기업을 위한 IT 전문 파트너
  • 새소식
안랩, 2019년 알아두어야 할 보안 용어
  • 제조사
  • 게시일 : 2019-04-02
  • 조회수 : 52
  • SNS공유 페이스북 트위터
새 페이지 1
디지털 트랜스포메이션이 사회 전반에 걸쳐 변화와 혁신을 가속시키고 있다. 이를 주도하는 대표적인 IT 기술은 클라우드와 AI 등이다. 이러한 트렌드는 보안 업계도 마찬가지이다. 이들 기술 때문에 새로운 제품과 서비스를 개발해 시장에 내놓은 업체가 많아졌다. 또한 고객 환경이 클라우드 전환으로 본격화되면서 고객의 요구에 따라 업체들도 이들 기술을 수용할 수 밖에 없게 되었다. 현재 IT 업계를 이끌고 있는 클라우드, AI분야의 각종 용어는 새롭다기보다는 이미 존재했지만 올해 더욱 부상하고 있는 것이다.

이 글에서는 2019년 보안 트렌드를 이해하기 위해 꼭 알아야 할 몇 가지 용어를 살펴본다.


의심의 여지가 없는 대세, 클라우드 보안(Cloud Security)


이제 ‘클라우드 퍼스트(Cloud First)’ 시대이다. 대부분 기업들은 어떠한 형태로든 클라우드를 사용하고 있다. 이에 따라 클라우드 보안에 대한 요구사항도 증가하고 있다. 시장조사 기관인 가트너에 따르면 클라우드 환경을 보호하는 대표적인 클라우드 보안 영역은 CASB(Cloud Access Security Broker), CWPP(Cloud Workload Protection Platform), CSPM(Cloud Security Posture Management) 등이 있다.

CASB(Cloud Access Security Broker)는 2012년 가트너가 제시한 것으로, 기업이 이용하는 클라우드 및 애플리케이션에 대해 가시화 그리고 데이터 보호 및 거버넌스를 실현하는 서비스를 말한다. 클라우드 내 데이터에 대한 가시성을 확보하고, 사용자 접근 통제를 적용함으로써 기업의 자산을 보호하겠다는 취지이다.

CWPP(Cloud Workload Protection Platform)는 서버워크로드 중심의 보안 방어(protection)을 위해 특별히 설계된 제품으로 정의되며, 일반적으로 심층 워크로드 가시성 및 공격 방어를 위한 에이전트를 기본으로 하고 있다. 따라서 물리적 시스템, 가상머신(VM), 콘테이너(Container), 그리고 프라이빗 클라우드 인프라와 하나 이상의 퍼블릭 클라우드 IaaS(Infrastructure as a Service)에 결합되어 구동되는 최신 ‘하이브리드’ 데이터센터 워크로드의 보호에 대한 고객 니즈를 해결한다.

CSPM(Cloud Security Posture Management)은 클라우드 서비스의 구성 위험 평가 및 관리를 하는 것으로, IAM 서비스, 네트워크 연결/구성, 스토리지 구성 및 PaaS 서비스를 관리한다. CSPM 핵심 엔터프라이즈 통합은 IaaS에서 SIEM 및 분석 플랫폼에 대한 클라우드 구성 및 써드파티 툴의 커스터마이즈를 통해 PaaS(Platform as a Service)의 구성 문제를 감지한다. 여러 IaaS 클라우드에서 일관된 보안 위협 흐름도를 기업에 제공할 수 있다. 이러한 도구는 데브섹옵스(DevSecOps) 기능과 통합되어 구성 및 배포를 돕고 일부 치료(remediation) 기능을 자동화할 수 있다.


이들 도구는 클라우드 보안 위협을 해결할 수 있는 중복된 기능을 제공하지만, 하나의 도구가 다른 도구들의 모든 기능을 수행하지 못한다. CASB는 주로 SaaS(Software as a Service) 보안에 중점을 두고 있으며 일부 기능은 IaaS까지 확대한다. CWPP는 IaaS 보안 및 콘테이너 워크로드를 제공한다. CSPM은 주로 IaaS 클라우드 스택 전반의 보안 평가 및 컴플라이언스 모니터링에 중점을 둔다고 할 수 있다.

이들 클라우드 보안 도구뿐만 아니라 SECaaS(Security as a Service) 서비스도 국내에 소개되기 시작했으며, SECaaS의 개념은 클라우드 컴퓨팅 환경을 기반으로 전문화된 보안을 온디멘드(OnDemand) 서비스 방식으로 제공하는 것을 의미한다.

이외에도 클라우드 네이티브(Cloud Native), 쿠버네티스(Kubernetes), 도커(Docker), 하이퍼바이저(Hypervisior), 서버리스 컴퓨팅(Serverless Computing)도 자주 언급되는 용어이다.


■ 클라우드 네이티브(Cloud Native)란 클라우드 컴퓨팅 모델의 장점을 모두 활용하는 애플리케이션을 개발하고 실행하기 위한 접근 방식을 의미한다.

■ 쿠버네티스(Kubernetes)는 위키피디아에 따르면 설치(deploy) 자동화, 스케일링, 콘테이너화된 애플리케이션의 관리를 위한 오픈소스 시스템으로서 원래 구글에 의해 설계되었고 현재 리눅스 재단에 의해 관리되고 있다. 목적은 여러 클러스터의 호스트 간에 애플리케이션 콘테이너의 배치, 스케일링, 운영을 자동화하기 위한 플랫폼을 제공하기 위함이다. 도커를 포함하여 일련의 콘테이너 도구들과 함께 동작한다.

■ 도커(Docker)는 리눅스의 응용 프로그램들을 소프트웨어 콘테이너 안에 배치시키는 일을 자동화하는 오픈소스 프로젝트이다.

■ 하이퍼바이저(Hypervisior)는 호스트 컴퓨터에서 다수의 운영 체제를 동시에 실행하기 위한 논리적 플랫폼을 말한다. 가상화 머신 모니터 또는 가상화 머신 매니저(virtual machine monitor 또는 virtual machine manager, VMM)라고도 부른다.

■ 서버리스 컴퓨팅(Serverless computing)은 클라우드 컴퓨팅 실행 모델의 일종으로, 클라우드 제공자는 동적으로 머신 자원의 할당을 관리한다. 가격은 미리 구매한 용적 단위가 아닌 애플리케이션이 소비한 자원의 실제 양에 기반을 둔다.


사이버 공격도 자동화(?) 시대, 인공지능(Artificial Intelligence)


더 편리한 삶을 구현하기 위한 기술로 인공지능에 대한 기대감이 커지고 있다. 구글, MS, 아마존 등 글로벌 기업들은 인공지능을 핵심 사업으로 전환해 모든 기술의 최종 목표로 삼고 있다. 보안 업계도 머신러닝으로 대표되는 인공지능 기술을 이용해 솔루션을 더욱 강화하고 있다. 뿐만 아니라 공격자들의 인공지능 기술 활용에 대한 우려 역시 커지고 있다. 실제로 공격자들도 각종 AI 기법을 이용해 공격 대상의 취약점을 끊임없이 파고드는 ‘자동화 된 위협’ 기법을 활용해, 창과 방패의 대결도 더욱 고도화되고 있다. 인공지능과 관련된 용어를 다시 한번 정리해보자.

인공지능(Artificial Intelligence, AI)이란 인간의 사고, 학습, 추론, 지각, 언어 이해 등을 컴퓨터 프로그램으로 실현한 기술을 말한다. 영어로는 ‘Artificial Intelligence’, 줄여서 AI라고 부른다. AI는 ‘약한 AI’와 ‘강한 AI’로 나뉘는데, 약한 AI는 스스로 문제를 인지하고 해결할 수는 없지만 주어진 조건에서 합리적인 결론을 도출하는 형태를 갖는다. 강한 AI는 지각 능력과 자아를 갖고 있으며, 주어진 과제에 대해 자의적으로 판단을 내릴 수 있어야 한다.

약한 AI를 구현할 때 머신러닝(기계학습)을 사용한다. 딥러닝과 머신러닝은 흔히 혼용되어 쓰이지만 명확히 말하면 머신러닝이 상위개념이다.

머신러닝(Machine Learning)은 인공지능의 한 분야로, 방대한 빅데이터를 분석해 미래를 예측하는 기술을 말한다. 컴퓨터가 주어진 데이터에서 의미 있는 정보를 자동으로 찾아낼 수 있도록 하는 모든 기술 영역을 일컫는다. 사람이 일일이 기준과 답을 알려주지 않아도 수많은 데이터를 통해 컴퓨터 스스로 방법을 찾아나가는 것이 특징이다. 데이터를 수집 및 분석해서 미래를 예측한다는 점에서 빅데이터 분석과 유사하지만, 컴퓨터 스스로 방대한 양의 데이터를 수집 및 학습할 수 있다는 점에서 차이가 있다. 번역기, 음성인식, 포털 사이트의 검색어 자동 완성 기능 등이 머신 러닝을 응용한 예다.

딥러닝(Deep Learning)은 컴퓨터가 마치 사람처럼 생각하고 배울 수 있도록 인공 신경망을 기반으로 한 기계 학습 기술을 말한다. 딥러닝은 인간의 두뇌가 수많은 데이터 속에서 패턴을 발견한 뒤 사물을 구분하는 정보처리 방식을 모방해 컴퓨터가 사물을 분별하도록 기계를 학습시킨다. 딥러닝 기술은 구글의 알파고(AlphaGo)가 대표적이다.

보안 업체들은 2019년에 인공지능 퍼징(Artificial Intelligence Fuzzing, AIF) 공격이 자주 발생할 것으로 전망하고 있다. 퍼징은 특정 시스템이나 애플리케이션 등의 요소가 마비될 때까지 무작위로 입력값을 넣는 행위로 소프트웨어 품질 테스트에 활용되는 방법이다. 이 기술을 활용한다면, 공격자들이 소프트웨어나 네트워크의 취약점을 찾아 제로데이를 발견하는 프로세스가 빨라지게 된다. 결국 아직 알려지지 않은 취약점을 빠르게 탐색하고 익스플로잇킷 개발을 단축한다면 공격자가 타깃 공격을 더욱 확대할 수 있게 되는 것이다.

공격자들이 인공지능 기술로 활용하는 대표적인 사례가 딥페이크(Deepfake)이다. 딥러닝(Deep learning)과 가짜(Fake)의 결합어인 딥페이크(Deepfake)는 인공지능 기술을 기반으로 한 가짜 이미지, 오디오, 비디오를 뜻한다. 최근에는 사회적 이슈에 편승한 가짜 동영상, 가짜 뉴스 등에 활용되어 일반인들에게 익숙한 용어이다. 공격자들이 딥러닝 기술을 활용하면, 웹사이트에 가짜 채팅 툴과 SNS 스푸핑 계정을 통해 사용자를 피싱 사이트로 유도하거나 악성코드 설치를 유도할 수 있다.


다시 주목해야 하는 보안 용어

보안 업계에는 최근 새롭게 부상하는 용어를 찾아보기 힘들다. 그래서일까 지난 3월 미국 샌프라스코에서 개최된 세계 최대 보안 컨퍼런스인 RSAC 2019의 키워드는 “Better(더 나은)”였다. 이는 보안은 모든 분야에 꼭 필요한 존재로, 더 나은 환경을 위해 보안이 모든 영역으로 확장될 것이라는 의미를 내포한다. 그렇다면 2019년 더 나은 보안을 위해 회자될 보안 용어들을 살펴보자.

최근 보안 업계에서 핫한 용어는 제로 트러스트(Zero Trust). 이 용어 또한 새롭게 등장한 것이 아니며, 지난 2010년 포레스트 리서치의 존 킨더버그가 소개한 것으로 알려져 있다. '제로 트러스트'는 네트워크 자산에 연결하려는 모든 사람과 디바이스를 신뢰할 수 없는 것으로 취급하고, 접속하고자 하는 모든 것에 접속 권한을 부여하기 전에 신원 확인 과정을 거쳐야 한다는 것이다. 즉, 네트워크 자산에 대한 액세스 권한을 부여하거나 거부하는 근거로 네트워크 위치보다는 장치의 사용과 사용자 인증을 강조한다. 이 모델은 네트워크 경계가 모호해진 멀티 클라우드 환경이 도래하면서 모든 네트워크를 의심하고 검증하는 보안 방식이 필요해진 현재 컴퓨팅 환경에 부합하면서 다시금 재조명되기 시작했다.

EDR은 지난해에 이어서 올해도 보안 시장에서 여전히 주목받을 것으로 예상되는 분야이다. EDR(Endpoint Detection & Response, 엔드포인트 탐지 및 대응)은 엔드포인트 레벨에서 지속적인 모니터링과 대응을 제공하는 보안 솔루션으로, 보안 사고 탐지(Detect security incident), 엔드포인트에서의 보안 사고 통제(Contain the incident at the endpoint), 보안 사고 조사(Investigate security incident), 감염 전 상태로 엔드포인트 치료(Remediate endpoint to a preinfection state) 등 4가지 기능을 제공해야 한다. 즉, 데이터 애널리틱스를 실행하는 보안으로 모든 행위를 기록하면서 악의적인 행위에 대해 판단하고 대응할 수 있도록 하는 것이다. 따라서 EDR은 단순 솔루션이 아니라 테크놀로지, 프로세스, 사람이 결합되어야만 제대로 된 역할을 할 수 있다.

EDR과 함께 자주 언급되는 것이 MDR이다. MDR(Managed Detection and Response)은 네트워크와 엔드포인트에서의 위협 감지, 사건 대응, 지속적인 모니터링 역량을 개선하고 싶지만 자체적으로 전문 지식이나 자원이 없는 고객을 위한 보안 서비스이다. 일부에서는 MDR을 매니지드 EDR(Managed EDR)로 소개하는 경우도 있지만 MDR은 매니지드 EDR만을 의미하는 것은 아니다. MDR은 EDR이 필수는 아니지만 EDR을 포함해서 관제 서비스를 수행하는 것이 가장 효과적인 것으로 알려져 있다.

그 외 다음 용어의 개념도 다시 한번 기억해 두자.

■ 디셉션(Deception)은 허니팟 개념으로 공격자를 유입해서 공격/기술을 파악하거나, 실제 보호대상 자산에 대한 공격 지연을 유도하는 솔루션이다.

■ SOAR(Security Orchestration, Automation and Response: 보안 오케스트레이션, 자동화 및 대응)는 가트너가 제시한 개념으로, 보안 운영 시 유입되는 다양한 보안위협에 대해 대응 수준을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 플랫폼이다.

■ UEBA(User and Entity Behavior Analytics)는 고급 데이터 분석 방법을 활용하는 것으로 사용자 활동에 초점을 맞추고 그것을 모니터링하여 위협을 탐지/대응하는 솔루션이다.

■ 위협 사냥(Threat Hunting)은 자동화된 방어 및 탐지(preventative & detective) 솔루션에서 놓친 고객 시스템에 숨겨진 고도화된 위협을 발견하게 해주는 분석 중심의 프로세스이다. 이를 위해서는 테크놀로지, 프로세스, 인력이 필요하며 가시성 도구가 필수이다. 현재 위협 사냥에 가장 효과적인 가시성 도구로 각광받고 있는 것이 EDR이다.

■ 위협 인텔리전스(Threat Intelligence, TI)는 가트너 정의에 따르면 ‘증거를 기반하는 지식으로, 기업의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로 제시하는 정보’를 의미한다.


보안에 국한되는 분야는 아니지만 퀀텀 컴퓨팅(Quantum Computing), 엣지 컴퓨팅(Edge Computing), 디지털 트윈(Digital Twin), 5G, BCI(Brain Computer Interface) 등의 용어도 알아두면 IT 트렌드를 이해하는데 도움이 될 것이다.​
 

[출처 : 안랩(((www.ahnlab.com)]

인터파크 큐브릿지 IT영업부
자세히보기
  • Office 365
  • CCT
TOP