포티넷이 제시한 ‘이상적인 보안운영(SecOps)’을 위한 세가지 필요조건
기업의 보안팀은 갈수록 증가하는 다양한 위협으로부터 시스템과 데이터를 보호해야 한다. 이를 위해선 네트워크, 엔드포인트, 모바일 디바이스, 서버, 클라우드에 있는 모든 자산을 보호하고 관리해야 한다. 이를 위해 기업에서 사용하는 보안 솔루션의 수는 점점 늘어나고 있다.
가트너 등에서 실시한 최근 조사결과에 따르면, 조직의 78%가 방화벽, 보안 정보 이벤트 관리(SIEM), 네트워크 위협 탐지 대응(NDR), 엔드포인트 위협 탐지 대응(EDR), 계정 접근 관리(IAM), 취약성 스캐너 등 평균 16개 이상의 보안 툴을 사용하고 있는 것으로 나타났다. 수십개의 보안 제품을 운영하는 조직도 많은 것이 현실이다. 이처럼 많은 보안 툴을 사용하면 수많은 위협 경보(Alert)와 운영관리 복잡성이 증가한다. IT 보안 담당자들의 업무 부하가 커져, 오히려 중대한 보안위협에 효과적으로 대처하지 못하는 결과로 이어질 수 있다.
포티넷은 이같은 보안운영(SecOps) 환경에서 나타나는 어려운 도전과제를 해결하기 위한 방법으로 ▲툴과 프로세스의 융합(Convergence) ▲서비스형 보안운영(SOC as a Service, SOCaaS) ▲인공지능(AI)·머신러닝(ML)을 제시했다.
포티넷 SOAR 비즈니스 최고기술책임자(CTO)이자 제품 엔지니어링을 총괄하고 있는 아비쉐크 나룰라(Abhishek Narula) 선임 부사장은 23일 열린 포티넷 ‘액셀러레이트(ACCELERATE) 2023 코리아’ 행사에서 “다양한 보안 도구는 복잡성을 커지게 한다. 수많은 알림과 반복적인 프로세스로 인해 많은 직원들을 힘들게 하고 있다. 신규 직원들의 유입을 막는 것은 물론 기존 직원들의 이탈도 유발한다. 보안 기술 인력은 점점 부족해지고 있다”며 “이같은 문제를 해결하고 이상적인 보안운영을 하려면, 우선 도구와 프로세스를 단일 플랫폼으로 융합해야 하고, AI와 ML로 자동화해야 한다. 하지만 당장 실행하기 어렵기 때문에 많은 조직들이 서비스형 보안운영(SOCaaS)을 채택하고 있다”고 강조했다.
단일 플랫폼으로 통합해 위협 탐지·분석·대응 역량 강화, 관리 단순화
도구와 프로세스의 융합은 다양한 보안 솔루션을 단일 인터페이스 또는 플랫폼으로 통합하는 것을 의미한다. 하나의 조직에서 점점 많아지는 이기종의 다양한 보안 도구를 따로 따로 관리하고 운영하는 것은 어려운 일이다.
단일 창(Single Pane of Glass)과 뷰(View)를 제공하는 통합된 플랫폼을 사용해 가시성과 상관관계 분석 능력을 향상시키고, 탐지·대응 역량을 강화·가속화하며, 관리와 운영은 간소화해 비용을 최적화할 수 있다는 게 나룰라 부사장의 설명이다.
보안 툴의 통합은 결과적으로 보안 위협을 관리, 대응할 수 있는 통합 플랫폼을 운영할 수 있어 보안팀의 효율성과 민첩성, 보안 효과를 향상시킬 수 있다.
전문가가 제공하는 지속적인 보안 모니터링·관리 서비스, SOCaaS
SOCaaS는 전문성을 가진 보안서비스 제공업체가 클라우드를 기반으로 보안운영 서비스를 제공하는 방식이다. 보안 전문인력이 부족하고 직접 투자가 망설여지는 경우 이같은 보안서비스가 도움이 될 수 있다.
나룰라 부사장은 “보안운영을 자체적으로 수행하는 건 쉬운 일은 아니다. 기업의 요구사항에 맞는 툴을 검증하고 설치, 구성해 유지관리해야 하고, 필요한 인력도 고용해야 한다고 생각해보라”며 “SOCaaS는 서비스 제공업체가 모두 제공한다. 비용효율적일 뿐만 아니라 높은 유연성과 필요한 확장성을 제공한다. 언제든 필요할 때 전문가들이 도움을 주고, 24시간 모니터링과 업데이트 등도 기업 담당자들이 직접 하지 않아도 된다”고 장점을 부각했다.
ML 넘어 LLM과 생성AI 활용 증가 전망
AI·ML 기술은 포괄적인 모니터링과 자동화로 네트워크 보안 관제 프로세스를 단순화하는데 중추적인 역할을 한다. AI·ML은 잠재적인 문제 해결을 위해 티켓 볼륨을 줄이고, 이상 현상 분석과 해결을 위한 대응 시간을 단축하는데 기여한다. 또 기존 보안을 정교하게 우회하는 위협 활동을 잡아내 위협 가시성을 크게 높일 수 있다.
나룰라 부사장은 특히 “챗GPT와 같은 초거대언어모델(LLM)과 생성형 AI는 새로운 도구로 우리가 도입해야 하는 기술이 됐다”고 말하며, 이 기술이 널리 사용될 분야로 다크웹 데이터 스크래핑, 대화형 지원이 가능한 자연어처리(NLP) 인터페이스, 피싱과 스팸 탐지, 위협 헌팅을 지목했다.
“다크웹 데이터 스크래핑, 크립틱 랭기지(cryptic language) 스크래핑은 현재 ML을 통해 매우 쉬워졌다. 소프트웨어 사용자 인터페이스는 이제 대화형 NLP 인터페이스로 바뀌고 있다. 사람들은 클릭만 하고 대화형으로 말하면 된다. ‘시리, 알렉사, 오늘 가장 중요한 알림이 뭐야’라고 물어볼 수 있게 됐다. 피싱 이메일과 스팸 탐지 분야에서는 매우 중대한 기술 혁신이 있었다. 탐지가 매우 쉬워졌고, 자동으로 대응할 수 있도록 보안운영팀에 보내기도 쉬워졌다. 점점 더 많은 생성AI와 LLM의 도움을 받고 있다. 하지만 조심하고 주의해야 한다. LLM과 AI는 좋은 점만 있는 게 아니라 부정적인 결과를 낳기도 하고, 불리한 요인도 있다. 위협과 안전성에 대비해야 한다.”
이어 나룰라 부사장은 “가트너 등 애널리스트들도 계속해서 진화하는 위협 환경에서 관리 복잡성을 해결하기 위해 자동화가 필요하다고 이야기 하고 있다”며 “실제로 자동화는 매우 중요하다”고 강조했다.
포티넷, 보안 패브릭 기반 보안운영 간소화·자동화 포트폴리오 제공
포티넷은 ‘포티넷 보안 패브릭(Fortinet Security Fabric)’을 기반으로 조직의 보안운영을 간소화, 효율화하고 자동화할 수 있는 예방(Prevent), 탐지(Detect), 대응(Respond)에 걸친 포트폴리오를 제공한다. 포티넷 보안 패브릭은 네트워크, 엔드포인트, 클라우드, 보안관리 등을 아우르는 50개 이상의 다양한 보안 솔루션과 사이버 위협 인텔리전스가 통합돼 보다 효율적인 보안운영과 빠른 위협 가시성 확보와 자동 대응이 가능하도록 구현돼 있다.
예방 영역은 비즈니스 환경에서 발생하는 모든 위협을 탐지해 대응하는 ‘포티EDR(FortiEDR)’ 플랫폼이 담당한다. 탐지 영역은 다양한 유형의 위협 활동을 탐지해 분석하는 ‘포티애널라이저(FortiAnalyzer)’와 ‘포티SIEM(FortiSIEM)’·‘포티NDR(FortiNDR)’·‘포티인사이츠(FortiInsights)’·‘포티레콘(FortiRecon)’·‘포티디셉터(FortiDeceptor)’로 구성된 제품들이 포진돼 있다. 대응 영역은 보안 오케스트레이션 자동화 대응(SOAR) 솔루션으로, 보다 자동화되고 일관된 대응을 지원하는 ‘포티SOAR(FortSOAR)’ 플랫폼이 담당한다.
이같은 예방, 탐지, 대응 포트폴리오는 AI에 의해 구동되며, ‘포티가드(FortiGuard)’ 위협 인텔리전스가 통합돼 있다.
SOC 보안팀 업무 생산성, 효율성 높이는 핵심 플랫폼 ‘포티SOAR’
포티넷에 따르면, ‘포티SOAR’는 보안운영센터(SOC)에서 끊임없이 수신되는 알림, 반복적 수동 프로세스, 리소스 부족 문제에 효율적으로 대응할 수 있도록 설계된 보안운영 플랫폼이다. 기업에 자동화된 대응책, 사고 분류, 실시간 복구 업데이트를 제공해 공격을 식별, 방어하고 조치를 취할 수 있도록 지원한다.
포티SOAR는 300개 이상의 보안 플랫폼과 3000개 이상의 작업을 통합해 SOC팀의 생산성을 최적화하고 대응 속도를 높여 사이버공격을 억제한다. 이를 통해 보안 조치 시간을 크게 단축시킬 수 있다. 자동화된 템플릿을 적용해 위협 정보 탐지와 대응 프로세스, 인시던트 상관관계, 취약점 분석 작업을 자동화할 수 있어 SOC 업무 생산성과 효율성을 크게 향상시킬 수 있다. 아울러 플레이북 인시던트 연관관계 분석 기술로 유사 보안 위협과 이벤트 발생 예측과 대응도 가능하다.
나룰라 부사장은 포티SOAR 주축의 자동화된 보안운영을 구현해 얻을 수 있는 가치로 “위협 탐지의 평균시간(mean time)과 대응 평균시간이 크게 빨라지고 침해 비용도 크게 줄일 수 있다”고 설명하고, “포티넷 플랫폼으로 기업 조직은 더욱 강화된 보안운영 환경을 확보할 수 있다. 예방부터 탐지, 대응까지 모두 지원하며, 서비스 방식(as a Service)로 제공해 기업이 당장 시작할 수 있도록 제공한다”고 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network