구글 클라우드 시큐리티는 왜 CNAPP과 보안운영 플랫폼을 통합했나
멀티클라우드 지원하는 CNAPP·SOAR·위협 인텔리전스·AI까지 통합한 ‘SCC 엔터프라이즈’ 출시
“‘SCC(Security Command Center Enterprise) 엔터프라이즈’는 클라우드 환경과 조직의 보안 운영을 하나로 묶는 구심점이 될 것이다.”
구글 클라우드가 클라우드 보안과 보안운영(SecOps)을 단일 플랫폼으로 통합한 클라우드 위험관리 솔루션 ‘SCC 엔터프라이즈’를 선보였다.
SCC는 멀티 클라우드를 지원하는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)과 보안 오케스트레이션 자동화 대응(SOAR)을 포함한 보안운영 플랫폼, 구글이 인수한 맨디언트 위협 인텔리전스를 비롯해 구글이 확보한 방대한 위협 인텔리전스와 더불어 인공지능(AI) 기술까지 통합돼 있는 것이 특징이다.
구글이 멀티클라우드를 지원하는 CNAPP을 출시한 것은 이번이 처음이다. 구글 클라우드뿐만 아니라 아마존웹서비스(AWS)와 마이크로소프트 애저(MS Azure)까지 포괄하는 멀티클라우드 보안 서비스를 제공한다.
더욱이 통합과 자동화를 지원하는 현대적 보안운영 플랫폼의 한 종류인 SOAR의 기능까지 완전히 통합한 보안 위험관리 플랫폼 형태로 시장에 나온 것은 업계 최초다.
더욱 거세지는 수많은 보안위협에 보다 효과적으로 대응하기 위해 최근 다양한 인프라와 보안 솔루션 운영 환경을 아우르는 통합된 보안 접근방식이 강조되고 있는 것은 사실이지만, 그럼에도 여전히 클라우드 시대가 펼쳐지기 이전 온프레미스 환경에서 시작해 매우 다양화된 보안 환경을 포괄하며 꽤 거대하고 복잡해진 보안운영 환경을 감안하면 시도하기 쉽지 않은 선도적인 접근방식이라고 할 수 있다.
20일 구글 클라우드 시큐리티는 SCC 엔터프라이즈를 발표하면서 이같은 접근법을 취한 이유를 이렇게 밝혔다.
“업종과 규모를 불문하고 모든 조직이 클라우드를 최우선 전략 과제로 삼으며 클라우드에 초점을 맞추는 공격자도 증가하고 있다. 이에 CNAPP을 비롯해 클라우드를 겨냥한 공격에 대응하기 위한 방책도 등장했다. CNAPP는 멀티클라우드 보안을 위해 다양한 도구를 통합해 쓸 수 있는 편의성을 제공한다. 하지만 대부분의 CNAPP는 온프레미스 환경에서 이미 체계를 갖춰 수행하고 있는 보안운영(SecOps) 기능과 분리돼 있다. 따라서 CNAPP는 클라우드까지 포괄하는 전체 가시성을 충분히 제공하지 못한다. 다시 말해, CNAPP는 조직의 보안 운영 방식 및 전략과 매끄럽게 통합되지 않기 때문에 조직이 보안 운영의 일관성과 효율성을 유지하기 어렵다. 이런 문제를 해결하고자 구글 클라우드는 구글의 강력한 보안 기술과 맨디언트가 자랑하는 글로벌 수준의 위협 인텔리전스를 융합한 보안 시스템인 SCC 엔터프라이즈를 공개했다.”
이날 구글 클라우드 시큐리티가 개최한 미디어 브리핑에 참석한 카일 터너(Kyle Turner) 구글 고객 엔지니어링 및 보안 영업 부문 사장(Managing Director)과 스티브 레드지안(Steve Ledzian) 구글 클라우드 시큐리티 아태지역 부사장 겸 최고기술책임자(CTO) 역시 같은 이야기를 했다.
SCC 엔터프라이즈를 주도적으로 소개한 터너 사장은 이 제품을 출시로 구글 클라우드가 해결하고자 한 도전과제로 “현재 고객사와 파트너사 보안운영팀의 데이터와 조직 구조가 분리돼 있다. 이 사일로를 극복해야 한다. 그리고 보안 솔루션에서 너무 많은 시그널과 정보가 제공되고 있지만 인사이트를 확보하기엔 부족하다고 불만이 나온다. 보안 이슈가 발생했을 때 주체와 책임을 명확히 구분하기도 어렵다. SCC 엔터프라이즈에는 내장된 복구(Built-in remediation) 솔루션이 포함돼 있기 때문에 클라우드 아키텍처와 보안 운영팀 간에 책임성을 명확하게 할 수 있게 될 것이다. 복구 속도도 크게 개선할 수 있다”고 말했다.
그는 “지금까지 고객사와 파트너사들은 클라우드 아키텍처를 배포해 프로비저닝까지 총괄하는 CNAPP 조직과 보안정보이벤트관리(SIEM)이나 SOAR를 바탕으로 보안위협을 탐지해 대응하는 업무를 수행해온 보안운영팀, 두 개의 조직으로 분리 운영해 왔다. SCC 엔터프라이즈는 지금까지 밀접하게 활동하지 못한 이 두 조직을 융합시키게 될 것”이라며 “두 조직은 이 솔루션을 바탕으로 공통의 워크플로우를 통해 업무를 수행할 수 있어 전체 조직에 걸친 통합 인사이트를 활용할 수 있다”고 강조했다.
이에 따라 보안팀은 SCC 엔터프라이즈를 활용해 그동안 제공해온 보안운영 방식을 클라우드 환경까지 확장 적용할 수 있다. 예를 들어 ▲조직의 보안 상태 ▲잠재적인 위협 활동 ▲클라우드 사용자 인증 정보, 데이터 등을 한눈에 파악할 수 있다. 나아가 위협 대응 프로세스를 정립하고 클라우드 보안 위험 관리를 위한 모든 워크플로우를 통합해 문제 해결의 책임을 명확히 규명할 수 있다.
SCC 엔터프라이즈에 포함된 내장형 복구 기능은 오케스트레이션과 자동화 기능을 제공한다. 스티브 레드지안 아태지역 부사장 겸 CTO는 “내장형 복구 기능은 완전한 SOAR 형태로 포함돼 있다. CNAPP 솔루션에 SOAR의 전체 기능을 추가한 것은 이번이 업계 최초”라고 강조했다.
SCC 엔터프라이즈는 구글 보안 패브릭(Google Security Fabric)을 기반으로 구동된다. 이 시스템은 클라우드 환경에서 발생하는 방대한 데이터를 수집하고 분석한다. 그리고 수집한 데이터를 기반으로 멀티 클라우드 환경의 복잡한 연결 관계를 한눈에 보여주는 그래프를 생성한다.
맨디언트의 위협 인텔리전스를 통합해 새롭고 특이한 공격을 자동으로 식별하고 방어할 수 있는 기능도 제공한다. 아울러 보안 전문가부터 경험이 적은 보안팀 담당자까지 모두 간소화된 방식으로 보안 운영을 할 수 있도록 생성형 AI 기술도 적용했다. 보안팀은 생성형 AI 기능으로 복잡한 보안 문제를 조기에 식별하고 관련 위협이 무엇인지 이해하며 조사 및 문제 해결 과정에서 도움을 받을 수 있다.
터너 부사장은 “구글 보안 패브릭은 세가지 요소로 구성된다. 전세계적으로 광범위하게 운영하는 위협 인텔리전스와 더불어 프로비저닝이나 런타임 정보를 수집해 고객의 클라우드 환경에 대한 디지털 트윈을 생성하는 연속 위험 엔진(Continuous risk engine)이 있다. 이는 정교한 공격자의 역할을 직접 수행해 프로덕션 영향 없이 잠재적인 공격 지점과 그로 인한 여파를 예측할 수 있도록 한다. 또한 위험을 분류하고 우선순위를 부여하기 위해 필요한 AI가 있다. 이를 바탕으로 자연어로 검색과 요약을 할 수 있고 다음 단계의 복구 프로세스도 처방할 수 있다. 방대한 데이터를 사용하기 위해서는 ‘플래닛 스케일 데이터 레이크(Planet-scale Data Lake)’가 필요하다. 우리는 클라우드 환경뿐 아니라 고객의 온프레미스 환경에서 이러한 정보를 수집해 데이터 레이크에 보관하고 있다”고 설명했다.
SCC 엔터프라이즈는 맨디언트 헌트(Mandiant Hunt)와도 통합돼 보안팀의 기능과 역할을 강화한다. 조직 내에서 보유하고 있는 리소스만으로는 문제에 충분히 대응하지 못하거나 전문가가 부족한 경우 맨디언트 헌트 서비스를 이용해 구성 오류나 잠재적으로 영향을 미칠 수 있는 위협과 취약점을 탐지할 수 있다는 것이 터너 부사장의 설명이다. 이를 통해 보안팀은 온디맨드 방식으로 맨디언트의 인적 자원과 노하우를 활용할 수 있다.
맨디언트 헌트는 보안팀이 수백 명에 이르는 업계 최고 수준의 분석가와 연구원의 도움을 받고 보안을 우회하는 교묘한 위협을 찾을 수 있도록 지원한다. 모든 조직은 보안 조직의 규모와 상관없이 맨디언트 헌트의 인적 자원과 전문 지식을 활용해 조기에 위협을 탐지할 수 있는 역량을 확보할 수 있다. 즉, 조직에서 숙련된 보안 전문가를 채용하거나 보안 도구 투자를 늘리지 않고도 기술 격차를 해소할 수 있다는 게 구글 클라우드 시큐리티의 이야기다.
구글의 최신 보안 운영 기능을 제공하는 플랫폼을 기반으로 하는 SCC 엔터프라이즈는 매일 수십억 건의 보안 이벤트를 처리하는 구글의 방대한 데이터 처리 능력과 전 세계 곳곳에 위치한 데이터센터 인프라를 활용해 고객의 멀티 클라우드 환경을 보호한다.
SCC 엔터프라이즈는 취약성, 잘못된 구성 및 보안 위협을 자동으로 분석한다. 분석한 위협들은 보안 분석가가 조사를 할 수 있도록 사례(case)로 지정된다. 사례에는 기본으로 제공하는 플레이북이 연결돼 있어 예방 및 복구 작업을 자동화할 수 있다. 분석가는 상황에 맞게 플레이북을 활용하거나 직접 조처를 할 수 있다. SCC 엔터프라이즈가 클라우드 보안팀과 보안 운영 팀을 하나의 플랫폼으로 통합하기 때문에 다양한 기술 분야 전문가들이 보안 위험에 빠르게 대응하기 위한 협업을 원활히 할 수 있게 될 것이라는 게 구글 클라우드 시큐리티의 기대다.
카터 부사장은 “CNAPP 조직 역량과 보안운영 역량을 통합하는 것은 최초다. 이에 더해 위협 인텔리전스와 AI 기능까지 이 모든 것을 하나의 제품에서 지원하는 것은 업계 최초”라고 부각하며 “고객과 파트너들은 조직을 통합 운영할 수 있는 기회를 확보할 수 있게 됐다. 보안 산업에서 새로운 판도 변화를 가져오게 될 것”이라고 내다봤다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
