리뷰 | 쓰렛 스택, 멀티-클라우드 지키는 첨병

데이터와 애플리케이션을 클라우드로 옮기는 기업이 늘어나면서 기존 네트워크와 이를 활용한 업무용 시스템을 방해하지 않으면서 악의적 활동을 탐지하도록 설계된 플랫폼이 절실해 졌다. 쓰렛 스택 클라우드 시큐리티 플랫폼(Threat Stack Cloud Security Platform)은 이런 요구를 충족하도록 설계됐다.

얼핏 보면 쓰렛 스택(Threat Stack)은 전통적인 하드웨어 보호용 보안 프로그램과 비슷해 보인다. 심지어 쓰렛 스택 에이전트가 보호하는 네트워크의 비율, 심각성에 따라 분류된 보안 사건 등을 보여주는 화려한 대시보드까지도 큰 차별점이 없어 보인다. 그래서 클라우드에서 작용하도록 설계된 보안 정보 및 이벤트 관리 프로그램(security information and event manager: SIEM)처럼 보이지만, 유사성은 여기까지다.



쓰렛 스택은 심도 높은 검출 작업을 하지만, 의심스러운 활동을 중단시키거나, 클라이언트를 격리하거나 하는 기능이 없다. 매시간 수백만 달러를 처리할 수 있는 클라우드 안의 전자상거래 애플리케이션 같은 것을 보호하기 위해 설계됐기 때문이다. 즉 운영을 방해해 수백만 달러의 거래를 정지시킬 수 있는 요소를 모두 제거했다. 따라서 쓰렛 스택은 그러한 부담에서 벗어나 단지 사이버보안의 검출 측면에만 집중한다. 이는 보안 상식에 어긋나는 듯 보일 수 있지만, 어떤 상황에서든 지속적으로 작동해야 하는 것이 가장 중요한 환경에서는 매우 매력적인 특징이다.

이 플랫폼은 퍼블릭, 프라이빗, 커뮤니티, 하이브리드, 컨테이너 기반 등 모든 클라우드 환경에 설치할 수 있다. 또한, 멀티-클라우드 환경에서도 실행할 수 있다. 모든 주요 클라우드 서비스와 호환성이 있다. 도커 환경의 중심에 배치하거나 그곳에서 파생된 어떤 컨테이너에서도 즉시 작용한다.



일종의 보안 감독 프로그램으로, 따로 에이전트 없이 가동할 수 있지만, 에이전트가 개별 클라우드 인스턴스에 직접 배치돼 있을 때 가장 위력적이다. 이용자는 에이전트의 배치 방식을 다양하게 선택할 수 있다. 보호 대상의 인스턴스에 수동으로 배치하거나 새로운 클라우드 서비스가 생성될 때마다 로드되는 이미지 파일의 일부가 될 수도 있다.

이번 테스트에서 에이전트는 설치로부터 쓰렛 스택 플랫폼 연결까지 10초가 채 걸리지 않았고, 바로 클라우드 활동에 대한 리포팅을 시작했다. 메인 대시보드에는 전체 인스턴스 가운데 클라우드의 총 몇 퍼센트가 쓰렛 스택 에이전트에 의해 보호되는지가 실시간으로 표시된다.



스텟 스택의 가격은 런타임을 기준으로 한다. 예를 들어, 기업이 단일 클라우드 기반 서버 상에서 단일 에이전트를 이용하면 서버가 계속 활성 상태임을 기준으로 매월 720~730시간에 대해 비용이 부과된다. 거의 무제한 사용이 가능한 온-디멘드 가격제도 있고, 이는 대규모 적용시 확실히 더 좋은 선택이다.

일단 에이전트가 설치되면 이용자는 에이전트가 감시할 행동 기반의 규칙을 불러올 수 있다. 다양한 모범 사례 유형 규칙을 기본 제공한다. 필자는 지불 카드 산업(Payment Card Industry, PCI)에 대한 것을 선택하였고, 데모 환경에서 클라우드 인스턴스의 보호를 시작했다. 모든 규칙은 필요에 따라 구성, 수정, 제거 또는 추가할 수 있다.



에이전트는 클라우드의 이용자 호출 함수를 전부 조사하는 것으로 작업을 시작한다. 이에 의해 에이전트는 예컨대 이용자가 권한을 상승시켰거나, 구성 또는 숨김 파일을 변경하려 하거나, 셸 프로그램을 실행하거나, 새로운 서비스를 생성할 때 이를 감지한다. 어느 것 하나도 악의적 의도에 대한 의심 없이 지나치지 않지만, 쓰렛 스택은 명백한 중단 행위를 하는 것이 아니라 단지 관리자에게 통지만 하기 때문에 이를 검출하는 데 따른 위험이 거의 없다.

아울러 에이전트는 워크로드와 데이터 손실을 검색할 수 있다. 대형 데이터 다운로드, 또는 보호 영역 밖으로나 덜 안전한 공간으로의 데이터 이동 같은 것을 검색한다.



이처럼 모든 것을 보고하는 접근법의 한가지 부정적 측면이라면 처음 설치되었을 때 악의적이 아닌 경고를 다수 생성할 수 있다는 것이다. 경고된 활동이 실제로 일어나고 있기 때문에 거짓 양성(false positives)은 아니다. 아마 권한 있는 이용자나 개발자가 자신의 직무 범위 내에서 활동하는 것일 수도 있다. 관리자는 특정 활동 유형의 화이트리스트를 작성하거나 이용자의 특정 행동을 플랫폼 보고로부터 간단히 제외할 수 있다.

쓰렛 스택측은 경고가 대거 발생하는 약 1주일 동안 신규 클라이언트와 일일이 함께 일하며 도움을 주고 있다고 설명했다. 환경에 대한 구성이 끝나면 하루에 몇 차례의 경고만 발생하게 된다.

경보는 심각도에 따라 분류된다. 다수의 악의적 움직임을 보이는 이용자의 경우 위험 목록에 오를 수 있다. 아울러 무단 데이터 유출 등 특정 행동은 긴급 경보를 보낸다. 쓰렛 스택의 가치는 사이버 킬 체인의 극히 이른 단계에서 이러한 악의적 행동을 잡아내는 것이고, 의심스러워 보이지만 승인된 행동의 대다수가 설치 초기에 프로그램에 정의되기 때문에 정확하다는 것이다. 사이버 보안 팀은 매우 신속히 개입할 수 있어 문제가 악화되는 것을 막을 수 있다.

단, 쓰렛 스택은 검출 및 경보 외에는 어떠한 행동도 하지 않는다. 따라서 즉시 대응 태세를 갖춘 전문 사이버 보안 팀이 필수적이다. 쓰렛 스택은 자체적인 관리 콘솔을 가지고 있지만, 대다수의 주요 SIEM 프로그램과 연동할 수도 있다. 어떤 경우든 플랫폼의 경보를 심각하게 받아들이는 것이 방어 태세를 강화하는 가장 중요한 요소다.

정리하면, 쓰렛 스택은 멀티-클라우드 환경의 보안을 일원화할 뿐 아니라, 클라우드에서 실행 중인 비즈니스 또는 전자상거래 애플리케이션을 절대로 중단시키지 않으면서 작용한다. 이는 계속적인 가동이 중요한 환경에서 우수한 보안 컴포넌트로 작동한다. 단, 일정 형식의 보호가 병행해서 실행되어야 한다는 것은 단점이다. ciokr@idg.co.kr