[아이티데일리] 진화하는 보안 위협에 대응하기 위해 사이버 보안 분야 역시 빠르게 변화하고 있다. 전통적인 보안의 한계를 극복하기 위해 다양한 보안 요소를 통합하고, 정보 공유와 협력을 강화함으로써 보안 수준을 향상시키는 ‘통합’ 전략이 대세가 되고 있다. 엔드포인트, 네트워크, 클라우드에 이르기까지 전체 영역을 한 눈에 볼 수 있는 가시성을 기반으로, 머신러닝(ML)과 인공지능(AI) 기술을 접목해 데이터 분석의 정확도를 높이면서 자동화된 대응까지 할 수 있는 통합적인 최첨단 보안 전략을 채택해야 할 필요성이 높아지고 있다.

복잡해지는 보안 환경

사이버 보안의 중요성은 날로 증가하고 있다. 기업과 정부기관 뿐만 아니라 개인의 데이터 역시 위협에 지속적으로 노출되며 일반인들 역시 사이버 공격의 심각성을 직접적으로 느끼고 있다. 이제 사이버 공격으로부터 정보를 안전하게 보호하는 것은 개인과 조직을 넘어 국가적 과제로 떠올랐다.

오늘날 기업 및 조직들은 피싱이나 랜섬웨어부터 공급망 공격, 소셜 엔지니어링 공격 등까지 다양한 기술을 활용한 진화된 사이버 공격의 표적이 되고 있다. 기업은 이러한 사이버 공격으로부터 나름의 방어 체계를 구축하고 있지만, 문제는 매 순간 진화하는 사이버 위협에 대응하면서 기존에 효과를 보던 방법들이 언제까지나 유효할 거라고 안주할 수만은 없다는 사실이다. 실제로 전통적인 보안 솔루션들의 한계는 매 순간 확인되고 있다. 즉 기존에는 각각의 사이버 위협 유형에 대응하는 보안 시스템들을 개별적으로 도입해 독립적으로 운영해왔으나, 점점 이러한 보안 시스템의 수가 늘어나면서 문제가 발생하기 시작한 것이다. 이제 수십여 개로 늘어난 포인트 솔루션에 의존하게 된 기업 및 조직들은 복잡해진 보안 시스템으로 인해 대응에 어려움을 겪고 있다.

포인트 솔루션 수십 개 사용

실제 트렐릭스가 전 세계 정보보호책임자(CISO)를 대상으로 실시한 조사에 따르면, CISO들은 평균적으로 25개의 개별 보안 솔루션을 사용하고 있는 것으로 조사됐다. 그리고 이들 중 35%는 “신뢰할 수 있는 단일 소스 없이 너무 많은 기술을 활용해야 한다는 점이 가장 큰 장애물”이라고 토로했다. 즉 CISO들은 사용해야 하는 보안 솔루션의 수가 지나치게 많고, 불필요하며, 복잡하다고 느끼고 있었다.

시스코가 최근 국내에서 조사한 설문 조사에서도 같은 고민을 읽을 수 있다. 해당 조사에서 국내 응답자의 89%가 “여러 포인트 솔루션의 활용이 보안 사고에 대한 감지, 대응 및 복구 능력을 떨어뜨린다”고 답한 것이다. 또한 실제 58%의 응답자가 “보안 스택에 10개 이상의 포인트 솔루션을 사용하고 있다”고 밝혔으며, “30개 이상을 적용 중”이라는 응답도 12%에 달했다.

보안 준비 자신감 높지만 실제 수준은 낮아

하지만 수년, 길게는 수십 년에 걸쳐 각종 위협에 대비하면서 결국 수십 개의 포인트 솔루션을 보유하게 된 만큼, 기업 및 조직들의 보안 관련 자신감은 생각보다 높은 상태다. 많은 보안 담당자들이 “모든 위협에 대응할 수 있는 솔루션을 다 갖추고 있다”고 자신하는 상황이다. 시스코 조사에서도 국내 기업의 61%가 “현재 구축한 인프라로 사이버 공격에 대응할 수 있다”고 응답한 것으로 나타났다. 하지만 시스코는 이러한 자신감과 실제 보안 준비 실태에는 다소 괴리가 있었다고 지적했다.

시스코는 사용자 신원 신뢰도, 네트워크 회복탄력성, 머신 신뢰도, 클라우드 및 AI 강화 등 5가지 핵심 요소와, 각 요소에서 활용되는 31개의 솔루션 및 기술을 바탕으로 기업의 보안 준비 현황을 평가했다. 그리고 기업의 사이버 보안 준비 현황을 △초기 △형성 △발달 △성숙 등 총 4단계로 분류했다.

시스코의 평가에서 국내 기업 중 ‘성숙’ 단계로 분류된 기업은 단 4%에 불과했다. 하위 단계인 ‘초기’에 속한 기업이 25%, 그리고 ‘형성’ 단계에 속한 기업이 60%로 결국 합하면 85%의 기업들이 보안 준비가 미진한 것으로 조사된 것이다. 시스코는 이에 대해 “많은 기업들이 위협 환경에서의 대처 능력을 과신하고 있고 현재 직면한 문제의 실제 규모를 제대로 평가하지 못하고 있다는 것을 의미한다”고 평가했다.

시스코 보안 및 협업 부문 총괄 매니저인 지투 파텔(Jeetu Patel) 부회장은 “보안 준비도에 대한 과도한 자신감이 오히려 위협을 초래할 수 있음을 결코 과소평가해서는 안 된다”며 “기업들은 통합 플랫폼 구축에 투자를 우선시하고 AI를 활용해 사이버 보안 운영 규모를 대폭 확장해야 한다”고 조언했다.

이처럼 지나치게 포인트 솔루션을 활용하고 있는 현재 상황에 대한 우려가 보안 전문가들 사이에서 커지고 있다. 수십여 개로 늘어난 각 보안 솔루션들에 대한 통합적인 가시성을 확보하고, 이를 기반으로 일괄적인 제어를 수행함으로써 신속하게 사이버 위협에 대응해야 할 필요성이 최근 몇 년간 대두되는 상황이다.

통합으로 효율성 높이고 업무 부담 경감

‘통합 보안’이라는 개념은 기존의 분절된 접근 방식을 가진 보안 솔루션 및 시스템을 넘어, 다수의 보안 도구 및 기술을 하나의 효율적인 관리 시스템에 결합하는 전략을 의미한다. 이러한 통합을 통해 흩어져 있던 정보를 실시간으로 공유하며 효율을 높이고, 보안 사고가 발생했을 때도 신속하게 사고 지점과 피해 정도를 파악해 대응 속도를 높일 수 있다. 기술적인 이점뿐만 아니라 조직 내 인력 간 협업을 효율적으로 할 수 있다는 장점도 갖는다.

결과적으로 통합된 솔루션을 바탕으로 보안운영센터(SOC)는 위협탐지와 대응을 효율적으로 수행할 수 있어 보안 인력의 업무 부담이 크게 줄어드는 효과를 얻을 수 있다.

시스코 APJC의 피터 몰로이(Peter Molloy) 글로벌 보안 세일즈 매니징 디렉터는 “모든 것을 일관성 있게 통합해 대응, 관리할 수 있는 플랫폼 측면에서의 접근이 중요하다. 통합 플랫폼 접근 방식은 이 모든 것을 일관되게 통합하면서 전체적인 보안과 사용자 경험을 담보할 수 있다”고 말했다.

효율과 통합을 위한 XDR

오늘날 보안 조직은 수십 개의 보안 솔루션으로부터 실시간으로 감당하기 어려운 숫자의 위협 알람을 수신한다. 넘쳐나는 위협 정보들 가운데 어떤 것이 실제 위협이 될 수 있는 보안 이벤트인지를 파악하고, 그 수준에 맞춰 적절하게 대응하는 것이 보안 담당자의 중요한 역량이다. 그러나 모두가 숙련된 보안 담당자일 수가 없고, 그나마 초급 보안 담당자도 업무 강도나 처우 등의 복합적인 이유로 채용이 쉽지 않은 게 현실이다. XDR(eXtended Detection and Response; 확장된 탐지 및 대응)은 이러한 문제점을 해결하고자 등장한 통합 플랫폼이다.

기존의 포인트 솔루션들이 각자의 영역 내에서는 효과적으로 기능할 수는 있지만, 오늘날의 정교한 위협을 방어하려면 분산된 네트워크 전체를 아우르는 가시성과 제어가 필요하다. 효과적인 XDR 솔루션은 클라우드 애플리케이션, 이메일 보안, 아이디(ID), 액세스 관리 등 전체 영역에서 데이터를 수집해 보안 팀이 의미 있는 정보를 검토할 수 있도록 제시해준다. 뿐만 아니라 AI와 ML 기술을 이용해 실시간으로 자동 분석, 조사, 대응까지 수행할 수 있다. 알려진 위협을 실시간으로 자동 식별, 평가, 수정할 수 있으며 피해를 입은 자산을 자동으로 복구할 수도 있다.

 다만 현재의 XDR 솔루션들이 완벽하지는 않다. 시스코, 트렌드마이크로 등과 같이 다양한 솔루션을 갖춘 글로벌 기업들이 통합 전략을 강조하면서 자사 제품만을 중심으로 통합되는 ‘단일벤더 XDR’ 전략을 앞세우고는 있지만, 실제 고객사들이 필요로 하는 모든 영역을 감당하지는 못하는 상황이다. 이에 일부 기업들은 ‘오픈(Open; 개방형) XDR’이라는 이름으로 솔루션들 간의 연동성을 강화하며 XDR 생태계를 구축해나가고 있다.

이처럼 현재 보안 시장은 솔루션을 결합하고 상호 연동하는 협업 모델로 변화하는 과도기에 접어들었고, 그 중심에 XDR이 있다. XDR 시장은 아직 초창기 단계로 평가되고 있으며, 향후 지속적으로 발전할 것으로 기대되고 있다. 업계는 글로벌 XDR 시장이 향후 몇 년간 대폭 성장할 것으로 전망한다. 월드와이드테크놀로지에 따르면 XDR은 2021년에서 2028년까지 연평균 약 20%씩 성장해 20억 6천만 달러(한화 약 2조 7,500억 원) 규모에 이를 것으로 예상된다.

글로벌 기업들의 XDR 솔루션을 살펴보면, 먼저 트렌드마이크로는 통합 보안 플랫폼 ‘트렌드 비전 원(Trend Vision One)’을 통해 XDR을 제공하고 있다. 또한 포티넷은 ‘포티XDR(FortiXDR)’을 선보이고 있으며, 팔로알토네트웍스는 ‘코어텍스 XDR(Cortex XDR)’이라는 이름의 솔루션을 제공한다. 시스코는 AI 기반 통합 크로스 도메인 보안 플랫폼인 ‘시스코 시큐리티 클라우드(Cisco Security Cloud)’ 하에 ‘시스코 XDR(Cisco XDR)’을 출시해 XDR 시장에 대응하고 있다.

국내 기업 중에서는 안랩이 지난해 10월 ‘안랩 XDR’을 선보이며 시장 확대에 본격적으로 나서고 있다. 안랩 XDR을 도입하면 △정확한 리스크 우선순위 식별 △유연한 연동 기반 체계적인 대응 △보안 수준 및 운영 편의성 향상 등의 효과를 기대할 수 있다는 게 회사 측 설명이다.

클라우드 보안을 통합하는 CNAPP

클라우드 도입이 확대되고 애플리케이션 개발 시의 보안 위협이 늘어나면서, 그동안 각 위협에 대응하는 각각의 솔루션들이 발달해왔다. 즉 △클라우드 서버 워크로드 및 컨테이너 보안을 담당하는 ‘CWPP(Cloud Workload Protection Platform; 클라우드 워크로드 보호 플랫폼)’ △클라우드 규정을 관리하는 ‘CSPM(Cloud Security Posture Management; 클라우드 보안 형상 관리)’ △클라우드 ID와 접근 등을 관리하는 ‘CIEM(Cloud Infrastructure Entitlements Management; 클라우드 인프라 권한 권리)’ 등의 솔루션이다.

하지만 이러한 솔루션들을 통합해 보다 간편하고 일관된 시점에서 클라우드와 애플리케이션 개발 시의 보안 위협을 효율적으로 관리하려는 움직임이 일어났고, 이러한 요구를 만족하는 솔루션이 바로 CNAPP(Cloud Native Application Protection Platform; 클라우드 네이티브 애플리케이션 보호 플랫폼)다.

클라우드 채택이 본격화되고 경험 역시 무르익으면서 조직들의 클라우드 보안 고민 역시 깊어지고 있다. 호스트 가상머신(VM), 컨테이너, 쿠버네티스(Kubernetes), 서비스형 컨테이너(Container as a Service, CaaS) 및 서버리스 기능의 조합을 사용하는 상황에서 보안 조직이 소프트웨어 수명 주기 전체에 걸쳐 모든 클라우드에서 호스트, 컨테이너 및 서버리스 배포를 총체적으로 보호할 수 있어야 하는 과제를 안게 됐다. 하지만 이 역시 과도한 포인트 솔루션의 도입이 문제를 일으키고 있다. 제한적인 가시성이 가져다주는 보안상 ‘사각지대’가 지적됐기 때문이다.

CNAPP는 개발, 배포, 런타임 등 애플리케이션 수명주기 전체에 걸쳐 일관된 보안 체인을 마련해 보안 위험성을 추적하고 관리할 수 있는 경로로 작용할 수 있기에 주목받고 있다. 즉 CNAPP는 기업이 클라우드 네이티브 생태계의 이점을 전체적으로 누릴 수 있도록 하는 간소화된 보안 아키텍처다. 글로벌 시장조사기관 가트너(Gartner)는 클라우드 네이티브 애플리케이션의 보안 문제에 대해 “기업은 개발과 런타임을 별도의 도구 모음으로 보호하고 스캔하는 별개의 문제로 취급해서는 안 된다. 그보다는 개발 및 운영 전반에 걸쳐 보안과 컴플라이언스를 연속체로 인식하고, 가능한 경우 도구를 통합해야 한다”고 조언한 바 있다.

CNAPP는 이러한 통합의 요구를 만족하는 솔루션이다. 클라우드 네이티브 환경에 완전한 엔드투엔드(End-to-End) 보안을 제공하는 것을 목표로, 일부 문제만을 해결하는 포인트 솔루션이 아닌 통합적 플랫폼상에서의 접근 방식을 제공한다. 가트너는 CNAPP를 “개발 및 프로덕션 전반에 걸쳐 클라우드 네이티브 애플리케이션을 보호하고, 보안을 강화하도록 설계된 보안 및 컴플라이언스의 통합 세트”라고 정의했다. 또한 여기에 더해 △아티팩트 스캐닝(Artifact scanning) △CIEM △CSPM & 쿠버네티스 보안 형상 관리(Kubernetes Security Posture Management; KSPM) △코드형 인프라 스캐닝(IaC scanning) △CWPP 등의 기능이 통합된 플랫폼을 CNAPP라고 설명했다.

< 가트너가 언급한 CNAPP의 구성 요소 >

◆ 아티팩트 스캐닝(Artifact scanning)

패키지, 컨테이너, 구성 파일, 이미지 등 소프트웨어 개발 프로세스에 의해 생성된 파일에 대해 SAST/ DAST, API 스캐닝, 소프트웨어 구성 분석, CVE, 기밀·민감정보, 멀웨어 탐지, 공격 경로 분석 등 노출 검사(Exposure Scanning)를 수행함.

◆ CIEM

과도한 클라우드 인프라 권한을 줄이고 최소 권한의 액세스 제어를 시행하도록 설계된 ID 및 액세스 거버넌스 제어 기능을 제공함. 동적·분산 클라우드 환경에서 구현된 최소 권한 액세스 제어를 간소화함.

◆ CSPM & KSPM

CSPM은 클라우드 서비스 구성, 보안 설정, 규정 준수, 클라우드 거버넌스 등 클라우드 문제를 기록, 감지, 보고함. CSPM 도구는 모니터링, 분석, 인벤토리, 자산 분류, 비용 관리 및 리소스 구성 등의 기능을 제공함. KSPM은 쿠버네티스와 도커의 CIS 벤치마크, 최소 권한 RBAC, 침투 테스트 및 Pod 배포 정책을 통해 지속적인 보안 구성을 보장함.

◆ IaC(Infrastructure as Code; 코드형 인프라) 스캐닝

일반적인 클라우드 네이티브 템플릿 형식을 구문 분석한 후 보안 모범 사례를 기반으로 규칙을 적용함. 환경의 보안을 강화하기 위해 추가적인 강화가 필요할 수 있는 부분에 대한 이해를 사용자에게 제공함.

◆ CWPP

조직이 클라우드 전반에서 워크로드를 지속적으로 보호하고 관리해 복잡한 클라우드 환경을 보호할 수 있도록 지원함. CWP는 관리 및 보안정책 정의를 중앙집중화하고 환경 전반에 걸쳐 가시성을 유지하며 확장된 보안 제어를 제공함. CWPP 시스템의 일반적인 기능에는 시스템 무결성 모니터링, 취약성 관리, 시스템 강화 및 호스트 기반 세분화가 포함됨.

 이미 글로벌 기업들은 빠르게 CNAPP 솔루션들을 출시하고 시장 확대에 나서고 있다. 팔로알토네트웍스는 ‘프리즈마 클라우드(Prisma Cloud)’라는 이름으로, 트렌드마이크로는 ‘트렌드 클라우드 원(Trend Cloud One)’ 이라는 이름으로 CNAPP 솔루션을 제공하고 있다.

국내에서는 아스트론시큐리티와 같은 기업들이 CNAPP 솔루션을 개발해 시장에 선보이고 있다. 국내 기술로 개발했음을 자부하는 아스트론 CNAPP(Astron CNAPP)은 CSPM, CIEM, CWPP 등 클라우드 보안의 핵심 기능을 통합해 플랫폼 형태로 지원하는 솔루션이다. 클라우드 시각화 및 자산 식별을 비롯해 클라우드 네이티브 보안 강화를 위한 위협분석 및 모니터링을 지원한다. 국내외 퍼블릭 클라우드 및 멀티·하이브리드 클라우드와의 API 연동을 지원하며, AI 기반의 자동화된 이상행위 탐지도 제공한다. 아스트론시큐리티는 특히 CWPP 기능을 고도화해 컨테이너 및 런타임 보안을 강화, 국내 공공·금융·국방 등 다양한 분야를 공략하고자 본격적으로 영업에 나서고 있다.

보다 강력하고 효율적인 보안을 위한 ‘통합’

통합은 사이버 보안의 효율성을 높이고 보다 완벽한 방어 태세를 갖추는 데 있어 필수 전략으로 자리 잡고 있다. 기존의 솔루션들만으로 보안을 담보할 수 있다는 근거 없는 자신감보다는 최신 트렌드가 무엇인지를 파악하고 선제적으로 투자하며 보안 준비 태세를 강화해야 한다. 생성형 AI 등 최신 기술로 무장한 사이버 공격에 대응하는 방법은 바로 그에 맞서는 ‘최신 기술’임을 기억하자.