팔로알토 네트웍스 보안 혁신 전략 발표 기자간담회

팔로알토 네트웍스(Palo Alto Networks)는 8월 26일 서울 마포구 베스트웨스턴 서울가든호텔에서 기자간담회를 개최하고, 사이버 보안 환경 혁신을 위한 네 가지 방안에 대해 소개했다. 이번 기자간담회에는 릭 하워드(Rick Howard) 팔로알토 네트웍스 최고보안책임자(CSO)가 참여해, 보안 혁신을 위한 방안에 대해 자세히 소개했다.

릭 하워드 팔로알토 네트웍스 CSO는 이 자리에서, 사이버 보안 환경 혁신을 위해 보안 사고 대응에서 나아가 능동적인 위협 방어에 나서야 하며, 위협 요인들의 다양한 패턴을 분석해 선제 대응할 수 있는 ‘공격 라이프사이클’ 방어 모델을 구축할 필요가 있다고 강조했다. 그리고 기존의 사고 대응 팀이 위협 선제 방어가 가능한 전략적인 보안 인텔리전스 조직으로 변화하기 위해서는 위협 라이프사이클에 대한 이해가 필수적이라고 소개했다.

또한 전체 IT 인프라 보호를 위해 기존의 단편적인 포인트 보안 솔루션들이 아닌 유기적이고, 능동적인 대응체계 구축이 가능한 통합 보안 플랫폼 도입이 필요하며, 이의 실현을 위해 업계 공동의 인텔리전스 정보 공유 환경 구축이 중요하다고 강조했다. 그리고 팔로알토 네트웍스는 이런 인텔리전스 정보 공유 환경의 구축을 위해 포티넷, 인텔 시큐리티, 시만텍 등과 함께 ‘사이버 스렛 얼라이언스(CTA : Cyber Threat Alliance)’를 구성했으며, 향후 더 많은 회원사가 참여할 것이라 소개했다.

▲ 팔로알토 네트웍스 릭 하워드 CSO

릭 하워드 CSO는 이 자리에서 위협 방어 측면에 있어 ‘위협의 선제적 방어가 가능하다’ 는 점을 강조했다. 사실 예전에는 선제적 방어가 유일한 해결책이기도 했으며, 현재의 모델인 위협의 즉각적 탐지와 대응은 비교적 최근에 다양한 구체적 공격의 방어에 초점을 맞춘 포인트 솔루션이 등장한 이후에 대두되었다는 것이다. 그리고 ‘위협에 선제적 방어는 불가능하고 즉각적인 탐지와 대응이 최선이다’는 것은 해커들에 대응할 방법이 없다는 것을 인정하는 부분이기도 하다고 덧붙였다.

그는 현재 이루어지고 있는 사이버 공격의 95% 정도가 선제적 방어가 가능할 것으로 보며, 이 선제적 방어에 대한 부분은 과거에는 어떤 조직이건 네트워크 방어 측면에서 알고 있었던 것인데 시간이 지나면서 잊어버렸던 부분일 뿐이라고 밝혔다. 그리고 이제는 단순한 침입 후 대응 뿐 아니라 선제적 방어까지 갖추어야 할 필요가 있으며, 이를 통해 선제적 방어, 침입 탐지, 효과적 대응까지 모두가 잘 갖추어져 있어야 효과적인 방어가 가능하다고 강조했다.

그리고 공격을 막는 방법에 있어 기존의 방화벽과 침입방지시스템, 웹방화벽을 연계한 심층방어 방식은 전략적인 모델이라고 볼 수는 없으며, 금융, 국방 관련 기관들에서부터 이 모델을 벗어나 ‘공격 라이프사이클(Attack Life Cycle)’ 방어 모델이 도입되고 있다고 소개했다. 그리고 이 ‘공격 라이프사이클’ 모델은 해킹 뒤에 사람이 있다는 것을 전제로 출발하며, 동기를 가진 해커들은 공격을 통한 목적 달성을 위해 일련의 과정을 거친다는 점에 착안하고 있다고 설명했다.

예를 들면, 어느 회사에 해킹을 시도하는 경우 네트워크 정탐과 취약점 검색, 취약점 발견 후 이를 악용하는 툴 제작과 유효한 타겟에 툴을 설치해 공격의 교두보 확보, 이후 커맨드&컨트롤 채널 구축으로 원격 제어 환경을 확보하고 활동을 시작하는 등의 과정을 거친다. 그리고 이런 각 활동 단계에서 적절한 보안 컨트롤을 통한 대응이 가능하며, 공격이 이루어지는 각 단계별로 공격을 제어하게 되면서 단계 중 한두 개를 피해 가더라도 다음 단계들에서 대응 가능성이 높아진다.

▲ CTA는 인텔리전스의 공유를 통한 효과적인 대응을 도모한다.

공격 라이프사이클 모델에서 각 단계별로 어떤 컨트롤을 적용할지 결정하기 위해서는 ‘인텔리전스’가 필요하며, 팔로알토 네트웍스는 Unit 42 팀이 수집된 데이터를 기반으로 대응을 위한 인텔리전스를 구축하는 역할을 맡고 있다. 그리고 공격 라이프사이클 모델을 기반으로 공격 과정을 살펴보면, 각본에 따른 공격은 일반적으로 다양한 흔적을 남기게 되며 일반적으로는 하나의 과정에서 2천여 개의 흔적을 찾을 수 있다고 소개했다.

공격 라이프사이클 모델을 기반으로 하는 대응에 있어 중요한 변수는 존재하는 시나리오의 수가 된다. 그리고 현재 전 세계에서 이루어지고 있는 해킹 활동은 해킹이나 산업스파이, 사이버 테러리즘, 사이버 전쟁 등의 시나리오를 모두 합쳐 수 천 건 정도가 있으며, 유사한 시나리오로 대상을 바꾸면서 반복적인 공격이 이루어지고 있다고 소개했다. 또한 이 정도의 수라면 충분히 소수의 인텔리전스 분석 팀으로도 추적, 대응 가능할 것이라고 덧붙였다.

물론 이런 공격 관련 인텔리전스는 도움을 받을 수 있는 모두에 공유될 때 가치가 극대화되며, 팔로알토 네트웍스의 제품들도 이러한 철학을 공유하고 있다고 밝혔다. 그리고 팔로알토 네트웍스는 공격 라이프사이클 모델에서 각 단계별로 새로운 위협 정보가 들어왔을 때 이를 다른 고객들과 공유해 대응 수단을 배포하는 데까지 약 15분 정도로 대응하고 있으며, 이 시간도 5분까지 낮추기 위해 노력하고 있다고 덧붙였다.

또한 같은 벤더의 장비를 사용하는 고객사간 정보 공유를 넘어서, 주요 사이버 보안 관련 벤더들과 인텔리전스를 공유하는 활동으로는 포티넷, 인텔 시큐리티, 시만텍과 함께 하는 ‘사이버 스렛 얼라이언스(CTA : Cyber Threat Alliance)’가 소개되었다. 팔로알토 네트웍스는 타 조직 대비 CTA의 특징으로, 회원사들 간 정보를 받아온 만큼 상응하는 기여를 해야 한다는 점, 타 조직 대비 새롭게 발견된 인텔리전스의 적용을 벤더사들이 적용하는 만큼 고객들에 편리하다는 점 등을 꼽았다.

▲ 효과적인 보안 대응을 위한 ‘혁신’으로 크게 네 가지를 제시했다.

전체 인프라 보호를 위해서는 단편적인 포인트 보안 솔루션이 아닌 유기적이고 능동적인 대응체계 구축이 가능한 통합 보안 플랫폼의 도입이 필요하다는 점도 소개되었다. 최근 몇 년간 다양한 포인트 솔루션들의 필요성이 제기되면서 기업 IT 환경에서는 많게는 수십개의 포인트 솔루션들이 각자의 정보와 인텔리전스를 가지고 별개로 운영되고 있는 상황이다. 그리고 이 경우 구매 비용 뿐 아니라 운영과 유지, 분석 등에서의 인력 유지 비용 등에서 부담이 커진다고 지적했다.

물론 포인트 솔루션들이 통합되지 않은 형태로 구성된 상태에서도 침입탐지와 대응은 가능하겠지만, 대단히 어렵고 비용이 많이 드는 작업이 된다. 이에 이상적인 형태는 이들 포인트 솔루션들이 가진 데이터들이 유의미하게 이해되고, 하나의 플랫폼 형태로 연동되어 적용될 수 있게 하는 것이라고 강조하며, 보안 벤더들도 이런 요구에 맞춰 기존의 포인트 시스템들을 효과적으로 통합한 플랫폼 형태의 시스템으로 제공할 수 있어야 한다고 설명했다.

그리고 이런 통합 보안 인프라 형태의 솔루션을 통해 모든 기업이 높은 수준의 네트워크 보안을 실현할 수 있게 될 것이며, 비용과 인력 측면에서도 절감 효과를 기대할 수 있을 것이라 밝혔다. 또한 조직들이 각 라이프사이클 별로 각 조직들이 겪은 위협 관련 정보를 공유, 같은 방법의 다음 시도에서는 모든 고객사에서 감지할 수 있게 하며, 기존처럼 복수 포인트 제품의 통합이 아닌 단일 플랫폼에서의 전략적 대응을 가능하게 해야 할 것이라 덧붙였다.