팔로알토네트웍스 “알려지지 않은 위협 대응, 15분→5분으로 단축”

팔로알토네트웍스가 알려지지 않은(Unknown) 사이버위협을 5분 안에 알려진(Known) 위협으로 전환해 신속 대응하는 체계를 구축했다. 5년 전까지만 해도 알려지지 않은 위협에 대응하는데 수 시간, 올 1~2월만 해도 15분 걸리던 것에서 그 간격을 5분으로 대폭 단축했다.

팔로알토네트웍스는 지능형 위협에 빠르게 대응하기 위해 자체 위협 인텔리전스 클라우드(와일드파이어)에 수집된 새로운 위협을 분석, 이에 대응하는 시그니처 등을 자동 생성하는 체계를 운영하고 있다. 생성된 시그니처 등은 전세계 120개국 3만여 고객사에 구축된 차세대 보안 플랫폼에 확산 적용한다.

최원식 팔로알토네트웍스코리아 사장은 16일 오후 개최한 기자간담회에서 “새로운 운영체제(OS)인 PAN-OS 7.1 버전을 출시하면서 알려지지 않은 위협을 알려진 위협으로 바꾸는데 15분 걸렸던 것을 5분으로 단축했다. 업계 유일의  ‘선제방어 기능’”이라며 “‘와일드파이어’ 샌드박스에서 위협을 탐지·분석한 뒤 팔로알토 플랫폼에 룰을 업데이트해 빠르게 공격을 막아준다”고 밝혔다.

이 자리에 함께 한 K.P. 우니크리쉬넌 팔로알토네트웍스 아태지역 마케팅 총괄은 이처럼 빠른 대응체계가 가능해진 요인을 이렇게 꼽았다.

“전세계 3만여 고객사와 보안업계 위협정보 공유체계인 ‘사이버위협얼라이언스(CTA)’를 활용해 폭넓은 위협 데이터를 인텔리전스 클라우드에서 수집·분석, 공유하고 있다. 고객사가 많아질수록 더욱 많은 위협 데이터와 사례가 축적된다. 우리의 차세대 보안 플랫폼 아키텍처와 자동화된 프로세스가 어우러져 5분 이내 알려지지 않은 새로운 위협을 빠르게 방어할 수 있도록 운영하고 있다.”

아울러 그는 “보안취약점이 발견돼 공격이 이뤄지는데 (이르면) 4시간, 이에 대응하는데 8시간 걸린다. 특정 기업이나 국가(지역)에서 발생한 새로운 위협이 5분 안에 다른 곳으로 확산될 수는 없다”고 말해 현실화된 ‘선제방어’체계를 구현했다는 것을 시사했다.

팔로알토 통합보안 플랫폼팔로알토네트웍스는 그동안 보안위협 ‘선제방어(Prevention)’ 전략을 꾸준히 주창해 왔다.

지난해 하반기 방한한 릭 하워드 팔로알토네트웍스 최고보안책임자(CSO)는 “사이버위협을 선제적으로 방어하는 것은 불가능하지 않다”며 “사이버위협 침입은 막을 수 없고 위협이 발생하는 즉시 이를 신속하게 탐지해 대응해야 한다는 (사후 조치) 방안을 제시하는 것은 선제적 위협방어를 포기하는 것”이라고 비판하기도 했다.

지능형 사이버위협이 거세지면 최근 보안업계에서는 위협 방어나 차단은 한계에 봉착했다는 지적이 나왔다. 예방이나 방어, 차단 모델은 실패했다는 것을 인정하고 탐지와 분석, 대응 위주의 전략으로 변화해야 한다는 목소리가 커졌다. 탐지와 대응에 초점을 맞춘 새로운 솔루션도 대거 출현했다.

‘보안 삼각편대’ 구축, 가상화·클라우드 환경까지 지원 

팔로알토네트웍스(이하 팔로알토)의 ‘선제방어’ 모델은 차세대 통합보안 플랫폼을 기반으로 구현한다. 이를 활용해 사이버공격 라이프사이클에 최적화된 방어 모델을 운영할 것을 권고하고 있다.

사이버공격이 이뤄지는 과정(라이프사이클)은 대개 이렇다. 먼저 공격 대상이되는 기업의 네트워크를 정찰해 침투한 뒤 취약점을 찾는다. 이후 이를 악용할 공격 무기를 개발하고 이를 설치해 공격 교두보를 만든다. 이후 외부의 명령제어(C&C) 채널을 구축한 뒤 악성코드나 익스플로잇을 활용해 실제 공격을 수행하고 공격목표를 달성한다. 각 단계 각각 대응할 수 있는 체계를 플랫폼상에서 구축해 연결고리를 끊어야 한다는 게 팔로알토의 모델이다.

팔로알토 공격 라이프사이클 방어팔로알토의 차세대 통합보안 플랫폼은 차세대 방화벽(네트워크 보안), 위협 인텔리전스 클라우드, 지능형 엔드포인트 보안 솔루션으로 구성된다.

최근 팔로알토는 물리·가상 인프라와 클라우드 등 분산된 환경에 관계없이 전체 환경에 대한 가시성과 제어, 위협 방어를 제공할 수 있도록 기능을 강화하고 있다.

팔로알토가 최근 선보인 차세대 방화벽 OS인 ‘PAN-OS 7.1’도 이를 위한 기능이 대폭 강화됐다.

PAN-OS 7.1는 팔로알토의 가상 방화벽인 VM 시리즈를 위한 마이크로소프트 애저(Azure), 하이퍼브이(Hyper-V) 지원이 추가됐다. 아마존웹서비스(AWS)의 VM 시리즈 오토스케일 기능도 강화됐다. 이를 기반으로 팔로알토 고객은 확장형 보안 아키텍처를 구현해 네트워크에서부터 퍼블릭·프라이빗 클라우드, 원격 사용자를 아우르는 방어체계를 구축할 수 있다.

오피스 365 등 서비스형소프트웨어(SaaS) 지원도 확대됐다. SaaS 애플리케이션 가시성과 단위별 제어 기능을 제공하는 SaaS 보안 서비스 ‘애퍼처(Aperture)’를 업데이트해 SaaS 애플리케이션의 안전한 활용을 지원한다.

지능형지속위협(APT) 탐지를 위한 가상화 샌드박스 솔루션인 ‘와일드파이어’와 위협 인텔리전스 서비스 ‘오토포커스’ 관련  새로운 기능도 추가됐다. 이를 통해 5분 간격으로 업데이트 되는 글로벌 와일드파이어 피드를 통한 공격을 신속하게 차단할 수 있도록 지원한다. 오토포커스를 통해 모든 공경에 대한 전후 흐름(Context)를 추가해 실행 가능한 위협 인텔리전스를 구축할 수 있도록 한다.

PAN-OS 7.1은 맥 OS X 플랫폼도 지원한다.

우니크리쉬넌 총괄은 “PAN-OS는 애플리케이션을 운영하는 위치에 관계없이 지속적인 보안이 보장되어야 하는 환경에 최적의 해답을 제시한다”며 “클라우드 기반 인프라와 애플리케이션이 제공하는 민첩성의 이점을 누리는 동시에 지속적인 보안 유지가 필요한 기업들을 위해 설계된 차세대 보안 플랫폼”이라고 강조했다.

하반기부터 엔드포인트 제품 ‘트랩스’ 국내 사업 본격화, 공공 영업 시동

팔로알토는 차세대 통합보안 플랫폼 구성요소 가운데 하나인 엔드포인트 보안 솔루션 ‘트랩스’ 사업을 올 하반기부터 국내에서도 본격화할 예정이다. 이를 기반으로 국내에서도 위협 인텔리전스 클라우드, 네트워크 보안, 엔드포인트 보안을 바탕으로 명실상부한 차세대 통합보안 플랫폼 구축을 지원할 수 있게 된다.

최 지사장은 “2017년 회계연도가 시작되는 8월부터 차세대 엔드포인트 제품인 ‘트랩스’ 사업을 본격화한다. 이로써 위협 인텔리전스 클라우드, 네트워크 보안, 엔드포인트 보안으로 구성된 보안의 삼각구도를 완성하게 됐다”고 말했다.

‘트랩스’에 대해 최 사장은 “실시간 라이브업데이트를 하지 않아 안티바이러스(백신)에 비해 성능이 뛰어나고 경량화돼 있으면서도 익스플로잇까지 막아주는 차세대 엔드포인트 제품”이라고 설명하면서 “올 하반기에는 차세대 엔드포인트 제품 경쟁이 본격 시작될 것”이라고 전망했다.

팔로알토는 회계년도 2017년 더욱 공격적인 사업을 펼칠 계획이다. 올해(회계연도 2016년) 매분기 두 자리 수 이상의 매출 성장을 지속하면서 지사 설립 최대 성과를 이룬 한 해로 기록될 것으로 회사측은 예상하고 있다.

올 8월부터 시작하는 내년 회계연도에는 기존에 공략하지 않았던 공공 시장 영업을 본격화할 계획이다. 이를 위해 공공 영업 전담 인력과 전문 채널파트너도 선발할 예정이다.

또한 은행, 증권, 보험, 카드 등 전 금융권에서 30곳의 고객사를 확보한 것을 바탕으로 금융시장 공략도 더욱 강화할 방침이다.

채널파트너 지속 확대로 현재의 대기업 위주의 시장을 탈피해 중소기업(SMB) 시장까지 확장하는 한편, AWS·MS 등과 협력해 클라우드 보안 시장도 선점하는데 주력할 계획이다.

최 사장은 “회계연도 2017년에도 매분기 두 자리 수 성장률을 목표로 하고 있다”며 “공공, 금융 시장에서 사용하는 레거시 방화벽을 차세대 방화벽으로 대체하는데 집중할 것이다. 특히 최근 유행하는 랜섬웨어 선제방어에도 팔로알토가 효과적이라는 것을 지속적으로 입증해 보여줄 것”이라고 계획을 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다