보안 관찰가능성(Security Observability)이란 기업의 보안 현황에 가시성을 부여하는 것을 의미한다. 이를 통해 보안 위협과 취약점을 감지하고 대응할 수 있다. 보안 데이터를 수집, 분석, 시각화해 잠재적 위협을 찾아내고 그 피해를 줄이는 선제적 조처를 하는 것도 보안 관찰가능성의 영역에 포함된다.
구체적으로 보면 보안 관찰가능성을 구현하려면 다양한 보안 툴과 시스템에서 데이터를 수집해야 한다. 네트워크 로그와 엔드포인트 보안 솔루션, SIEM(security information and event management) 플랫폼 등의 데이터를 모은 후 이를 이용해 잠재적인 위협에 대한 인사이트를 확보할 수 있다. 전통적인 보안 운영 툴이 이미 벌어진 일을 파악하는 정도라면, 보안 관찰가능성은 앞으로 어떤 일이 벌어질지도 예측할 수 있다. 지난 몇 년간 클라우드 보안 기술의 발전 중에서 보안 관찰가능성이 가장 눈에 띄는 이유다.
하지만 안타깝게도 IT 실무자 대부분은 이 보안 관찰가능성 개념을 잘 이해하지 못하고 있고 클라우드 보안 환경은 오히려 악화하고 있다. 2021년 버라이즌 데이터 유출 조사 보고서에 따르면, 데이터 유출 사고의 24%에는 클라우드 자산이 포함됐다. 2020년 19%에서 더 늘었다. 분명한 것은 클라우드 보안 담당자 상당수가 새로운 보안 위협에 대해 '두더지 잡기' 게임식으로 대응하고 있다는 사실이다. 이런 상황은 클라우드가 점점 더 이기종화되고 복잡해지면서 더 나빠질 전망이다. 복잡한 아키텍처를 사용한 멀티클라우드 애플리케이션이 계속해서 늘고 있고 공격 표면의 종류도 다양해지고 있다. 창의적인 공격방식도 속속 등장하고 있다.
기업이 클라우드 보안 관찰가능성에 주목해야 하는 것도 이 때문이다. 이를 통해 클라우드 보안 상황에 대해 더 통합적인 시각을 확보할 수 있다. 클라우드 보안 관찰가능성이 제공하는 주요 장점은 다음과 같다.
더 빠른 위협 탐지와 대응 : 다양한 보안 툴과 시스템에서 데이터를 수집하므로, 기업이 더 빠르게 위협을 확인하고 선제적으로 대응할 수 있다.
보안 취약점과 허술한 부분 확인 : 개선된 인사이트를 통해 기업은 악의적인 누군가가 보안 취약점을 악용하기 전에 잠재적인 문제에 선제적인 조처를 할 수 있다.
사고 대응 강화 : 클라우드 보안 관찰가능성은 보안 이벤트에 대한 더 통합적인 관점을 제공하므로 기업의 사고 대응 능력을 강화하고 공격의 영향을 최소화한다.
컴플라이언스 준수 : 클라우드 보안 관찰가능성은 기업이 클라우드 보안 적용과 현황을 업계 규제와 표준을 준수하도록 유지하는 데 도움이 된다. 심지어 감사와 다른 법적 회계 규정을 지키는 데도 유용하다.
그렇다면 클라우드 보안 관찰가능성은 현재의 클라우드 보안을 어떻게 바꿔 나갈까? 일단 클라우드 보안 관찰가능성 때문에 모니터링하는 데이터의 양이나 형태가 바뀌는 것은 아니다. 대신 관찰가능성은 데이터를 더 깊이 이해하는 것과 관련이 있다.
이 부분에서 클라우드 보안 관찰가능성은 이제는 더 일반화된 클라우드 운영 관찰가능성과 비슷한 점이 많다. 관리하는 시스템의 데이터를 모니터링하는 것은 대부분 같고, 데이터에서 뽑아내는 인사이트에서만 차이가 있다. 즉, 일정한 패턴을 감지해 이를 기반으로 앞으로 일어날 이벤트를 예측한다. 심지어 1년 후 일어날 문제를 미리 경고하는 것도 가능하다. 이를 통해 운영팀은 이 문제가 본격적으로 불거지기 전에 어떻게 대응할지 계획하고 예산을 확보할 수 있는 시간을 확보할 수 있다.
결국 클라우드 보안 관찰가능성에서 가장 중요한 것은 수백 개 엔드포인트의 수십 개 데이터 스트림을 동시에 들여다보며 공격이 있을 것임을 감지할 수 있는 패턴을 찾는 것이다. 관찰된 날 것의 데이터를 빠르게 연산해 경고하는 과정에서 사람의 개입을 줄이는 것도 중요하다. 이를 통해 특정 서버에 대한 공격이 있을 때 경고와 함께 공격 IP 주소를 차단하는 등 전술적인 대응책을 바로 발동할 수 있다. 이처럼 클라우드 보안 관찰가능성은 시스템 데이터를 정교하게 분석하고 고도로 통합된 데이터 분석 및 인공지능 시스템으로 해석한 인사이트를 제공한다.
좋은 소식은 대부분 클라우드 보안 업체가 클라우드 보안 관찰가능성이 무엇이고 어떻게 작동하는지 알고 있다는 사실이다. 이들 업체의 세일즈 직원이 조만간 연락해 올 수도 있다. 반면 좋지 않은 소식도 있다. 클라우드 보안 관찰가능성을 적절하게 설정하고 특히 이를 계속해서 운영하는 방법을 알고 있는 전문가가 기업 내부에는 없을 가능성이 크다는 사실이다. 당장은 아니라고 해도 머지않아 이런 전문가가 필요해질 것이다.
editor@itworld.co.kr