[데이터넷] 전 세계 사이버 보안 시장이 사상 최대 호황을 누리고 있다. 우리나라 사이버 보안 시장도 고도성장을 기록하면서 질주하고 있다. 그 어느 때 보다 막대한 규모의 보안 투자가 단행되고 있지만 보안사고는 계속된다. 통합되지 않은 포인트 솔루션으로 인해 경보피로가 심해지고 보안 사각지대가 늘기 때문이다. 멀티 클라우드 환경으로 진화하면서 이 문제는 더 심해지고 있다. 급증하는 보안 복잡성을 줄이고, 멀티 클라우드 효율성을 지킬 수 있는 통합보안 플랫폼에 대해 알아본다. <편집자>

사상 최대 규모 달성한 사이버 보안 시장

전 세계 사이버 보안 시장이 2023년 3019억달러(약 393조원)로 사상 최대 규모를 달성할 것으로 보인다. 우리나라 사이버 보안 시장도 크게 성장해 지난해 매출규모 23.5% 증가한 5조6000억원을 기록했으며, 클라우드 보안 솔루션 은 3.5배 늘어난 성과를 올렸다.

기업·기관은 사이버 리스크가 비즈니스 리스크라는 것을 충분히 이해하고 있으며, 보안 투자를 지속적으로 늘려가고 있다. 가트너가 올해 초 CIO와 기술임원을 대상으로 한 설문 조사에서 응답자의 83%는 기업 리스크를 줄이기 위한 디지털 기술 투자가 기대치를 달성하거나 초과 달성했다고 밝혔다. 우리나라에서도 정보보호 공시 의무 이후 기업의 보안 투자가 늘어나고 있다.

그 어느 때 보다 높은 보안 투자가 단행되고 있음에도 사이버 위협은 지속적으로 증가하고 있다. 지난해 한국인터넷진흥원(KISA)에 접수된 침해사고는 전년대비 2배 늘었으며, 올해 상반기에도 전년동기대비 40% 증가했다.

“SOC, 중요하지 않은 분석에 업무 시간 32% 허비”

사이버 위협에 제대로 대응하지 못하는 이유는 아이러니 하게도 ‘너무 많은 보안 솔루션’ 때문이다. 기업·기관은 평균 20종 이상, 제1금융권은 60종 이상 단위보안 시스템을 사용하고 있다. 이 시스템에서 매일 150건 이상 티켓과 10만건 이상 이벤트가 생성된다. 보안 조직은 매일 발생되는 티켓을 제대로 처리하지 못하고 있으며, 중요도가 높은 이벤트조차 제 때 분석하지 못한다.

단순 반복되는 분석 업무가 너무 많으며, 감당하기 어려운 업무 강도로 인해 보안 인력은 심각한 피로감을 호소한다. 실수 혹은 잘못된 판단으로 중요한 이벤트를 놓치거나 제대로 대응하지 못해 사고를 유발할 수 있다는 중압감을 갖고 있으며, 사고 시 막중한 책임을 져야 해 극심한 스트레스를 받고 있다.

비즈니스 인텔리전스 기업 모닝 컨설트가 세계 10개국 기 업·기관의 보안운영센터(SOC) 팀원을 대상으로 조사한 결과, 이들은 실제 위협이 되지 않는 이벤트를 분석하는데 하루 업무 시간의 32%를 허비하는 것으로 나타났다. 중요하지 않은 이벤트 조사에 시간을 낭비해 SOC에서 검토해야 하는 이벤트의 50%만 분석할 수 있었다고 답했다. 또한 응답자의 46%는 보안 사고를 탐지하고 대응하는데 걸리는 평균 시간이 늘어나고 있고, 81%는 수동조사로 인해 탐지·대응이 늦어진다고 답했다.

보안 조직의 업무 부담을 덜기 위해 AI와 자동화 도구 사용이 제안된다. 기업·기관은 네트워크 통신의 95%, 엔드포인트 기기의 90%에서 AI와 자동화 도구를 이용해 악의적인 활동 과 취약성을 모니터링하고 선제적으로 대응하고 있다. IBM은 AI를 채택한 기업에서 사고 대응과 조사 시간이 크게 줄었 며, 보안 투자 수익률(ROSI) 40% 증가했다고 보고했다.

AI가 위협 탐지·분석을 위한 좋은 도구지만, 한계도 분명하다. AI 기반 보안 솔루션은 실시간으로 변하는 위협 상황을 반영해 알고리즘을 지속적으로 개선해야 하고, 정확한 학습 데이터를 충분히 제공할 수 있어야 한다. 이를 위해서는 데이터 전문가와 위협 탐지· 대응 전문가의 협업이 필요하다. 또한 AI 신뢰성을 검증하기 위해 AI가 제공한 결과를 분석가가 다시 검토해야 한다. 그러 나 현재 기업·기관에는 전문가도, 학습용 데이터셋도 준비되어 있지 않다.

가장 큰 문제는 채용할 수 있는 전문가가 턱없이 부족하다는 사실이다. 예산을 아무리 많이 배정한다 해도 보안 전문가의 숫자가 절대적으로 적기 때문에 ‘충분한 전문가 인력’ 채용 은 불가능하다. 미국 사이버 보안 인력 전문 기구 사이버시크(CyberSeek) 조사에 따르면 미국에서만 사이버 보안 인력 이 65만명 부족하다. 예산이 있어도 전문가 ‘모시기’가 쉽지 않은데, 예산부족으로 어려움을 겪고 있는 국내 보안 환경에서 전문가를 통한 충분한 위협 대응을 기대하기 어렵다.

이종 통합 어려운 ‘통합 로그관리 시스템’

너무 많은 이종 시스템으로 인해 발생하는 문제를 해결하고, 진화하는 보안위협에 대응하기 위해 정보보호 통합 솔루션이 사용되어왔다. 보안 솔루션의 로그를 통합 분석하는 로그관리 시스템(LMS), 위협에 대한 심층적인 분석을 제공하는 SIEM, 보안 솔루션의 오케스트레이션과 자동화·대응을 지원하는 SOAR가 사용되고 있다.

각 솔루션을 공급하는 벤더들은 모두 고속 빅데이터 처리 기술, 이종 솔루션의 완벽한 통합, 단일 콘솔을 통한 관리가 가능하다고 강조한다. 그러나 실제는 다르다. LMS를 예로 들어보면, 구형 LMS 솔루션은 빅데이터 엔진을 기반으로 설계되지 않았기 때문에 하루 수십 GB 규모의 데이터조차 단일 노드에서 고속으로 처리하지 못한다. 다양한 통신 인터페이스를 지원하지 못해 이종 솔루션 환경에 적합하지 않다. 글로벌 SIEM 솔루션의 로그관리 기능은 사용자 정의 구성이 가능하지만, 국내에서 필요로 하는 국내 벤더 제품이나 서비스에 대한 로그와 API 통합을 지원하지 않는 경우가 많다.

충분한 컨텍스트 제공하지 않는 SIEM

SIEM 역시 이종 솔루션 통합에 한계가 있다. SIEM은 보안 시스템으로부터 수집한 이벤트에서 특정 규칙 세트와 일치하는 위협 정황을 찾아 보안 경고를 생성하고, 비정상적인 동작과 의심스러운 활동, 알려지지 않은 위협을 찾아 보안팀 에게 알리는 솔루션이다. SIEM의 위협 탐지 정확도를 높이기 위해서는 이벤트와 함께 풍부한 컨텍스트 정보가 전달되어야 한다.

EDR, NDR, IPS, APT 방어 솔루션 등은 위협을 탐지했을 때 이와 관련한 추가 정보를 다양하게 제공하고 있다. 위협 분석 시 해당 솔루션을 살펴보면 분석에 활용할 수 있는 데이터를 풍부하게 찾을 수 있다. 그런데 SIEM은 이 중 일부만 전달받기 때문에 이벤트의 내용을 정확하게 파악하기 어렵다.

각 보안 솔루션에서 생성된 데이터는 1K 내외의 Syslog 형태로 SIEM에 전달되는데, 누가(출발지 IP나 보낸 이메일 주소), 언제(시각), 어디에(목적지 IP 등), 무엇을(위협 진단 정보-시그니처), 어떻게 대응(탐지만 수행, 패킷 차단 등)했는지 등 기본 경보 내용만 Syslog에 담긴다. 따라서 보안 분 석가가 세부 위협을 알기 위해서는 개별 솔루션을 찾아 해당 이벤트를 확인하고 연관관계를 일일이 살펴보면서 분석해야 한다.

위협 탐지와 분석을 위해 이기종 장비의 비정형 로그 데이 터를 일관된 이름으로 표준화해야 하는데, 많은 SIEM이 로그를 완전하게 파싱·정규화하지 않는다는 점도 문제다.

또한 이기종·비정형 로그 데이터 연관분석을 위해 사용자 가 원하는 임의의 정보를 추출하고, 시각화 할 수 있는 강력한 쿼리 기능도 제한적으로 제공된다. 대부분 로그 원본이 아니라 관계형 데이터베이스(RDBMS)에 저장된 요약 데이터만 쿼리할 수 있거나 솔라(Solr) 등 오픈소스를 사용하면서 로그에 대한 SQL 쿼리의 기본적인 집계 수준만 제공하는 등 데이 터 처리에 필요한 기능이 부족하다.