AI 보안·클라우드 보안, SOAR…최근 쏟아진 사이버보안 신제품들

기업들은 종종 대형 이벤트에 맞춰 신제품이나 의미있는 사업제휴 소식을 발표한다. IT업체들은 자체 행사가 아니더라도 업계에서 유명한 컨퍼런스나 전시회가 진행될 때를 맞춘다.

예를 들어 소비자 가전, 스마트 기기 업체들은 스페인 바로셀로나에서 열리는 CES, 통신 장비와 관련 솔루션 업체들은 MWC에서, 보안업체들은 RSA컨퍼런스(RSAC)를 겨냥한다.

세계 최대 규모 사이버보안 분야 이벤트인 ‘RSA컨퍼런스(RSAC)2020’이 미국 샌프란시스코에서 2월 24일(현지시간)부터 28일까지 열렸다. 이 행사를 전후해 보안 신제품들이 쏟아져 나왔다. 글로벌 보안 기업들은 대부분 RSAC에 맞춰 신제품 발표 일정을 맞추는 모양새다.

최근 기업들이 야심차게 선보인 보안 신제품들을 소개해본다. (업체명 가나다순)

미국 샌프란시스코 모스콘센터에서 열린 RSAC2020 전시장 입구. 세계 658개의 기업들이 첨단 사이버보안 기술과 제품들을 대거 전시했다.

마이크로소프트, 하이브리드 환경을 위한 AI 기반 보안 솔루션 발표

마이크로소프트는 미국 샌프란시스코에서 열린 세계 최대 보안 컨퍼런스 ‘RSAC2020’에서 하이브리드 환경을 위한 인공지능(AI) 보안 솔루션을 소개했다.

이번에 발표된 ‘마이크로소프트 보안 위협 보호(Microsoft Threat Protection)’ 솔루션은 사용자, 이메일, 애플리케이션과 맥, 리눅스를 포함한 엔드포인트 전반에 걸쳐 위협을 능동 감지·보호하며, AI와 자동화 솔루션을 기반으로 사용자에게 알림을 주고 조치를 취한다. 또한 보안 전문가들이 자동적으로 멀티포인트 공격을 감지·조사하고 이를 중지할 수 있도록 사일로를 분류한다. 즉, 중요하지 않은 건들은 제거하고 놓쳤을 수 있는 시그널은 증폭시켜 보안 담당자가 중요한 업무에 더욱 집중할 수 있도록 한다. 이는 아이덴티티 보호를 핵심으로 하는 제로트러스트(Zero Trust)를 위해 설계됐다.

기존 윈도우와 맥 운영체제(OS)를 지원해온 ‘마이크로소프트 디펜더 ATP(Defender Advanced Threat Protection)’는 추가적으로 리눅스와 iOS, 안드로이드까지 지원한다는 계획도 발표했다. 엔드포인트 보안을 위한 마이크로소프트 디펜더 ATP는 예방적 보호, 사후 탐지, 자동 조사 및 대응 기능을 제공한다.

퓨전 AI 기술을 탑재한 최초의 클라우드 네이티브 보안정보이벤트관리(SIEM) 시스템인 ‘애저 센티널(Azure Sentinel)’도 선보였다. 애저 센티널은 정확도가 낮은 방대한 양의 시그널을 보안 전문가들이 집중해야 할 몇 가지 중요한 이벤트로 전환한다.

2019년 12월에만 마이크로소프트 내에서 500억개에 가까운 의심스러운 신호를 평가했으며, 이를 보안운영(SecOps) 팀들이 조사할 수 있는 신뢰도가 높은 25건으로 추렸다.

마이크로소프트는 고객이 전체 멀티 클라우드 자산을 안전하게 보호할 수 있도록 하는 ‘사물인터넷(IoT)용 애저 센티널 커넥터’ 공식 출시 소식도 알렸다.

이밖에 최고정보보호책임자(CISO)의 최대 관심사로 떠오르는 내부자 위험 관리를 위한 새로운 ‘인사이더 리스크 매니지먼트(Insider Risk Management)’ 솔루션도 공개했다. 마이크로소프트 365에 포함된 해당 솔루션은 기업 내 일상적인 행동과 변칙적인 행동을 구별해 내부적 위험을 최소화할 수 있도록 돕는다. 머신러닝을 기반으로 위험 가능성이 있는 행동들을 지능적으로 감지하고, 부주의로 인해 실질적인 보안 위협이 될 가능성이 높은 행동들을 신속하게 파악한다.

마이크로소프트는 보안 솔루션에 탑재된 AI 기능은 매일 8조 개의 위협 신호와 3500명의 보안 전문가들의 인사이트를 기반으로 학습된다. 맞춤형 알고리즘과 머신러닝 모델은 매일 수십억 개의 쿼리를 만들고 이를 통한 학습 과정을 거치게 된다. 그 결과, 마이크로소프트 보안 솔루션은 약 1년 전 대비 50% 빠른 속도로 위협을 식별, 대응할 수 있게 됐고, 2년 전에 비해 보안담당자의 일상 업무의 97%를 자동화 할 수 있게 됐다고 회사측은 밝혔다.

VM웨어, 기업 내재적 보안 지원하는 보안 제품군 공개

VM웨어 역시 ‘RSAC2020’에서 기업의 내재적 보안(Intrinsic Security) 강화를 위한 포트폴리오의 최신 업데이트를 공개했다. ‘VM웨어 어드밴스드 시큐리티 포 클라우드 파운데이션(Advanced Security for Cloud Foundation)’과 ‘VM웨어 카본블랙 클라우드’가 이번 발표에 포함돼 있다.

데이터센터에 최적화된 보안 솔루션인 ‘VM웨어 어드밴스드 시큐리티 포 클라우드 파운데이션’에는 카본블랙 차세대 안티바이러스(NGAV)와 엔드포인트 탐지·대응(EDR), 웹 애플리케이션 방화벽(WAF)을 갖춘 NSX 어드밴스드 로드밸런서, VM웨어 NSX 디스트리뷰티드 침입탐지/침입방지시스템(IDS/IPS)을 추가할 계획이다. 이 제품은 VM웨어 브이스피어(vSphere)와 긴밀하게 통합돼 워크로드의 위치와 관계없이 높은 수준의 보안을 지원한다.

VM웨어는 공격 전략과 기술, 절차(TTP)를 분류하는 마이터 어택(MITRE ATT&CK) 프레임워크 테크닉 아이디(Technique IDs, TIDs)의 자동화된 상관관계(automated correlation)를 ‘VM웨어 카본블랙 클라우드’에 내장해 출시한다. 내장된 마이터 어택 기술을 기반으로 고객들은 잠재 위협을 발견하고 보안 정책을 개선하기 위해 특정 TTP를 검색할 수 있다.

아울러 VM웨어 카본블랙은 리눅스 멀웨어 방지 기능을 추가 지원한다.

산제이 푸넨(Sanjay Poonen) VM웨어 고객 운영 부문 최고운영책임자(COO)는 “공격자의 행동이 더욱 정교해지고 보안 위협, 침입 및 악용이 계속 확대되고 있다. 클라우드, 신규 애플리케이션, 광범위한 모빌리티, 사물인터넷(IoT), 엣지에서 발생하는 데이터가 중요해짐에 따라 보안 문제가 더욱 심각해지고 있다”며 “내재적 보안을 통해 기업은 모든 애플리케이션, 모든 클라우드, 모든 디바이스 전반에서 인프라와 특정 기능을 활용해 네트워크부터 엔드포인트, 워크로드, 아이디(ID), 클라우드까지 디지털 인프라를 더욱 안전하게 보호할 수 있다”고 강조했다.

파이어아이, 새로운 클라우드 보안 혁신 서비스 공개

파이어아이는 ‘파이어아이 힐릭스(Helix) 플랫폼’의 기능 확장과 마이크로소프트 팀즈(Teams)와 슬랙(Slack) 같은 협업 툴을 보호하는 ‘파이어아이 메시징 시큐리티’ 등 다양한 클라우드 기반의 보안 혁신 서비스를 선보였다.

힐릭스에 새롭게 탑재된 UEBA(User and Entity Behavior Analytics) 기능은 사용자 행동을 분석해 기존 클라우드 보안 제어가 놓칠 수 있는 영역의 위협까지 식별할 수 있다. 이 기능은 머신러닝을 통해 행동 기준치를 설정하고 해당 범위를 벗어난 위험 요소는 경고를 보낸다. 새로운 보안 모니터링은 위험 개체를 식별하고, 내부 위협 및 후속 위험요소, 기타 일반적 클라우드 위험성으로부터 조직을 보호한다.

파이어아이는 작년 10월 발표한 ‘파이어아이 디텍션 온디맨드(FireEye Detection On Demand)’를 힐릭스와 통합했다. 아마존웹서비스(AWS) 마켓플레이스에서 이용할 수 있는 파이어아이 디텍션 온디맨드는 클라우드 환경에서 악성 콘텐츠와 위협을 손쉽게 모니터링할 수 있도록 한다.

파이어아이 디텍션 온디맨드 고객은 힐릭스에서 바로 실행하는 플러그앤플레이(plug-and-play) 방식의 통합으로 해당 기능에 액세스할 수 있다. 분석을 원하는 고객은 클라우드에 저장된 콘텐츠를 디텍션 온디맨드에 전송하면 힐릭스 내 활동에 대한 자동 생성 보고서를 제공받을 수 있다.

‘파이어아이 메시징 시큐리티’는 협업툴에 공유된 대상과 링크를 스캔해 제로데이 멀웨어와 피싱 링크를 실시간으로 식별해 사이버공격 위험을 줄인다. 또 의심스러운 대상이 확인될 경우 사용자에게 경고를 보내 위협 요소가 클라우드 파일 공유 서비스까지 닿지 못하도록 보호한다.

파이어아이는 클라우드 보안 혁신 서비스 제공을 위해 지난 1월 인수한 클라우드바이저리 솔루션을 바탕으로 멀티클라우드 자산 및 컨테이너화된 워크로드에 대한 가시성, 컴플라이언스, 보안 정책 거버넌스를 지속적으로 제공할 예정이다. 클라우드바이저리 솔루션은 이제 ‘파이어아이 클라우드 가시성(FireEye Cloud Visibility)’ 서비스로 제공된다. 이는 파이어아이 힐릭스 플랫폼에 통합돼 있다. 고객은 단 하나의 창에서 멀티클라우드 환경을 관리할 수 있다.

이와 함께 파이어아이는 RSAC에서 인텔리전스 주도형 보안 전략을 취하는 기업과 기업을 위한 ‘맨디언트 위협 인텔리전스 스위트’ 솔루션도 출시했다. 큐레이션된 위협 인텔리전스를 구독형과 서비스형으로 구성해서 조직이나 기업이 원하는 수준에 따라 단계별로 이용할 수 있다.

산드라 조이스(Sandra Joyce) 파이어아이 글로벌 위협 인텔리전스 운영 부문 수석부사장은 “새로 출시된 위협 인텔리전스 스위트는 단계별 번들을 제공해 점차 복잡해지는 조직들의 인텔리전스 요구 사항에 맞추면서 발전할 수 있게 설계됐다”라면서 “이 인텔리전스 스위트는 보안 업무를 간헐적으로 수행하는 고객부터 보안에 전념하는 내부 위협 인텔리전스 팀을 갖춘 조직까지 구독형 및 일반 서비스를 제공해 조직이 보안 리스크를 줄이는 중요 의사결정을 내리는 데 도움을 제공할 것”이라고 덧붙였다.

팔로알토네트웍스, SOAR 플랫폼 ‘코어텍스 XSOAR’ 출시

팔로알토네트웍스가 출시를 발표한 ‘코어텍스 XSOAR’는 확장형 보안 오케스트레이션, 자동화, 대응 플랫폼이다. 2019년 3월 인수한 데미스토(Demisto) 제품을 고도화한 것으로, 전사 차원에서 위협에 즉각 대처할 수 있는 기반을 제공한다.

팔로알토네트웍스는 위협 인텔리전스 관리를 핵심 요소로 활용해 보안 오케스트레이션, 자동화, 대응 범주를 재정의하고 있다. 통합 케이스 관리, 자동화, 실시간 협업 등의 주요 보안 오케스트레이션, 자동화, 대응(SOAR ; Security Orchestration, Automation and Response) 기능과 위협 인텔리전스 관리를 긴밀하게 통합함으로써, 전체 위협 피드를 체계적으로 운영할 수 있도록 지원한다.

리 클라리치(Lee Klarich) 팔로알토네트웍스 최고제품책임자는 “최근 보안 담당자들은 압도적인 양의 경보 메시지, 위협 인텔리전스 정보, 기타 보안 업무들로 어려움을 겪고 있다. 이를 해결하기 위해 SOAR와 위협 인텔리전스 관리는 몇 년 간 각각 꾸준히 발전해 왔지만, 기존 제품들의 사일로가 발생하며 더 많은 수작업을 초래하는 결과로 이어졌다”며 “위협 인텔리전트 데이터를 ‘코어텍스 XSOAR’에 가져옴으로써 보안 오케스트레이션은 극도로 단순해진다. 진정한 SOAR 전략을 구현하기 위해선 네이티브 위협 인텔리전스 통합이 필수적이다”고 말했다.

팔로알토네트웍스는 코어텍스 XSOAR의 특장점으로 ▲폭넓은 보안 사용 사례에 대한 프로세스 표준화 및 자동화 ▲보안 중심의 사례 관리로 모든 알림에 빠른 대응 ▲실시간 협업 기반 보안운영팀(SecOps) 효율성 향상 ▲신뢰도와 속도가 보장된 위협 인텔리전스를 통해 즉각 조치를 꼽았다.

포티넷, ‘포티AI’ 그리고 최신 운영체제 ‘포티OS 6.4’ 발표

포티넷은 자가학습 DNN(Deep Neural Networks)를 활용해 시간이 많이 걸리던 보안 분석 수작업을 빠르게 진행해 위협 치료와 대응을 가속화하는 최초의 온프레미스 어플라이언스인 ‘포티AI(FortiAI)’를 발표했다.

포티AI의 ‘버추얼 시큐리티 애널리스트(Virtual Security Analyst)’는 포티가드랩에서 개발한 사이버보안 AI를 내장함으로써 즉각적으로 조직의 네트워크에서 지능형 위협 탐지를 1초 미만(sub-second)으로 제공할 수 있게 한다.

존 매디슨(John Maddison) 포티넷 최고마케팅책임자(CMO) 겸 제품 총괄 선임 부사장은 “포티넷은 포티가드랩의 클라우드 기반 AI 주도 위협 인텔리전스에 상당한 투자를 진행해 더 많은 위협을 보다 빠르고 정확하게 탐지할 수 있다. 포티AI는 포티가드랩의 AI 지식을 활용해 온프레미스 구축을 위해 패키지했다. 고객은 자가학습 AI를 통해 자사 환경에서 직접 포티가드랩의 역량을 활용할 수 있다. 몇 초 안에 정교한 위협을 식별, 분류, 조사할 수 있다”고 밝혔다.

이에 앞서 포티넷은 최근 보안 플랫폼인 ‘포티넷 보안 패브릭(Fortinet Security Fabric)’을 지원하는 새로운 최신 운영체제(OS)인 ‘포티(Forti)OS 6.4’도 발표했다. 포티OS 6.4는 350여개 새로운 기술을 제공한다. 새로운 자동화, 확장성, 성능, AI 등을 통해 전체 디지털 인프라에 대한 사이버 보호 기능을 제공한다.

포티OS 6.4는 기업들의 디지털 혁신 목표를 지원하기 위해 포티넷 보안 패브릭(Fortinet Security Fabric)과 포티가드 랩(FortiGuard Labs)의 4가지 핵심 요소에 맞춰서 새로운 기술을 제공한다. 주요 특징으로는 보안 중심 네트워킹(Security-driven Networking), 제로트러스트 네트워크 액세스(Zero-trust Network Access), 동적인 클라우드 보안 지원 등이다.

포티OS 6.4는 먼저 보안 중심 네트워킹 지원으로 네트워크 품질과 사용자 경험을 크게 향상시킬 수 있다. 예를 들어 패브릭 관리센터의 새로운 소프트웨어정의광대역네트워크(SD-WAN) 오케스트레이터와 세분화된 애플리케이션 분류를 통해 ‘시큐어 SD-WAN’ 구축 운영 단순화와 자동화를 지원하며, 포티게이트 통합 보안 솔루션에서도 실시간 SD-WAN 애플리케이션 분석을 최적화해 일관되고 탄력적인 비즈니스 애플리케이션 경험을 구현한다.

제로트러스트 네트워크 액세스 지원으로 네트워크 접속 유무 상태에 따른 사용자와 장치를 식별·보호한다. 포티애널라이저를 통한 패브릭 토폴로지 맵에 네트워크접근제어(NAC) 제품을 통합해 포티넷 보안 패브릭 전반에서 네이티브 기기에 대한 가시성을 향상시킨다. 사물인터넷(IoT) 기기 자동 감지와 논리적인 망분리 기술로 제로트러스트 네트워크 액세스 구현을 단순화한다.

클라우드 인프라와 애플리케이션 보안·제어 기능도 강화됐다. 포티메일과 포티CASB의 통합으로 오피스365 보안 커버리지를 확장해 보다 광범위한 클라우드 애플리케이션 보호 기능을 제공하며, 새로운 포티웹 딥 머신러닝 기술로 언제 어디서나 운영되면서도 지속적으로 변화하는 웹 애플리케이션 보호 기능을 제공한다. 포티웹은 물리 또는 가상 어플라이언스, 퍼블릭·프라이빗 클라우드의 소프트웨어서비스(SaaS), 도커 컨테이너로 구축 가능하다. 아울러 포티CWP는 자산 인벤토리 및 간소화된 보안 운영 워크플로우로 클라우드 워크로드 보호 기능 및 멀티 클라우드 가시성을 향상시킨다.

존 매디슨 포티넷 CMO 겸 제품 총괄 선임 부사장은 “이번 포티OS 6.4 발표를 포함해 포티넷은 다중 공격 벡터 및 인프라에 대한 자동화된 보안 운영 업무 프로세스 워크플로우를 제공하기 위해 포티넷 보안 패브릭을 지속적으로 향상시켜왔다. 포티넷은 업계에서 가장 광범위한 제휴 파트너 에코시스템, 업계 선두의 연구와 분석 팀, 통합 보안 인텔리전스 에코시스템을 구축해 가장 포괄적인 사이버 보안 플랫폼을 제공하고 있다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

첫 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다