[데이터넷] 보안위협을 완전히 막는 것은 불가능하다. 가장 많은 보안 투자를 단행한 빅테크 기업들도 단 하나의 취약점 때문에 서비스가 중단되고 중요한 기밀 데이터와 고객 데이터가 유출되는 사고를 당했다. 가장 강력한 보안 기술을 갖고 있는 미국 정보기관도 해킹을 당하고, 내부자에 의한 정보유출 피해를 입는다.

클라우드 환경에서 위협 관리가 더욱 어렵다. 온프레미스와 프라이빗·퍼블릭 클라우드의 이질적인 환경에서 통합된 위협 가시성을 확보하기 어려우며, 관리 사각지대를 제거하는 것도 쉽지 않다. 퍼블릭 클라우드의 책임공유모델로 인해 통제범위가 제한되며, 정책 적용이 파편화되어 보안운영 효율성을 보장하지 못한다.

클라우드는 필요에 따라 자유롭게 확장·축소되는 구조이기 때문에 보안도 그에 맞춰 유연하게 변경되어야 하는데, 유연성이 떨어지는 보안 기술로는 클라우드의 특수성을 맞추지 못한다. 또한 기술격차와 전문성 부족 등으로 클라우드에서의 위협 탐지와 대응은 상당한 어려움을 겪게 된다.

CNAPP·CDR 통합해 고도화되는 클라우드 위협 탐지

하이브리드·멀티 클라우드의 위협을 탐지하고 대응하기 위해서는 온프레미스 환경의 탐지·대응보다 확장된 플랫폼이 필요하다. 온프레미스 위협 탐지·대응 플랫폼은 SIEM, EDR·XDR, SOAR가 기본으로 요구되며, 실행가능한 플레이북과 위협 인텔리전스, 위협 헌팅 등이 기본으로 탑재된다.

클라우드에서는 이 기술에 더해 클라우드 보안 태세관리(CSPM), 클라우드 워크로드 보호 플랫폼(CWPP), API 보안 모니터링, 마이크로세그멘테이션 등이 요구되며, AI를 플랫폼에 내재해 복잡한 클라우드에서도 자동화된 탐지와 대응을 지원할 수 있어야 한다.

가트너는 클라우드 자산의 악용 가능성과 비즈니스 영향을 기준으로 리스크 우선순위를 평가해 대응하는 조치와 공격경로 분석, 지속적인 위협 노출 관리(CTEM)도 필수로 요구된다고 설명했다.

이러한 요구에 가장 잘 준비된 플랫폼으로 팔로알토 네트웍스의 ‘코어텍스 클라우드(Cortex Cloud)’가 제안된다. 이 플랫폼은 CNAPP ‘프리즈마 클라우드’와 클라우드 탐지 및 대응(CDR) 기술을 결합한 것으로, 기존 위협 탐지 및 대응의 한계를 해결하면서 클라우드 전체를 아우르는 보안운영을 제공한다. 클라우드 애플리케이션 전반에 대한 보안과 클라우드 태세 보안, 클라우드 런타임 보안을 플랫폼에 통합하고, 보안운영센터(SOC) 전반에 걸친 위협 대응을 지원한다.

개방형 생태계로 확장되는 CDR 요구 대응

CDR은 클라우드 및 클라우드 네이티브 환경의 특수성과 비즈니스 환경, 새로운 공격 양상과 규제준수 요건 등을 모두 만족해야 하며, 비즈니스 변화에 유연하게 변경될 수 있어야 한다. 보안조직의 업무 증가를 최소화하고 직원 생산성을 해치지 않으면서도 분산된 클라우드 환경에서 안전하게 업무를 수행할 수 있어야 한다.

스텔라사이버는 오픈XDR로 이 복잡한 문제를 해결한다. 위협 탐지와 대응에 필요한 모든 기능을 오픈XDR의 개방형 플랫폼에 연동시킬 수 있도록 해 하이브리드 클라우드는 물론이고 OT 환경까지 도메인 최적화된 XDR을 구축할 수 있도록 지원한다.

스텔라사이버 오픈XDR의 데이터 수집, 분석, 탐지, 대응의 전 단계 AI를 내장했으며, 최근에는 위협 데이터를 분류하고 적절하게 조치하는 ‘AI 트리아지(AI Triage)’ 기능을 공개하면서 더 효과적인 위협 탐지·대응을 지원한다.

클라우드 SIEM 전문기업 로그프레소도 플랫폼을 개방형으로 진화시키고 있다. 얼라이언스 프로그램에 참여하는 기술 파트너는 로그프레소 플랫폼에 통합돼 유기적으로 운영되면서 고객의 다양한 환경에 최적의 SIEM·SOAR를 제공한다. 로그프레소 얼라이언스에 참여하면 로그포맷과 API 명세를 공유하고, 사전 테스트를 통해 제품간 호환성을 검증한다. 고객은 로그프레소 스토어에서 협약 벤더 제품을 자유롭게 구입해 플랫폼에 적용할 수 있으며, 파트너사 앱을 개발해 대시보드, 탐지 시나리오, 플레이북을 공유하고 앱 설치만으로 제품간 연동을 완료할 수 있게 한다.

로그프레소는 개방형 플랫폼을 위한 특허도 잇달아 등록하고 있다. 고객이 사용하는 다양한 보안 제품의 로그를 정규화하고, 위협 탐지 규칙을 각 앱에 내장해 플러그인으로 배포함으로써 앱 설치만으로 쉽게 해당 앱을 플랫폼에 통합시킬 수 있게 한다.

한편 로그프레소는 클라우드 및 온프레미스를 위한 보안운영(SecOps) 플랫폼을 제공하는 기업이다. 로그프레소 플랫폼은 라이선스 추가로 로그관리, SIEM, SOAR로 확장할 수 있으며, AI를 적용한 빠른 검색과 분석, 합리적인 구축·운영 비용, 온프레미스·퍼블릭 및 하이브리드 클라우드를 경계없이 지원한다.

CTEM, 제로 트러스트 원칙 선제적 방어 지원

최근 위협 탐지 및 대응 분야에서 주목하는 기능 중 CTEM이 있다. CTEM은 모든 환경에서 IT 자산을 실시간으로 식별하고 인벤토리를 관리하며 섀도우 IT 자산과 미승인 자산, 공격표면을 찾아 조치한다. 취약점과 위협을 식별하고 비즈니스 영향도에 따른 우선순위를 정하고, 공격경로를 시각화 해 선제적으로 대응할 수 있게 한다. 더불어 보안제어 효과를 검증하며 규정준수 상태를 추적한다. 자동화된 접근방식으로 급변하는 위협 환경에서 조직이 최신 보안위험을 실시간 파악하고 대응할 수 있게 한다.

CTEM 분야에서 가장 주목받는 기업이 테너블이다. 통합 플랫폼 ‘테너블 원’을 통해 제공되는 CTEM은 IT, OT, IoT, 클라우드, ID, 애플리케이션을 포괄하는 모든 자산 유형에 대한 통합 가시성을 제공하며, 공격경로 분석과 조치 우선순위를 제공해 보안 대응 효율성을 높인다. 약점 관리, 애플리케이션 보안, 클라우드 보안, 엔드포인트 보안, OT 보안, 자산 관리 분야의 주요 벤더 데이터를 통합하고, 통일된 노출 데이터 패브릭을 구축해 대응 효율성을 높인다.

체크포인트는 선제적 노출관리(PEM) 기업 베리티(Veriti)와 외부 위험 관리(ERM) 기업 사이버인트(Cyberint)를 인수하며 CTEM 역량을 강화하고 있다. 베리티의 PEM은 자산·취약점·구성 오류 등 리스크를 지속적으로 발견하고, AI·자동화를 활용해 빠르고 정확하게 대응하는 기술을 제공한다. CTEM에서 발견하고 조치하는 단계를 자동화한 실행중심 플랫폼으로, 빠르게 위협에 대응할 수 있다. 사이버인트의 ERM은 공격표면 관리(ASM)와 다크웹 위협 모니터링, 디지털 위험 보호(DRP), 위협 인텔리전스를 통합한 기술이다. 체크포인트는 이 기술을 ‘인피니티 플랫폼(Infinity Platform)’에 통합해 멀티·하이브리드 클라우드의 외부위협을 선제적으로 제거해 전반적인 보안 역량을 높인다.

신뢰할 수 있는 플랫폼·공급업체 선택해야

클라우드 보안을 위해 필요한 기술을 CDR 혹은 CNAPP에 통합 제공하는 것은 최근 ‘공급업체 통합’의 추세에 잘 맞는다. 너무 많은 보안 솔루션을 운영하면서 발생하는 사각지대, 리소스 낭비 등의 문제를 해결하면서 정확하게 위협을 우선순위에 따라 대응할 수 있기 때문이다.

그러나 통합 플랫폼이 기대한 수준의 ‘통합’을 이루지는 못한다. 통합이 안되는 솔루션이 있으며, 통합이 된다 해도 충분히 정보가 공유되지 않기 때문에 통합 플랫폼의 의미가 퇴색된다.

통합 플랫폼에 너무 많은 기능이 있으면 운영이 어렵고 노이즈가 많다. 또한 통합 플랫폼에는 조직의 보안 환경보다 높은 수준의 보안 기술이 통합돼 있어 전문가의 관리를 필요로 하며, 과잉 투자로 인한 비용 낭비 지적도 나온다. 또한 ‘통합 솔루션’이라는 소개가 무색하게 개별 기능이 따로 작동해 관리 어려움을 크게 만들기도 한다.

완전히 통합되고 자동화된 클라우드 보안운영센터(SOC)를 만드는 것은 쉽지 않다. 기업이 이전에 도입·운영하는 시스템의 통합이 어려우면 해당 시스템을 교체하는 시기가 도래할 때까지 해당 시스템은 사일로에 남게 된다. 모든 시스템의 교체시기가 달라서 플랫폼 통합은 몇 년에 걸친 체계적인 계획을 세워야 하는데, 통합되는 플랫폼도 어느 정도 시간이 지나면 변하는 기술의 변화를 따라가지 못하고 교체 대상이 된다.

따라서 통합 플랫폼으로의 전환 계획을 세울때는 플랫폼의 안정성과 지속 가능성, 유연성과 확장성을 고려해 선택하며, 현재 최대한 통합 가능한 수준으로 통합하고, 통합되지 않은 솔루션은 빠른 교체 계획을 세운다. 벤더 종속성을 최소화하면서 공급업체 수는 가능한 적게 유지해 복잡성을 줄일 수 있도록 한다.

장기간 보안관제 서비스와 솔루션을 공급해 온 기업의 통합 플랫폼은 지속 가능성 면에서 장점을 찾을 수 있다. 오랫동안 기업·기관의 보안운영을 지원하면서 쌓은 실전 전문성과 플랫폼의 안정성에 대해 신뢰할 수 있다.

이글루코퍼레이션은 국내 대표 보안관제 전문기업이라는 점을 들어 하이브리드 클라우드 보안의 전문성이 있다고 강조한다. 이글루코퍼레이션은 클라우드 보안 관제는 물론이고 AI 보안관제 영역에서도 전문성을 인정받고 있다. 보안전문 LLM을 기반으로 한 AI 보안 어시스턴트와 보안 특화 sLLM도 제공하고 있다. 보안업무 자동화를 위한 ‘스파이더 쏘아(SPiDER SOAR)’와 ‘AI 기반 오픈 XDR’을 구현하는 보안 플랫폼 ‘스파이더 이엑스디(SPiDER ExD)’를 SOC 효율화를 위한 플랫폼으로 제안한다.

공공 클라우드 보안관제, 트래픽 가시성 보장돼야

공공 클라우드 보안 관제 분야에서는 3선 보안관제 체계 구축이 가장 민감하다. ‘국가 클라우드 컴퓨팅 보안 가이드라인’ 부록 7에 따르면 국가사이버안보센터 국가보안관제 → 중앙행정기관 부문보안관제 → 각급기관 단위보안관제로 구성된 3단계 사이버공격 탐지·차단 체계를 갖춰야 한다. 그런데 단위보안관제의 위협관리시스템(TMS)과 연동되는 보안 솔루션은 트래픽을 미러링으로 전달받아야 하며, SaaS로 구성되는 서비스는 보안로그를 TMS로 전송할 때 기관 식별이 어려워진다.

파이오링크는 ‘PAS-KS’의 ‘패킷 복호화 미러링’ 기능으로 이 문제를 해결한다. 이 기능은 보안 솔루션에 트래픽을 미러링해 보낼 때 각 기관별 보안로그를 식별 가능한 형태로 TMS에 전송할 수 있어 실제로 보안관제 연동 효과를 낼 수 있다.

PAS-KS는 ADC 스위치가 가진 다양한 LB(로드밸런싱, 부하분산) 기능을 통해 온프레미스 수준의 보안 제품 클라우드 전환을 도우며, SSL 복호화 및 미러링이 포함된 가시화(SSL Visibility) 기능을 통해 3선 보안관제체계 구축을 지원한다. 네이버, NHN, KT 공식 마켓플레이스에 등록되어 있으며, 국내 클라우드 서비스 사업자(CSP)가 공공사업 수행 시 PAS-KS를 활용하고 있다.