올해 RSAC 2019 주요 보안솔루션 트렌드는 무엇일까. RSAC 현장에서 만난 국내외 보안전문가들에게 의견을 물었다.
수십개의 RSAC 세션 발표 중에서 자주 등장한 단어를 꼽자면 '제로 트러스트(Zero Trust)'를 꼽을 수 있다. 믿을 수 없다. 모든 걸 검증해야 한다. 급변하는 네트워크 환경에서 우리 내부망이라고 해서 신뢰하고 패스하면 안된다. 모든 IoT 디바이스와 사람을 인증해야 한다는 것이다. 전시부스에서도 MS와 IBM, 시스코, 디지서트 등 큰 벤더들이 '제로 트러스트'를 기반으로 인증솔루션을 소개했다.
또 지난해는 EDR 솔루션이 주를 이루었으며 올해도 EDR과 더불어 상당수 빅벤더들이 SIEM(Security Information and Event Management)을 말하고 머신러닝과 AI를 기본으로 장착한 모습을 보였다. 한편 이들 빅벤더를 추격하는 중소형 벤더는 기존 SIEM에서 룰 관리에 대한 리소스가 많이 들어간다며 우리의 SIEM은 룰이 필요없다. 룰 없이도 탐지가 가능하다며 기존 SIEM을 저격하는 양상을 보였다.
또한 지난해는 부스에서 클라우드를 말하는 기업들이 많았지만 올해는 클라우드에 대한 언급이 줄었다. 왜냐 클라우드는 이제 기본이라고 생각하고 있기 때문이다.
전시장에서 만난 김승현 BC카드 정보보안팀장은 "지난해는 클라우드를 가려면 보안을 어떻게 해야 한다는 이야기가 많았지만 올해는 이미 클라우드로 간 상황이니 그 기반으로 보안을 이야기하고 있었다. 또 지난해 이슈였던 오케스트레이션 그리고 PC와 휴대폰, 서버 등 모든 것을 모니터링 해주는 통합모니터링 솔루션들이 많이 보였다"고 말했다.
방인구 한국통신인터넷기술 부사장도 "클라우드는 이제 기본이 됐다. 어떤 부스에 가봐도 클라우드는 기본이다. 클라우드 서비스를 받는 기업들이 어떤 보안을 해야 하는지 말하고 있다. 클라우드 서비스 기업들이 제공하는 보안에 한계가 있기 때문이다. 클라우드 상에서 분야별 모듈별로 보안서비스를 제공하는 기업들이 많았다"고 밝히고 더불어 "지난해 오케스트레이션과 오토메이션에 대한 개념만 나왔는데 올해는 실제 구현하는 기업들이 꽤 많이 등장했다. 그리고 위협 매니지먼트 컨트롤 관련 기업들도 많이 보였다"고 평했다.
이대호 에프원시큐리티 대표는 "클라우드와 인공지능 그리고 CTI(사이버위협인텔리전스)가 대세로 보인다. 특히 예전에는 레이어별로 포인트 솔루션에서 악성코드를 탐지했다면 이제는 엔드포인트에서 모든 것을 모니터링하고 탐지하겠다는 솔루션들이 많이 보였다. 단말에서 나오는 로그 정보로 모니터링하겠다는 것"이라며 "에프원시큐리티도 클라우드와 인공지능 기반의 웹보안 전문 기업으로 지난해부터 해외 시장 진출을 준비하고 있다. 동남아와 중동시장을 중심으로 준비하고 있다"고 말했다.
최병규 NSHC 본부장은 "MS, 아마존 등 정통 보안기업이 아닌 비보안 글로벌 기업들의 RSAC 점령이 지난해에 이어 더 본격화 됐다. 클라우드 서비스 사업자들의 보안분야 진출이 위협적이다. 특히 RSAC 2017에서 사이버 위협 인텔리전스 키워드 이후 지난해부터 보안기업들이 키워드를 잡지 못하고 있다"고 의견을 냈다.
에릭 호 파이어아이 아태지역 사장은 "지난해와 비교해 많은 기업들이 프로덕 중심이 아니라 인텔리전스의 전문성을 강조하고 있는 추세다. 특히 많은 회사들이 전문성을 강조하고 있지만 말과 실제 역량을 갖고 있는 것과는 다른 것"이라고 전했다.
라훌 카시얍 어웨이크시큐리티 CEO는 "이번 RSAC에서 개인적으로 가장 흥미롭게 지켜 본 것은 마이크로소프트와 구글이 Security Analytics 비즈니스 시장에 적극 참여하는 부분이었다. 클라우드에서 보안분석서비스를 선보이는 것이다. 앞으로 이 두기업이 보안시장에서 어떤 행보를 보일지 관심이 많이 간다. 또 두번째로 하나의 단일 보안벤더가 수많은 제품을 취급하는 사례가 점차 사라질 것으로 보인다. 즉 아주 전문적인 기술의 전문적인 벤더가 자리를 잡을 것으로 판단한다. 시만텍, 맥아피와 같은 여러 제품을 한번에 다루는 기업들이 이제는 새롭게 나타나지는 않을 것으로 보인다. 전문 엔드포인트 보안벤더, 전문 EDR벤더, 전문 클라우드 보안벤더 등이 엄청나게 성장하는 새로운 트렌드가 자리잡아 가는 것도 사실이다. 즉 기술력만 받쳐 준다면 하나의 제품으로도 글로벌 시장에서 충분히 성장할 수 있는 동력을 갖출 수 있을 것이라고 생각한다"고 밝혔다.
◇엔드포인트 가시성 확보 및 분석 대응 솔루션
분야별 주요 업체별로 살펴보면, CrowdStrike는 클라우드 네이티브 EDR(Endpoint Detection & Response) 제품으로, 엔드포인트의 이벤트 기반 탐지, 대응, 조사, 치료 및 엔드포인트의 통합된 가시성을 제공한다. 위협 인텔리전스 매칭을 통해 EDR 탐지 이벤트와 함께 제공하지만 관련 상세 인텔리전스 정보 및 상세 리포트는 별도 라이선스 추가가 필요하다.
또 엔드포인트 탐지 이벤트를 트리구조로 시각화를 제공해 보안 사고 조사(Investigate) 및 헌팅 조사 기능을 제공한다. 그리고 3rd Party 보안 제품에 대한 데이터 수집 한계로 엔드포인트에 국한된 모니터링 방법론으로 제한적 아키텍쳐를 보여준다. 따라서 엔드포인트 기반의 보안기술을 통한 분석과 대응 구현 시 네트워크, 이메일, 어플리케이션 등의 운영정황 등과의 연계 방안의 고려가 필요하다고 할 수 있다.
파이어아이 인텔리전스를 기반으로 한 Helix 플랫폼을 통한 네트워크 가시성 확보, 이메일, 엔드포인트 이벤트에 대한 실시간 인텔리전스 매칭을 제공한다.
Helix 플랫폼의 SOAR 기능은 이기종 장비 간 통합, 워크플로우 자동화 그리고 신속한 대응이 가능하다. 또 SOAR 기능은 다양한 벤더/제품의 플러그인이 제공되어 쉽고 간편하게 워크플로우에 대한 시나리오를 플레이북으로 생성 및 편집이 가능하다.
Helix 플랫폼은 크게 2가지 부분으로 나뉘어져 있다. 한 부분은 클라우드 기반의 차세대SIEM 엔진과 다른 한 부분은 자동화 및 오케스트레이션 엔진 부분이다. 차세대 SIEM 엔진은 로그 정규화/UBA(애널리틱 분석 및 탐지 엔진)/iSIGHT 인텔리전스를 기본적으로 포함하고 있다. 더불어 Helix는 기본적으로 3천개 이상의 인텔리전스 룰을 제공하며, 모든 로그 정보를 자동으로 iSIGHT 인텔리전스에 매칭하는 작업을 수행한다. 매칭될 경우에 상세 레포트도 제공한다.
◇클라우드 보안을 위한 가시성 확보 방안 필요해
부스 운영은 다양한 AWS 파트너와 연계, 데이터 암호화와 암호화 키 관리(KMS) 및 AWS 주요 보안 모듈 아키텍처 정보를 제공한다. AWS Security Hub는 AWS 계정 위협 이벤트와 컴플라이언스 준수 여부를 통합 관리하는 서비스이며, AWS는 기존 제약적인 보안 환경에서 클라우드 보안 아키텍처로 접근 가능하도록 다양한 보안 모듈을 제공한다. 그리고 AWS Security Hub는 AWS 계정에서 사용하는 Amazon GuardDuty, Amazon Inspector 및 Amazon Macie 등에 대한 지속적인 모니터링, 자동화된 컴플라이언스 검사 기능을 제공한다.
멀티 클라우드, 온프레미스 네트워크 연결 등 기존의 복잡한 AWS 계정의 관리적 어려움과 복잡한 트래픽 전송 환경을 AWS Transit Gateway를 통해 직관적인 환경 구성 및 운영 효율성을 제공한다.
한편 MS는 Azure 클라우드 서비스 제공자가 아닌 통합 보안 솔루션을 제공하는 전문 보안 회사로 이미지 변화를 노력 중이다. AI 기술 기반 보안 위협을 탐지하는 SIEM 솔루션인 'MS 애저 센티넬'은 기존 SIEM에서 언급하는 데이터 수집, AI기술 기반 위협 탐지, 조사, 분석 및 대응을 주요 기능으로 제공하며, 위협 분석 시각화 도구도 제공한다. 또 위협 탐지 및 대응을 위한 자동화 기능을 제공하지만 복잡한 자동화 시나리오 구현에는 제약이 따른다.
MS Cloud App Security CASB의 주요 기능은 클라우드 디스커버리(Cloud Discovery), 데이터 보호, 위협 방지 기능을 제공한다. Microsoft 365 security center는 사용자 별 위협 식별, 조직의 보안 정책 적용, 보안 위협을 보호하는 기능을 제공한다. 하지만 MS가 얼마나 많은 보안에 대한 지원 및 경험 등을 보유하고 있고 이를 효과적, 지속적으로 제공할 수 있는지에 대한 검토가 필요하며, 기술적인 장점(OS기반기술 소유)과 보안성에 대한 균형을 유지할 수 있는지에 대한 검증이 필요하다.
◇퀀텀 컴퓨팅, 기술적 발전에 시간이 소요될 것
한편 퀀텀컴퓨팅의 경우 기술의 성숙도 및 상용화는 기술적 발전에 시간이 소요될 것으로 보인다. 현재는 하드웨어를 통한 키교환 성능 및 정확도, 랜덤생성의 복잡성을 강화시키는 수준이다. 이를 기반으로 퀀텀컴퓨팅 파워를 통한 다양한 기능을 준비중인 것으로 확인됐다.
이번 RSAC에 참가한 'Envieta'는 양자 컴퓨팅(QC) 기반 기술을 이용해 암호화 키 생성 및 보관하는 HSM(Hardware Security Modules) 제품으로 고성능이 필요한 인프라 환경에서 안정적인 성능을 제공한다. HSM(Hardware Security Module: 하드웨어를 이용한 보안 모듈)과 유사한 수준의 높은 보안성을 제공하면서 동시에 소프트웨어 수준의 가격과 유연성을 제공하는 솔루션이다. 또 QC 기술을 이용한 VHDL core 기술을 보유하고 있다.
한편 'QuintessenceLabs'는 양자 컴퓨팅(Quantum Computing) 기술을 이용한 암호화 키 생성 및 배포, 관리에 특화된 기업이다. 양자 컴퓨팅 기술을 이용해 True Random Number Generator 제품을 소개했다.
그리고 올해 RSAC 2019 이노베이션 샌드박스 콘테스트에서 'AXONIUS'가 위너를 차지했다. 보안운영 관점의 자산관리 기술 전문 기업이다. 자산관리에 대한 부분은 레거시 시스템으로 취급되고 운영되어 보안대응을 위해 현재 내부의 자산이 어떤 수준이고 얼마나 존재하는지 알지 못한다. 클라우드를 포함한 여러가지 앱 형태의 자산도 증가하고 있다. 각 자산마다 보호하는 기술이 다르며 이를 개별적으로 확인하고 통제하기 어렵다. 'AXONIUS'는 에이전트 없이 통합관리가 가능하다는 점에서 올해 위너 기업에 선정되는 영광을 안았다.
★정보보안 대표 미디어 데일리시큐!★