대부분의 사람들은 IT 보안이라고 하면 인프라 보안인 방화벽(Firewall)을 떠올리곤 합니다. 실제 아직 많은 고객사에서는 인프라 보안을 위해 방화벽과 엔드포인트 보안으로 안티 바이러스(AntiVirus; AV)를 활용해서 보안 서비스를 제공하고 있습니다.
방화벽(Firewall)▼
미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템
안티 바이러스(AntiVirus; AV)▼
바이러스 검사 소프트웨어로 미리 학습한 악성코드에 대한 시그니처를 바탕으로 컴퓨터의 바이러스 등 악성코드 찾아내는 소프트 웨어
여기서 문제는 방화벽과 안티 바이러스로는 완벽한 보안 서비스를 제공할 수가 없다는 것입니다. 그래서 오늘은 보안이 어떻게 발전해 왔고, 현재의 보안 트렌드와 앞으로의 발전 방향에 대해서 생각해보고자 합니다.
1. 차단 위주의 보안
처음 방화벽이 나왔을 때 IP/Port 중심의 정책 기반으로 하였습니다. 여기에 네트워크 트래픽에서 시그니처를 기반으로 차단하는 솔루션인 IPS와 엔드포인트의 시그니처 기반으로 하는 솔루션인 안티 바이러스가 나오게 됩니다. 즉, 차단을 위주로 IP와 파일을 차단하게 됩니다. 이렇게 일정 기간 레거시 방화벽의 시대가 시작이 됩니다.
IPS(Intrusion Prevention System; 침입 방지 시스템)▼
인터넷 웜 등 악성코드 및 해킹 등에 기인한 유해 트래픽 차단 솔루션
공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안 대책
그러다가, 팔로알토 네트웍스 (Palo Alto Networks)에서 차세대 방화벽이라는 신개념 방화벽을 제안하게 됩니다. 기존 방화벽이 IP/Port 기반했다면 차세대 방화벽은 어플리케이션, 사용자, 기기에 대한 정책 설정을 추가하였습니다. 즉, 보안 정책에 차단 관련 항목을 Identity(ID) 기반으로 조금 더 세밀하게 보안 정책을 가져가게 된 것입니다. 이에 따라 시장은 기존 방화벽과 차세대 방화벽으로 확장하였고, 보안 업계의 벤더에서는 다양한 방화벽 제품군을 만들게 됐습니다.
하지만, 차세대 방화벽에도 문제가 없었던 것은 아닙니다. 차세대 방화벽은 규정된 ID나 시그니처를 기반으로 보안 정책을 적용하기 때문에 알려지지 않은 공격 유형에 있어서는 탐지 및 차단이 불가능한 문제가 발생하게 됩니다. 취약점을 이용한 제로 데이 공격이나 랜섬웨어 공격 등 APT 공격(Advanced Persistent Threat; 지능형 지속 공격)에 대한 차단이 어려워진 것입니다.
제로데이 공격 (Zero-day)▼
컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격
랜섬웨어 (Ransomware)▼
컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류
APT 공격 (Advanced Persistent Threat; 지능형 지속성 공격)▼
잠행적이고 지속적인 컴퓨터 해킹 프로세스들의 집합으로, 특정 실체를 목표로 하는 사람이나 사람들에 의해 종종 지휘됨
이러한 틈새를 활용해서 Fireeye에서는 APT 공격에 대한 전용 솔루션을 출시하게 됩니다. 보안 시장에 APT 차단 솔루션으로 Sandbox를 활용한 가상화 분석 기술이 각광을 받게 됩니다. 대부분의 엔터프라이즈, 금융, 공공 기관에서 다양한 APT 솔루션을 도입하여 기존에 알려지지 않은 공격을 가상화 공간의 시뮬레이션을 통해서 사전에 탐지하고 차단을 할 수 있게 되었습니다. 보안 시장은 또 한번 APT 솔루션으로 출렁이게 됩니다.
여기까지가 차단 위주의 보안 솔루션의 단계입니다. 많은 고객들이 APT 솔루션을 도입했지만, 여전히 보안 사고는 끊이지 않고 있으며, 해킹으로 인한 다양한 보한 사고가 보고되고 있습니다.
2. 가시성을 기반으로 한 보안
이러한 차단 솔루션의 한계로 인해서 이제는 가시성(Visibility)을 이용한 보안 솔루션들이 나오게 됩니다.
네트워크 단의 NDR (Network Detection & Response) 제품에서 엔드포인트 단의 EDR(Endpoint Detection & Response) 제품이 그 예라 하겠습니다.
NDR (Network Detection & Response; 네트워크 탐지 및 대응)▼
네트워크 단에서 행위와 이벤트들을 기록하고 수집된 데이터를 위협을 탐지하고 대응하는 솔루션
EDR (Endpoint Detection & Response; 엔드포인트 탐지 및 대응)▼
엔드포인트(단말기)의 행위와 이벤트들을 기록하고 수집된 데이터를 기반으로 행위분석, 머신러닝, IOC(침해지표) 탐지 등의 다양한 기술을 활용해 알려진 그리고 알려지지 않은 위협을 탐지하고 대응하는 솔루션
실제 포티넷에서도 Security Fabric 기능을 활용해서 고객 인프라에 대한 가시성을 최대로 보장하고자 합니다. 가시성을 통해서 침해사고가 발생한 이후 빠르게 대응해 피해를 최소화하는 것입니다. 최근의 보안 솔루션들은 가시성을 기본적으로 제공하고 있습니다.
해킹 기술이 나날이 발전하면서 보안 솔루션들도 점점 고도화가 되고 있으며 현재 가시성을 활용해 침해 여부를 빠르게 확인 할 수 있는 솔루션들이 시장에 많이 나왔습니다. 앞에서 언급한대로 EDR과 NDR 제품은 안티 바이러스나 IPS에 대한 패턴을 가지고 있으며, 여기에 더해서 가시성을 제공하여 기존 차단 위주의 솔루션들의 한계를 보완합니다. 즉, 차단과 함께 빠른 침해 여부를 확인할 수가 있게 됩니다.
그런데, 이러한 가시성 위주의 솔루션에도 문제가 있습니다. 바로 이벤트 증가와 오탐에 대한 업무 부하 입니다.
특히 일부 EDR의 경우 탐지 이벤트 증가로 인해서 운영자가 피로감을 호소하는 경우가 많습니다.
3. 인공 지능을 기반으로 한 보안
그래서, 보안 업계에서는 이러한 다양한 이벤트와 오탐 및 분석에 대해서 사람이 아닌 AI(Artificial Intelligence; 인공 지능)를 활용한 자동화 솔루션들을 출시하고 있습니다.
포티넷의 FortiAI, FortiSOAR, 팔로알토의 머신러닝 기반 제품 등 현재의 보안 트렌드는 인공지능을 이용한 파일 분석, 침입 탐지 차단에 대한 통합 보안 분석 및 관제 플랫폼에 AI를 통한 자동화 솔루션을 도입하고 있습니다.
AI를 통해 분석과 대응에 소요되는 시간이 크게 단축되며, 휴먼 에러가 감소하여 보안 업무 전반에 대한 업무 효율을 높일 수 있게 되었습니다. 일례로 기존에 관제 인력이 2교대로 8명이 할 경우 AI 솔루션을 도입하면 2명 이상의 인력을 침해 사고에 대한 포렌식이나 취약점 분석 인력으로 재배치 할 수 있게 되는 것입니다. AI를 보안 업무의 어디에 적용 할지에 따라서 단순 보안 업무의 보조적인 솔루션에서 전문 솔루션까지 다양한 역할이 가능해집니다.
보안 트렌드에 대해서 앞에서 많은 설명을 했지만, 간단히 요약을 한다면 다음과 같습니다. 보안 솔루션들의 발전 방향은 방화벽(차단)→ 차세대 방화벽(NGFW) → 가시성 솔루션(EDR, NDR ) → 자동화 (AI, 빅데이터) 순으로 나아갈 것이며, 그에 따른 다양한 솔루션들도 나타날 것입니다.
보안 담당자라면 이러한 트렌드를 활용해서 적절한 보안 솔루션을 도입함으로써 침해 사고를 능동적으로 대응할 수 있어야 합니다.
위드네트웍스는 FortiAI와 FortiSOAR의 전문 기술 파트너로 국내에서 최고 수준의 AI 기술력과 전문성을 가지고 있습니다. FortiAI와 FortiSOAR에 대한 더 자세한 정보를 원하신다면 아래의 링크를 클릭해 주시기 바랍니다.
