지능형위협 실시간 방어 위한 팔로알토네트웍스의 선택, ‘인라인 머신러닝 차세대방화벽’

알려지지 않은 위협을 분석해 대응하는데 걸리는 단 5분의 시간도 허용치 않겠다. 실시간 지능형 위협에 대응하는 방법은 머신러닝을 네트워크 핵심부(Core)에 탑재해 인라인(inline)에서 무지연(Zero-delay)으로 위협 분석, 보호 기능을 제공하는 것이다.

팔로알토네트웍스가 머신러닝(ML)을 탑재한 차세대방화벽을 선보였다. 출시 배경을 요약하면 이렇다.

70여가지 새 기능을 추가해 새롭게 선보인 차세대방화벽 운영체제인 PAN-OS 10.0에 머신러닝 기능을 적용했다. 선제적으로 지능형 위협을 차단할 뿐만 아니라 확산되는 사물인터넷(IoT) 기기를 다양한 위협으로부터 보호함으로써 네트워크 보안을 혁신하겠다는 포부다.

7일 팔로알토네트웍스코리아(대표 이희만)가 개최한 온라인 기자간담회에서 닐 주크(Nir Zuk) 팔로알토네트웍스 창업자 겸 최고기술책임자(CTO)는 영상을 통해 “차세대방화벽을 발표한 지 13년이 지난 지금 네트워크 보안 시장은 또다시 혁신해야 할 때가 왔다”고 강조했다.

팔로알토네트웍스는 설립한 지 2년이 지난 2007년 애플리케이션과 사용자를 제어할 수 있는 차세대방화벽을 선보이면서 네트워크 보안 시장에 파란을 일으켰다. 이후 포트와 IP 차단 중심의 전통적인 L3 네트워크 방화벽 시장을 대체하며 큰 성공을 거뒀다. 이번 출시는 13년 전 차세대방화벽을 처음 출시하는 것에 견줄만한 혁신이라는 것이 그의 이야기다.

주크 CTO는 “막다른 골목을 향해 가고 있다. 돌파구를 찾아야 한다”고 진단하면서 그 방안으로 “네트워크 보안에 머신러닝을 도입해 지금까지 수동으로 해왔던 작업을 머신러닝을 사용해 자동화할 때가 왔다. 이제는 머신러닝이 네트워크 보안의 핵심, 방화벽의 코어가 돼야 한다”고 제시했다.

혁신이 필요한 이유는 클라우드, 모바일이 발전하고 OS 종류도 다양해지는 등 IT·보안 환경은 갈수록 복잡해지고 있는 반면에, 사이버위협은 폭발적으로 증가하고 있고 또 고도화되고 있기 때문이다. 하이브리드 클라우드, IoT 기기, 원격 근무에 이르기까지 기업망의 범위가 확장되고 있는 가운데 공격의 속도는 빨라지고 있고 자동화를 통해 공격자들은 진화하고 있다는 것이다.

팔로알토네트웍스는 알려지지 않은 지능형 위협에 빠르게 대응하기 위해 그동안 위협 인텔리전스 클라우드 ‘와일드파이어’에 수집된 새로운 위협을 분석한 뒤 이에 대응하는 시그니처를 자동 생성해 차세대방화벽 제품에 배포하는 체계를 운영해왔다. 위협을 분석해 시그니처를 제품에 업데이트하는 시간을 계속해서 줄여나가 5년 전부터는 그 시간을 5분으로 단축했다고 공표해왔다. 알려지지 않은 위협을 빠르게 알려진 위협으로 바꿔 ‘선제방어’를 수행하자는 취지였다.

주크 CTO는 “창업 초기 당시 업계 표준은 24시간마다 시그니처 업데이트를 하는 것이다. 우리도 그렇게 했다. 그 이후 24시간 이하로 감축했다. 몇 시간이 걸리던 것에서 한 시간으로, 15분으로, 나아가 10분으로 감축했고 지금은 5분으로 줄였다. 앞으로도 아주 열심히 연구해 4분, 3분 이하로 시간을 줄여나갈 수 있을 것이다. 하지만 계속 이런 식으로는 부족하다. 결국 실시간에 가까워야 한다”고 말했다.

공격자들은 자동화 기술을 사용해 공격을 자동화하고 있다. 그에 대한 대응으로 네트워크 보안 분야에서도 그동안 머신러닝 기술을 사용해왔다. 그럼에도 팔로알토네트웍스는 머신러닝을 사용하는 기존의 시도와는 차별화된다고 했다. 이 회사가 혁신이라고 주장하는 것에는 머신러닝 기술이 네트워크 보안의 핵심으로 작용하는 데 있다.

주크 CTO는 “머신러닝은 이미 오랫동안 네트워크 보안 분야에서 사용해왔다. 하지만 주된 용도는 방화벽 내부가 아닌 외부였다. 그리고 여러 요소의 맨 위에 살짝 뿌려서 얹는 마법가루 같은 역할에 더 가까웠다. 샌드박스나 유저엔터티행위분석(UEBA) 기술의 기능을 살짝 개선하는 수준”이라면서 “그런 차원이 아니라 머신러닝을 네트워크 보안의 핵심으로 끌어와 방화벽 코어가 돼야 한다”고 제기했다.

이를 위한 조건으로 네 가지 요소가 충족돼야 한다고 제시했다. 일단 ▲머신러닝이 인라인이어야 하고 이를 위해 ▲내장(embeded)돼 있어야 하는 것은 물론 클라우드 기반으로도 머신러닝이 이뤄져야 한다. 이같은 작업은 ▲거의 실시간으로 수행돼야 한다. 또 ▲대규모 데이터 수집이 근간이 돼야 한다. 이 모든 요소들이 PAN-OS 10.0을 통해 팔로알토네트웍스 차세대방화벽에서 구현했다고 밝혔다.

주크 CTO는 “세계 최초의 머신러닝 차세대방화벽은 머신러닝을 보안의 핵심으로 가져와 실시간 시그니처 없이 작동한다. 엔지니어나 보안분석가가 수동 분석 작업 없이도 알아서 해주는 방화벽”이라고 소개하면서 “머신러닝을 실시간 10기가비트(G)·100G 속도로 정확하게 실행해야하는 일이 쉽지는 않다. 오랜 기간 기술을 다듬어 네트워크 보안의 핵심에 적용할 수 있게 만들었다. 경쟁사들은 이같은 기술을 모방할 수 없을 것”이라고 부각했다.

팔로알토네트웍스는 실시간 인라인 머신러닝 모델을 적용한 차세대방화벽을 통해 시스템 감염을 99.5% 줄이고, 알려지지 않은 파일과 웹 기반 공격을 95%까지 즉시 보호할 수 있을 것이라고 내세웠다. 알려지지 않은 악성코드 위협을 인라인에서 시그니처 없이 무지연으로 막아 처리하고, 수 초 이내에 시그니처를 업데이트하는 방식으로 동작한다.

한편, PAN-OS 10.0을 탑재한 머신러닝 기반 차세대방화벽은 IoT 보안까지 해결할 수 있도록 구현됐다. 별도의 센서나 인프라 구축 없이 차세대방화벽을 센서로 활용해 IoT 기기에 대한 가시성을 제공하며, 새로운 기기를 식별해 이상징후와 취약성을 파악해 적절한 보안정책을 권고한다. 머신러닝 기반 분석을 거쳐 제공하는 기능이다.

김병장 팔로알토네트웍스코리아 전무는 “IoT 기기를 보호하기 위해서는 라이프사이클을 따르는 것이 중요하다. 팔로알토네트웍스 머신러닝 기반 차세대방화벽은 IoT 기기가 얼마나 많이 설치돼있는지 자산을 식별, 파악할 수 있도록 가시성을 확보하게 하며, 위험을 분석해 적절한 보안정책을 추천해준다. 알려지지 않은 위협도 차단한다”며 “차세대방화벽을 IoT 기기를 찾아낼 수 있는 센서로 활용하기 때문에 네트워크 장비나 센서의 추가 없이 IoT 기기를 정확히 인식해 분류할 수 있고, 심도깊은 위협분석과 함께 악성코드를 차단할 수 있다는 것이 장점”이라고 설명했다.

팔로알토네트웍스는 이날 컨테이너 차세대방화벽인 CN시리즈도 선보였다. 이 제품은 컨네이너화된 PAN-OS를 바탕으로 컨테이너·쿠버네티스 환경에 통합돼 가시성과 제어 기능을 수행한다. 머신러닝 기반 방화벽, L7 네트워크 보안, 간편한 복호화, 고가용성 클러스터링 기능 등을 제공한다.

한편, 4개월 전 취임 후 처음 온라인을 통해 기자들과 만난 이희만 팔로알토네트웍스코리아 대표는 “뛰어난 솔루션을 가진 팔로알토네트웍스에 합류해 영광이다. 보람도 느끼고 있다”고 소회를 밝히고 “팔로알토네트웍스가 한국에서 포괄적인 사이버보안 수요를 비롯해 고객의 디지털 트랜스포메이션에서 보안 분야 파트너로서 협업할 수 있는 회사로 포지셔닝하는 것이 목표”라고 말했다.

[취재파일 플러스] 닐 주크 창업자가 예상한 경쟁사 반응

닐 주크 창업자는 이날 머신러닝 기반 차세대방화벽을 소개하면서 “경쟁사들은 이같은 기술을 모방할 수 없을 것”이라고 자신감을 내비쳤다. 그만큼 이번 출시가 혁신적이라는 주장이다.

“머신러닝을 네트워크 보안의 핵심으로 가져왔고, 실시간 시그니처 없이 작동해 엔지니어나 보안분석가의 수동분석 없이도 알아서 하는 차세대방화벽”을 선보이는 이번이 13년 전 차세대방화벽을 처음 출시하면서 네트워크 보안 시장에서 이룬 혁신에 비견할만한 두 번째 혁신이라는 것. 하지만 경쟁사들은 이전에도 그랬던 것처럼 또다시 자사를 반박하는 반응을 나타낼 것이라며, 예상 반박내용을 5가지로 구체적으로 제시했다.

· 스테이지1. 무시(ignore) – “머신러닝, 인라인이 도대체 뭐냐? 우리 제품만으로 충분하다. 걱정마라. 그거 다 소용없다고 말한다.”

· 스테이지2 부정(denial) – “우리 회사도 오래 전부터 머신러닝 적용해왔다고 한다.”

· 스테이지3 예언(prophecy) – “기다려라. 우리도 코어(핵심)에 머신러닝을 적용할 것이다. 현재 개발 중이다. 이렇게 말한다.”

· 스테이지4 허풍(bluffing) – “우리도 똑같이 제공하고 있다. 우리 아키텍처도 머신러닝을 지원한다. 진짜다. 하지만 테스트는 하지 말라고 이야기한다.”

· 스테이지5 희망사항(wishful thinking) – “겉포장만 바꾸고 나서 고객들에게 이걸로 족하다고 설득하려 할 것이다.”

지난 13년 간 경험에서 우러나온 예상이다. 그만큼 매우 구체적으로 제시했다. 과연 경쟁사들은 어떤 반응을 나타낼 지 궁금하다.