보안

글로벌 칼럼 | 파이어아이의 헬릭스가 보안 전문가들에게 중요한 이유

Zeus Kerravala | CSO 2017.09.28
필자는 한 경제신문에서 파이어아이 헬릭스(FireEye Helix)에 대한 기사를 읽은 적이 있다. 이 기사에서 헬릭스가 보안 구매자에게 인지도가 낮다는 것을 주장했는데, 필자는 헬릭스가 과소평가된 보안 툴 가운데 하나라고 생각한다.


Credit: FireEye 

좋든 싫든 파이어아이는 샌드박스 시장과 긴밀한 관계가 있다. 샌드박스는 거의 모든 기업에서 매우 중요한 툴이긴 하지만 많은 기업에서 심지어 파이어아이 고객조차도 별다른 보안 기능이라고 생각하지 않는다. 샌드박스는 당분간 파이어아이의 핵심 제품이 될 것이지만, 헬릭스는 기업 고객들에게 아주 중요한 도구가 될 것이다.

헬릭스는 보이지 않는 위협을 차단하고 최전선의 정보를 통해 전문가가 결정을 내릴 수 있게 하는 엔드 투 엔드 탐지 대응 시스템이다. 이는 파이어아이의 이벤트 데이터와 파이어아이가 아닌 다른 보안 인프라스트럭처와 최전선 정보, 규칙 및 분석을 중첩해 어떤 위험이 가장 큰 위협인지, 이후 대응 방안을 결정하기 위한 컨텍스트를 제공한다. 헬릭스는 단일 인터페이스 내에서 경보 관리, 검색, 분석, 조사, 그리고 보고를 포함한 모든 SOC 기능을 지원한다.

플랫폼의 가치를 이해하려면 상황이 어떻게 변했는 지와 다른 유형의 인텔리전스 솔루션이 필요한 지에 대해 알아야 한다.

1. 대부분의 보안 팀은 새로운 공격 경로에 대해 가시성이 부족하고 사각 지대가 있기 마련이다. 전통적인 보안은 악의적인 사람들을 막기 위해 좀 더 크고 강력한 해자를 기반으로 한다.

이는 합리적으로 들릴 수 있지만, 오늘날 경계 지역에서 발생하는 사고는 줄었다. ZK 리서치가 미국과 유럽의 IT 및 비즈니스 의사결정권자를 대상으로 한 설문조사에 따르면, 보안 지출의 90%는 경계 보호를 위한 것이지만 침해 사고의 27%만이 그 지점에서 발생한다.

공격자들이 바보가 아닌 이상, 최첨단 방어 기술을 깨고 차세대 방화벽을 통과하는 것은 매우 어렵다는 걸 잘 알고 있다. 이 대신 애플리케이션이나 사용자 공격에 집중하는 것이 더 쉽다. 지난 수년동안 널리 알려진 침해 사건들이 바로 그 증거다. 타겟, 소니, 애슐리 메디슨 등 모두가 비경계 기반 침해였다. 좀더 나은 가시성이 있었다면 이들을 붙잡았거나 피해를 최소화했을 것이다.

2. 보안은 기하급수적으로 어려워지고 있다. 기업이 점점 더 많은 진입점을 모두 보호할 필요가 있지만, 사이버 범죄자들은 한가지 방법만 찾으면 되는 비대칭 보안 문제(asymmetric security challenge)가 심각해지고 있다.

시그니처 기반의 시스템은 과거에는 효과적이었지만 오늘날에는 너무 느리다. 그러나 대부분의 위협은 과거의 위협에서 약간의 변화만 있기 때문에 올바른 정보를 기반으로 하는 솔루션은 대응 시스템이 할 수 있는 것보다 더 빠르게 새로운 위협을 탐지할 수 있다.

3. 너무 많은 것은 좋지 않다. 보안 측면에서 볼 때, 더 많은 도구, 경고, 데이터 또는 그밖에 다른 것이 무엇이던 더 좋은 것은 아니다. 앞서 언급한 ZK 리서치 설문조사에서 또다른 흥미로운 사실은 한 기업 당 관리해야 할 보안 개발업체 평균 수가 32개였다. 이것이 33개가 된다고 해서 더욱 안전해졌다고 생각하는 CISO는 본 적이 없다.

보안 방법론은 수작업 프로세스에 의존하기 때문에 더 많은 개별 도구를 사용하면 대부분의 보안 팀이 신속하게 처리할 수 없는 경고나 데이터를 늘려 복잡성을 가중시킬 수 있다.

헬릭스가 보안을 돕는 방법
파이어아이 헬릭스는 파이어아이 자체 네트워크와 엔드 포인트 보안 제품, 타사 보안 제품의 보안 정보들을 통합하고 머신러닝을 사용해 해당 데이터를 상황에 맞게 적용한다. 필자는 많은 보안업체들이 현재 머신러닝을 사용해 엄청난 양의 데이터에서 점들을 연결하고 있지만 파이어아이의 경우, 맨디언트 팀으로부터 전문 지식과 분석을 추가했다는 점이 강점이다.

중국의 사이버 스파이가 미국을 포함한 다른 국가를 표적으로 하고 있다는 보고서가 발표되면서 2013년 파이어아이가 인수한 맨디언트가 주목받았다. 파이어아이가 주장하는 머신러닝과 맨디언트의 전문지식의 결합은 이들의 경쟁우의를 제공한다.

이 제품은 데이터에서 숨겨진 패턴과 변종을 찾아 파일리스 기반의 위협을 찾는다. 파일리스 공격은 공격자가 기존 소프트웨어를 사용해 악의적인 활동을 수행하는 공격을 말한다.

보안 운영 측면에서 헬릭스의 가치는 모든 것을 한눈에 보여주는 통합 콘솔에서 시작된다. 이 콘솔을 통해 각 데스크톱을 방문하지 않고도 가능한 위협들을 진단하고 포렌식을 수행함으로써 1년동안 수천 시간의 작업 시간을 절약할 수 있다.

대시보드는 각 환경에 맞게 맞춤화할 수 있으므로 관계없는 정보를 볼 필요가 없다. 특히 박사 수준의 기술을 사용하는 페이지와 페이지 데이터를 보여주는 일부 SIEM과는 다르다. 시각적 대시보드를 사용하면 PCI와 HIPAA와 같은 규정을 좀더 쉽게 준수할 수 있다.

헬릭스는 파이어아이의 미래 가치에도 아주 중요하다. 그러나 헬릭스의 가치는 기업 고객이 시그니처 기반의 솔루션보다 위협을 좀더 빨리 발견하고 진단, 치료할 수 있는 인텔리전스 기반의 플랫폼이라는 데 있다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.