트렌드마이크로가 10월 24일, 서울 인터콘티넨탈 파르마스에서 통합 플랫폼 Vision One에 대한 기자 간담회를 열었다.

트렌드마이크로 김진광 한국 지사장의 인삿말로 시작된 간담회는 트렌드마이크로 클라우드 기술 부문 마이클 밀너 부사장의 발표로 이어졌다.

보안을 얘기할 때 리스크를 이해하는 것이 중요한데 고객에게 영향을 주는 리스크에는 굉장히 많은 종류가 있다. 여러 가지 위협 행위자가 있는데 첫 번째로 사이버 범죄자에 대해서 말씀을 드릴 텐데요 사이버 범죄자들은 갈취를 통해서 랜섬웨어를 활용해서 돈을 받아내려고 한다. 고객의 데이터를 암호화해서 이것을 사용하기 위한 사용료를 요구하는 것이다. 경기가 침체되고 물가상승에 따라 사이버 범죄자들은 더욱 전문화되어 고객을 효과적으로 표적으로 삼고 공격의 여러면을 나누어서 특정부분만 행하는 등 공격을 맞춤화하고 있다.

두 번째 위협 행위자는 국가 행위자이다. 국가 행위자는 지적 재산(IP)을 훔치는 것을 목표로 하는 국가적 행위자는 혼란을 야기하고 잠재적으로 장비나 데이터를 파괴하는 것을 선호한다. 사이버 범죄자와 국가행위자가 함께하는 경우도 있다. 지정학적 긴장이 높아지며 이런 행위가 늘어날 것으로 전망된다. 특히 국가 행위자들은 굉장히 정교해서 자기네들이 노력을 하지 않고 개발을 할 수 있도록 ip를 도용을 하기도 하고 인내심이 굉장히 많아 액세스를 얻더라도 바로 사용하지 않고 기다리는 경우도 있다.그리고 사이버 크라임 테크닉을 통해서 정권의 돈을 마련하려고 수익만을 위해서 활동하는 행위자도 있다.

세 번째는 내부자인데 이것이 트렌드마이크로가 가장 보호하기 어려운 부분 중에 하나이다. 내부자들은 이미 조직 안에 있고 액세스를 가지고 있고 취약점을 공격을 하거나 다른 사람이 취약점을 공격할 수 있도록 도와주려고 하고 있다. 물가가 올라가고 경기가 침체됨에 따라서 내부자에 의한 공격도 늘어날 것이라고 예상하고 있다.

위협 행위자, 공격자의 공격대상이 바로 공격 표면이다. 공격 표면의 확대는SaaS 애플리케이션의 증가, 소프트웨어 공급망에 대한 불확실성 증가, 재택근무 직원의 증가로 인한 보안 위험 증가, IT와 OT의 융합, 잦은 업데이트를 수반하는 클라우드 네이티브 서비스의 급속한 성장 때문에 이뤄지고 있다. 특히, 재택근무가 늘어남에 따라서 회사 기기와 개인 기기를 회사 밖의 네트워크에서 사용하면서 보호하기가 어려워지고 있다. 또한 관리해야 할 디바이스 유형과 더불어 운영 기술 ot도 늘어나고 있다. 공장 자동화, 의료기기 등의 것들이 연결과 통합으로 관리가 필요한 상황이다.

클라우드 네이티브 서비스도 급속한 성장을 보이고 있다. 퍼블릭 클라우드 프로바이드에서 직접 서비스를 하거나 아니면 고객분들이 다른 고객분들에게 가치를 주기 위해서 직접 만드는 클라우드 네이티브 애플리케이션이 증가하고 있다. 일부 위험은 취약성 및 멀웨어와 같이 온프레미스 환경과 유사하고, 일부는 클라우드에 고유하거나 잘못된 구성과 같이 클라우드에 의해 증폭된다. 클라우드 리소스는 잘못된 설정으로 인한 크립토마이닝, DDoS 공격, 데이터 침해의 표적이 된다. 리스크가 공통적이긴 하지만 클라우드라는 특성때문에 환경이 빠르게 진화함에 따라 리스크 측정, 탐지, 대응이 어려운 상황이다.

이러한 공격 표면 다양화에 대한 대응으로 고객들은 보안 솔루션을 여러 개를 배포하고 있다. 많은 조직이 중복되는 솔루션과 기능, 데이터 스토리지 사일로로 인해 탐지 및 대응에 어려움을 겪고 있으며 이는 데이터 스토리지 및 라이선스 비용의 비효율성으로 이어진다. 수많은 솔루션을 관리하면 인건비가 높아지고, 이러한 도구의 효과를 측정하는 것 또한 어려워진다.

이런 이유로 여러 가지 포인트 솔루션을 배포하는 것은 어렵다.

또한 클라우드에도 다양한 리스크가 분포한다. 이는 클라우드에 좀 더 큰 규모로 발생하지만 클라우드에만 국한되지 않고 다양한 공격 표면에 나타난다. 또한 이 리스크가 공통적이기는 하지만 클라우드라는 특성 때문에 고객들이 핸들하기 어려운 과제가 있다.

가장 큰 어려움 중 하나는 클라우드 환경이 계속해서 진화하고 있다는 점이다. 이렇게 계속해서 진화하기 때문에 리스크가 어느 정도 있는지에 대한 측정이 어렵다. 때문에 여러 클라우드에 더해 온 프레미스로 하이브리드 환경을 가져가게 되고, 이러한 환경 속에서 공격을 받으면 탐지, 대응, 및 사고 처리가 어려워진다.

이에 대한 첫번째 대응은 CSPM이다. 클라우드 보안태세 관리로 전체 클라우드의 어떤 리소스에 리스크가 있는지를 알려준다. 두 번째는 CN 클라우드 네이티브 앱 보호 플랫폼이다. 리소스 전체를 보기도 하고 여기에 더해서 개발 프로세스를 보면서 코드가 프로덕션으로 갈 때까지를 파악한다. 세 번째는 CDR 클라우드 디텍션의 리스펀스 탐지 및 대응으로, 클라우드 이벤트나 활동만 보면서 공격이 있는지를 탐지하게 된다. 그리고 마지막은 IG 인프라 스처 에서 코드로서의 인프라이다. 개발자들이 인프라를 어떻게 변경하고 있는지를 파악해 보안 솔루션을 살펴본다. 그러나 이런 클라우드에만 특정되어 있다는 것이고 클라우드 보안 보안이 사일로화되어가고 있어서 클라우드 보안은 제대로 하고 있을지 모르지만 클라우드가 전체 시스템으로부터는 격리된다는 것이 문제가 될 수 있다.

그래서 트렌드마이크로가 접근법을 바꿔서 클라우드만 보호하던 것을 전체적으로 보호하는 것으로 바꾸려고 합니다. 비전 원은 모든 데이터를 가져와 전체 환경을 볼 수 있도록 시각화한다. 클라우드 엔드포인트, 네트워크, IT/OT가 어떻게 연결되어 있는지 볼 수 있다. 한 곳에서 다 볼 수 있기 때문에 우선순위를 가져가야 할 리스크가 뭔지 볼 수 있다. 사일로화 되고 파편화된 것이 아니라 전체적으로 리스크를 볼 수가 있어서 어떤 리스크를 가장 먼저 해결해야 되는지 가장 중요한 것이 뭔지 알 수 있게 된다.

공격 표면 위험 관리를 할 수 있는데 여기에 클라우드 인프라가 추가가 되는 것이고 xdr을 할 수 있는데 여기에 또 클라우드 인프라가 추가가 되는 것이고 그리고 클라우드를 측정해서 보호하고 예방하는 기능도 여전히 존재하여 엔드포인트, 이메일, 네트워크뿐만 아니라 클라우드까지 한 곳에서 처리할 수 있다.

클라우드 비전 원은 클라우드 공격 표면 위험을 관리한다. 여러 클라우드 리소스에서 실시간 위협 모니터링을 통해 잘못된 구성을 감지하고, 위험을 계산하고, 완화 전략 제공한다. 또한 위협 인텔리전스 및 컨텍스트를 CSP 로그에 통합하여 CDR(클라우드 탐지 및 대응) 조사 및 대응을 위한 의심스러운 활동 강조하며 CDR 플레이북을 자동화하거나 애플리케이션 소유자에게 알림을 보내 즉각적인 검토 및 조치를 취할 수 있는 옵션을 제공한다. SOC(보안 운영 센터)에서 클라우드 인시던트에 대응할 수 있으며 클라우드 환경, 개발자 및 엔드포인트 전반의 위험 고려해 기본 및 통합 솔루션을 포함하여 전체 공격 표면을 지원한다.

이렇게 모든 것을 통합함으로써 공격자를 좀 더 빨리 막을 수가 있고 전체 공격 표면에 대해 전제 조직에 대해서 리스크를 관리할 수 있다. 효율성을 높이고 좀 더 적은 인력을 가지고 보안을 더 단순화해서 개선할 수 있다.

김원영 기자 goora@noteforum.co.kr

[디지털 모바일 IT 전문 정보 - 노트포럼]
Copyrights ⓒ 노트포럼, 무단전재 및 재배포 금지