클라우드와 빅데이터는 양날의 검이다. 클라우드는 가상화 기술을 기반으로 IT 인프라 효율성과 유연성, 민첩성을 높일 수 있다. 분산된 IT 환경을 중앙집중식으로 이용할 수 있어 방대한 리소스를 활용한 보안위협 탐지·분석도 가능하다. 빅데이터는 수많은 데이터의 연관분석을 통해 숨은 의미와 가치를 찾을 수 있다. 비즈니스의 새로운 기회를 발견할 수 있을 뿐 아니라 파악되지 않은 보안 위협을 탐지할 수도 있다.
클라우드와 빅데이터는 치명적인 보안위협을 함께 안고 있다. 클라우드는 언제 어디서나, 어떠한 단말기를 이용해서도 데이터에 접근할 수 있기 때문에 보안이 취약한 단말기를 이용해 시스템 내부로 침입할 가능성이 높다. 액세스 포인트를 제한할 수 없고, 접속 가능한 단말기도 통제하기 어렵기 때문에 엔드포인트에서 보안위협을 차단하기가 어렵다.
빅데이터는 방대한 규모의 데이터를 관리해야 하기 때문에 암호화나 접근통제 기술을 적용하기 어렵다. 관리되지 않은 데이터가 유출되고 이를 경쟁사에서 분석하면 자사의 시스템 취약점을 그대로 파악할 수 있으며, 고객과 관련된 중요한 정보가 빠져나가 고객이탈이나 소송 등의 어려움에 직면하게 될 수도 있다.
클라우드와 빅데이터는 어떻게 관리하느냐에 따라 기업에 큰 이익을 줄 수 있지만, 치명적인 피해를 입힐 수도 있다. 이처럼 리스크가 높지만 클라우드와 빅데이터가 IT 조직에 매우 중요한 전략이라는 점은 틀림없다. EMC가 세계 IT 전문가를 대상으로 실시한 설문조사에 따르면 응답자의 76%가 기업의 성장을 위해 빅데이터·클라우드에 투자해야 한다고 밝히고 있으며, 한국에서는 81%의 IT 전문가들이 빅데이터 분석이 기업 성공을 좌우하는 핵심 요인이라고 답했다.
이중인증으로 클라우드 보안 위협 낮춰
국내에서 클라우드 컴퓨팅이 확산되지 못하는 가장 큰 이유는 보안 때문이다. 클라우드의 보안 취약점 때문에 공공기관에서는 클라우드 사용에 많은 제약이 따르며, 일반 기업에서도 중요도가 낮은 일부 업무에서만 퍼블릭 클라우드를 사용할 뿐, 중요 업무까지 활용하지는 못하고 있는 상황이다.
클라우드 보안을 위해 가장 먼저 제안되는 것은 가상환경에 대한 보호 기술이다. 방화벽, UTM 등 네트워크 보안 솔루션이 가상머신(VM) 형태로 제공돼 단일 서버에서 구동되는 여러개의 VM을 보호하는 형태다. 시스코, 주니퍼, 워치가드, 체크포인트 등 네트워크 보안 시스템 기업들이 가상화 보안 솔루션을 공급하고 있다.
분산환경에서 사용자 통제가 어려운 클라우드 환경에서는 본인 인증이 매우 중요하다. 기존의 ID/PW 방식의 인증은 이제 매우 위험한 보안 취약점으로 꼽힌다.
클라우드 보안을 위해서는 강력한 인증 시스템을 갖추는 것이 필요하지만, 인증을 복잡하게 하면 업무 효율성이 떨어지기 때문에 권한을 가진 정상 사용자를 확실하게 구분하는 것이 필요하다. 본인이 알고 있는 것과 가지고 있는 것을 이용한 이중인증이 대안으로 부상하고 있 다.
세이프넷은 2012년 인증 서비스를 제공하는 크립토카드를 인수하면서 인증 분야를 강화하고 있다. 사용자 인증 솔루션은 퍼블릭·프라이빗 클라우드에서 사용할 수 있으며, 단일 OTP를 이용해 여러 시스템 인증에 대한 이중 인증을 적용할 수 있다. 토큰방식이나 하드웨어 모듈, 스마트 카드, 하이브리드 OTP 등 다양한 인증 수단을 제공할 수 있다.
CA는 권한계정관리와 다양한 형태의 인증 시스템을 제공하면서 클라우드 시장에 대응한다. CA는 이를 모바일 전략과 연계시켜 모바일 환경에서도 안전하게 시스템에 접근할 수 있도록 한다.
클라우드 적용한 스마트워크 보안 확산
클라우드 보안위협을 방어하기 위한 기술은 기존의 IT 인프라에 대한 방어와 크게 다르지 않다. 네트워크 및 데이터 보안 솔루션과 시스템 접근제어 등이 클라우드에서도 동일하게 적용되며, 가상화 환경을 지원하는 기술이 추가로 요구된다.
반면 클라우드와 가상화 기술을 이용해 보안을 강화하는 기술이 적극적으로 제안된다. 클라우드 인프라를 이용해 전 세계에서 발생하는 보안위협 정보를 실시간으로 분석해 대응할 수 있도록 할 수 있다. 글로벌 보안 솔루션 기업들은 보안위협 연구소나 CERT 등을 통해 보안위협을 분석하고 있으며, 클라우드 기반 보안위협 분석 플랫폼을 이용한다.
가상화 기술을 이용한 보안 강화 방법으로 망분리를 들 수 있다. 망분리는 정보통신망법에서 정보통신사업자에게 의무적으로 적용하도록 강제하고 있으며, 금융규제에서도 망분리를 통한 보안강화를 의무화하고 있다.
망분리 방법 중 물리적 망분리는 물리적으로 IT 시스템을 두가지로 구축하는 것으로 강력한 보안을 제공하지만 구축비용이 높고 사용이 불편하다는 문제가 있다. 우리나라에서는 금융권의 전산센터는 반드시 물리적 망분리를 구축하도록 하고 있다.
가상화 기술을 이용한 망분리는 데스크톱을 가상화해 업무영역와 인터넷 영역을 나누는 방식과 엔드포인트에 하이퍼바이저를 이용해 OS를 2개 운영하는 방식을 이용한 망분리가 있다. 후자의 경우 물리적 망분리와 동일한 효과를 거둘 수 있다.
데스크톱을 가상화해 업무망과 외부망을 나누는 기술은 국내에서 미라지웍스, 안랩, VM크래프트 등이 선두를 달리고 있으며, 시트릭스, VM웨어, 틸론 등 VDI 기업들도 적극적으로 뛰어들고 있다. VM웨어 총판인 굿모닝아이텍은 VM웨어 뷰 솔루션을 중심으로 서버, 네트워크 장비, 관리 솔루션을 통합한 망분리 패키지를 출시하면서 이 시장을 적극 개척하고 있다.
가상화된 영역을 인터넷 용도로 사용하면 망분리 솔루션으로, 업무용으로 사용하면 스마트워크 솔루션으로 이용할 수 있는데, 스마트워크 솔루션으로 사용할 경우 데이터를 클라우드에 집중시키기 때문에 단말기 제약이나 장소·네트워크 종류 제약 없이 업무 시스템에 접근할 수 있다.
빅데이터, 보안기술 강화책으로 활용
빅데이터는 보안 위협보다 보안 기술을 강화하는 측면에서 접근하는 경향이 강하다. 특히 보안정보이벤트관리(SIEM)와 포렌식 솔루션이 빅데이터 분석기술을 이용한다. 빅데이터 분석기술을 이용하면 모든 IT 장비에서 생성되는 데이터를 정밀 분석해 알려지지 않은 공격위협이나 보안 취약점을 찾아낼 수 있어 APT와 같은 지능형 공격에 대응할 수 있다.
HP의 SIEM 솔루션 ‘아크사이트’는 하둡 지원 기능으로 다양한 로그 데이터를 분석할 수 있도록 한다. 아크사이트 CORR 엔진에서 이벤트를 실시간으로 처리하며, 하둡으로 이벤트를 전달해 장기간 배치분석을 수행함으로써 장기간에 걸쳐 이뤄지는 은밀한 침입을 탐지할 수 있다. 더불어 평판기반 인텔리전스를 적용해 위협요소를 빠르게 차단할 수 있다.
포렌식 기술은 빅데이터 분석이 필수적인 요소로 작용한다. 디지털 포렌식은 디지털 장비에 기록된 정보를 분석하고, 네트워크 포렌식은 네트워크 패킷 정보를 분석해 보안사고가 어떠한 경위를 통해 발생했는지 살펴볼 수 있다. 정책설정을 통해 실시간으로 보안위협을 감지하고 차단할 수도 있다.
포렌식은 전문적인 기술을 요구하기 때문에 솔루션 도입과 함께 전문가의 지원이 반드시 필요하다. 디지털 포렌식 시장을 개척해온 더존정보보호서비스는 다양한 디지털 포렌식 솔루션과 함께 국내 최고의 포렌식 전문가를 지원할 수 있다.
더존정보보호서비스는 ‘아르고스 EIM’ 제품군에 DLP, 문서검색 엔진 ‘S-파인더’, 문서의 생성부터 폐기까지 기록하는 ‘파이몬’, 데이터의 상세한 모니터링을 제공하는 ‘HIM’, 정밀한 감사를 제공하는 ‘디파스’ 등의 포렌식 제품을 제공한다. 더불어 해외의 포렌식 솔루션을 다수 유통하면서 자사의 서비스와 함께 제공해 기업/기관의 수요에 맞는 포렌식 서비스를 제공할 수 있다.
이찬우 더존정보보호서비스 대표이사는 “2013년은 포렌식이 확실히 시장에 정착되는 해였으며, 2014년에는 포렌식 시장이 본격적으로 성장할 것으로 예상한다”며 “더존정보보호서비스는 고도로 전문화된 전문가의 기술 및 컨설팅 지원이 가능해 지능형 공격이나 내부정보 유출 방지에 확실한 대안을 제공할 수 있다. 이 시장의 개화에 맞춰 더욱 적극적으로 대응할 것”이라고 말했다.
안랩은 APT 대응 솔루션과 자사의 다양한 보안 솔루션에 포렌식 기술을 접목시키면서 서비스 방식으로 포렌식 기술을 전달한다는 계획을 밝힌다.
김지훈 안랩 ASD실 클라우드 분석 팀장은 “안랩은 악성코드 탐지 기술부터 시작해 전문적인 침해대응 분석 역량이 탁월한 기업으로, 다수의 포렌식 전문가와 악성코드 분석인력, CERT 운영 등을 통해 위협정보를 가장 빠르고 정확하게 분석할 수 있다”며 “국내 최고의 전문가를 통한 포렌식 서비스를 통해 기업에 실제로 침입한 보안위협을 찾아내는 것 뿐 아니라 보안 트렌드를 빠르게 분석하고 대응할 수 있도록 할 것”이라고 말했다.
엔드포인트 기반의 포렌식 기술 중 인포섹이 공급하는 센티넬도 주목할만하다. 인포섹은 센티넬 제품군과 실시간 위협탐지 기술, 자사의 전문 서비스 및 시스템 통합 기술을 함께 제공하는 ‘통합 APT 대응서비스’를 출시하면서 APT 시장을 적극 개척하고 있다.
포렌식 기술에 빅데이터를 적극적으로 이용하는 기업은 EMC이다. 자사의 빅데이터 분석 기술과 RSA 보안사업부의 기술을 접목한 ‘시큐리티 애널리틱스(SA)’는 포렌식과 SIEM, GRC 등을 통합해 알려지지 않은 공격위협에 실시간으로 대응할 수 있도록 한다.
이 제품은 ▲빅데이터를 활용한 보안 데이터 수집, 관리 및 분석 기능 ▲네트워크, 로그 데이터에 대한 가시성 확보 ▲자동화 된 보안 위협 인텔리전스를 통해 다른 보안 툴에서는 놓치기 쉬운 보안 위협도 신속 정확하게 파악할 수 있어 공격자가 활동할 수 있는 시간을 단축시키고 더 큰 피해가 발생하는 것을 방지할 수 있게 한다.
