지난 몇 년 새 주요 네트워크 보안 회사들을 중심으로 나오고 있는 메시지들 중 하나가 방화벽, 침입방지시스템IPS), 분산서비스거부(DDoS) 대응 장비 등 기능을 통합해 '우리 장비만 있으면 왠만한 공격은 막을 수 있고, 지능형 공격에 대해서도 대응할 수 있다'는 것이다.
이런 와중에 통합 대신 협업을 DNA로 내세운 글로벌 회사들이 있어 주목된다. 저마다 역할이 다른 기능들을 한 곳에 모으기보다는 각 분야마다 전문성이 다른 수많은 보안장비, 서비스 등과 연동해 정보를 모은 뒤 위협 자체가 어디서 어떤 곳을 통해 어떻게 영향을 미치고 있는지에 대한 가시성을 제공하고 필요한 일련의 대응방법을 제시하겠다는 것이다.
대표적인 곳이 비트9+카본블랙과 포어스카우트테크놀로지스라는 회사다. 얼핏 보면 이들이 제공하는 서비스는 이전까지 IBM큐레이더, 인텔시큐리티(맥아피) SIEM, HP 아크사이트와 같은 보안이벤트정보관리(SIEM) 솔루션과 별다른 차이가 없어 보인다.
그러나 비트9+카본블랙의 경우 팔로알토, 체크포인트, 파이어아이 등과 같은 네트워크 보안 회사들이 탐지한 위협 정보를 엔드포인트단에서 혹은 기업 서버단에서 상관관계를 분석한 뒤 자동으로 해당 보안 장비에게 분석한 데이터를 전달한다. 여기에는 네트워크 상 위협에 대한 우선순위를 정하고, 위협이 미칠 수 있는 범위에 대해 파악하며, 필요한 위협 완화 조치도 포함한다.
오픈API를 통해 네트워크 보안장비, 각종 보안 분석툴을 연동시켰다는 점도 주목할만 하다. 기존 서버, PC 및 노트북, 각종 기기 등에 대한 정보와 함께 체크포인트, 파이어아이, 팔로알토 등이 제공하는 네트워크 보안장비, IBM 큐레이더, EMC RSA 시큐리티어낼리틱스, 스플렁크, HP 아크사이트 등 보안 분석툴을 모두 오픈API를 통해 한 곳으로 모은 뒤 공격을 약화시키고 대응할 수 있도록 한다는 것이다.
포어스카우트는 '카운터액트(CounterACT)'라는 플랫폼을 활용해 실시간으로 네트워크 사용자, 엔드포인트, 각종 애플리케이션을 확인하고, 네트워크접근제어(NAC) 기능과 함께 엔드포인트단에서 발생하는 보안문제를 완화시키는 역할을 한다.
카운터액트는 PC나 노트북에 별도의 프로그램을 설치할 필요가 없는 에이전트리스 방식으로 제공되며, 가상환경 혹은 보안장비를 통해 구동된다.
이 플랫폼이 차별화되는 점은 '컨트롤패브릭(ControlFabric)'이라는 아키텍처를 쓰고 있다는 것이다. 비트9+카본블랙과 마찬가지로 오픈API를 통해 네트워크 인프라에 대한 정보, 백신 등 엔드포인트 보호 솔루션과 PC, 노트북, 프린터 등 자산, 기존 SIEM과 같은 보안 위협 관리 솔루션, 모바일기기관리(MDM) 등에 대한 정보를 연동시켰다.
안랩 출신으로 보안회사를 창업한 플라이하이 김기영 실장은 "최근 보안은 서로 엮이지 않으면 안 된다는 인식이 강해지고 있다"며 "포어스카우트와 같은 회사는 여러 보안 관련 정보를 관리해준다는 점에서 특이하다"고 밝혔다.
관련기사
- 세계 보안시장, 엔드포인트 제품 성장 주춤2015.06.29
- 거대 보안 업계, 인텔리전스 놓고 격돌2015.06.29
- 글로벌 보안회사, 정보공유 협업 확대2015.06.29
- 글로벌 보안 업계, 경쟁우위로 인텔리전스 전진배치2015.06.29
수년째 골칫거리인 지능형 공격의 경우 피싱메일을 통해 해당 PC에 있는 솔루션의 보안취약점을 악용해 관리자 권한을 획득한 뒤 다시 백도어(뒷문)으로 들어가기 위한 악성코드를 심는 등 은밀하게 수많은 공격작업을 수행한다. 문제는 이러한 공격이 단순히 여러 개의 보안장비, 솔루션을 구매하는 것만으로 막거나 해킹 자체를 막거나 보안위협을 완화할 수 없다는 점이다.
단순히 해킹이 됐다거나 공격을 받았기 때문에 이에 대응할 수 있는 특정 솔루션을 설치하는데 그치는 것이 아니라 전체 보안과 관련된 모든 자원을 한번에 모니터링하면서 일련의 공격흐름을 감지하고, 필요한 조치들을 수행할 수 있는 관리툴에 대한 중요성이 부각되기 시작한 것이다.