[구축사례] 제주항공, RSA ‘넷위트니스’ 도입해 통합 보안 관제 체계 마련
업계 선도적인 XDR 플랫폼 도입, 침해 사고 대응 태세 대폭 강화
[아이티데일리] 국내 대표 저비용 항공사(LCC)인 제주항공이 최근 RSA의 ‘넷위트니스(NetWitness)’ 솔루션을 도입해 한층 강화된 통합 사이버 보안 체계를 구축했다. 고객 개인정보 보호를 최우선으로 삼고 있는 제주항공은 폭발적으로 늘어나는 외부로부터의 사이버 공격 시도를 보다 효율적이고 정확하게 탐지해 조치하고자 최신 XDR(eXtended Detection & Response; 확장된 탐지 및 대응) 플랫폼을 활용하기로 결정했다. 업계 선도적인 실시간 모니터링과 침해 사고 대응 능력을 갖추게 된 제주항공의 정보보호실을 방문했다.
국내 대표 LCC, 사이버 보안 지속 강화
2005년 설립된 제주항공은 LCC 업계 대표이자 선두주자로서 두각을 나타내며 성장을 이어오고 있다. 코로나19 팬데믹 직전까지 늘어나는 항공 수요에 효과적으로 대응해 왔으며, 엔데믹 이후 폭발적으로 늘어난 항공 수요에도 적극적으로 대응하고 있다.
디지털 기반의 혁신이 전 산업의 고민거리인 가운데, 제주항공은 특히 항공기 이용자의 정보보호와 운항에 대한 정보보호를 모두 책임질 수 있는 강화된 사이버 보안 전략을 펼치는 데 최선을 다하고 있다.
항공사에서는 그간 제한된 장소 및 시설에 대한 일반인의 출입을 통제하고, 승객 및 수하물 가운데 위험 인자가 없는지를 확인하는 등의 소위 ‘물리적 보안’을 보다 중요시해온 것이 사실이다. 하지만 최근 디지털 전환에 따라 IT 기술에 대한 의존도가 높아지면서 사이버 보안을 강화할 필요성이 강조되고 있다. 이제 사이버 보안은 안정적인 항공사의 운영과 고객의 신뢰를 지키기 위한 필수 사항이 됐다. 이에 지난 몇 년간 LCC 업계는 사이버 보안 강화에 많은 공을 들이고 있다.
LCC 업계의 선두주자인 제주항공이 사이버 보안에서 가장 중점적으로 신경쓰는 것은 고객 개인정보 보호다. 항공사를 운영하면서 다룰 수밖에 없는 고객의 소중한 개인정보가 외부의 공격을 받아 유출되지 않도록 하는 데 중점을 두고, 계속해서 사이버 보안 역량을 강화해나가고 있다.
침해사고 대응 가시성 향상 위한 통합 XDR 솔루션 구축
고객의 개인정보를 비롯해 업무 관련한 중요 데이터가 유출되는 사고가 발생한 이유를 살펴보면, 내부 직원들의 악의적 행위도 있을 수 있지만 무엇보다 많은 부분을 차지하는 것은 외부에서의 해킹이나 랜섬웨어 감염 등을 포함하는 침해사고가 주된 원인이라 할 수 있다. 제주항공은 외부의 공격을 방어하고자 이미 다수의 사이버 보안 장비를 구축해 모니터링과 탐지를 지속적으로 수행하고 있었다. 하지만 이러한 장비들은 대부분 사일로(silo)화 된 독립적 보안 장비에 기반하는데, 이 경우 장비들을 아우르는 통합적인 가시성이 부족하다는 문제가 있었다. 이에 제주항공은 보다 효율적이고 완벽한 탐지 및 보호를 위해 차세대 통합 사이버 보안 솔루션인 XDR(eXtended Detection & Response; 확장된 탐지 및 대응)의 도입을 고민했고, 다양한 선택지 가운데 단일 벤더가 자사의 제품들을 통합한 ‘네이티브 XDR(native XDR)’ 솔루션이라는 장점을 가진 RSA의 ‘넷위트니스(NetWitness)’ 제품을 도입하게 됐다.
NDR(네트워크 탐지 및 대응) 솔루션으로 잘 알려진 RSA 넷위트니스는 이제 NDR 뿐만 아니라 SIEM(보안 정보 및 이벤트 관리), EDR(엔드포인트 탐지 및 대응) 등을 하나의 솔루션으로 통합해 보안 관제 가시성의 모든 영역을 단일화된 시스템에서 확인, 통제할 수 있는 솔루션이다. 제주항공은 RSA 넷위트니스를 도입해 기존의 다양한 보안 솔루션들로부터 발생하는 로그들을 통합해 살펴볼 수 있었음은 물론, 네트워크 트래픽의 원본을 수집 및 모니터링하고, 엔드포인트에 대한 에이전트 기반의 악성 행위 분석까지 모두 통합한 상태에서 실시간 경보체계를 구축할 수 있었다.
제주항공 정보보호실의 한형민 정보보호팀장은 “기존에 개별적으로 운영되던 사내의 모든 보안 솔루션을 SIEM으로 통합해 통합보안관제 체계를 구축했다. 또한 주요 구간의 트래픽 원본 수집 및 실시간 분석을 통해 모든 송수신 내용에 대한 증적 확보를 할 수 있게 됐고, 은밀하게 행해지는 알려지지 않은 공격에 대한 탐지 및 분석이 가능하게 됐다. 또한 엔드포인트 에이전트를 통해 호스트 운영체계(OS) 내부에서 발생하는 다양한 이상 행위를 탐지해 침해당한 시스템을 즉시 발견하고 조치를 취할 수 있게 됐다”고 설명하고 “RSA 넷위트니스 제품 도입을 통해 외부 침해에 대한 대응 태세를 크게 강화할 수 있었으며, 일원화된 보안 관제 플랫폼을 구축해 보다 효율적으로 침해 대응 업무를 수행할 수 있게 됐다”고 덧붙였다.
인터뷰
“효율적인 단일 벤더 네이티브 XDR 구축 성공”
제주항공 정보보호실 한형민 정보보호팀장
Q. 제주항공의 사이버 보안 준비 수준을 자평한다면.
코로나19 팬데믹 직전에는 팀 인원이 4~5명이었다. 2019년 정부 지침에 따라 CISO(정보보호최고책임자) 겸직이 금지되면서 새롭게 CISO도 모셨고, 2020년 이후 인원을 충원하면서 현재의 조직을 구성하게 됐다. 각 영역마다 전문인력을 구성해 정보보호팀만 10명이 근무하고 있으며, 제주항공뿐만 아니라 자회사 IT시스템에 대한 관제까지 담당하고 있다. 이는 LCC 업계뿐만 아니라 국내 대형 항공사까지 포함해서도 조직 면에서는 뒤처지지 않는, 국내에서는 최고 수준의 투자라고 생각한다. 항공업계를 넘어 타 업계까지 포함해서도 정보보호 조직으로서는 어느 정도 규모를 갖춘 수준인 것으로 알고 있다.
Q. 넷위트니스 XDR 도입으로 거둔 효과를 자랑한다면.
정보보호 조직은 외부에서 들어오는 공격을 통제하고, 내부에 존재하면서 흘러다니는 공격이나 악성 행위까지 탐지해야 한다. 예전에는 관제라는 작업을 통해 각 장비를 모니터링하고 조정했다. 하지만 그만큼 모니터링 등에 필요한 인원이 많이 필요했다. 이러한 관제 업무에 효율성을 가져올 것으로 기대하고 XDR 솔루션인 ‘넷위트니스’를 도입했다. 네트워크 엔드포인트의 로그를 하나의 SIEM 장비에 연동해 제주항공 전체 IT 인프라의 현황을 볼 수 있는 통합 모니터링 환경을 구축한 것이다. 지난 1년간 넷위트니스를 구축 후 실제 운영하면서 침해 시도를 탐지, 조치한 케이스들이 다수 있다.
Q. 많은 XDR 솔루션이 있는데, RSA 넷위트니스를 선택한 이유는.
XDR은 아직까지 어떻게 보면 개념적인 측면이 있다. 엔드포인트, 네트워크 등 여러 분야를 아우르는 관점에서 고민하다 보니 그러한 구성을 위해서는 단일 벤더가 가장 효율적이라고 생각했다. 현재 시장에서는 단일 벤더 기반의 네이티브 XDR도 있고, 다양한 벤더의 제품을 아우르는 오픈 XDR을 이야기하는 곳도 있다. 하지만 아직까지는 상호호환성에 대한 우려가 많다고 생각했다. 이에 단일 벤더 XDR이 가능한 곳들 중에서 SIEM과 NDR 분야에서 최고 수준의 기술력을 보유한 RSA의 넷위트니스를 검토, 선택하게 됐다. 특히 보안 장비에서 발생하는 로그들은 단순히 모으는 데서 끝나는 게 아니라 분석에 대한 지원이 필요한데, RSA는 전 세계적인 명성을 갖고 있고 세계 곳곳에서 일어나는 위협에 대한 정보들도 많이 보유하고 있어 분석에 필요한 정보들을 원활하게 제공할 수 있을 것으로 판단했다.
Q. 더욱 강화해야 할 부분이 있다면.
현재 사무용 PC 등을 포함하는 엔드포인트 전체와 서버, 스토리지, 네트워크 스위치 등 주요 인프라 장비들을 모두 넷위트니스 XDR 솔루션상에 구성해 모니터링하고 있다. 하지만 계속해서 IT 시스템들이 늘어나고 있고, 내부 인프라의 아키텍처 변화에 따라 증설되는 부분들까지 XDR에 포함하려면 확대 도입 등을 고민해야 할 것 같다. 또 아직 클라우드까지는 XDR을 적용하지 못했는데, 향후 이 부분까지 완벽하게 하나의 플랫폼에서 관리할 수 있도록 해야 할 것 같다. 클라우드를 포함, 전체 시스템들을 하나의 플랫폼에 담아 거기에서 발생하는 정보들을 한 데 엮어 분석할 수 있기 때문에 더욱 큰 효과를 발휘할 것으로 본다.
또한 넷위트니스 제품 자체도 지속적으로 업그레이드돼 더욱 품질이 향상될 것으로 기대한다. 현재 화두가 되고 있는 AI 기능을 RSA에서도 제공하고는 있지만, 앞으로는 AI를 이용한 공격에 대한 대응 정보도 더욱 필요해질 것이고 수작업 대신 AI를 도입해 분석의 효율성을 높일 수 있는 쪽으로도 고민하고 있다. 탐지 측면에서도 기본 제공되는 정보뿐만 아니라 위협 인텔리전스(Threat Intelligence) 등을 추가적으로 활용해 분석의 질을 높이려 하고 있다. 향후에는 클라우드 보안도 강화할 예정이다. 단순 클라우드가 아니라 CI/CD 파이프라인까지 포함하는, 클라우드 기반 개발 환경에 대한 보안을 강화해나갈 것이다.
Q. 당부하고 싶은 말씀이 있다면.
제주항공 정보보호실은 직원들에게 좀 더 사용자 친화적인 사이버 보안을 제공하고자 한다. 단순 차단이나 무조건적인 사용자 인식 개선 요구보다는, 보이지 않는 곳에서 효과적으로 보안을 책임지는 조직으로 활약하겠다. 최근에는 아이디/패스워드를 넘어 생체인증 등을 활용, 사용자 인증 체계를 개선하는 것을 포함해 사용자의 편의를 제고하고자 많은 고민을 하고 있다.
XDR 고도화 지속 추진
XDR은 현재 사이버 보안 업계가 차세대로 밀고 있는 최신 기술이다. 아직까지 많은 보안 솔루션 개발사들이 XDR이라는 개념이 가져다줄 수 있는 장점을 극대화하기 위해 보유한 솔루션을 통합하고 타사와의 협력을 강화하는 등 분주히 움직이고 있다. 제주항공은 사이버 보안에 대한 높은 관심과 실행 의지를 증명하듯 최신 기술인 XDR 솔루션의 도입을 결정했고, 업계 선도적으로 XDR을 고도화해나가고 있다.
한형민 팀장은 “아직까지는 XDR을 아주 효과적으로 사용하지는 못하고 있다고 진단하고 있다. 아주 잘 사용한다고 말할 수 있는 수준까지 단번에 올라갈 수는 없다고 본다. 계속해서 로그와 인시던트(incident)를 분석하고 보안 사고 대응 시나리오(scenario)나 룰(rule) 등을 개발해나가야만 한다. 현재 넷위트니스를 구축한 지 1년여 정도가 됐는데 RSA시큐리티코리아와 파트너사인 굿모닝아이텍이 적극적으로 지원해주고 있어, 내년부터는 더욱 확실한 효과를 볼 수 있을 것으로 기대하고 있다”고 말했다.
굿모닝아이텍은 다년간 RSA의 국내 파트너사로서 정보보호 기술 역량을 인정받아왔다. 올해 4월에는 지난 2023년도의 사업 성과를 인정받아 ‘올해의 코리아 파트너 어워드’를 수상하기도 했다. 제주항공 정보보호실 측은 특히 굿모닝아이텍과 RSA시큐리티코리아가 긴밀하게 소통하면서 기술지원과 교육 등을 제공하고 있다고 강조했다. 넷위트니스 장비 자체에 대한 교육을 비롯해 정책 관리, 관제 등 다양한 영역에 대해 1회성이 아닌 지속적 교육을 제공해주고 있다는 설명이다. 또한 RSA 역시 사이버 보안 업계에서의 오랜 업력에 기반한 전 세계적 위협 정보를 풍부하게 제공하고 있으며, 각종 요청사항에도 한국지사 인력들이 기민하게 대응해 만족도가 높았다고 제주항공 측은 덧붙였다.
RSA시큐리티코리아 김현철 이사는 “글로벌 사이버 보안 환경이 급격히 변화하는 가운데 RSA는 솔루션 벤더 입장에서 고객이 사용하는 제품의 정기적 무상 업그레이드뿐만 아니라 이슈에 대응해 빠르게 업데이트 및 패치하는 게 중요하다고 보고 있다. ‘퍼스트워치(FirstWatch)’라는 이름의 자체 위협 인텔리전스(Threat Intelligence) 팀을 운영하면서 매달 1~2회 이상 정기 리포팅을 제공하는 것도 차별화 포인트다”라고 소개하고 “최근 보안 분야에서도 AI를 접목해 기대치를 높이고 있는데, 모사와 협력해 LLM을 접목한 제품 업그레이드를 진행하고 있으며, AI 엔진도 꾸준히 업데이트해 매년 새로운 모습으로 고객에게 선보이고 있다. RSA는 개발 인력을 500~600명 이상 보유, 꾸준히 R&D에 투자하면서 끊임없이 새로운 보안 환경에 대응할 수 있도록 지원하고 있다”고 강조했다.