CISO는 미국 조지아주 전 상원의원 색스비 챔블리스의 “정보는 국가와 동맹국의 안보를 개선하기 위한 첫 번째 방어선”이라는 말을 명심해, 사이버보안 방어에 중점을 둬야한다. 즉, 사이버보안 전략, 프로그램 우선순위, 투자 등에 관한 모든 결정은 실시간과 과거 데이터 분석을 기반으로 해야한다. 어떤 유형의 데이터를 수집하고 분석해야 할까? EDR 데이터, 네트워크 메타 데이터, 클라우드 로그, ID 데이터, 위협 인텔리전스 등이 포함된다. 보안 데이터 폭증의 양상이 이미 일어나고 있다. ESG 조사 결과는 다음과 같다.
- 75%의 기업은 2년 전보다 더 많은 보안 데이터를 수집, 처리, 분석하고 있다. 32%, 약 1/3의 기업이 2018년보다 데이터가 ‘훨씬’ 많아졌다고 주장한다.
- 52%의 기업은 과거에 비해 더 오랜 기간 보안 데이터를 온라인으로 유지하며, 28%는 보안 데이터를 온라인으로 유지하길 원하지만 비용이나 운영상의 이유로 할 수 없다고 응답했다.
- 데이터 보존 기간을 더 길게 유지하기 위해 83%의 기업은 오프라인 또는 ‘콜드’ 스토리지를 사용한다. 이는 인프라 비용을 조절하는데는 도움이 되지만 소급 조사를 더 복잡하게 만든다.
증가하는 보안 데이터 분석과 운영화 요구사항은 2020년 초에 이미 우선순위가 됐다. 여기에 코로나 19로 새로운 데이터 분석 사용례와 트래픽 패턴, 행동 분석 요구사항, 사각지대가 생기며 더욱 시급해졌다.
여름이 끝나면 CISO는 2021년을 위한 계획 수립에 들어간다. 그렇게 되면 중소 기업도 보안 데이터 수집과 처리, 분석 요구사항의 비약적인 증가에 대비해야한다. 보안 데이터 폭증에 대한 몇 가지 의견은 다음과 같다.
- CISO는 통합 데이터 관리 서비스를 고려해야 한다. 소스와 형식, 유형에 상관없이 모든 보안 데이터를 저장할 수 있는 저장소를 찾아야 한다. 또한 CIO와 협의해 보안과 IT 운영 데이터를 공동의 저장소에 통합할 수 있는지 확인해야 한다.
- 모든 업계에서 규정준수 요구사항에 관계없이, 보안 데이터 수집과 처리, 분석의 다음 세대는 클라우드 기반 리소스에 크게 의존할 것이다. 2022년까지 대부분의 기업은 모든 보안 데이터를 클라우드로 마이그레이션하거나 클라우드 기반 인프라에 비중이 높은 하이브리드 아키텍처에 의존할 것이다.
- 대규모의 새로운 보안 분석의 급증에도 클라우드 리소스가 필요할 것이다.
- 현재 보안 분석과 운영 도구는 위협 탐지 및 대응에 초점을 맞추는 경향이 있다. 이제는 사이버 위험 관리를 위한 빅데이터 분석, 즉 동적 데이터 수집 및 분석에 의존하는 공격 표면 관리, 서드파티 위험관리, 취약점 관리와 같은 혁신을 모색해야한다. 사이버 위험 식별과 우선순위 지정, 완화에 사용하는 CISO 대시보드를 고려해보자. 관련업체는 어택아이큐(AttackIQ)와 벅크라우드(Bugcrowd), 싸이코그니토(CyCognito), 랜도리(Randori) 등이 있다. 파이어아이(FireEye)는 사이버보안 통제 효과성 검증 업체 베로딘(Verodin)을 인수하며 보안 분석/운영과 사이버 위험 관리를 확실히 접목했다.
- 보안 분석에는 방대하고 전례 없는 규모가 필요하다. AT&T와 딥워치(DeepWatch), 프로피시오(Proficio) 등의 MSSP(Managed Security Service Provider) 사용이 급격히 증가할 것이며, 심지어 대기업에서도 마찬가지다. 기업에서 자체적으로 분석을 해야하는 경우에는 세타포인트(ThetaPoint) 등의 전문 서비스의 도움이 필요할 수 있다.
- 기업이 실시간 분석을 위해 스트리밍 데이터로 이동함에 따라 보안 데이터 파이프라인 전문지식에 대한 수요가 높아질 것이다. 하지만 데이터 관리 엔지니어를 고용하는 기업은 보안 조직은 거의 없으므로, 이 격차를 해소하기 위해 전문 관리 서비스 업체가 필요할 것이다.
- 크라우드스트라이크(CrowdStrike)와 팬(PAN) 같은 마켓플레이스, 구글/태니엄(Tanium)과 많은 스플렁크(Splunk) 파트너십과 같은 파트너십, 수많은 M&A 활동 등 모든 유형의 ‘보안 운영 및 분석 플랫폼 아키텍처(Security Operations and Analytics Platform Architecture, SOAPA)’가 발전할 것이다.
- 보안 데이터가 클라우드로 이동함에 따라 아마존과 구글, 마이크로소프트 같은 CPS(Cloud Service Provider)는 본거지로서의 큰 이점을 갖고있다. 세 업체 모두 아마존 디텍티브(Amazon Detective)와 구글 크로니클(Google Chronicle), 마이크로소프트 애저 센티넬(Microsoft Azure Sentinel)을 통해 보안 분석 및 운영 영역에 뛰어든 이유다. 이들 네이티브 CPS와 경쟁하려면 데보(Devo), 엑사빔(Exabeam), 로그리듬(LogRhythm), 시큐로닉스(Securonix) 등과 같은 업체는 사용 편의성, 분석, 프로세스 자동화 등에서 앞서야 한다.
- 고급 분석은 급성장하는 전쟁터다. 팔란티어(Palantir), SAS 등의 데이터 분석 전문업체가 뛰어들 수 있다. 이미 아크사이트(ArtSight)와 합병한 마이크로포커스가 인터셋(Interset)을, 서모로직(SumoLogic)이 JASK를 인수한 이유기도 하다.
- ELK 스택과 같은 오픈소스 소프트웨어가 역할을 하지만 대부분의 기업에서는 보안 분석/운영의 규모와 동적 특성을 따라잡기 위해 필요한 오픈소스 도구를 프로그래밍할 수 없다. 따라서 상용 클라우드 기반 솔루션이 시장을 점유할 것이다.
- XDR의 역할에 대해서는 아직 확실하지 않지만, 가까운 장래에 지원 기술 이니셔티브로 남을 것이다.
- 이런 추세의 한 가지 흥미로운 점은 보안 운영 UI/UX의 추상화(Abstraction) 및 중앙집중화(Centralization)다. IBM 클라우드 팩 포 시큐리티(IBM Cloud Pak for Security)와 스플렁크 미션 컨트롤(Splunk Mission Control)을 예로 들 수 있다.
- 마지막으로, 이런 변화가 스플렁크의 리더십 위치를 진정으로 위협한다고 생각하는 사람도 있지만, 필자는 생각이 다르다. 물론 스플렁크는 새로운 경쟁업체와 비즈니스 모델에 방어하기 위해 민첩해야 하지만, 스플렁크는 실제로 이 시장을 확보하고 변화에 맞춰 투자를 하고있다. editor@itworld.co.kr