위협 진화에 맞서 발전하는 지능형 보안관제서비스
기업 내부에 침입하는 사이버위협을 탐지하고 대응하는 최전방은 바로 보안관제센터입니다.
수많은 기업들이 크고 작은 보안관제플랫폼을 이용해 내부 인프라와 시스템을 모니터링하면서 조직 내부로 침투하려는 위협에 대응하고 있습니다. 전통적인 보안관제는 관제 대상 시스템들이 만들어내는 로그와 이벤트를 취합해 보여주는 방식으로 이뤄져 왔습니다.
방화벽, 침입방지시스템(IPS), 네트워크관리시스템(NMS) 등에서 생성된 정보를 수집하고 분류해 상황을 보여주고, 설정해놓은 보안정책에 위반되는 사항은 관리자에게 경보(Alert)를 보내줘 위협에 대응할 수 있게 하는 방식이었죠.
통합보안관리시스템(ESM), 위협관리시스템(TMS), 보안정보이벤트관리시스템(SIEM)이 널리 사용돼온 보안관제플랫폼입니다.
초창기에는 ‘경계보안’ 영역인 방화벽, IPS와 같은 네트워크 보안 시스템 위주로만 보안관제가 이뤄지다 보니 기업에서 다양화되는 디바이스 환경과 위협 환경에 제대로 대응하지 못했습니다.
점차 보안관제 대상을 넓히고 분석 기능도 향상시켰습니다. 그리고 보안관제플랫폼도 다양화됐습니다. 하지만 각각 초점을 두고 있는 역할과 기능이 다르다 보니 다양한 위협정보를 연계 분석하지 못하는 또 다른 한계가 노출됐습니다.
위협이 들어오는 경로와 종류가 크게 다양화 되면서 보안 솔루션 수도 계속 늘었고요. 솔루션이 많아질수록 인프라 복잡성은 커지고 그 솔루션들을 관리하는 것 자체만도 힘에 부치는 상황이 됐습니다. 이같은 환경에서는 조직에 영향을 미칠만한 실제 위협을 걸러내는 것도, 신속한 대응조치를 수행하는 것도 힘들 수밖에 없겠죠.
사이버위협 공격자들은 빠르게 진화하는데, 방어자들은 선제적 대응은 커녕 그들의 변화 속도를 따라잡지 못할 수밖에 없습니다. 보안관제센터에 있는 관제 요원들이나 분석가들이 해야 할 일은 계속 가중되고요.
수많은 로그와 이벤트 등의 위협정보는 기하급수적으로 증가하는데 이를 처리하고 분석하는데 너무 많은 시간이 소요되기 때문입니다.
기업이 보안관제센터를 직접 운영하거나 전문 보안관제서비스를 받고 있더라도 상황은 비슷할 수밖에 없습니다.
그런데 최근에는 보안관제 분야에서 진일보한 변화가 나타나고 있습니다.
빅데이터 분석과 인공지능(AI) 기술, 오랜기간 축적된 위협정보에 실시간 발생하는 새로운 위협정보까지 더해져 생성되는 사이버위협 인텔리전스를 보안관제 환경에 결합하면서 두드러지는 변화입니다.
이같은 진화된 방식의 보안관제를 국내에서는 차세대 지능형 보안관제라고 부릅니다.
가트너는 ‘MDR(Managed Detection and Response)’이라고 지칭하며 차세대 보안관제 영역으로 분류하고 있습니다.
가트너는 높은 수준의 위협 탐지와 사고 대응에 초점을 맞춘 MDR을 오는 2020년까지 전체 기업·조직의 15%가 채택하고, 보안관제서비스업체의 80%가 제공하게 될 것이라고 전망했습니다.
MDR 서비스를 제공하는 기업을 찾아보니 시스코가 눈에 띕니다. 시스코는 그 차별성을 “이상징후나 추정이 아니라 실제 보안위협을 헌팅하고 명확한 증적을 토대로 확정적인 위협만 걸려낼 수 있다”는 점을 제시합니다.
머신러닝, 딥러닝 기술을 제공하는 AI 기반 빅데이터 분석 플랫폼에서 실시간 자동 분석을 거쳐 걸러낸 위협을 시스코 보안관제센터에 있는 전문가들이 분석해 실제 위협을 다시 추려내는 단계를 밟는다는 특징도 있습니다.
기업 데이터센터 내에 설치된 다양한 보안 솔루션과 시스템에서 나오는 이벤트와 로그 외에 전용 센서로 캡처한 풀 패킷을 기반 데이터로 활용합니다. 시스코 위협 인텔리전스 조직 ‘탈로스’에서 분석한 보안위협정보도 결합하고요.
이 서비스를 시스코는 ‘ATA(Active Threat Analytics)’라고 부르고 있습니다.
요즘 해외 사업을 많이 벌이고 있는 국내 기업들 중에서는 점차 국내 보안 기업 뿐 아니라 글로벌 기업에 보안관제서비스를 맡기려는 경향이 있기도 합니다.
글로벌 보안기업들이 확보하고 있는 사이버위협 인텔리전스가 훨씬 방대하고, 해외 다른 국가에서 발생하는 다양한 위협이 빠르게 반영된다는 장점이 있기 때문입니다.
물론 아직까지 꺼리는 기업들이 많이 있는 것도 사실입니다. 글로벌 기업의 보안관제센터가 해외에 있어, 우리 기업의 데이터가 해외로 넘어가거나 유출될 위험성을 우려합니다.
그 부분에 대해서도 알아보니, 시스코는 ATA 데이터 수집·분석 플랫폼(DCAP)을 서비스 받는 기업 고객사 데이터센터 안에 구축한다고 합니다. 더욱이 보안관제센터에서는 모니터링만 수행할 뿐 데이터를 전혀 저장하지 않는다고 하네요.
예를 들어 전문가가 데이터를 분석하던 중 일정기간 작업 중지 상태가 유지되더라도 저장되지 않고 모두 삭제된다고 합니다. 분석 과정 전체를 기록해 고객사가 직접 살펴볼 수 있도록 제공한다고 하는군요.
갈수록 정교해지는 사이버위협을 빠르게 탐지하고 대응해 보안사고를 방지할 수 있도록 MDR같은 진화된 보안관제 방식이 더욱 발전하고, 또 빠르게 정착됐으면 합니다.
글. 바이라인네트워크
이유지 기자<yjlee@byline.network>
* 이 글은 시스코 The APJC Network 블로그에 게재되었습니다.
