2017.02.09

'적과의 동침' 협업을 추구하는 보안 업체들

Doug Drinkwater | CSO
보안 부문에는 수백 개의 보안 업체가 존재한다. 클라우드, 이메일, 네트워크, 엔드포인트 보안뿐만 아니라 위협, 악성코드(Malware), DDoS 방어, 피싱(Phishing) 및 웨일링(Whaling) 방어, 내부자 위협 감지 등의 제공업체가 존재한다.

문제는 이런 많은 솔루션이 서로 잘 '호환'되지 않으며 이 때문에 보안팀들이 이런 기술을 도입하기 어려운 경우가 많다는 점이다. 이와 동시에 이 팀들은 변화하는 환경 그리고 포천 500(Fortune 500) 기업들보다 빠르게 진화하는 범죄자들과 보조를 맞춰야 한다.


Credit: Getty Images Bank

매그넘 컨설팅(Magnum Consulting) 분석가 프랭크 J. 올로스트는 지난해 사설을 통해 이 협업 문제를 정확히 짚어냈다. 올로스트는 "IT 보안이 현대 IT 환경의 가장 복잡한 요소로 자리 잡으면서 수많은 보호 계층과 함께 공격을 차단하고 침입자들을 막으며 데이터를 보호하기 위한 고급 분석이 필요하게 되었다"고 말했다.

그렇기는 하지만 현재의 보안 계층은 보안 계층 생성에 대한 단일 업체 접근방식으로 인해 실패하는 경우가 많다.

올로스트는 "물론, 보안 업체만 탓할 것은 아니지만 이런 보안 업체들 사이의 협업과 기술 이전 부재로 인해 설치한 계층의 수에 상관 없이 보호의 사일로(Silo)가 생성된다. 쉽게 말해 오늘날의 위협은 단일 업체가 감당할 수 있는 수준이 아니기 때문에 보안 기술의 고립에서 탈피해야 한다"고 주장했다.

협업, "이상주의적이긴 하지만 필요하다"
하지만 보안 전문가들은 보안 업체들이 전체적으로 협업을 통해 올바른 방향으로 나아가고 있다고 생각한다. 왜냐하면 그것이 '옳은 일'이기 때문이다.

침투 시험팀 FBT(First Base Technologies) CEO 피트 우드는 "이상주의적인 관점에서 협업은 시스템을 가능한 한 안전하게 보호하는 것이라고 생각한다"고 말했다. 우드는 "협업은 여러 업체의 제품을 이용한 시스템 구축의 문제를 해결하는데 도움이 된다"고 설명했다.

에일리언볼트(Alienvault) 보안 관계자인 자바드 말리크는 CSO 온라인과의 인터뷰에서 "수년 전과 비교해 보안업체들 사이의 협업이 증가했다"며, "기술적인 수준에서 보면 많은 업체가 데이터 전송을 허용하는 API를 통해 스스로 플랫폼을 개방했다. 연구 측면에서 보면 많은 업체들이 위협 행위자 조사, 식별, 차단을 위해 협업하고 있다"고 말했다.

지난 해, 노베타(Novetta) 그룹이 에일리언볼트와 카스퍼스키의 글로벌 연구 분석팀을 이끈 OBB(Operation BlockBuster)가 좋은 예이다. OBB는 수년 동안 금융 업체, 언론사, 제조 기업을 대상으로 이뤄진 여러 사이버 첩보 행위를 차단하기 위한 여러 보안 공급업체들의 연합체였다.

위협 정보 업체 디지털 쉐도우즈(Digital Shadows) CTO이자 공동 설립자 제임스 차펠은 기술, 표준, 위협 정보 부문에서 협업이 발전하고 있는 것으로 보고 있다. 차펠은 "정보 보안 부문의 업체들은 '만병통치약' 기술은 거의 없다는 것을 인식하고 있다. 그 어느 업체도 완벽하지 않다"고 밝혔다.

차펠은 "보안은 광범위한 주제이며 하나가 아닌 여러 역량에 투자해야 한다. 즉, 상관관계가 있는 제품 영역들로 구성된 생태계가 존재할 수 밖에 없다. 예를 들어, 우리가 생성하는 경보와 우리가 제공하는 서비스가 사건 대응 프로세스를 강화할 수 있도록 내부 보안 모니터링 및 사건 문제 분류 시스템을 통해 긴밀히 협력하고 있다"고 설명했다.

인텔 시큐리티(Intel Security) CTO이자 유로폴(Europol)의 고문 라즈 사마니는 업체와 보안 기관들이 범죄 인프라를 없애기 위해 협력하고 있다는 사실이 고무적이면서도 '업체 간 협업 수준은 아직'이라고 판단했다.

또한 사마니는 범죄 조직에 대한 작전을 실시하기 위해 민간 보안 업체들과 협력한 미국 사법 당국의 워킹그룹과 유럽의 EC3(European Cybercrime Center)를 언급하면서 "이는 전례없는 수준의 협업"이라고 말했다.

사마니는 "이런 방향으로 움직이고 있으며, 수직적인 정렬, 제품 상호운용성, 공공 및 사설 영역의 협업 강화를 목격하게 될 것이다"고 예견했다.

협업할 영역은 많지만 상호운용성이 문제
보안 시장의 여러 측면에서 업체 사일로 존재할 것이며, 분석가들은 해당 시장이 2020년까지 1,700억 달러 규모로 성장할 것으로 보고 있다.

보안 업체들은 특화된 기능을 중심으로 제품 차별화를 꾀할 수 밖에 없지만 그 어느 때보다도 변화무쌍한 보안 영역으로 인해 하룻밤 사이에 솔루션, 표준, 프로토콜이 바뀔 수 있다.

그리고 이런 특수화의 필요성에도 불구하고 업계에서는 전통적인 보안 제품이 최종 사용자 보호 개선을 위해 상호운용성을 강화해야 한다고 명확히 인식하고 있다. 방화벽과 IDS 시스템 등 전통적인 보안 제품만으로는 점차 복잡해지는 공격을 막을 수 없다고 인식하고 있다.

선두 보안업체들은 상호운용성을 강화하기 위해 API 통합과 SaaS, 클라우드 기반 비즈니스 모델을 통한 협업을 추구하고 있다. 특히, API 통합을 통해 여러 제품이 위협, 취약성, 보안 이벤트 데이터 정보를 교환할 수 있다.

빅데이터 분석 소프트웨어 제공업체 파나시어(Panaseer) CEO 닉 위트필드는 자사가 퀄리스(Qualys)와 시만텍의 데이터를 통합한다고 밝혔다.

위트필드는 "역사적으로 보안 업체들은 보안 시스템 연계에 있어 고객을 거의 지원하지 않았다. 실제로 일각에서는 이것을 스스로의 사업에 대한 위협으로 인지했다. 하지만 기업들이 보안 툴만 따로 생각하는 것은 무의미하며 전체적인 그림을 통해 필요한 것을 얻을 수 있다는 사실을 깨닫게 되면서 업체 생태계가 점차 통합되고 있다"고 말했다.

인텔 시큐리티의 사마니도 이에 동의하면서도 업체 커뮤니티 모두가 그렇게 생각하는 것은 아니라고 말했다. 사마니는 "대체로 그렇지 않다"며, 솔루션들이 항상 호환되는 지에 대해 의문을 표했다. 또한 "대부분의 조직에게 있어서 상호운용성은 항상 골칫거리였다"고 말했다. 

사마니는 "협업을 원치 않는 여러 업체들로부터 많은 전화를 받았지만, 그것은 그들의 선택이다. 하지만 시장과 산업은 그런 방향으로 움직이고 있지 않다"고 주장했다.

한편, FBT의 우드는 자신의 업무의 핵심 요소인 상호운용성의 부재에 한탄하면서 '고립된' 업체들이 나머지 보안 부문의 기술을 이해하지 못하고 있다고 비난했다. 우드는 이런 솔루션 통합에 대한 이해 부족으로 '불협화음'이 발생한다고 말했다.

우드는 "보안 업체의 대부분은 보안에 대한 다각적인 관점을 갖추고 있지 못하다. 그래서 관련된 평행 기술에 대해 이해하지 못하는 사람들이 많다"고.

우드는 "많은 벤더가 단순히 자사의 관심사만 발전시키면서 CISO들에게 거의 필요가 없는 제품을 떠넘기고 있고 최종 사용자들이 윤리적인 해커들을 통해 안전한 테스트 환경을 구축할 수 있도록 제대로 돕지 않는다"고 말했다.

그는 "더 큰 그림을 보고 솔루션을 이해하는 고객의 사용 사례를 살펴보라고 말하고 싶다"며, "자사의 솔루션만 생각해서는 안 된다. 여러 업체들의 도움을 통해 시스템을 구축하는 방식에 존재하는 틈을 찾아야 한다"고 설명했다.

또한 "용기를 갖고 보안 종사자들이 실제 환경 밖에서 시스템을 안전하게 테스트할 수 있는 적절한 연구소 규모의 테스트 환경에 투자하라"고 덧붙였다.

하지만 에일리언볼트의 말리크는 협업이 기술적으로 어려울 수 있다고 말했다. 말리크는 "순수한 기술 협업의 관점에서 보았을 때 문제가 있다. 대부분은 협력을 통해 기업들에게 유의미한 보고 또는 지표를 제공하기 위해서는 백본을 수정하는 등의 상당한 시간과 노력이 필요하다. 여기에서 보안 업체들은 다양한 인프라(클라우드, 직접 설치)에서 보안 역량을 통합하고 모든 통합을 백본에서 실시하는 이점을 누릴 수 있다"고 주장했다.

하지만 협업에는 문화 등의 또다른 장벽이 존재한다. 위트필드는 "집중과 편집증"이라며, "업체들은 자사 제품에 너무 집중한 나머지 고객과 그들의 니즈에 대해 잊는 경우가 많다"고 말했다.

위협 정보와 데이터 공유가 중요
보안 연구와 함께 위협 정보가 산업 협업 가운데 가장 발전된 영역일 것이다. 그 예로 CTA(Cyber Threat Alliance), GCA(Global Cyber Alliance), TPA(Threat Prevention Alliance) 등이 있다.

디지털 쉐도우즈의 차펠은 미국의 ISAC(Intelligence Sharing and Analysis Center)와 영국의 CISP(Cyber Security Information Sharing Partnership) 등 정부와 산업계 간 위협 정보 공유가 크게 개선된 것으로 보고 있다.

또한 차펠과 사마니는 TNMRP(The No More Ransom Project)가 랜섬웨어(Ransomware) 위협에 대응하기 위한 산업계, 사법당국, 정부 조직 협력의 좋은 예라고 말했다. 사마니는 "이는 전례 없는 일이다. 과거의 협업은 원탁 논의 그룹 또는 특정 악성코드에 대한 특정 작업을 중심으로 이뤄졌지만 이제는 온라인상에서 영구적인 입지를 확보하게 된다"고 설명했다.

말리크는 위협 정보 공유가 거의 일반화되었다고 말했다. "보안 업체들은 역사적으로 위협을 공유했다. 많은 기업이 위협 데이터 공유에 능동적으로 참여하고 있고, 그 결과 OTX 같은 개방형 위협 공유 플랫폼이 인기를 얻으면서 협업이 강화되고 있다"고.

차펠은 마이터(Mitre.com)와 오아시스(Oasis) 그리고 STIX 및 TAXXI 등의 계획을 통한 지표 정보 표준화 덕분에 위협 정보 협업에 도움이 되었다고 생각한다. 또한 그는 산업계에서 ISC2, SANS, CREST, ISACA, ISSP 등의 기관을 수용하면서 보안 기술 공백이 상쇄되고 있는 것으로 보고 있다. editor@itworld.co.kr
 



2017.02.09

'적과의 동침' 협업을 추구하는 보안 업체들

Doug Drinkwater | CSO
보안 부문에는 수백 개의 보안 업체가 존재한다. 클라우드, 이메일, 네트워크, 엔드포인트 보안뿐만 아니라 위협, 악성코드(Malware), DDoS 방어, 피싱(Phishing) 및 웨일링(Whaling) 방어, 내부자 위협 감지 등의 제공업체가 존재한다.

문제는 이런 많은 솔루션이 서로 잘 '호환'되지 않으며 이 때문에 보안팀들이 이런 기술을 도입하기 어려운 경우가 많다는 점이다. 이와 동시에 이 팀들은 변화하는 환경 그리고 포천 500(Fortune 500) 기업들보다 빠르게 진화하는 범죄자들과 보조를 맞춰야 한다.


Credit: Getty Images Bank

매그넘 컨설팅(Magnum Consulting) 분석가 프랭크 J. 올로스트는 지난해 사설을 통해 이 협업 문제를 정확히 짚어냈다. 올로스트는 "IT 보안이 현대 IT 환경의 가장 복잡한 요소로 자리 잡으면서 수많은 보호 계층과 함께 공격을 차단하고 침입자들을 막으며 데이터를 보호하기 위한 고급 분석이 필요하게 되었다"고 말했다.

그렇기는 하지만 현재의 보안 계층은 보안 계층 생성에 대한 단일 업체 접근방식으로 인해 실패하는 경우가 많다.

올로스트는 "물론, 보안 업체만 탓할 것은 아니지만 이런 보안 업체들 사이의 협업과 기술 이전 부재로 인해 설치한 계층의 수에 상관 없이 보호의 사일로(Silo)가 생성된다. 쉽게 말해 오늘날의 위협은 단일 업체가 감당할 수 있는 수준이 아니기 때문에 보안 기술의 고립에서 탈피해야 한다"고 주장했다.

협업, "이상주의적이긴 하지만 필요하다"
하지만 보안 전문가들은 보안 업체들이 전체적으로 협업을 통해 올바른 방향으로 나아가고 있다고 생각한다. 왜냐하면 그것이 '옳은 일'이기 때문이다.

침투 시험팀 FBT(First Base Technologies) CEO 피트 우드는 "이상주의적인 관점에서 협업은 시스템을 가능한 한 안전하게 보호하는 것이라고 생각한다"고 말했다. 우드는 "협업은 여러 업체의 제품을 이용한 시스템 구축의 문제를 해결하는데 도움이 된다"고 설명했다.

에일리언볼트(Alienvault) 보안 관계자인 자바드 말리크는 CSO 온라인과의 인터뷰에서 "수년 전과 비교해 보안업체들 사이의 협업이 증가했다"며, "기술적인 수준에서 보면 많은 업체가 데이터 전송을 허용하는 API를 통해 스스로 플랫폼을 개방했다. 연구 측면에서 보면 많은 업체들이 위협 행위자 조사, 식별, 차단을 위해 협업하고 있다"고 말했다.

지난 해, 노베타(Novetta) 그룹이 에일리언볼트와 카스퍼스키의 글로벌 연구 분석팀을 이끈 OBB(Operation BlockBuster)가 좋은 예이다. OBB는 수년 동안 금융 업체, 언론사, 제조 기업을 대상으로 이뤄진 여러 사이버 첩보 행위를 차단하기 위한 여러 보안 공급업체들의 연합체였다.

위협 정보 업체 디지털 쉐도우즈(Digital Shadows) CTO이자 공동 설립자 제임스 차펠은 기술, 표준, 위협 정보 부문에서 협업이 발전하고 있는 것으로 보고 있다. 차펠은 "정보 보안 부문의 업체들은 '만병통치약' 기술은 거의 없다는 것을 인식하고 있다. 그 어느 업체도 완벽하지 않다"고 밝혔다.

차펠은 "보안은 광범위한 주제이며 하나가 아닌 여러 역량에 투자해야 한다. 즉, 상관관계가 있는 제품 영역들로 구성된 생태계가 존재할 수 밖에 없다. 예를 들어, 우리가 생성하는 경보와 우리가 제공하는 서비스가 사건 대응 프로세스를 강화할 수 있도록 내부 보안 모니터링 및 사건 문제 분류 시스템을 통해 긴밀히 협력하고 있다"고 설명했다.

인텔 시큐리티(Intel Security) CTO이자 유로폴(Europol)의 고문 라즈 사마니는 업체와 보안 기관들이 범죄 인프라를 없애기 위해 협력하고 있다는 사실이 고무적이면서도 '업체 간 협업 수준은 아직'이라고 판단했다.

또한 사마니는 범죄 조직에 대한 작전을 실시하기 위해 민간 보안 업체들과 협력한 미국 사법 당국의 워킹그룹과 유럽의 EC3(European Cybercrime Center)를 언급하면서 "이는 전례없는 수준의 협업"이라고 말했다.

사마니는 "이런 방향으로 움직이고 있으며, 수직적인 정렬, 제품 상호운용성, 공공 및 사설 영역의 협업 강화를 목격하게 될 것이다"고 예견했다.

협업할 영역은 많지만 상호운용성이 문제
보안 시장의 여러 측면에서 업체 사일로 존재할 것이며, 분석가들은 해당 시장이 2020년까지 1,700억 달러 규모로 성장할 것으로 보고 있다.

보안 업체들은 특화된 기능을 중심으로 제품 차별화를 꾀할 수 밖에 없지만 그 어느 때보다도 변화무쌍한 보안 영역으로 인해 하룻밤 사이에 솔루션, 표준, 프로토콜이 바뀔 수 있다.

그리고 이런 특수화의 필요성에도 불구하고 업계에서는 전통적인 보안 제품이 최종 사용자 보호 개선을 위해 상호운용성을 강화해야 한다고 명확히 인식하고 있다. 방화벽과 IDS 시스템 등 전통적인 보안 제품만으로는 점차 복잡해지는 공격을 막을 수 없다고 인식하고 있다.

선두 보안업체들은 상호운용성을 강화하기 위해 API 통합과 SaaS, 클라우드 기반 비즈니스 모델을 통한 협업을 추구하고 있다. 특히, API 통합을 통해 여러 제품이 위협, 취약성, 보안 이벤트 데이터 정보를 교환할 수 있다.

빅데이터 분석 소프트웨어 제공업체 파나시어(Panaseer) CEO 닉 위트필드는 자사가 퀄리스(Qualys)와 시만텍의 데이터를 통합한다고 밝혔다.

위트필드는 "역사적으로 보안 업체들은 보안 시스템 연계에 있어 고객을 거의 지원하지 않았다. 실제로 일각에서는 이것을 스스로의 사업에 대한 위협으로 인지했다. 하지만 기업들이 보안 툴만 따로 생각하는 것은 무의미하며 전체적인 그림을 통해 필요한 것을 얻을 수 있다는 사실을 깨닫게 되면서 업체 생태계가 점차 통합되고 있다"고 말했다.

인텔 시큐리티의 사마니도 이에 동의하면서도 업체 커뮤니티 모두가 그렇게 생각하는 것은 아니라고 말했다. 사마니는 "대체로 그렇지 않다"며, 솔루션들이 항상 호환되는 지에 대해 의문을 표했다. 또한 "대부분의 조직에게 있어서 상호운용성은 항상 골칫거리였다"고 말했다. 

사마니는 "협업을 원치 않는 여러 업체들로부터 많은 전화를 받았지만, 그것은 그들의 선택이다. 하지만 시장과 산업은 그런 방향으로 움직이고 있지 않다"고 주장했다.

한편, FBT의 우드는 자신의 업무의 핵심 요소인 상호운용성의 부재에 한탄하면서 '고립된' 업체들이 나머지 보안 부문의 기술을 이해하지 못하고 있다고 비난했다. 우드는 이런 솔루션 통합에 대한 이해 부족으로 '불협화음'이 발생한다고 말했다.

우드는 "보안 업체의 대부분은 보안에 대한 다각적인 관점을 갖추고 있지 못하다. 그래서 관련된 평행 기술에 대해 이해하지 못하는 사람들이 많다"고.

우드는 "많은 벤더가 단순히 자사의 관심사만 발전시키면서 CISO들에게 거의 필요가 없는 제품을 떠넘기고 있고 최종 사용자들이 윤리적인 해커들을 통해 안전한 테스트 환경을 구축할 수 있도록 제대로 돕지 않는다"고 말했다.

그는 "더 큰 그림을 보고 솔루션을 이해하는 고객의 사용 사례를 살펴보라고 말하고 싶다"며, "자사의 솔루션만 생각해서는 안 된다. 여러 업체들의 도움을 통해 시스템을 구축하는 방식에 존재하는 틈을 찾아야 한다"고 설명했다.

또한 "용기를 갖고 보안 종사자들이 실제 환경 밖에서 시스템을 안전하게 테스트할 수 있는 적절한 연구소 규모의 테스트 환경에 투자하라"고 덧붙였다.

하지만 에일리언볼트의 말리크는 협업이 기술적으로 어려울 수 있다고 말했다. 말리크는 "순수한 기술 협업의 관점에서 보았을 때 문제가 있다. 대부분은 협력을 통해 기업들에게 유의미한 보고 또는 지표를 제공하기 위해서는 백본을 수정하는 등의 상당한 시간과 노력이 필요하다. 여기에서 보안 업체들은 다양한 인프라(클라우드, 직접 설치)에서 보안 역량을 통합하고 모든 통합을 백본에서 실시하는 이점을 누릴 수 있다"고 주장했다.

하지만 협업에는 문화 등의 또다른 장벽이 존재한다. 위트필드는 "집중과 편집증"이라며, "업체들은 자사 제품에 너무 집중한 나머지 고객과 그들의 니즈에 대해 잊는 경우가 많다"고 말했다.

위협 정보와 데이터 공유가 중요
보안 연구와 함께 위협 정보가 산업 협업 가운데 가장 발전된 영역일 것이다. 그 예로 CTA(Cyber Threat Alliance), GCA(Global Cyber Alliance), TPA(Threat Prevention Alliance) 등이 있다.

디지털 쉐도우즈의 차펠은 미국의 ISAC(Intelligence Sharing and Analysis Center)와 영국의 CISP(Cyber Security Information Sharing Partnership) 등 정부와 산업계 간 위협 정보 공유가 크게 개선된 것으로 보고 있다.

또한 차펠과 사마니는 TNMRP(The No More Ransom Project)가 랜섬웨어(Ransomware) 위협에 대응하기 위한 산업계, 사법당국, 정부 조직 협력의 좋은 예라고 말했다. 사마니는 "이는 전례 없는 일이다. 과거의 협업은 원탁 논의 그룹 또는 특정 악성코드에 대한 특정 작업을 중심으로 이뤄졌지만 이제는 온라인상에서 영구적인 입지를 확보하게 된다"고 설명했다.

말리크는 위협 정보 공유가 거의 일반화되었다고 말했다. "보안 업체들은 역사적으로 위협을 공유했다. 많은 기업이 위협 데이터 공유에 능동적으로 참여하고 있고, 그 결과 OTX 같은 개방형 위협 공유 플랫폼이 인기를 얻으면서 협업이 강화되고 있다"고.

차펠은 마이터(Mitre.com)와 오아시스(Oasis) 그리고 STIX 및 TAXXI 등의 계획을 통한 지표 정보 표준화 덕분에 위협 정보 협업에 도움이 되었다고 생각한다. 또한 그는 산업계에서 ISC2, SANS, CREST, ISACA, ISSP 등의 기관을 수용하면서 보안 기술 공백이 상쇄되고 있는 것으로 보고 있다. editor@itworld.co.kr
 

X