새해맞이 네트워크 탐지 및 대응 도구 추천 5선

실제 큰 피해가 일어나는 건 공격자들이 침투한 후 네트워크에서 횡적으로 움직이기 시작할 때다. 그러므로 네트워크에서의 수상한 움직임만 잘 탐지해 대처한다면 설사 한두 번의 침투를 허용했다고 하더라도 피해를 줄일 수 있다. 네트워크 보안 도구들이 필수인 이유다.

[보안뉴스 문정후 기자] 현대의 사이버 보안 상황을 생각했을 때 네트워크 방어 도구 하나 없이 조직을 운영한다는 건 험난한 상황을 자초하는 것이나 다름이 없다. 네트워크 탐지 및 대응(Network Detection and Response, NDR) 도구들은 네트워크 트래픽을 지속적으로 모니터링 할 수 있게 해 주고, 그렇게 함으로써 수상한 행동 패턴을 미리 찾아 공격이 제대로 시작되지 못하게 하거나 피해가 확산되는 것을 막아주기 때문이다.

[이미지 = utoimage]

하지만 시장에 나와 있는 NDR 제품들이 너무나 많아 고르기가 쉽지 않다. 그래서 필자는 현장에서의 반응과 피드백을 바탕으로 필자가 다섯 개의 추천 제품을 꼽아 보았다. 물론 이 제품들이 현재 시장에서 최고니 필수로 구입하라는 뜻은 아니다. 추천의 이유를 제시했으니 제품 선택에 좋은 참고가 되기를 바란다.

시스코 시큐어 네트워크 애널리틱스(Cisco Secure Network Analytics)
시스코의 시큐어 네트워크 애널리틱스(CSNA)는 실시간으로 공격 가능성이 높은 현상을 식별하고 알리는 것을 주 목적으로 한다. 사용자, 장비, 위치, 타임스탬프, 애플리케이션 관련 정보 등 컨텍스트 정보가 풍부하다는 것도 사용자들의 선호도를 높이는 특징이다. 암호화된 트래픽에서도 위협 요소들을 파악해 고립시킬 수 있는데, 이 때 데이터의 무결성이나 프라이버시를 훼손시키지도 않는다. 여러 가지 보안 정책들의 효과를 확인시켜 주는 기능도 가지고 있으며, 사용자의 특수한 필요를 기초로 해서 적절한 계획들을 채택하는 것도 가능하다.

기가몬 쓰레트인사이트(Gigamon ThreatINSIGHT)
기가몬 쓰레트인사이트는 빠르게 변하고 점점 더 복잡해지는 네트워크를 안전하게 보호한다는 특수한 목적을 가지고 만들어진 초기 NDR 중 하나로, 인공지능과 머신러닝의 힘일 빌려 수상한 DNS와 TLS 트래픽을 찾아낸다. 리스크 계산을 자동으로 수행하며 고위험군 위협들을 집중적으로 찾아내어 더 빠르게 대응할 수 있도록 돕는다. 새로운 망 영역에 대한 가시성도 자동으로 수분 안에 확보해 준다고 기가몬 측은 설명하고 있기도 하다.

기가몬은 쓰레트인사이트를 활용하면 어느 기업이나 빠른 속도로 위협 요소들을 미리 찾아 제거할 수 있도록 해 준다고도 약속한다. 위협이 될 만한 행동 패턴들 중 주요한 것들을 격리하되 동시에 사용자들이 사후 대처하는 것에 그치지 않고 적극적으로 위협 요소들을 찾아 해결할 수 있도록 하기 때문이다. 쓰레트인사이트에는 자동 위협 탐지(Automatic Threat Recognition, ATR) 기반 기능도 있어 사건 조사가 보다 원활해지며, 공격 세부 사항을 파악하는 데에 걸리는 시간을 크게 줄일 수 있다.

노키아 XDR 시큐리티(Nokia XDR Security)
노키아의 XDR 시큐리티는 클라우드 기반의 XDR 플랫폼이다. 사용 사례를 기반으로 한 솔루션이라는 특장점을 가지고 있다. 노키아에 의하면 XDR 시큐리티는 실시간 탐지와 대응을 가능하게 하며, 실제 고객사들의 망에서 평가 및 측정한 결과 탐지와 대응의 효율이 70%까지 올라갔다고 주장한다. 즉 공격을 미리 예방하는 것과, 벌어진 일을 최대한 빨리 처리하는 것 모두에서 큰 기능 향상이 보장된다는 것이다. 분석, 머신러닝, 자동화 등의 기능이 모듈 형식으로 구성되어 있기도 하다.

XDR 시큐리티는 보안 관제 센터 팀들이 데이터를 한 개의 대시보드 내에서 시각화 할 수 있게 해 준다. 다양한 플랫폼의 여러 가지 솔루션들로부터 입수된 데이터들이 하나로 통합된다. 5G 슬라이스 모니터링, 엔드포인트 보호, IoT 보호, 아이덴티티 및 접근 관리 등 각종 보안 서비스들을 구독 형태로 사용하는 것도 가능하다.

분석과 첩보 관련 기능들에는 사건 이어 맞추기(event correlation), 침해지표, 항목별 분류, 위협 첩보 처리를 통한 취약한 시스템 식별, 패치 관리 기능들이 포함되어 있다. 자동화와 오케스트레이션 기능들의 경우 멀웨어 탐지, 격리, 복구 시 발생하는 전형적인 워크플로우들의 속도와 연결성을 향상시키는 데 도움이 된다.

시만텍 시큐리티 애널리틱스(Symantec Security Analytics)
시만텍 시큐리티 애널리틱스는 클라우드 워크로드의 완벽한 가시성과 강력한 포렌식 기능을 약속한다. 온프레미스 네트워크에도 구축이 가능하고 AWS, MS 애저, 오라클 클라우드 등과 같은 공공 클라우드 환경과도 호환성이 좋다. 어떤 환경에서 구축되었든 온전한 가시성과 네트워크 트래픽 분석 결과, 사건 대응 기능을 제공한다. 그 외에도 파일 명성(file reputation), 심층 패킷 분석, 전체 색인(full indexing), 비정상 탐지, 아티팩트 재구성 등의 기능도 갖추고 있다.

하나의 콘솔을 통해 능동적인 위협 탐지 및 제거도 할 수 있고, 사건에 대한 조사가 진행되어야 할 때 여러 자료들을 한 눈에 검토할 수 있게 해 준다. 시큐리티 애널리틱스의 설계 목적은 온프레미스에서나 클라우드에서나 보안 팀들이 공격의 원천이 되는 곳을 파악하고, 그에 대한 명확한 증거를 확보해 필요한 사람들에게 제공하는 것이라고 한다.

VM웨어 NSX 네트워크 탐지 및 대응(VMware NSX Network Detection and Response)
인공지능 기반으로 하여 각종 위협들을 서로 연결 짓는 데 특장점이 있는 포렌식 엔진으로, VM웨어의 NSX 분산 방화벽(NSX Distributed Firewall), NSX 네트워크 탐지 및 대응(NSX NDR) 내에 포함되어 있다. 네트워크 보안 팀과 관제 팀이 효과적으로 악성 행위를 탐지하고 횡적 움직임을 차단하는 데 결정적인 역할을 할 수 있다.

NSX NDR은 네트워크 인프라 전체에 배치된 네트워크 센서들이 만들어내는 위협 신호들을 광범위하게 모니터링한다. 모니터링할 뿐만 아니라 수집한 후 서로 연결하여 서로의 관련성을 찾는다. 즉 보안 담당자와 관제 팀이 컨텍스트를 갖춘 정보를 접할 수 있고, 이를 바탕으로 판단을 내릴 수 있게 해 주는 것이다. 또한 각 이벤트의 확장성과 유지 시간까지도 측정함으로써 입체적인 가시성을 제공한다.

글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)