탐지
NCTI는 네트워크 접점에서 공격 원점까지 경로와 공격자원 형태를 추적해 사이버 공격 행위가 기업 비즈니스 연속성에 영향을 미치기 전에 탐지·대응할 수 있게 한다. 공격자의 과거, 현재, 미래 이동 경로를 파악, 공격 중계지점과 연결된 미식별 공격 표면 정보를 파악하고 추적하며, 고객을 노리는 사이버 공격을 정확하게 탐지하고 즉각 대응할 수 있게 한다.
NDR 솔루션 커넥텀은 내부 네트워크를 가시화하고, 해외와 내부망 통신을 연계분석할 수 있다. 신뢰할 수 없는 통신이나 식별되지 않는 자산 탐지, 비정상·비업무·공격 트래픽을 식별하고 차단한다. 군 포함 정부부처 및 기관과 협업을 통해 사이버 공격·침해 트렌드를 파악하고 있는 나루씨큐리티의 침해대응 역량을 결합해 정확한 침해대응이 가능하다. 구축형과 클라우드형으로 제공해 모든 환경에서 사용할 수 있다.
NCA는 네트워크 내부에 은밀히 숨어있는 잠재위협을 탐지하는 솔루션으로, 불법적으로 접근권한을 획득해 특정 시점에 랜섬웨어 설치, 정보유출, 시스템 파괴 등의 행위를 발생시키기 전에 탐지해 악성 행위로 기업의 비즈니스 연속성이 파괴되는 것을 방지하는 서비스다. NCTI, NDR 도입 전 네트워크 내부의 다양한 위협 현황을 확인할 수 있으며, 나루씨큐리티 SECaaS 도입 전, 기업망 위협 현황 진단과 사고대응 및 제로 트러스트 구축을 위한 사이버 보안 구조 진단을 위해 사용된다.
김혁준 대표는 “나루씨큐리티는 기존 보안조직이 수행하기 어려운 고도의 위협 분석을 지원하는 퍼플팀 서비스를 제공한다. 퍼플팀 서비스는 최근 가장 빠르게 성장하는 시장으로, 나루씨큐리티는 국내 여러 사이버 보안 유관기관, 사이버 수사 조직, 군·안보 관련 기관과 함께 국내 다양한 정부기관·산업군의 침해사고 분석과 대응을 통해 축적한 역량을 갖고 있다”며 “나루씨큐리티는 이 역량을 기반으로 한 고도의 보안 서비스와 솔루션을 지속적으로 제공할 것”이라고 말했다.
