이 시각 주요 뉴스

여백

중견기업이 궁금해 하는 3가지 신흥 보안 기술

3가지 기술 검토해 진화된 공격으로부터 조직을 효과적으로 보호해야
신동훈 기자l승인2019.04.17 09:45:42l수정2019.04.18 09:09

크게

작게

메일

인쇄

신고

[CCTV뉴스=신동훈 기자] 해킹을 완벽하게 막는 것은 불가능하고, 보안 사고는 불가피하다. 때문에 중견기업에서 보안을 책임지는 인프라 및 운영 리더들은 이미 해킹을 당했을 것이라 가정해야 한다. 보안 전략의 일부는 사고를 감지하고 대응하는 시간을 단축하는 것이 되어야 하고, 한편으로는 해커의 공격 능력을 격리하고 억제하는 것이 포함되어야 한다. 새로운 위협이 등장하면서 보안 요구사항도 변화하고 있다. 기존 보안 인프라로 조직을 보호하고 새로운 공격을 감지할 것인가? 아니면 새로운 보안 투자가 필요한가?

본 기고는 중견기업이 궁금해하는 세 가지 신흥 보안 기술을 분석한다. 현재 시장에서 신흥 보안 기술의 도입률은 5% 미만에 불과하지만, 해당 기술들의 이점은 높게 평가되고 있다. 그러므로 중견기업의 인프라 및 운영 리더들은 이 기술들을 검토해 진화된 공격으로부터 조직을 효과적으로 보호해야 한다.

글 제임스 브라우닝(James Browning), Gartner Distinguished VP Analyst

탐지 및 대응 관리(MDR) 서비스는 언제, 왜 사용해야 하는가?

MDR 제공업체는 고급 분석과 위협 인텔리전스를 활용한 턴키(turn-key) 솔루션을 통해 고객들에게 연중무휴 위협 모니터링, 감지, 대응 서비스를 제공한다. MDR 제공업체는 센서, 네트워크 프로브(network probe)나 엔드포인트 에이전트(endpoint agent)를 배포해 고객 시스템의 데이터를 수집한다. 그 후 데이터 분석을 통해 위협 증거를 찾고, 위협이 감지되면 고객에게 알린다.

MDR은 방화벽을 외주화 하는 것이 아니다. MDR은 미처 발견하지 못하고 지나치는 해킹건을 감지하기 위해 필요한 ‘훈련된 눈을 빌려주는 것’과 같으며, 기존 방화벽과 엔드포인트 보호 보안을 우회하는 10%의 해킹 건을 찾아낸다. MDR 제공업체는 광범위한 관리 보안 서비스를 제공하는 관리형 보안 서비스 제공업체(MSSP, managed security service providers)와 달리 위협 감지와 대응에만 주력하는 것이 특징이다.

MDR 제공업체는 위협 차단 및 대응 서비스도 제공한다. 위협 감지 시간을 단축하는 것도 좋지만, 피해 방지 및 완화에 너무 많은 시간이 소요된다면 공격이 확산돼 더 많은 시스템을 손상시키고 추가적인 피해를 입힐 수 있다. 대부분의 대기업들은 사고 대응을 전담하는 보안 팀을 보유하고 있는 반면, 중견기업들은 전문 업체가 제공하는 위협 차단 서비스에 더 관심을 보인다.

오늘날 MDR 제공업체들은 위협 감지 및 대응 기능에 특히 초점을 맞추며 기존 MSSP 모델과 차별화를 꾀해왔다. MDR 시장은 성장세를 보여왔지만, 고객들은 향후 이 시장이 MSSP 시장에 흡수될 가능성이 있음을 인지해야 한다.

MDR에 대한 수요는 특히 중견 시장에서 강세를 나타냈다. MDR은 사고 대응과 위협 차단을 위해 보안 전문성 및 실시간 운영의 격차를 메우는 턴키 서비스를 제공한다. 아직 위협 감지 및 대응 기술과 내부 역량 구축에 투자를 하지 않았거나 작은 규모로 투자하고 있는 기업들은 MDR 서비스를 고려해볼 필요가 있다.

주요 MDR 업체

얼러트 로직 (Alert Logic), 아틱 울프 (Arctic Wolf), 크라우드스트라이크 (CrowdStrike), 이센타이어(eSentire), 니모닉 (mnemonic), F-시큐어 (F-Secure), 팔라디언 (Paladion), 래피드7 (Rapid7), 레드 캐너리 (Red Canary)

제언

위협 감지, 실시간 모니터링 기능, 사고 대응 기능을 향상시키거나, 아직 사용 중이 아니라면 관리형 감지 및 대응 서비스를 활용해 이러한 기능을 추가해야 한다.

온-프레미스 방화벽은 서비스형 방화벽으로 대체해야 하는가?

서비스형 방화벽(FWaaS)은 클라우드 기반 서비스로 제공되는 다기능 방화벽이다. FWaaS은 주로 여러 조직이 공유하는 멀티테넌시(multitenancy) 기능으로 제공된다. 보안을 담당하는 인프라 및 운영 리더들은 FWaaS도 다른 하드웨어 기반 방화벽과 마찬가지로 관리가 필요하다는 것을 인식해야 한다. 운영은 서비스의 일부로 제공되는 것이 아니다. FWaaS는 관리형 보안 제공업체가 제공하는 관리형 방화벽 서비스를 대체할 수 없다.

FWaaS는 중견기업에 하드웨어 방화벽을 능가하는 몇 가지 흥미로운 신기능을 제공한다. FWaaS는 배포가 쉽고 단순화된 보안 운영을 가능케하며, 더 나은 확장성과 비용 예측 가능성을 제공한다. 또한 배포 후 쉽고 빠르게 더 많은 보안 기능을 추가할 수 있다. FWaaS는 여러 위치에서 하드웨어 기반 방화벽을 유지하는 조직에 적합하다. 그러나 FWaaS는 몇 가지 문제점 역시 갖고 있다.

FWaaS로 이전할 때 고객 환경에 불가피한 지연이 발생한다. 또한 사용자와 원하는 위치 사이에 추가 홉이 들어간다. 성능에 미치는 영향은 제공업체를 구별하는 핵심 평가 기준이 되어야 한다. 현재 FWaaS는 수 백명 남짓의 사용자가 있는 소규모 현장에 가장 적합한 서비스다. FWaaS로 주 방화벽을 대체하는 조직은 매우 드물다.

FWaaS의 본격적인 도입은 지사들의 SD-WAN 이전을 실시하는 기업에 달렸다. 기업은 SD-WAN으로 이전하는 과정에서 각 지사에 맞는 보안 솔루션을 제공하는 것에 어려움을 겪는다. 초기에 도입한 기업들은 하드웨어 기반 지사 방화벽을 FWaaS와 더불어, 보안 웹 게이트웨이 서비스 등과 같은 클라우드 기반 보안 솔루션으로 교체하고 있다.

주요 업체

카토 네트워크 (Cato Networks), 옴니넷 (OmniNet), 팔로 알토 네트워크(Palo Alto Networks), 시큐클라우드 (Secucloud), 지스케일러 (Zscaler)

제언

원거리에 위치한 지점들의 보호를 강화하고, FWaaS로 광범위한 개념 증명을 실시해 보안 운영을 간소화해야 한다. SD-WAN은 보안 제어가 클라우드로 이전됐을 때 최적으로 작동 하므로, FWaaS에 대한 평가는 SD-WAN 프로젝트 중에 이루어져야 한다.

원격 브라우저 아이솔레이션은 언제, 왜 사용해야 하는가?

원격 브라우저 아이솔레이션은 인터넷 브라우징을 최종 사용자 디바이스로부터 분리시켜 원격 서버 또는 클라우드 ‘샌드박스(sandbox)’로 이동시킨다. 인터넷 브라우징 세션을 사용자 디바이스와 분리해 피해를 차단하는 것이 목적이다. 원격 브라우저 아이솔레이션은 가상 데스크톱 인프라(VDI)와 개념상 비슷하다.

원격 브라우저 아이솔레이션의 보안 조사를 담당하는 인프라 및 운영 리더들은 사용자 경험, 지연, 전반적으로 미숙한 솔루션 등의 문제점을 인식하고 있어야 한다. 대부분의 기업들은 브라우저 아이솔레이션 기술을 더디게 도입해왔다. 이 기술은 주류 기술이 아닌 신흥 기술이다.

이를 초기에 도입한 기업들은 보안 의식이 매우 높다. 이들은 원격브라우저 아이솔레이션을 다른 방식과 통합해 웹 기반 공격에 대한 보다 높은 수준의 보호를 구현한다.

원격 브라우저 아이솔레이션 사용의 이점은 분명하다. 최종 사용자 디바이스는 웹 콘텐츠에서 수행되는 대상 지정 공격으로부터 격리되기 때문에, 최종 사용자 시스템이 손상될 위험이 크게 줄어든다. 또한 원격 브라우저 아이솔레이션은 이메일 피싱을 통해 호출된 브라우저 세션을 격리해 피싱 공격이나 자격 증명 도용을 방지할 수 있다.

대부분의 중견기업들은 안전한 웹 게이트웨이의 형태로 URL 필터링을 사용해 사용자가 불량 사이트로 유입되지 않도록 예방하고, 사용자를 웹 기반 위협으로부터 보호한다. 원격 브라우저 아이솔레이션 기능은 일부 SWG 업체에서 추가 기능의 형태로 제공하고 있다.

주요 업체

어센틱8 (Authentic8), 사이버링크 (Cyberinc), 에리컴 소프트웨어 (Ericom Sotwf are), 개리슨 (Garrison), 하이솔레이트 (Hysolate), 라이트 포인트 시큐리티 (Light Point Security), 멘로 시큐리티 (Menlo Security), 마이크로소프트 (Microsoft), 프루프포인트 (Proofpoint), 시만텍 (Symantec)

제언

원격 브라우저 아이솔레이션 솔루션을 평가해 웹 기반 공격 대응하는 높은 수준의 보안을 제공해야 한다.

민감한 활동에 관여되어 있는 사용자, 혹은 민감하고 중요한 정보를 다루는 CEO, 재무부서 등 표적이 되기 쉬운 직원들을 대상으로 원격 브라우저 아이솔레이션 도입을 고려해야 한다.

원격 브라우저 아이솔레이션 시장이 가격 인하 압력을 받고 있으므로 단기 계약으로 서비스를 사용해야 한다.

#중견기업#보안#해킹#MDR

신동훈 기자  hljysy@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

신동훈 기자의 다른기사 보기
기사 댓글
첫번째 댓글을 남겨주세요.
0 / 최대 400byte

숫자를 입력해주세요

욕설등 인신공격성 글은 삭제합니다.
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .