[데이터넷] 가트너는 올해 전 세계 퍼블릭 클라우드 서비스 시장이 지난해보다 21.7% 증가한 5974억달러에 이를 것이며, 생성형 AI, 웹3, 메타버스 등의 신기술로 인해 75%의 조직이 클라우드를 기본 플랫폼으로 하는 디지털 혁신 모델을 채택할 것이라고 예측했다.

이제 클라우드는 조직의 규모에 상관없이 채택하는 모델이 됐지만, 보안은 그렇지 않다. 클라우드를 사용하면서 보안을 기본으로 생각하지 않는 조직이 여전히 많다. 아직도 많은 사용자들이 클라우드 보안을 클라우드 서비스 사업자(CSP)가 제공할 것이라고 믿고 있으며, 클라우드 책임공유 모델에 대해 이해하지 못한다.

클라우드 사용이 늘어날수록 사각지대가 증가하며 보안위협이 커진다. 실수, 설정오류, 취약점, 도난당한 계정, 암호화되지 않은 데이터 등 공격자가 이용할 수 있고 수익을 얻을 수 있는 클라우드 공격 벡터는 너무나 많다. 이러한 클라우드를 보호하기 위해 제안되는 기술도 수백가지에 이른다. 모든 조직이 이 모든 기술을 도입해야 하는 것은 아니지만, 필수적인 기술은 반드시 도입해야 한다.

문제는 클라우드 사용 조직의 대부분이 클라우드 보안 전문가를 확보하지 못했다는 점이다. 대부분의 경우 클라우드 보안은 보안팀, 클라우드팀, 혹은 CIO에게 있거나 아무도 맡지 않는 경우도 다반사다. 가시성과 통제력이 약한 클라우드의 문제를 한층 더 심각하게 만들게 된다.

시큐어 매지니드 서비스로 클라우드 보호

그래서 클라우드 보안 매니지드 서비스가 제안된다. 이 서비스는 클라우드 보안 전문성과 다양한 산업군 고객의 클라우드를 운영해 본 경험이 축적되어 있어 개별 기업 클라우드 운영 환경의 특수성을 이해하면서 클라우드 기반 비즈니스를 안전하게 지원할 수 있게 한다.

클라우드 매니지드 서비스 사업자는 메가존클라우드와 베스핀글로벌이 대표적인 기업으로, 국내뿐 아니라 해외 클라우드 매니지드 서비스까지 제공하고 있으며, 각 환경에 맞는 보안 솔루션과 기술, 서비스를 제공해 클라우드 보안 문제도 해결하고 있다.

안랩의 ‘안랩 클라우드’도 시장 공략 속도를 빠르게 높이고 있다. 안랩은 시큐어 MSP 역할을 위해 안랩 클라우드의 클라우드 보안관리 역량을 지속적으로 높이고 있다. 클라우드 보안 매니지드 서비스를 원스톱으로 제공하기 위해 안랩은 ▲환경 설정, 운영 최적화 등 고객 클라우드 환경 전반에 가이드를 제공하는 ‘클라우드 구축 및 정보보호 컨설팅’ ▲운영/장애/보안관리 등 ‘매니지드 서비스’ ▲24X365 보안 상황을 모니터링하고 대응할 수 있는 ‘클라우드 보안관제’ ▲기술지원 등을 제공한다. 자동화된 보안 모니터링과 즉각적인 침해대응, 보안 최적화 등의 기술도 제공한다.

클라우드의 보안관제 역시 전문기업의 서비스를 이용하는 것이 좋다. 온프레미스 관제 기술과 클라우드의 특수한 상황을 이해하는 기술이 결합되어야 하기 때문이다. 이글루코퍼레이션은 국내에서 가장 먼저 2021년 7월 ‘스파이더 티엠 온 클라우드(SPiDER TM on Cloud)’를 출시하고 클라우드 보안관제 서비스에 사용하고 있다.

스파이더 티엠 온 클라우드는 20년 이상 국내 원격·파견 보안관제 시장에서 축적한 경험을 기반으로 한 SIEM 솔루션 ‘스파이더 티엠’을 클라우드 환경에 최적화한 것으로, 전용 클라우드 에이전트를 통해 퍼블릭 클라우드 환경에서 발생하는 이벤트를 모두 수집하고 AI를 이용해 정교하게 분석함으로써 클라우드 위협을 빠르게 식별한다.

구축형, SaaS 형 모두 선택할 수 있으며, 국내에서 사용되는 주요 퍼블릭 클라우드 마켓플레이스를 통해서도 이용할 수 있다. 클라우드 규제가 강한 공공·금융 클라우드에도 최적화된 클라우드 운영관리를 돕는다. 이글루코퍼레이션은 ‘스파이더 SOAR’도 출시, 보안관제 역량을 한층 더 끌어올리고 있다.

XDR, 공격 진행 시간 85% 감소

클라우드 보안을 서비스 기업에게만 의존할 수는 없다. 기업도 자체적으로 클라우드 위협을 식별하고 대응할 수 있는 대안을 갖춰야 한다. 그래서 XDR과 SOAR 도입이 요구된다. XDR은 모든 소스에서 데이터를 수집해 연계분석함으로써 지능적인 우회 공격까지 찾아내는 솔루션이며, SOAR는 보안 솔루션을 오케스트레이션 해서 위협 탐지와 대응을 자동화하는 솔루션이다.

XDR은 엔드포인트, 네트워크 패킷, 로그, 클라우드, 이메일 등 모든 소스에서 데이터를 가져와 분석한다. 마이터 어택 프레임워크와 외부 IOC 및 인텔리전스 등과 연동해 진행중인 공격의 성격과 목적, 공격그룹을 파악하고 자동으로 대응한다.

시스코 조사에 따르면 XDR을 도입하면 분석가 시간을 90% 절약하고, 공격 진행 시간을 85% 감소하며, 데이터 유출 비용과 위험을 50% 낮출 수 있다. 또한 SecOps 조직 효율성을 90% 높일 수 있다.

시스코는 AI 기반 크로스 도메인 보안 플랫폼에 XDR을 포함한 다양한 보안 기술을 통합시키고 있다. 시스코 XDR은 네트워크와 엔드포인트 전반에서 딥 텔레메트리 기능을 제공하고, 가시성을 향상시키며, 랜섬웨어 발생과 동시에 중요한 정보를 스냅샷으로 저장해 복구할 수 있게 한다.

XDR의 개념을 본질에 충실하게 구현하는 솔루션으로 RSA시큐리티의 ‘넷위트니스(Netwitness)’가 있다. NDR 솔루션 ‘넷위트니스 네트워크’, SIEM 솔루션 ‘넷위트니스 로그’, EDR 솔루션 ‘넷위트니스 엔드포인트’로 구성된 넷위트니스 XDR 플랫폼이 하이브리드 클라우드를 보호한다. 이 기능을 SaaS로 제공하는 비전 XDR이 있고, 진화된 서비스로 XDR 클라우드 서비스에 오케스트레이터와 AI 기반 탐지와 가시성, IoT 보호, 위협 인텔리전스 등이 추가된다.

넷위트니스는 SASE 기업들과 연동해 복잡한 클라우드의 보안을 단순화하면서 지능적인 위협에 보다 빠르고 정확하게 대응할 수 있게 한다.

개방형 생태계로 지능형 위협 대응

‘오픈 XDR’을 처음 만든 스텔라사이버의 클라우드 지원 기능도 탁월하다. 클라우드 보안에서 공급업체 통합이 중요한 대세를 이루고 있기는 하지만, 모든 보안 기능을 단 하나의 벤더에서 제공하지 못하며, 많은 기능을 제공하는 공급업체라 해서 최고의 기술력을 보장하지도 않는다.

가장 이상적인 것은 최고의 기술을 하나의 솔루션처럼 운영할 수 있는 플랫폼 기술이며, 스텔라사이버가 그 역할을 한다고 자신한다. 스텔라사이버는 자사 플랫폼을 사용하면 그 어떤 기술과도 한 몸처럼 통합된다고 강조하고 있으며, 멀티·하이브리드 클라우드는 물론 OT·IoT 환경까지 폭넓게 보호할 수 있다고 주장한다.

스텔라사이버 활용사례 중 가장 눈에 띄는 것이 우리나라 MDR 기업 파고네트웍스가 사용하는 방법이다. 굿모닝아이텍이 총판을 맡고 있는 파고네트웍스는 자체개발한 MDR 서비스 플랫폼 ‘딥액트(DeepACT)’에 스텔라사이버, 센티넬원, OT 전용 사일런스 프로텍트를 통합해 MDR 서비스 완성도를 높였다.

클라우드 보안 시장에서 가장 앞선 트렌드마이크로도 멀티·하이브리드 클라우드를 위한 XDR 제공에 적극 나서고 있다. 트렌드마이크로 ‘비전 원’ XDR은 외부위협탐지(EASM) 기술까지 접목해 클라우드에서 발생할 수 있는 모든 위협 소스에서 정보를 수집해 분석한다. 클라우드 전반의 위협을 분석하고 완화 방법을 안내하는 ‘클라우드 센트리(Cloud Sentry)’도 제공하고 있으며, CNAPP 플랫폼 ‘클라우드 원’과 통합해 클라우드 워크로드부터 애플리케이션까지 중단없이 보호한다.

SecOps 전환 지원하는 SOAR

SAOR는 보안운영센터(SOC) 업무를 자동화해 SOC 인력의 부담을 줄이고, SOC 조직이 놓치는 위협 이벤트까지 찾아 정확한 위협 탐지와 대응 결과를 제공하는 차세대 SOC 솔루션이다. SOAR는 모든 보안 솔루션을 조정해 정확하게 위협을 식별하고 자동 대응할 수 있어야 하며, 사전 지정된 풍부한 플레이북과 셀프서비스 가능한 플레이북을 모두 제공할 수 있어야 한다. 특히 공격표면이 넓어지는 클라우드 환경에서 발생할 수 있는 위협을 모두 가시화하고, SecOps 전환을 지원해야 한다.

팔로알토 네트웍스는 ‘코어텍스(Cortex)’ 플랫폼에 XDR, SOAR와 함께 ASM 솔루션 ‘익스팬스(Xpanse), SecOps 플랫폼 ‘XSIAM’을 통해 SOC 완전 자동화 이상에 가까이 다가간다. 팔로알토 코어텍스 플랫폼은 모든 환경에 쉽게 배포하고 운영할 수 있으며, SOC 친화적으로 운영할 수 있어 새로운 솔루션 도입으로 인한 SOC 부담을 줄인다.

포티넷의 ‘포티SOAR’도 통합의 관점에서 매우 앞선 경쟁력을 보이고 있다. 포티넷 시큐리티 패브릭으로 시큐리티 메시 아키텍처(CSMA)를 구현했으며, 유기적으로 결합된 동급 최고의 솔루션을 처음부터 통합할 수 있도록 설계했다. 시큐리티 패브릭에는 ▲예방: 포티EDR, 포티클라이언트, 포티 안티피싱 ▲탐지: 포티SIEM, 포티NDR, 포티리콘, 포티샌드박스, 포티디셉터 ▲대응: 포티SOAR가 결합돼 있다.