기고 | 파이어아이 '헬릭스' 예찬

이번 달 초 필자는 파이어아이(FireEye)가 회사 주주들에게 중요한 이유를 개략적으로 설명한 IBD(Investor’s Business Daily) 기사를 접했다. 이를 계기로 보안 구매자 사이에서 헬릭스(Helix)의 인지도가 낮은 현실에 대해 생각해 보게 됐다. 필자가 볼 때 헬릭스는 과소평가된 보안 도구 중 하나다.

파이어아이는 샌드박스(sandbox) 시장과 깊은 연관성을 가지고 있는 것이 현실이다. 샌드박스가 거의 모든 기업에게 중요한 보안 도구 역할을 해 왔음에도 불구하고, 많은 기업들, 심지어 파이어아이 고객들조차도 파이어아이에게 다른 보안 기능을 기대하지 않곤 한다. 파이어아이의 샌드박스(Sandbox)가 조만간 이 회사의 핵심 제품이 되기는 하겠지만 헬릭스 또한 이 회사와 그 고객들에게 의미 있는 도구로 부상할 것이다.

헬릭스는 종단간 탐지 및 대응 시스템이다. 눈에 보이지 않는 위협을 드러내고 최전선 정보로 전문적 결정을 가능하게 해준다. 보안 인프라의 파이어아이 구성요소와 비 파이어아이 구성요소로부터 이벤트 데이터를 수집한 후 최전선 정보, 규칙, 분석을 결합해 조직들로 하여금 어떤 위협이 가장 큰 위험을 발생시키고 이후에 어떻게 대응해야 할지 판단할 맥락 정보를 제공한다. 헬릭스는 단일 인터페이스 내에서 모든 SOC 기능, 즉, 경보 관리, 검색, 분석, 조사 및 보고 등이 가능하다.

이 플랫폼의 가치를 이해하려면, 상황이 어떻게 달라졌으며 왜 다른 종류의 정보 솔루션이 필요한가에 대한 지식이 필요하다.



1. 대부분의 보안 팀은 신종 공격 벡터에 대한 시야가 부족하며 사각 지대가 늘어나고 있다. 전통적인 보안은 나쁜 놈들이 들어오지 못하도록 더 크고 강력한 해자를 짓는 방식이다. 이는 합리적인 방식으로 보이지만, 오늘날 경계 지점에서 발생하는 공격에 의한 피해는 점점 줄어들고 있다.

미국과 유럽의 기술 및 사업 의사결정자와 영향력 행사자 1,500명을 대상으로 ZK 리서치에서 실시한 설문조사의 통계에서 잘 알 수 있듯이 보안 비용의 90%가 경계 지점 보호를 위해 지출되는데 막상 그 지점에서 발생하는 공격에 의한 피해는 27%에 불과하다. (고지사항: 필자는 ZK 리서치의 창립자 겸 수석 분석가다.)

나쁜 놈들은 바보가 아니다. 최첨단 차세대 방화벽을 침투하는 것이 매우 어렵다는 것을 알고 있기 때문에 굳이 시도하지 않는다. 차라리 응용프로그램이나 사용자에 초점을 맞춘 표적 공격에 더 많이 집중하는 것이 훨씬 수월하다. 지난 몇 년간 널리 알려진 피해 사례가 그 증거다.

타깃(Target), 소니(Sony), 애슐리 매디슨(Ashley Madison) 등은 모두 비경계 기반 공격의 피해 사례였다. 더 나은 시야를 확보했더라면 이들 공격을 잡아내거나 적어도 “피해 반경”을 최소화할 수 있었을 것이다.

2. 보안은 기하급수적으로 더 어려워지고 있다. 필자는 이를 ‘비대칭적 보안 문제’라고 부른다. 기업들이 보호해야 하는 진입점은 점점 늘어나는 반면 사이버 범죄자들은 칩입점을 하나만 찾으면 되는 상황이기 때문이다.

반응적인 서명 기반 시스템이 과거에는 효과적이었지만 오늘날에는 너무 느리다. 그러나 대부분의 위협은 과거 위협을 살짝 변형한 것이기 때문에 적절한 정보를 기반으로 구축된 솔루션은 반응적 시스템에 비해 신종 위협을 훨씬 빠르게 발견할 수 있다.

3. 다다익선이 아니다. 보안에서는 도구, 경보, 데이터 등 할 것 없이 다다익선이 해당되지 않는다. 위에서 언급한 ZK 리서치 설문 조사에서 드러난 또 하나의 흥미로운 정보는 기업들이 관리해야 하는 보안 업체는 평균 32곳에 달한다는 점이다.

만일 33곳으로 늘어난다면 더 안심할 수 있을 것이라고 말하는 CISO를 필자는 본 적이 없다. 보안 방식은 수동 프로세스에 의존하기 때문에, 별개의 도구가 늘어날 수록 복잡해질 뿐이다. 이미 대부분의 보안 팀이 처리 속도를 따라가지 못할 정도로 많은 경고 및 데이터의 양이 더욱 늘어나기 때문이다.

헬릭스가 어떻게 도움이 되는가
파이어아이 헬릭스는 파이어아이의 자체 네트워크 및 종단점 보안 제품은 물론 타사 보안 제품의 보안 정보를 통합한 후 머신러닝을 이용해 해당 데이터를 맥락에 맞게 이해한다.

많은 보안 업체들이 이미 존재하는 엄청난 양의 데이터에서 ‘점들을 연결’(숨겨진 의미를 파악한다는 의미)하기 위해 머신러닝을 사용하고 있다. 파이어아이는 여기에 맨디언트(Mandiant) 팀의 전문 기술과 분석까지 추가했다. 맨디언트는 2013년 유명해진 후 파이어아이에게 인수됐다.

당시 파이어아이는 미국 등 여러 국가를 표적으로 하는 사이버 첩보 활동에 중국이 연루되었다는 보고서를 발표했다. 이처럼 머신러닝에 맨디언트의 전문 기술을 결합한 것에서 파이어아이가 경쟁적 우위를 갖는다는 것이 파이어아이 측의 주장이다.

이 제품은 데이터 내에 숨겨진 패턴과 변칙을 통해 비 맬웨어 기반 위협을 찾아낸다. 비 맬웨어 기반 위협 공격이란 해커가 기존 소프트웨어를 이용해 악성 활동을 수행하는 것을 말한다.

보안 운영의 관점에서 볼 때 헬릭스의 가치는 면밀히 살펴보아야 할 모든 것을 보여주는 통일적 콘솔에 있다. 잠재적인 위협에 대한 진단과 과학 수사는 각 데스크톱에 사람을 보내는 대신에 콘솔에서 직접 수행할 수 있다.

그 결과 연간 수천 시간의 맨아워(man hour)를 절약할 수 있다. 각 환경에 맞게 대시보드를 원하는 방식으로 바꿀 수 있기 때문에 관련 없는 정보는 볼 필요가 없다. 이는 박사급 기술이 있어야 해독할 수 있는 데이터를 몇 페이지나 걸쳐서 보여주는 일부 SIEM과 크게 다른 점이다. 시각적 대시보드는 PCI와 HIPAA와 같은 규정 준수를 수월하게 해주기도 한다.

IBD 기사에서 지적한 바와 같이, 헬릭스는 향후 파이어아이 주가 상승에 중요하다. 그러나 주가 상승이 가능한 이유는 헬릭스가 정보 기반 플랫폼으로서 기존의 서명 기반 솔루션에 비해 고객들이 더 빠른 속도로 위협을 찾아내고 이를 진단, 해결하게 해주기 때문이다.

* Zeus Kerravala는 ZK 리서치 설립자이자 수석 애널리스트다. ciokr@idg.co.kr