BLOG

홈페이지_Stellar Cyber_Open XDR 플랫폼 2.png

▲ StellarCyber - Open XDR (eXtended Detection & Response)

[기사 - 공유] [클라우드 보안] 위협 탐지와 대응·보안관제·컨설팅
2021.10.05

- 통합·자동화·대응으로 복잡한 클라우드 보안 위협 낮춰
- 매니지드 보안 서비스로 클라우드 보안 문제 해결

[데이터넷] 클라우드는 비즈니스 경계를 무한대로 확장하기 때문에 보호해야 할 지점도 무한대로 늘어난다. 이에 통합되고 자동화된 대응 시스템을 통해 보안운영을 단순화하면서 지능적인 공격까지 효율적으로 대응하는 ‘확장된 탐지와 대응(XDR)’이 등장했다.

XDR 전문기업 스텔라사이버는 ‘오픈XDR’을 통해 써드파티와의 원활한 통합 능력이 뛰어나다고 주장한다. 온프레미스와 다양한 클라우드를 제한없이 지원하는 ‘오픈XDR’은 업계에서 가장 포괄적인 에코시스템을 지원하며, 완벽하게 자동화되고 통합, 대응할 수 있는 기술을 제공한다고 강조한다.

스텔라사이버는 국내에서 매니지드 보안 탐지와 대응(MDR) 서비스 기업 파고네트웍스와 함께 XDR·MDR 시장을 공략한다. 파고네트웍스는 블랙베리의 AI 기반 엔드포인트 보안 솔루션, EDR 솔루션 ‘딥인스팅크트’와 스텔라사이버 오픈XDR을 자사 MDR 플랫폼 ‘딥액트’에 통합시켜 엔드포인트부터 네트워크, 클라우드에 이르는 모든 범위의 위협에 대한 전문가의 탐지·대응 서비스를 제공한다.

‘비즈니스 중심 보안’ 원칙 따른 XDR

XDR의 정의는 분명하지 않지만, 대체로 엔드포인트, 네트워크, 클라우드 등 모든 비즈니스에 대해 위협을 실시간으로 탐지하고 자동으로 대응하는 통합 플랫폼이라고 이해된다. 여러 보안 솔루션을 공급하는 기업들이 자사 솔루션을 통합해 ‘XDR’이라는 플랫폼으로 제안한다. 팔로알토 네트웍스 ‘ 코어텍스’, 트렌드마이크로 ‘비전원(Vision One)’, 포티넷 ‘포티XDR’, 맥아피 ‘엠비전 XDR’, 마이크로소프트 ‘디펜더’, 카스퍼스키 ‘KATA’ 등이 대표적인 예이다.

RSA의 경우, ‘넷위트니스’가 가장 먼저 완성시킨 XDR이라고 주장한다. 넷위트니스는 ‘비즈니스 중심 보안’이라는 RSA의 철학을 적용, SOC를 개선시키고 지능형 위협으로부터 비즈니스를 보호하는 포괄적인 기능을 제공한다.

단일 플랫폼에서 ▲네트워크 풀 패킷을 분석하는 ‘넷위트니스 네트워크’ ▲통합 로그분석 ‘넷위트니스 로그’ ▲정교한 엔드포인트 위협 탐지와 대응 ‘넷위트니스 엔드포인트’를 통합 제공한다. 또 위협 인텔리전스와 AI 기반 사용자·엔티티 행위 분석(UEBA) 등 고급보안 분석 기능을 적용해 진화하는 위협에 정확하게 대응한다.

온프레미스, 가상화, 클라우드 전체에 걸쳐 모든 이벤트를 연계·분석하며, 쓰렛커넥트 SOAR 솔루션을 OEM으로 공급받아 자동화된 대응 기능까지 녹여냈다. 또한 각 기능은 모듈별로 제공할 수 있고, 써드파티 연동이 쉬워 기존 투자를 효율화할 수 있다. 더불어 침해대응, 관제 서비스 등 보안 전문 서비스도 제공해 보안 대응 능력을 향상시킨다.

RSA_XDR_플랫폼.jpeg

▲ RSA XDR 플랫폼

클라우드, NDR·EDR 수요 증가시켜

XDR은 네트워크 위협 탐지 및 대응(NDR)과 엔드포인트 위협 탐지 및 대응(EDR)을 통합한 개념으로 이해되며, NDR·EDR 기업들도 각각 영역을 넓혀 XDR로 확장하고 있다. 이와 함께 네트워크·엔드포인트에서 더 깊이 있는 위협 탐지와 대응 능력을 갖춰가려는 노력도 진행되는데, 클라우드가 확장되면서 이러한 추세는 더욱 가속화되고 있다. 클라우드라는 방대한 범위에서 위협을 탐지·대응하기 위해 모든 영역을 통합 분석하는 것도 필요하지만, 특정 영역에서의 전문적인 대응 능력도 필요하기 때문이다.

가트너는 클라우드로 인해 NDR 도입 수요가 늘고 있다고 설명하며 2020년 한 해 동안 22.5% 성장했다고 소개했다. 클라우드는 가시성의 범위가 제한적이기 때문에 볼 수 있는 범위에서 더 깊이 있는 분석과 탐지·대응이 필요해 NDR을 찾는 기업이 많아졌다고 분석한다.

가트너 보고서에서 NDR이 갖춰야 할 주요 기능은 ▲위협 탐지 ▲높은 위험도와 낮은 위험도를 구분하는 위협 헌팅 ▲보안 분석가 역량 향상 ▲암호화된 트래픽의 위협까지 탐지할 수 있도록 개선된 AI 기반 엔진 ▲위협 헌팅 기능 개선 ▲포렌식 통합 ▲보안 오케스트레이션, 자동화 및 대응(SOAR) 제품 통합 등을 들었다.

우리나라 기업 쿼드마이너가 NDR 주요 기능 요구사항을 만족하면서 가트너 보고서에 소개돼 주목된다. 쿼드마이너는 온프레미스를 위한 ‘네트워크 블랙박스’, 클라우드를 위한 ‘클라우드 블랙박스’, IBM 큐레이더와 결합해 SIEM과 NDR을 통합시킨 ‘쿼드엑스’ 등을 제공한다. NDR 주요 기능인 위협 탐지, 위협 헌팅, 포렌식, 대응을 유연하게 적용하며, 고객 환경에 맞는 AI·머신러닝 및 규칙기반 탐지를 적용해 탐지 정확도를 향상시킨다.

엔드포인트의 위협을 탐지·대응하는 EDR도 클라우드에서 주목도를 높이고 있다. 클라우드는 분산환경·비대면 환경에서 업무하기 때문에 엔드포인트 보안 관리가 매우 어렵다. 그래서 EDR과 같은 고급 위협 탐지와 대응 솔루션이 필요하다.

SOAR로 진화하는 SIEM

국내 EDR 솔루션 시장에서는 지니언스가 가장 앞선 경쟁력을 보이고 있으며, 안랩, 이스트시큐리티, 소만사 등이 국내 환경에 최적화된 EDR을 선보이고 있다. 크라우드스트라이크, 센티넬원 등 최근 국내에 진출한 엔드포인트 보안 기업들은 포괄적인 멀티 클라우드 지원 기능과 전문 대응 서비스 등을 강조하며 시장 공략을 이어간다.

클라우드 보안은 ‘자동화’가 필수다. 광범위한 보호 영역에 너무 많은 보안 솔루션이 구축돼 너무 많은 이벤트가 발생하기 때문에 SOC 인력만으로 발생하는 이벤트에 대응하지 못한다. AI를 이용해 모든 영역의 이벤트를 연계분석해 자동으로 대응하는 것이 필요하다. SOAR가 이 역할을 하는 솔루션으로, 모든 보안 솔루션을 통합 지휘함으로써 SOC 업무를 크게 줄일 수 있다.

SOAR를 SIEM의 차세대 버전이라고 주장하는 측도 있으며, 실제로 차세대 SIEM은 멀티 클라우드로 확장된 범위에서 위협 이벤트를 통합 분석하고 대응하는 역할을 요구받고 있다. 특히 전통적인 SIEM 보다 새로 시장에 등장한 SIEM이 클라우드 범위의 위협 대응에 탁월한 효과를 보이면서 시장 장악률을 높이고 있다.

가트너의 ‘SIEM 분야 매직쿼드런트 2021’을 보면 전통적인 SIEM 강자인 IBM과 스플렁크가 밀려나고, 엑사빔이 가장 앞선 자리를 차지했다. 2020년 틈새시장에 있던 포티넷과 2019년 11월 ‘애저 센티넬’을 발표한 마이크로소프트가 ‘비저너리’ 그룹에 새롭게 진입하면서 존재감을 과시했다.

SIEM 출시 후 바로 비저너리 그룹으로 뛰어오른 마이크로소프트의 ‘애저 센티넬’은 SOAR를 포함하는 차세대 기능 요구사항을 모두 수용하고 있으며, 마이크로소프트 보안 솔루션과 여러 써드파티 솔루션을 통합 지원한다. 클라우드로 섹옵스(SecOps)를 이전하게 해 보안 팀이 민첩하게 위협에 대응할 수 있도록 돕는다.

애저 센티넬은 내장된 머신러닝과 인텔리전스를 활용해 매일 수조 개의 이벤트를 분석하며, 노이즈를 줄이고 실제 위협에만 대응할 수 있다. 사용자 및 엔티티 행위분석(UEBA) 기능을 포함하고 있어 사용자의 이상행위를 탐지하고 침해 징후를 빠르게 포착할 수 있다.

마이크로소프트는 XDR과 클라우드 네이티브 SIEM을 연계해 하이브리드 환경에서 완벽한 엔드투 엔드 가시성을 보장할 수 있다. 단일 환경에서 모든 위협을 탐지하고 대응하는 XDR·SIEM 통합 플랫폼을 통해 SOC 조직이 더 빠르게 위협을 감지하고 대응할 수 있다.

SOAR는 SOC를 효율화하는 플랫폼으로, SOC 인력의 업무 부담과 비용을 줄이기 위해 제안되고 있으며, 클라우드 보안 복잡성을 낮추기 위해 많은 기업들이 SOAR 솔루션을 출시하면서 시장 공략을 가속화한다. 더불어 XDR과 연계해 빈틈없는 보안 위협 탐지와 자동화된 대응을 제공한다.

팔로알토 네트웍스는 XDR과 SOAR, 위협 인텔리전스를 통합한 ‘코어텍스 XSOAR’로 멀티 클라우드 보안 복잡성을 제거하며, 포티넷은 ‘포티XDR’, ‘포티SIEM·SOAR’, ‘포티 어낼라이저’를 통해 위협탐지·대응 효과를 높인다.

클라우드 공격표면 관리 필수

클라우드로 인해 공격표면이 넓어지면서 외부에 공개된 공격표면을 탐지하고 제거하는 ‘공격 표면관리(ASM)’ 솔루션이 주목받고 있다. ASM은 인터넷과 클라우드, 다크웹 등을 스캔해 방치된 취약점이나 열려있는 포트, 불법 유통되는 기업의 기밀정보와 중요한 크리덴셜 등을 찾아 조치할 수 있다.

취약점 탐지 솔루션은 내부 시스템과 애플리케이션에 존재하는 알려진 취약점을 탐지하는 것이고, 모의해킹은 내부 시스템에 제거되지 않은 취약점이나 공격 가능한 경고를 찾아 대응하는 것이다. ASM은 외부에 노출된 취약점을 찾아 공격자의 초기 투자 지점을 제거하는 것이다. 이들은 함께 운용하면 공격 가능성을 낮출 수 있어 멀티 클라우드 보안 위협을 줄일 수 있다.

ASM이 부상하면서 관련 솔루션의 시장 공략도 시작됐는데, 가장 먼저 국내에서 활동을 시작한 그룹아이비가 인텔리전스 기반 ASM ‘애셋제로’를 시장에 소개하고 있다. 애셋제로는 특허받은 분산환경 네트워크 스캐너로 열린 포트, 배너, 서비스, 소프트웨어·버전을 탐지한다.

애셋제로는 다크웹을 포함한 모든 인터넷과 외부 공격면에서 기업의 노출된 자산을 찾아 위험성을 식별한다. 그룹아이비의 위협인텔리전스를 통해 탐지된 위협 이벤트를 정확하게 식별하게 최적의 조치사항을 권고한다. 대기업이나 소규모 기업 등 모든 규모의 기업들이 쉽게 사용할 수 있도록 사용자 친화적 관리 환경을 제공한다.

그룹아이비_'애셋제로'주요_기능.jpeg

▲ 그룹아이비 '애셋제로' 주요 기능

팔로알토 네트웍스는 익스팬스(Expanse)를 인수하고 ‘코어텍스 익스팬스’를 출시했으며, 파이어아이는 인트리그(Intrigue)를 인수하고 맨디언트 어드밴티지 플랫폼에 추가하면서 위협 탐지·대응 능력을 강화하고 있다.

한편 파이어아이는 SOAR 플랫폼 ‘힐릭스’에 XDR을 연동하면서 위협 탐지와 대응 시장에서도 강력한 영향력을 펼치고 있다. ‘파이어아이 XDR’은 파이어아이 기술과 전문지식을 솔루션으로 결합한것으로, 피싱, 랜섬웨어 공격 보안은 물론, 엔드포인트, 네트워크와 클라우드, 전자 메일 및 클라우드를 위한 네이티브 보안을 제공하며, 탐지부터 대응에 이르기까지 모든 침해를 제어하는 조직 기능을 개선하는 데 집중한다. 힐릭스는 맨디언트이 위협 인텔리전스, SIEM, SOAR를 결합한 보안운영 플랫폼으로, XDR을 결합하면서 정교한 위협에 맞설 수 있는 보안 태세를 갖출 수 있게 된다.

클라우드 매니지드 보안 서비스 ‘주목’

우리나라에서 클라우드 보안은 좀처럼 성장하지 않는 시장으로 남아있다. 클라우드 전환에 가속도가 붙고 있지만, 클라우드에 대한 이해도와 인지도가 낮고 보안 전문성도 갖지 못했기 때문에 적절한 클라우드 보안 정책을 마련할 수 없다. 이에 보안기업들이 자신의 보안 전문성을 서비스로 제공하는 매니지드 서비스로 고객의 클라우드 보안을 돕는다.

안랩은 ‘차세대 매니지드 서비스’를 지향하는 ‘안랩 클라우드’를 소개한다. 이 서비스는 클라우드구축, 운영, 보안을 지원해 안정적이고 체계적인 클라우드 환경을 운영할 수 있게 한다. AWS, 애저, IBM 클라우드 등 클라우드 이용 고객이 직접 수행해야 하는 서비스 관리 영역에서 네트워크와 방화벽 보안을 안랩의 침해대응(CERT) 전문 인력이 원격으로 모니터링·관리하는 ‘클라우드 원격보안관제 서비스’를 제공한다.

독자 개발한 컨설팅 방법론 ASEM(AhnLab Security Engineering Method)을 기반으로 한 클라우드 정보보호 컨설팅을 제공하는 한편, 클라우드 설계, 마이그레이션, 운영 모든 단계에서 보안을 내재화해 안전한 클라우드 운영을 돕는다. 안랩 클라우드는 금융, 건설, SW개발 등 다양한 산업분야의 대·중소기업에 서비스를 제공하고 있으며, 여러 MSP, CSP와 협업하고 있다.

이글루시큐리티는 클라우드 기반 통합보안관제 솔루션 ‘스파이더 티엠 온 클라우드’와 서비스로 고객의 안전한 클라우드 운영을 지원한다. 이 서비스는 에이전트 설치만으로 온프레미스와 MS 애저 클라우드 상 보안 앱에 생성된 데이터를 실시간 수집, 저장, 연계, 분석한다. ‘스파이더 티엠 온 클라우드’는 애저 마켓플레이스 등록돼있다.

이글루시큐리티는 한국인터넷진흥원(KISA) 인증을 받은 공공 클라우드 사업자의 마켓플레이스 등록과 공공사업 참여를 통해 클라우드 SIEM 솔루션 제공을 확대할 방침이다. 중장기적으로는 SIEM을 시작으로 AI 보안관제, 취약점 진단 등 다른 보안 솔루션도 SaaS 형태로 제공할 계획이다.

기업 환경 맞는 클라우드 전략 세워야

기업들은 단 하나의 클라우드만 사용하는 것이 아니라 여러 퍼블릭 클라우드와 프라이빗 클라우드·온프레미스를 함께 사용한다. 그리고 온프레미스의 보안 정책이 일관성 있게 퍼블릭·프라이빗 클라우드에 적용될 수 있도록 하기를 원하지만, 업무 성격이나 상황에 따라 개별 클라우드에 맞는 보안 정책을 별도로 지정해야 할 필요도 있다.

클라우드 전환을 계획하는 단계에서부터 여러 사항을 고려해 보안이 내재된 멀티 클라우드 운영 계획을 세워야 하며, 클라우드 이행 과정을 지속적으로 검토하고 개선할 수 있는 프로세스를 만들어야 한다.

처음 클라우드 도입하거나 초기 단계에서 모든 과정을 파악하고 자사 환경에 맞는 클라우드 전환 전략을 택하는 것이 쉽지 않다. 따라서 업계의 많은 경험이 있는 클라우드 보안 전문가와 함께 장기적·단계별 클라우드 전환 전략을 수립하고 이행하는 것이 바람직하다.

IBM의 경우, 클라우드 보안을 위해 필요한 모든 솔루션과 서비스, 컨설팅, 보안관제, SECaaS까지 제공한다. 특히 IBM 클라우드 컨설팅은 고객 환경에 최적화된 솔루션과 서비스를 제안, IBM 제품·서비스에만 국한되지 않고 가장 안정성 높고 운영이 쉬운 환경을 구성할 수 있도록 도와준다.

ADT캡스는 국내에서 가장 많은 클라우드 보안 컨설팅을 제공했다는 점을 강조하며 서비스 강자를 자처하고 있다. ADT캡스 인포섹은 산업별 클라우드 보안 컨설팅 방법론과 베스트 프랙티스, 클라우드 전환 서비스 지원, 클라우드 보안관제를 제공하면서 전문성을 키워왔다.

IAM 운영대행, CASB, 이상행위 탐지 등을 중점으로 한 보안관제 서비스를 제공한다. 데이터 보호와 위협 탐지·방어, 컨테이너 보안, 웹 보안 등의 서비스도 제공하고 있으며, 클라우드 OS·네트워크를 위한 보안 서비스와 보안관제를 제공한다.

한편 ADT캡스는 SK텔레콤과 함께 클라우드 보안 형상관리(CSPM)를 포함한 멀티 클라우드 보안관리 플랫폼 ‘클라우드 보안 관리 플랫폼(CSMP)’을 개발, SK텔레콤 ‘차세대 클라우드 관리 플랫폼’의 클라우드 보안상품으로 활용하며, SK텔레콤의 클라우드 사업을 지원한다.

LG CNS는 보안 브랜드 ‘시큐엑스퍼’에 클라우드 보안을 추가하고 클라우드 전환, 구축, 운영을 위한 보안 컨설팅부터 시스템 구축, 솔루션 공급, 보안 관제까지 클라우드 보안의 생애주기 전체를 커버할 수 있는 토털 서비스를 제공한다. LG CNS는 금융, 제조 등 다양한 산업에서 클라우드 보안 경험을 쌓아왔으며, 이 경험을 바탕으로 한 시큐엑스퍼 클라우드는 고객사의 다양한 상황에 따른 맞춤형 서비스를 제공한다.

o 원문 기사 링크 --> [클라우드 보안] 위협 탐지와 대응·보안관제·컨설팅