기사는 지난 6월 30일~7월 1일 개최한 바이라인플러스 웨비나 클라우드 네이티브 보안과 SASE(Secure Access Service Edge)’의 ‘효과적인 보안운영을 위한 데이터 분석의 중요성’ 세션을 정리한 기사입니다. 

보안업계에서 최근 공통적으로 하는 이야기가 있다. 바로 “디지털 트랜스포메이션과 재택근무의 활성화로 인해 클라우드 보안의 중요성이 높아졌다”는 것이다. 디지털 트랜스포메이션으로 많은 서비스와 플랫폼이 클라우드상에서 운영되기 시작했고, 사용자들도 여러 부문으로 분산되기 시작했다. 따라서 과거에 외부와 내부의 경계만 지키면 되던 보안 시스템을 탈피하고, 전반적인 시스템을 관제할 수 있는 시스템이 필요한 실정이다.

하지만 이 같은 변화 환경에 제대로 대응하지 못하면 비즈니스 공백기를 경험할 수밖에 없다. 유근준 수모로직코리아 엔터프라이즈 솔루션 엔지니어는 “과거에는 사이버보안 강화를 위해 보안 업체들이 고객사들의 로그 데이터를 하나씩 분석했는데, 통합해서 파악하지 못하고 개별적으로 모니터링해 상호연관관계나 통합적으로 발생하는 문제를 파악하기 어려웠다”며 개선의 필요성을 설명했다.

이번 웨비나에서 유근준 엔지니어는 보안정보이벤트관리(SIEM) 솔루션을 중점적으로 설명했다. SIEM은 통합보안관제솔루션으로, 보안 전략을 수립하는 ‘보안정보관리(SIM)’와 새롭게 발생하는 위협을 관리하는 ‘보안이벤트관리(SEM)’를 통합해 전반적인 보안 관련 경고에 대해 실시간으로 분석하고 정보를 제공하는 솔루션을 말한다.

수모로직은 보안 전문매체 SC매거진에서 2021년 최고의 SIEM 솔루션을 보유하고 있다고 평가받은 바 있다. SC매거진은 “수모로직의 SIEM 솔루션은 현대 환경에서의 클라우드 환경과 분산 환경에서의 고객 요구사항을 가장 만족시키는 솔루션”이라고 설명했다.

수모로직의 솔루션은 ▲규약 ▲보안 분석 ▲클라우드 SIEM에서 특히 강점을 드러내고 있다. 유근준 엔지니어는 “우선 세계적으로 많은 규약이 존재하는데, 수모로직은 이미 만들어진 템플릿 대시보드를 통해 각 규약을 모니터링하고 확인한다”며 “여러 사이트에서 요구하는 증명서도 수모 로직은 고객들에 한해 무료로 발급하고 있다”고 말했다. 쉽게 말해, 각 고객사의 환경에 맞게 규약 내용을 충족시키고, 증명서를 발급해준다. 따라서 각 상황에 맞게 유연하게 사용할 수 있다. 유근준 엔지니어는 “규약 부문의 경우, 수모로직이 자랑스럽게 이야기하는 부분 중 하나”라고 강조했다.

또한 수모로직은 자체 알고리즘을 통해 데이터를 명확하게 분석하고 고객에게 인사이트를 제공한다. 유 엔지니어에 따르면 실제 사용되고 있는 데이터 분석 알고리즘은 많지만, 특별히 수모로직은 클라우드 네이티브 아키텍처 위에 올라가 있어 여러 장점을 가지고 있다. 클라우드 네이티브 아키텍처가 아닌 경우, 컴퓨팅 파워를 많이 차지하게 된다. 뿐만 아니라 확보하고 있는 데이터를 토대로 공격 패턴을 분석하는 일명 ‘샘플링 방식’을 취해야 하는데, 추측하는 방식이기 때문에 공격을 놓칠 가능성도 배제할 수 없다.

하지만 수모로직은 샘플링 방식이 아닌 클라우드상에 있는 모든 데이터를 전수 검사한다. 또 클라우드 상에서 데이터를 처리하기 때문에 효율적인 데이터 처리도 가능하다. 유 엔지니어는 “이는 수모로직의 솔루션이 클라우드 네이티브 아키텍처이기 때문에 가능한 것”이라며 “고객들에게 명확하고 효율적으로 보안 인사이트를 제공할 수 있다”고 전했다.

뒤이어 유근준 엔지니어는 “수모로직의 솔루션은 강력한 아키텍처를 가지고 있으며, 다른 플랫폼에서 오는 데이터를 한 눈에 볼 수 있도록 한다”고 말했다. 고객들은 수모로직으로 생성된 데이터를 보내기만 하면 어떤 분야에서 특별히 보안을 신경 써야 하는지 인사이트를 얻을 수 있다. 만약 고객 측에서 특정 부문에 대한 보안 알림을 받고 싶다면, 알림 설정도 가능하다.

여기에서 더 나아가 유 엔지니어는 차세대 SIEM에 대해서도 설명했다. 설명에 따르면, 수모로직의 차세대 SIEM은 기초 데이터(raw data)를 통해 위협 메커니즘을 파악하는데, 이 같은 방식을 취했을 때 1000만 건 정도의 위협 가능성 데이터를 파악해낸다. 이후 클라우드 네이티브 아키텍처와 머신러닝의 강점을 살려 데이터의 위험성 여부를 결정하고, 자동으로 분석 및 분류해준다. 유근준 엔지니어는 “따라서 보안전문가가 반복적인 일을 하지 않아도 어느 정도 공격을 파악할 수 있으며, 더욱 정교한 공격에 대응하기 위해 채비할 수 있다”고 말했다. 분석 내용은 팀원들 간에도 공유할 수 있다.

마지막으로 유 엔지니어는 “클라우드 SIEM 솔루션을 지속해서 확산시키다 보면 나중에 클라우드 보안 오케스트레이션 자동화 솔루션인 SOAR(Security Orchestration, Automation, and Response)까지 적용할 수 있을 것”이라며 “이 모든 과정은 결국 수모로직 솔루션이 클라우드 네이티브 아키텍처 기반의 서비스였기에 가능했다”고 전했다.

글. 바이라인네트워크
<배유미 기자>youme@byline.network