“EDR, SIEM, SOAR 등 상호 보완적이며 유기적인 하이브리드 구성 통해 해킹에 대한 공격 최대한 예방해야”
상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020이 5월 28일 더케이호텔서울 가야금홀에서 성황리에 개최됐다.
이 자리에서 위드네트웍스 박동준 차장은 ‘강력한 엔드포인트 보안을 위한 더 확장된 접근’을 주제로 강연을 진행했다.
보안솔루션은 과거부터 현재까지 가장 많이 변화한 솔루션 중 하나이다. 가장 기본적인 방화벽, 안티바이러스, 웹방화벽, DB암호화, APT 등 어플리케이션 보안부터 트래픽 보안 그리고 나아가서는 엔드포인트 보안까지 다양한 솔루션이 구축되어 운영되고 있다.
보안솔루션은 기본적으로 외부로부터의 공격 행위를 차단하는 것을 목적으로 한다. 이때 가장 전통적이고 기본이 되는 차단 및 예방 방식은 시그니처나 트래픽 제어를 위한 IP, 도메인 차단 등이다. 하지만 공격자들의 해킹 공격은 더욱더 정교화되고 많은 악성코드와 취약점의 변종이 나오기 때문에 기존의 보안솔루션은 많은 한계에 부딪힌다. 이미 알려져 있는 공격이나 시그니처를 차단하는 것만으로는 점점 뒤쳐지고 탐지하지 못하는 공격이 많아지게 된다.
따라서 이제 보안 솔루션은 이미 알려져 있는 공격을 잘 막아내는 기능 뿐만 아니라 알려지지 않은 공격에 대해서도 무엇보다 효율적이고, 정확하게 탐지할 수 있어야 하며 그 공격에 대한 대응 방안까지 자동적으로 만들어 낼 수 있는 솔루션이 되어야 한다.
많은 보안솔루션이 해킹 공격을 차단하기 위해서 보다 효율적인 탐지 기능을 제공하는 방향으로 발전했다. 하지만 역설적이게도 이 모든 기능들이 오히려 업무에 대한 부담감을 가중시켰고, 그로 인해 과거보다 더욱 전문적인 지식을 요구하게 되었다. 그 결과, 더 오랜 시간을 할애해야 분석이 가능해졌고, 모니터링할 장비는 더욱 늘어나 그에 따른 더 많은 인력이 필요하게 되었으며, 결국에는 이미 탐지된 공격조차 제대로 막지 못하는 상황에 이르렀다.
현재 보안 시장에는 다양한 멀티 플랫폼과 오픈 소스로 인해 빠른 시간 내 더 많은 연산처리가 가능한 보안 솔루션이 등장했다. 이러한 솔루션은 하나의 공격을 더욱 정밀하게 탐지하여 정확하게 어떤 부분을 차단하기 원하는지, 공격이 변형된 것인지 등의 확인을 통해 빠른 대응 방안을 제공해 공격의 피해를 최소화한다. 이것이 보안 솔루션의 가시성이다.
가시성을 강조한 솔루션 중 하나로 EDR(Endpoint Detection & Response) 솔루션이 있다. 해킹 공격의 최종 목표가 되는 곳, 즉 엔드포인트에서 탐지되는 내용을 사용자에게 직관적으로 보여주며 실제 이루어지고 있는 공격에 대해 타임라인 등의 형태로 보안 관리자에게 상세하게 보여준다.
특히 엔드포인트 보안은 공격에 관한 요소를 관리자에게 효율적으로 보여줄 수 있는 정도에 따라 많은 것이 달라지게 된다.
사이버리즌(Cybereason) EDR은 공격의 라이프 사이클을 일명 ‘사이버 킬 체인(Cyber Kill-Chain)’이라는 형태로 관리자에게 보여주어 공격이 성공하기 전에 신속하게 대응할 수 있도록 가시성을 제공한다. 그리고 어떤 EDR보다 이해하기 쉽도록 분석/탐지 결과에 대한 시각화를 제공하여 보안 관리자가 빠르고, 정확하고, 편리하게 해킹 공격에 대한 분석 및 차단에 대응할 수 있는 시스템을 갖출 수 있도록 도와준다.
해킹 공격의 최종 목표인 엔드포인트에서 이루어지는지는 모든 행위는 매우 중요하다. 하지만 그렇다고 네트워크 모니터링을 포기하거나 버리라는 의미는 아니다. 실제 엔드포인트에서 발생하는 공격이 어떤 경로로 침투하였는지 외부에서 어떤 트래픽을 타고 어떤 흐름으로 엔드포인트에 들어오게 되었는지 역시 공격의 예방 및 동일한 사고가 발생하지 않게 하기 위해 중요하다.
보안 고도화의 단계 중 실제 효과적인 모니터링을 위한 SIEM의 도입은 필연적이다. SIEM으로 자산을 관리하며 모든 보안장비를 하나의 대시보드에서 관리해 모니터링 환경을 일원화함으로써 강화시키는 것은 많은 보안 관제 시스템의 영원한 숙제이다. 이와 함께 이 과정을 자동화하는 과정 역시 필요하다.
반복적인 이벤트 탐지와 동일한 프로세스를 수동으로 수행하는 것으로 인해 전문 인력을 낭비하게 되어 탐지할 수 있는 공격조차 탐지하지 못하는 경우도 발생하고 있다. 따라서 동일한 프로세스를 동일한 정책에 대해서 자동화할 수 있는 SOAR의 도입 역시 고려되어야 한다.
위드네트웍스 박동준 차장은 “앞으로 나올 그리고 만들어지는 보안 솔루션은 모두 ‘통합’ 또는 멀티 플랫폼을 지향하고 있다. 하나의 솔루션으로 해결이 되지 않는 다양할 솔루션의 유기적인 연동이 미래 보안솔루션이 필수적으로 가져야 할 요소다”라며 “이제 사용자별 커스텀은 더 이상 요구 조건 중 하나가 아니라 필수적인 사항이 되어가고 있으며 EDR, SIEM, SOAR 역시 별개의 각각의 솔루션으로 활동하는 것이 아니라 상호 보완적이며 유기적인 하이브리드 구성을 통해 해킹에 대한 공격을 최대한 예방하는 방향으로 나아가야 한다”고 강조했다.
G-PRIVACY 2020 위드네트웍스 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
위드네트웍스, 토탈 ICT 보안 서비스 제공하는 보안 전문 기업
위드네트웍스(대표 안종업, 고인구)는 2009년에 설립되어 안전한 보안 환경 구축 및 유지보수에서부터 자사 솔루션 개발까지 Total ICT 보안 서비스를 제공하는 보안 전문 기업이다. 글로벌 엔드포인트 통합 보안 플랫폼 ‘사이버리즌’을 국내 발전소 등 다양한 고객사에 수주해 엔드포인트에 대한 기술 및 영업 노하우를 축적했다.
또한 설립 초기부터 MSSP 사업을 진행했고 국내 최대 통신사의 MSSP 사업에 MSS를 공급하여 국내 최대 보안 매니지드 기업으로 성장하였다. 이를 바탕으로 MSS에서 축적된 기술 인력 및 인프라, 엔드포인트 솔루션에 대한 깊은 이해를 통해 국내 보안 환경에 맞는 MDR 서비스를 제시해 고객의 안전한 보안 환경에 기여하고자 한다.
뿐만 아니라, 서울 본사와 부산, 대전, 광주의 지사에서 전국의 금융, 공공 등 다양한 산업 분야의 환경에 적합한 보안 시스템을 구성하고 구축, 유지 보수까지 전문적인 토탈 네트워크 보안 서비스를 제공하고 있다. 특히 포티넷 코리아의 플래티넘 파트너로서 포티넷이 제공하는 다양한 네트워크 보안 장비와 서비스에 대한 전문성을 가지고 있다.
사이버리즌 엔드포인트 통합 보안 플랫폼은 하나의 에이전트로 NGAV(차세대 안티바이러스), EDR(엔드포인트 탐지 대응), MDR(매니지드 탐지 대응) 서비스를 제공한다. 그리고 어떠한 공격이든 자동으로 탐지하고 완벽하게 공격 상황을 인식하여 공격 활동에 대한 신속하고 깊은 이해를 제공하여 손쉽게 대응할 수 있도록 한다.
사이버리즌 NGAV는 악성코드를 시그니처 방식, 머신 러닝 알고리즘, 행위 기반 방식의 멀티 레이어 방식으로 차단하여 악성 코드가 탐지되지 않는 음영 지역을 최소화한다. 뿐만 아니라 알려진 위협은 물론, 알려지지 않는 랜섬웨어, 파일리스 공격 등 악성 코드를 모두 자동으로 차단할 수 있다.
사이버리즌 EDR은 사이버리즌 헌팅 엔진으로 매초 수백만 개의 데이터를 가져와 통합하여 상관관계를 분석한다. 그리고 머신러닝으로 실시간 공격상황을 탐지하고 직관적인 대시보드에 공격 프로세스를 쉽게 볼 수 있는 가시성을 제공하여 간편하게 대응할 수 있도록 한다. 원클릭으로 공격 차단이 가능하여 MDR 서비스에 최적화된 환경을 제공한다.
MDR 서비스는 전문적인 모니터링 요원이 24/7 엔드포인트로의 공격을 지속적으로 모니터링한다. MDR 전문 요원은 공격이 발생하기 전에는 예방 및 대응 업무를 수행하고 공격이 발생했을 때는 실시간으로 대응한다. 또한 월간 보고서로 고객사별 공격 현황에 대한 정보를 제공한다.
위드네트웍스는 엔드포인트와 네트워크에 대한 상관관계 분석 및 통합관리를 위한 SIEM과 SOAR의 서비스를 제공한다.
포티넷의 ‘FortiSIEM’은 엔드포인트, IoT, 인프라, 클라우드 등 기업내 점점 더 복잡해지는 인프라 안의 모든 데이터의 통합하여 가시성, 상관관계 분석, 대응, 복구 업데이트를 제공한다. 또한 네트워크 보안, 성과 및 컴플라이언스를 특허 받은 분산형 이벤트 상관관계 분석 엔진으로 실시간으로 긴밀하게 관리, 분석하여 기업 전체 네트워크 인프라를 단일 창에서 관리할 수 있다.
포티넷의 ‘FortiSOAR’는 다양한 보안 제품의 경보를 통합 및 심사해 보안운영센터(SOC)의 효율성을 높인다. 또한 분석 및 반복 작업을 자동화해 제한적인 자원을 절약하고, 정의된 플레이북을 통해 보안 사고에 실시간 대응할 수 있도록 지원한다. ‘FortiSOAR’는 운영 편의성을 위해 GUI로 대시보드를 구성한 것이 특징이다. GUI를 통해 간편하게 정책을 설정하고, 보안 업무 프로세스를 구성할 수 있다. 이를 활용하면 구축 기간 및 비용을 절약할 수 있으며, 운용 편이성이 향상돼 TCO를 향상시킬 수 있다.
올해 이 회사는 엔드포인트, 네트워크, MSS 등 설립 이래로 여러 고객사에서 쌓아 온 전문 지식과 경험을 통합하고 확장해 엔트포인트, 네트워크에서 클라우드까지 기업과 조직 전체의 안전한 보안 환경을 구축하고 관리하는 서비스를 제공하고자 한다. 또한 자사 R&D 센터에서 국내 보안 환경에 적합한 데이터 보안 솔루션을 개발하고 다양한 분야의 네트워크 보안 솔루션을 라인업해 사업의 영역을 점차 확대하고자 한다.
길민권 기자, 데일리시큐(https://www.dailysecu.com)