“경고만 울리는 보안은 이제 그만”…파고 “조치까지 실행하는 MDR 필요”

By심재석

보안 담당자 A씨는 대기업 정보보호팀에서 5년째 근무하고 있는 베테랑이다. 그의 주된 업무는 회사의 네트워크, 서버, 엔드포인트에서 발생하는 보안 이벤트를 모니터링하고, 위협을 탐지, 적절히 대응하는 것이다. A씨의 회사는 최근 몇 년간 보안 투자를 늘려 SIEM(보안 정보이벤트 관리), EDR(엔드포인트 탐지  대응), IPS(침입 방지 시스템) 등 다양한 보안 솔루션을 도입했다. 

새로운 시스템들이 도입되면서 A씨의 모니터에는 수없이 많은 경고가 쏟아지기 시작했다. “비정상적인 포트 스캔 감지” “알려지지 않은 IP 접속 시도” “의심스러운 프로세스 실행” “레지스트리 변경 시도” “악성코드와 유사한 파일 감지” “외부로부터의 비정상적인 연결 시도” 등 숨쉴 틈 없이 경고가 쏟아졌다.

처음에는 모든 경고를 꼼꼼히 확인하고 분석하려 노력했던 A씨였지만, 시간이 지날수록 지쳐갔다. 너무 많은 경고 속에서 진짜 위협과 가짜 위협을 구분하기가 어려웠고, 하루 종일 경고를 확인하고 분류하는 데만 해도 엄청난 시간이 소요됐다. 점점 A씨는 경보에 무감각해지기 시작했다. 보안 경고에 무감각해진 A씨는 실제 공격이 들어왔을 때도 보안 위협 경고를 무시했고, 회사는 막대한 피해를 입었다. 

지난 몇 년간 사이버 보안 산업은 실질적인 위협보다 ‘경고 시스템’ 중심의 탐지 기술에 의존해왔다. 이로 인해 보안담당자들은 수많은 경고와 알림, 수천 개의 로그에 파묻혔다. 하지만 정작 중요한 위협 하나를 제대로 인지하고 조치하는 데에는 실패하는 경우가 빈번했다.

기업들은 이미 수십 개의 보안 제품을 도입해왔다. 하지만 각 솔루션이 내놓는 수많은 경보를 하나로 통합해 맥락 기반의 판단 체계를 구축하는 것은 쉽지 않다. 경보가 많아질수록 판단은 느려지고 판단이 느려질수록 피해는 커진다. ‘탐지 기반 보안’의 한계다.

파고네트웍스 권영목 대표는 “이제는 보안을 위해 ‘어떤 도구를 가지고 있는가’가 아니라 ‘그 도구들이 어떻게 작동하고 있는가?’에 중점을 두고 보안을 바라봐야 한다”면서 “‘탐지’가 아니라 ‘운영’을 중심으로 전략을 세워야 한다”고 강조했다. 여기서 말하는 운영이란, 공격을 탐지하고, 탐지된 내용이 진짜 위협인지 판단하고, 바로 조치하는 모든 과정을 유기적으로 연결하는 것을 의미한다.

하지만 이런 운영 중심의 전략을 조직 내부의 역량으로만 수행하는 것은 쉽지 않다. 운영 중심 보안 전략을 실행하기 위해서는 24시간 365일 위협을 탐지하고 탐지된 내용이 얼마나 위협적인지 즉각적인 판단을 하고, 위협적이라는 판단이 내려지면 즉각적인 대처까지 할 수 있어야 하기 때문이다.

MDR은 무엇인가

이 때문에 최근 MDR(Managed Detection and Response, 관리형 탐지 및 대응)에 대한 관심이 커지고 있다. MDR은 큰 틀에서 보면 기존 보안관제 서비스와 유사해 보인다. 하지만 모니터링과 위협 탐지를 중심으로 운영되는 기존의 보안관제 서비스와 달리 탐지와 함께 긴급한 순간 선(先)조치까지 수행한다는 점에서 전통적 보안관제와 다르다.

기존 보안관제는 서비스 업체가 모니터링과 탐지에 집중한다. 탐지 결과에 대한 판단과 조치는 조직 내부의 보안담당자가 해야 했다. 해커들은 연휴나 심야 시간과 같은 업무 외 시간에 침입을 시도하기 때문에 인하우스 보안담당자가 대책을 마련할 때까지는 시간이 걸리고 그 기간동안 시스템은 해커들의 놀이터가 되곤 한다.

반면 MDR은 처음부터 24시간 365일 내내 작동하도록 설계된 시스템이다. 보안 담당자가 휴가 중이어도 자동으로 대응 가능한 구조다.

권영목 대표는 “위협을 ‘탐지’하는 것은 기술의 영역이지만 그 위협에 대해 ‘조치’하는 것은 전체 보안 시스템의 문제다”라면서 “이런 시스템을 제공하는 것이 MDR”이라고 말했다.

MDR의 역할 중 또 중요한 것 하나는 ‘위협 헌팅’이다. 위협 헌팅이란 조직 내부에 이미 침입했거나 활동 중일 수 있는 사이버 위협을 능동적으로 탐지하고 대응하는 보안 활동을 말한다. 기존 보안 시스템이 탐지하지 못한 숨겨진 공격자나 악성 활동을 인간 분석가가 직접 찾아내는 과정이다.

기존의 보안 기술과 관제가 알려진 위협에 대처하는 것에 머물러 있는 반면, MDR은 은밀히 시스템에 숨어 들어와 잠복해 있는 위협까지 찾아내는 일을 한다.

”파고 딥액트, 평상시에도 살아 움직이는 보안”

파고네트웍스는 딥액트(DeepACT)라는 브랜드의 MDR 서비스를 제공하는 회사다. 회사 측에 따르면, 딥액트는 쏟아지는 보안 경고 중에서 어떤 게 가장 위험한지 우선순위를 매기고, 위협이 감지되면 보안 전문가들이 바로 행동할 수 있도록 가장 효과적인 조치 방법을 알려준다.

아울러 지속적인 ‘위협 헌팅’ 활동을 통해 엔진을 계속 업데이트하고, GPT와 같은 AI 기술을 활용해 새로운 위협 패턴에 맞는 보안 규칙을 자동으로 제안하고 적용한다고 회사 측은 강조했다. 위협 탐지, 판단, 차단, 분석, 보고서 작성까지 모든 단계가 딥액트 안에서 이뤄지며 엔드포인트 보안(EPP, EDR), 네트워크 보안(NDR), 클라우드 보안, 계정 보안(Identity), 통합 분석(Open XDR, SIEM), 자동화 기능까지, 모든 AI 기반 보안 기술이 연결되어 함께 작동한다고 회사 측은 설명했다.

특히 공격자가 노릴 만한 약점(공격 표면)을 자동으로 찾아내고, 모의해킹으로 조직의 방어력을 점검하며, 다크웹 정보를 활용해 위협을 미리 감지하는(DRP) 등 공격이 발생하기 전부터 막는 ‘사전 예방 보안’도 파고 딥액트 안에서 관리된다.

권영목 대표는 “파고 딥액트는 단순히 보안 기능을 ‘자동화’하는 도구가 아니”라면서 “조직의 보안 판단과 실행을 체계적으로 만들어주고, 아무런 사고가 없는 평상시에도 보안 시스템이 늘 살아 움직이도록 만드는 핵심 플랫폼”이라고 강조했다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network

심재석

일명 심스키. 바이라인네트워크 공동대표 기자. 테크 전문가 인터뷰와 칼럼을 주로 씁니다. 테크가 우리 삶에 미치는 긍정적 부정적 영향을 설명하고자 합니다.
https://www.facebook.com/shimgiza

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.