BLOG

[기사 - 공유] 파고네트웍스 “AI 보안, 프로세스 관점에서 접근하라”
2021.02.17

- 데이터넷TV’ 웨비나서 권영목 대표 제조·생산망 위한 AI 보안 방법 제시
- “AI 탐지 이벤트에 공격 트리거 있는지 확인하고 프로세스로 대응”
- 실제 산업 현장서 축적한 경험 기반한 실효적인 MDR 서비스 제공
- 다양한 고객과 IOC 공유해 즉각적인 위협 탐지·대응 제공

[데이터넷] 생산·제조망은 높은 가용성을 요구하기 때문에 보안을 적용하기 쉽지 않다. 제조·생산망 프로세스가 단순·반복적이기 때문에 화이트리스트 보안 정책이나 AI를 이용한 보안으로 쉽게 보호할 수 있다고 생각하지만 실제로는 전혀 그렇지 않다. 확실하게 위협적인 프로세스가 진행되고 있지만, 시스템 중단을 초래할 수 있어 함부로 차단하거나 격리할 수도 없는 경우도 빈번하게 발생한다.

권영목 파고네트웍스 대표는 <데이터넷TV>와 함께 진행한 ‘생산·제조망 엔드포인트 보안, AI 기술과 MDR 서비스 제시’ 웨비나에서 이 점을 지적하며 “생산·제조망 보안은 이전의 보안과 다른 관점에서 적용해야 한다”고 주장했다.

권 대표는 “AI가 탐지한 위협의 수준이 낮다고 해서 위협이 아니라는 뜻은 아니며, 높은 수준의 위협이라고 해서 즉시 자동으로 차단할 수 있는 것도 아니다. 탐지된 모든 위협을 관리하면서 대응할 수 있는 프로세스가 필요하다”고 설명했다.

데이터넷TV_파고네트웍스_DeepACT_MDR서비스.jpg

▲ 파고네트웍스는 특허 기술을 기반으로 한 플랫폼 ‘딥액트’와 MDR 서비스를 통해 엔드포인트부터 네트워크,클라우드까지 포괄하는 보안 대응 서비스를 제공한다.

다양한 산업군서 축적한 전문성 서비스

파고네트웍스는 블랙베리와 딥인스팅크트의 AI 엔드포인트 보안 솔루션, 스텔라사이버의 오픈XDR에 대한 매니지드 탐지 및 대응(MDR) 서비스를 제공한다. 파고네트웍스의 MDR 서비스는 발생하는 보안 이벤트를 정책에 따라 차단-허용을 결정하는 수준이 아니다. 탐지된 모든 이벤트에 공격을 촉발할 수 있는 트리거가 있는지 확인하고 실제로 이 이벤트가 공격으로 발전했을 때 어떤 피해가 발생할지 분석하고 최적의 대응을 할 수 있도록 지원한다.

 

파고네트웍스는 2017년부터 국내 대표적인 제조사 다수에 MDR 서비스를 제공해왔으며, 화학, 전지, 자동차 부품, 반도체, 식음료, 철강, 제약, 공구 소재 등 다양한 산업군의 위협 대응 서비스를 제공해 온 경험이 있다.

서비스를 통해 축적된 프로세스 기반 AI 대응 기술이 포함된 ‘엔드포인트 기반 관리형 탐지와 대응 시스템과 방법’에 대한 특허를 취득했으며, 이를 적용한 ‘딥액트(DeepACT)’ 플랫폼과 보안 대응 전문가 서비스를 제공하는 서비스형 MDR(MDRaaS)·서비스형 SOC(SOCaaS)를 지원한다.

 

권 대표는 “파고네트웍스의 기술과 서비스는 고객과의 긴밀한 커뮤니케이션을 통해 확보한 것이다. 많은 산업군 다양한 고객의 보안 대응을 서비스하면서, AI가 탐지한 이벤트가 실제 생산·제조망에 어떤 영향을 미치는지 분석하고, 이를 인텔리전스로 축적하면서 서비스를 개선해왔다”며 “파고네트웍스 고객과 함께하는 딥액트 커뮤니티에서 IOC를 공유하면서 탐지·대응 역량을 향상해나가고 있다”고 말했다.

 

IOC 공유로 더 빠르게·더 효과적으로 위협 대응

딥액트 커뮤니티를 통한 IOC 공유의 효과는 확실하고 즉각적이다. 권 대표는 웨비나에서 1월에 고객으로부터 받은 피드백을 소개했는데, 다른 기업에서 막지 못한 심각한 위협을 막을 수 있었다는 내용이 포함돼 있었다.

공격자들은 유사한 내용의 악성메일과 악성코드를 동종업계에 동시다발적으로 유포하기 때문에 다른 기업에서 탐지·대응한 내용을 공유하면 다른 기업의 추가 공격 피해도 막을 수 있다.

최근 IOC는 수명이 짧아 며칠 혹은 몇 시간 내에 사라지므로 IOC의 즉시·실시간 공유가 매우 중요하다. 딥액트 커뮤니티에 이러한 정보가 수집돼 위협에 대한 즉각적인 대응이 가능하다.

 

권 대표는 “컴플라이언스 때문에, 혹은 회사 문화 때문에 위협을 외부와 공유하지 못하는 고객도 있다. 블랙베리 프로텍트를 비롯한 보안 솔루션과 파고네트웍스 MDR 서비스가 탐지와 대응을 확실하게 지원할 수 있다. 그러나 딥액트 커뮤니티에 참여해 IOC를 공유하면 보다 빠르고 정확하게 위협에 대응할 수 있다. 이 점을 인정한 파고네트웍스 고객 80%가 IOC 커뮤니티에 가입하고 있으며 앞으로 더 많은 고객이 참여하게 될 것”이라고 말했다.

데이터넷TV_파고네트웍스_EPP_BlackBerryProtect.jpg

▲ 파고네트웍스가 서비스하는 블랙베리 프로텍트는 강력한 초경량 에이전트로 생산·제조망의 엔드포인트를 보호한다.

제조·생산망부터 엔터프라이즈·클라우드까지 보호


한편 파고네트웍스가 한국 총판을 맡고 있는 블랙베리 엔터프라이즈 보안 제품군은 경량 에이전트를 통해 보안 리소스가 적은 OT·IoT 기기까지 보호할 수 있다. 에이전트의 AI 엔진으로 로컬 엔드포인트에서 이상행위를 분석할 수 있다. AWS의 정책관리 서버와 위협 인텔리전스를 연동해 전국·글로벌 단위로 분산돼 있는 대규모 엔드포인트를 효과적으로 관리할 수 있다. 에이전트와 클라우드는 전용 프록시로 연결해 안전한 통신이 가능하다.

파고네트웍스는 딥러닝 기반 엔드포인트 보안 솔루션 딥인스팅크와 AI 기반 XDR 플랫폼 기업 스텔라사이버 오픈XDR을 연계해 MDR 서비스를 제공, 제조·생산망 뿐 아니라 엔터프라이즈·클라우드 환경까지 포괄적인 보호를 제공한다.

o 원문 기사 링크 --> 파고네트웍스 "AI 보안, 프로세스 관점에서 접근하라"