이 와중에 조금 늦은 감이 있지만, 이번 RSA Conference 2016에 다녀온 소감을 후기로 작성해 본다.
주요 글로벌 벤더사의 주장이나 컨퍼런스 주제는 이미 미디어 상에 많이 노출되었기 때문에 굳이 이 자리에서 반복하기 보다는 좀 더 주관적인 관점에서 이야기 해 볼까 한다.
이번 참관은 여느 해외 컨퍼런스 참관과는 다르게 현재 몸담고 있는 디지털 가디언(Digital Guardian)의 미국본사 전시부스를 직접 지원하는 입장에서 참가하게 되었다. 많은 글로벌 벤더 한국지사 근무자들도 참관했지만, 본사 부스지원 인원으로 직접 참여할 수 있는 점은 분명히 색다른 경험이었고, 조금 다른 시각에서 RSA Conference를 겪어보게 된 계기가 되었다.
3일간 부스 운영을 지원하다 보니, 다양한 RSA Conference Expo 방문자 유형도 경험하게 되었다. 먼저 직업군으로 나누어 보면 학생, 직장인, 벤더사직원, 파트너사, 프리랜서, 고객, 미디어 등으로 나누어진다.
그 다음 특정 목적을 가진 유형으로 나누어 보면 신기술을 찾는 사람들, 최근 보안트렌드를 파악하려는 사람들, 부스 운영을 벤치마킹하려는 사람들, 전시중인 제품을 더 자세히 알려는 사람들이 보였다.
각 벤더사 부스에서 준비한 짧은 프리젠테이션 중 적극적인 질문을 하거나, 상호 비공식적인 만남이지만 정말 생산적인 비즈니스 미팅들이 바로 그 현장에서 다이나믹하게 진행되는 모습을 바라보고 있으면, RSA Conference에 참여할 만한 충분한 이유가 될 수 있음을 몸소 체험할 수 있는 순간들이었다.
상호 토론, 공격적인 질문들, 적극적인 방어 응대 등 어느 것 하나 값지지 않은 부분은 없었으리라 생각된다.
2016년 RSA Conference에서 몇가지 공통적이고 반복적으로 사용되는 보안 용어를 정리해 보았다. 물론 개인적인 관점에서 많이 들었고, 보았고, 대화에서 자주 사용되었던 것들이며, 주관적인 관점이 포함됐을 수도 있다. 이중에는 이미 2015년부터 계속 사용된 용어도 보인다. 특히 사이버 시큐리티(Cyber Security)라는 용어는 이제 외부 식당 웨이터마저도 사용하는 보편적인 용어가 되어 있었다. 자주 사용된 단어들을 정리해 보면 아래와 같다.
- Cyber Security
- Cyber Threat
- Intelligence
- Analytics
- Next Generation Endpoint Security
- EDR (Endpoint Detection & Response)
- Incident Response
- Visibility
- Cloud security
- Not competition, but team-up
- Industry Consolidation Alliance
이중에서 본인이 직접 보고, 느끼고 주도적으로 체험한 부분은 상호 네트워킹 및 대화를 통해서 협업을 이루어 나가는 부분이었다. 굳이 위에 있는 용어를 사용한다면, “Not competition, but team-up 또는 Industry Consolidation Alliance” 부분인 듯 하다.
비공식적이고 즉흥적인 대화 속에서도 폭넓은 주제로 보안을 논의하다가, 어느 순간 협업 관련 공통 주제를 찾고 진지하게 논의하는 과정들이 결코 가벼운 대화라고 치부해 버리기에는 타당하지 않다는 것을 느끼게 되는 순간이었다.
협업을 위해서라면 과감히 상대방 부스를 찾아가고, 국가 경계를 허물고 보안 기술이라는 공통 테두리 안에서 Product Alliance를 과감히 논의하고, 상대 제품 기술 시연을 직접 보고, 협업을 통한 더 강화된 보안 방법론을 찾기 위한 적극적인 정보 공유의 장을 만들어 나가는 것이 바로 RSA Conference에서 커뮤니티를 형성해 나가는 막강한 파워가 아닌가 생각이 된다. 물론 이미 상업적인 보안 컨퍼런스로 흘러 가고 있다고 혹평하는 방문자들의 목소리도 들렸던 것도 사실이다. 하지만 여전히 긍정적인 측면이 강하다고 본다.
이제 조금 더 보안 기술적인 관점에서 각 벤더사가 주장하고 있는 부분과 본인이 느낀 점에 대해서 기술해 보고자 한다. RSA Conference를 통해서 과연 어떤 신규 보안 기술이 화두이자 트렌드이고 더불어 현실적으로 적용하기에 더 적합한지를 찾아보는 것이 개인적으로 설정한 참관 목표 중의 하나였다.
최근의 보안 사고 사례를 통해서, 네트워크 기반의 경계선 방어 기술이 그 자체로써 무용론에 휩싸였다기 보다는, 실제로 공격주체로부터 최초 타깃이 되는 엔드포인트를 방어하는데 있어서, 방어력이 충분하지 못했다는 목소리가 높았다.
이번 RSA Conference 현장에서도 이런 미진한 부분을 대응하기 위해서 “네트워크 기반 인텔리전스(Intelligence) 또는 애널리틱(Analytic)” 기술이 주로 선을 보이기도 했지만, 현장에서 토론하는 모습들을 실제로 지켜본 바에 의하면, 너무 많은 Incidents로 인해서, 더이상 사람 기반으로 방대한 Incidents를 살펴보기에는 유효한 정보가 아니라는 주장이 팽배하다는 것을 실감할 수 있었다. 기존에 Security Analytics에 대한 믿음과 이를 지켜주기 위한 홍보가 실제 보안 환경을 너무 앞서 나간 것이 아닐까? 즉, 너무 포장되어 있는 것은 아닌가라는 생각도 든다.
RSA Conference 2016 중, 가트너는 다음과 같은 발표를 했다.
“SIEM을 포함해서 ‘Security Analytics’에 응대하는 유일한 솔루션은 존재하지 않는다는 것이다. 더불어 네트워크 기반이 되었든, 엔드포인트 기반이 되었든 상관없이, 그 어떤 Analytics Technology가 현재 시점에서는 더 우위에 있다고 판단하기 힘들다.”
즉, 아직까지는 다음과 같은 질문을 지속적으로 던져야 함을 가트너는 언급하고 있다.
- 어떤 데이터를 분석할 것인가? (대상을 선택하라는 것인데, 쉽지가 않다)
- 어떤 방법으로 분석할 것인가?
- 어떤 이슈를 해결하고자 할 것인가?
그렇다, “Intelligence, Analytics, Next-Generation” 등의 용어가 보안에서 쉽게 등장했지만, 결국은 창과 방패의 지속적인 싸움에서 승자를 쉽게 가릴 수 있는 방법론을 결정하는 것은 아직은 섣부른 단계하고 생각한다.
이런 정보를 바탕으로 주목받는 또 하나의 보안 기술 트렌드가 바로 “IR–Incident Response” 영역인 것으로 보인다. 더불어 위에서 언급했듯이 네트워크 기반의 경계선 방어 기술과 협업하여, 엔드포인트 기반의 Incident Response 기술을 접목하는 EDR (Endpoint Detection & Response) 영역을 선보이는 것이 이번 RSA Conference에서의 또 하나의 주축이었던 것으로 판단된다.
특히 South Expo 부스 중에서, CounterTack, CarbonBlack, CrowdStrike, DigitalGuardian 등의 보안솔루션들과, 얼마 전에 IBM에 인수합병된 Resillent(서비스 기반의 Incident Response) 등과 같이 상당수 보안 기업이 포진한 것을 보면 새로운 영역의 Incident Response보안 기술이 당분간 다변하는 위협에 능동적으로 대응하는 새로운 시험대에 올라 평가를 받을 것으로 보인다.
2016년 다른 보안 컨퍼런스를 통해서 아직 굵직한 컨퍼런스들이 많이 남아 있는데, 어떻게 변화해 가는지 주목해 보기로 하고 이번 RSA Conference 2016 참관 후기는 이 정도로 마칠까 한다.
★정보보안 대표 미디어 데일리시큐!★
[글. 권영목 데일리시큐 객원기자]