Offcanvas

데이터센터 / 보안 / 애플리케이션 / 인문학|교양 / 통신|네트워크

인터뷰 | “아크사이트 20주년, 보안관제의 본질을 다시 묻습니다.” 마이크로포커스 황원섭 이사

2020.08.21 Brian Cheon  |  CIO KR
10년이면 강산이 변한다고 하지만, IT 분야에서는 오히려 부족한 표현이다. 1년 만에 판도가 뒤바뀌는 경우는 흔히 찾아볼 수 있으며, 10년은 ‘개벽’까지도 기대해볼 수 있는 기간이다. 올해 브랜드 탄생 20년 주년이라는 이정표를 달성한 마이크로포커스의 ‘아크사이트’(ArcSight)에 대해 남다른 감회를 느끼는 보안 전문가들이 적지 않은 이유일 터다. 

아크사이트가 기록한 20년 역사는, 기업용 SIEM 범주를 개척하다시피 했던 주인공이라는 점에서, 엔터프라이즈 보안관제 분야의 디팩토(defacto) 같았던 존재라는 점에서 더욱 의미가 깊다. 20년이라는 세월에 더해 두 번의 인수합병을 거치면서도 굳건하게 살아남아 여전히 차별화된 경쟁력을 가질 수 있었던 배경은 무엇일까? 끊임없는 진화가 요구되는 기업 보안 영역에서 아크사이트 브랜드를 보유한 마이크로포커스(Micro Focus)는 어떤 미래를 구상하고 있을까? 마이크로포커스에서 아크사이크 세일즈 엔지니어 업무를 책임지고 있는 황원섭 이사를 만나 이야기를 들어봤다. 

“아크사이트와 함께 한 커리어, 처음부터 매료”
“2001년 3월 아크사이트 브랜드가 처음 탄생하고 2002년 첫 제품이 등장했습니다. 돌이켜보면 아크사이트는 시작부터 종전의 위협 관리 솔루션들과는 다른 접근 방식을 취했다고 봅니다. 보안 장비나 인프라만을 모니터링하거나 관리하는 수준에 머무르지 않고 정보 관리와 이벤트 관리를 모두 아울러 살펴봄으로써 기업의 ‘리스크 관리’라는 측면에 초점을 맞춘 것입니다. 기업의 여러 자산, 각 자산이 가진 취약점, 가능한 위협들을 모두 감안한다는 개념이 아크사이트에 녹아 있습니다. 초기 ESM(Enterprise Security Management)라고 불렸던 영역이 SIEM(Security Information and Event Management)로 재정립되는 데 있어 획을 그은 솔루션이었습니다.”

황원섭 마이크로포커스 이사는 2000년 대 초반부터 보안 분야에 줄곧 몸 담아온 보안통이다. 첫 직장에서부터 방화벽, IPS, WAF, SSL-VPN 등의 여러 보안 솔루션을 다루며 보안 경력을 시작했으며, 국내 대기업의 보안 자회사에 SI 업무를 담당할 때도 보안 전략과 솔루션을 집중적으로 다뤘다. 황 이사는 프리랜서 컨설턴트로 한 금융 기업의 보안 관제 체계를 고민하던 중 아크사이트를 처음 접했으며, 이내 매료됐다고 표현했다. 

“당시 구축 사업을 주관했던 국내 보안 전문 기업에 입사한 후 본격적으로 아크사이트와의 인연이 시작됐습니다. 해당 보안 기업이 아크사이트를 소싱해 공급했기 때문이었습니다. SI 업무를 할 때 네트워크에서부터 엔드포인트까지 거의 전 영역의 보안 솔루션을 경험했고, 엔지니어 기반의 스킬 세트를 가진 점에 나름 자부심을 가지고 있습니다만, 아크사이트는 여러 솔루션 중에서도 특별한 부분이 있었습니다. 지금까지도 아크사이트 고유의 강점이라고 생각하는 부분입니다.”

특별한 부분은 바로 독보적인 유연성이다. 국내의 경우 해외와 달리 국산 보안 솔루션이 강세를 보이는데, 그 이유 중 하나는 기업마다 커스터마이징 요구가 뚜렷하기 때문이다. 아크사이트는 해외 솔루션임에도 불구하고 커스터마이징 사례가 없었을 정도로 유연성이 탁월하다. 2010년 HP에 인수되고 2017년 다시 마이크로포커스에 인수되는 아크사이트의 여정을 함께 한 자신의 경험에서 내내 실감했던 부분이라고 그는 강조했다. 

“어떻게 보면 복잡하다고 느낄 수 있는 것도 사실입니다. 그러나 경직된 칼럼에 특정 조건만 입력할 수 있는 솔루션에서는 찾아볼 수 없는 유연성을 가지고 있었습니다. 아크사이트는 특정 UI를 고수하는 것이 아니라 저장된 모든 데이터 칼럼을 사용자 정의로 이용할 수 있었습니다. 이를 통해 기업마다 제각각인 보안 요구에 대응할 수 있습니다. 공격자와 공격 기법의 변화무쌍함을 감안하면 이는 아크사이트가 독보적으로 보유한 강점이었다고 봅니다. 데이터 검색용 범용 제품을 보안 분야에 활용하는 접근법이 흔한 가운데, 이들 솔루션에서는 구현하기 힘든 실시간 대응성과 전문성도 마음에 들었던 것 같습니다.”

실제로 아크사이트는 이러한 특성으로 인해 등장하자마자 업계의 이목을 집중시켰던 바 있다. 가트너가 2003년 전에 없던 ‘IT Security Management’ 매직 쿼드런트를 신설했으며, 아크사이트가 선구자로 선정됐다. SIEM이라는 용어가 등장한 2005년에는 단연 시장의 대표주자로 지목됐다. 2008년에 세계적인 경제 위기 속에서 실리콘 밸리 기업으로는 유일하게 나스닥에 입성할 수 있었던 배경이다. 

“SIEM 분야의 산업 표준 같은 존재였습니다. 보안관제 표준 제품으로 인정받으며 시장을 선도했습니다. 세계적인 규모의 국내 대기업들이 한국 지사조차 없었던 아크사이트를 직접 도입해 이용했던 이유이기도 합니다. 그중 상당수는 지금도 아크사이트를 기반으로 보안관제 센터를 운영하고 있습니다.”

10년 가까운 정체, 선구자에서 니치 플레이어로
황원섭 이사는 그러나 2010년 아크사이트가 HP에 인수된 후 안타까운 정체가 있었던 것이 사실이라고 토로했다. 다른 IT 대기업, 보안 전문기업에 인수된 후발주자들의 경우 인공지능, 자동화, 빅데이터 등과 접목되는 등, 트렌드를 충실히 따랐던 반면 HP는 너무 많은 제품군을 보유한 탓에 아크사이트 고도화보다는 판매에 치중하는 모습을 보였다는 진단이다. 특정 기업의 DB를 이용하면서 로그가 많아지면 느려지는 한계 또한 개선되지 못한 채 몇 년이 속절없이 지나갔다고 황 이사는 전했다. 

“결국 시장의 평가 또한 점점 내려갔습니다. 이를테면 이제는 매직 쿼드런트에서도 좌하단에 위치합니다. AI/ML, SOAR와 같은 자동화, 클라우드 친화성, 산업용 OT 보안 대응 등과 같이 SIEM 분야에 점점 요구되는 기능을 탑재할 시기를 놓쳤다는 지적에 일리가 있다고 인정합니다. 그러나 SEM 기반의 SIEM 솔루션으로 지니는 고유의 강점, 룰 구현과 로그 연동의 유연성과 같은 장점이 여전히 건재하다는 점 또한 말씀드리고 싶습니다.”

황 이사는 한창 AI와 머신러닝이 핫한 키워드였던 시절에는 보안 솔루션에서조차 AI라는 키워드가 들어가지 않으면 품의조차 불가능하기도 했다고 전했다. 알파고가 세간의 화제를 독차지하던 때의 이야기다. 아크사이트 솔루션을 책임진 입장에서 AI나 머신러닝 기능이 없음에 한탄하기도 했었다고 그는 덧붙였다. 

“그럼에도 불구하고 다시 아크사이트를 찾는 고객들이 있었습니다. 로그를 모아 통합해 검색하는 제품들의 한계가 분명하기 때문입니다. 보안관제의 첫 번째 덕목은 실시간 대응입니다. 각종 로그를 모아 검색하는 방식으로는 몇 초만에 끝나기도 하는 고도화된 공격에 실시간으로 대응하기가 사실상 불가능합니다. 처음부터 생태계의 보안 정보를 염두에 두고 시나리오 베이스의 룰세트를 유연하게 정교화할 수 있도록 하는 아크사이트의 접근법이 여전히 유효합니다. 현실적으로 기업에게 가장 효율적인 방어책이기도 합니다. 솔직히 요즘 시장의 추이를 보면 검색 엔진 기반의 접근법으로, 시각화 기능이 강화된 가시성 위주의 제품으로 모든 것을 해결할 수 있다는 생각이 지나치게 만연하다는 생각이 듭니다”

2020년, 대대적인 환골탈태
그러면서도 황원섭 이사는 실시간 상관분석에 특화된 아크사이트의 종전 접근법이 무조건 최고라는 주장은 아니라고 선을 그었다. 결국 시나리오 기반의 실시간 상관분석 엔진이 유효한 분야가 있는 한편, 빅데이터 분석 기반의 공격 탐지 기술이 적합한 영역이 따로 있다는 설명이다. 사용자 행동 분석(UEBA), 네트워크 행동 분석(NBA), 자동화(SOAR), OT 보안 통합 등도 모두 마찬가지다. 이를테면 알려진 시나리오 기반의 룰 세트 방식은 알려지지 않은 공격에 온전히 대응하기 어렵다고 그는 덧붙였다. 

“반갑게도 마이크로포커스가 아크사이트 고도화를 위한 행보를 본격화하고 있습니다. 작년에는 인터셋(Interset)이라는 인공지능 기업을 인수해 사용자 행동 분석 기능을 확보했으며, 지난 7월에는 아타랩스(ATAR Labs)라는 SOAR 전문 기업을 인수했습니다. 2020년 들어서는 버전명을 연도에 맞추고 있는데, 최근 출시한 2020.2버전에는 인터셋 제품의 통합을 완료함으로써 AI/ML에 기반해 알려지지 않은(Unknown) 위협을 탐지할 수 있도록 보강됐습니다. 위협을 헌팅하는 리콘(Recon)이라는 제품도 새로 만들었습니다. 차후 버전에는 SOAR가 아크사이트 ESM(ArSight ESM)에 빌트인 형태로 통합될 것으로 예상합니다.”

빅데이터에 대응하는 오픈소스 아파치 카프카(Apache Kafka)에 기반한 데이터 허브도 마련됐다. 트랜스포메이션 허브(Transformation Hub)라는 이름의 패키지다. 아울러 산업용 OT 영역을 노리는 위협을 감안한 방침도 준비되고 있다. 또 OT 영역을 탐지하는 센서와의 연동을 통한 통합 모니터링이 아크사이트에 추가될 예정이다. 황 이사는 결국 종전의 강점에 더해 멀티레이어 형태의 광범위한 위협 탐지/분석 및 대응 기능을 모두 확보하는 전략이라고 소개했다. 

“콘텐츠 확보 또한 적극적으로 추진되고 있습니다. 다소 구식이라는 지적을 받았던 UI, UX를 개편하는 것은 물론, 최신 트렌드인 마이터어택 프레임워크((MITRE ATT&CK framework)를 작년에 추가했으며, MISP(Malware Information Sharing Platform) 오픈소스 TI(Threat Intelligence) 평판 정보도 연동했습니다. 이 밖에 다양한 보안 소스를 자동 연동되도록 조치했습니다. 이제 일부 기능의 부재로 아크사이트 본연의 강점이 평가절하되는 일은 없을 것이라고 기대합니다. 아크사이트의 역사를 지켜본 입장에서 감회가 새롭습니다.”


아크사이트의 새 아키텍처. 위협 헌팅 요소인 리콘(RECON)과 내부 위협에 대응하는 UEBA 요소인 인터셋(INTERSET)을 찾아볼 수 있다. 

황원섭 이사는 십 수 년간 보안 업무를 진행해오면서 깨달은 바를 귀뜸했다. 셰프가 요리에 맞춰 각양각색의 칼을 이용하듯이, 성을 방어하는 과정에서 계층적 접근법이 활용되듯이 보안 체계 또한 용도에 맞는 기술을 적절하게 적용하는 것이 중요하다는 것. 어떤 기업은 잘 쓰는 솔루션인데도 다른 기업에서 계속 문제가 발생하는 이유 또한 제품을 기본 콘셉트에 맞지 않게 활용하려는 경우가 대부분이었다고 그는 설명했다. 

“EDR, NDR, UEBA, Hunt 콘셉트를 내세운 제품들이 속속 등장하면서 SIEM은 죽었다고 말하는 이들이 있습니다. 그러나 제 생각은 다릅니다. 대체할 수 있는 영역이 없습니다. 빠듯한 인력과 방대한 정보 및 지능화된 보안 위협과 씨름해야 하는 오늘날의 기업 현실에서는 효율적인 실시간 위협 관리 체계의 조건이 무엇인지 다시 고민해볼 시점이라고 생각합니다. 20주년을 맞아 대대적인 환골탈태를 보여주고 있는 아크사이트가 주장하는 바이기도 합니다.”

기업이 보안을 통제하기 위한 접근법은 수십 년 동안 점진적으로, 때로는 파격적으로 진화해왔다. 보안 정보 관리(SIM)과 보안 이벤트 관리(SEM)가 병립하던 시기를 지난 후 SIEM이라는 새로운 시장이 열렸으며, 이 역사의 한 축을 지탱해온 아크사이트가 이렇게 새로운 진화를 시도하고 있다. 

“보안운영(관제)의 궁극적인 목표가 무엇일까요? 사전에 또는 실시간을 보안 위협을 예측하거나 인지해 위협에 노출되는 시간을 줄여주는 것입니다. 결국엔 얼마나 빠르게 탐지해 대응하는 지가 핵심입니다. 기업 보안의 목적이 구색을 맞추는 것이어서는 안 된다는 생각입니다. 책임을 회피하는 것이 핵심 목적이어서도 안 됩니다. 여러 보안 레이어를 고루 갖추되 각 레이어의 효율성과 가중치를 모두 감안한 접근법이 필요하다고 봅니다. 20년을 맞아 새롭게 변신 중인 아크사이트의 재도약을 기대하는 이유입니다.” ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.