check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[가트너 서밋 2018] "100인 미만 중소기업, 보안위협↑...보안투자 이렇게 해보자"

가트너 "예측 및 방어와 함께 탐지와 대응 역량에도 분산 투자할 것" 권고

길민권 기자 mkgil@dailysecu.com 2018년 06월 07일 목요일

▲ 가트너, 중소기업에 대해 예측(Predict) 및 방어(Prevent)와 함께 탐지(Detect)와 대응(Respond) 역량에도 분산 투자할 것을 권고했다. 가트너 시큐리티&리스크 매니지먼트 서밋 2018에서 가트너 리서치 분석가 켈리 카바나 발표현장.[데일리시큐=워싱턴DC]
▲ 가트너, 중소기업에 대해 예측(Predict) 및 방어(Prevent)와 함께 탐지(Detect)와 대응(Respond) 역량에도 분산 투자할 것을 권고했다. 가트너 시큐리티&리스크 매니지먼트 서밋 2018에서 가트너 리서치 분석가 켈리 카바나 발표현장.[데일리시큐=워싱턴DC]
워싱턴DC에서 열리고 있는 가트너 시큐리티&리스크 매니지먼트 서밋 2018에서 가트너 리서치 분석가 켈리 카바나(Kelly M. Kavanagh)는 '중소기업들이 사이버 공격에 대한 방어와 대응 능력을 개선할 수 있는 방법'(How Midsize Enterprises Can Improve Their Detection and Response Capabilities)에 대해 강연을 진행했다.

켈리는 강연 서두에 "중소기업은 보안 예산을 차단 위주의 보안 기술에 집중하고 있다. 하지만 외부 위협이 기존 차단 기술을 우회해서 침투하는 것이 증가하는 것을 전혀 모른채 방치하고 있어 상당히 위험하다"며 "중소기업들의 위협 탐지 및 대응 필요성에 대해서 이해시켜주고 임직원, 프로세스, 기술 그리고 외부로부터 관련 서비스 받는 것에 대한 적절한 조합에 대해서 설명하겠다"고 밝혔다. 100인 미만 사업장을 위한 보안 인사이트를 제공한 세션이라고 할 수 있다.

우선 가트너는 중소기업에 대해 예측(Predict) 및 방어(Prevent)와 함께 탐지(Detect)와 대응(Respond) 역량에도 분산 투자할 것을 권고했다. 또 모니터링과 조사는 위협 탐지(Detection)를 위해 상당히 중요한 요소지만 이런 활동을 시작하는 것 자체가 쉽지는 않다고 밝혔다.

그는 "위협은 더이상 특정 기업에 제한되지 않는다. 또한 지속적으로 증가하고 있는 위협과 공격에 대해서 완벽한 100% 방어를 할 수 없다. 더불어 위협에 대해 공격을 탐지하고 대응하기 위해 모니터링할 수 있는 인적 자원이나 시스템을 갖추는 것도 쉽지 않은 상황이다"라며 "이런 경우 외부 전문 보안관리 및 컨트롤 서비스 기업의 도움을 받는 것이 도움이 될 수 있다"고 전했다.

한편 그는 모니터링과 조사가 필요한 이유에 대해 "중소기업에 대한 위협이 증가하고 있으며 모든 위협을 차단하는 것은 불가능하다. 또 컴플라이언스 적용도 필요하다"며 "하지만 중소기업은 예산과 인적 자원이 부족하고 전문 보안 인력도 턱없이 부족하다. 그리고 무엇부터 시작할지 모르는 상황속에 직면해 있다"고 설명했다.

이어 "시장에는 이미 보안 관리와 보안컨트롤 서비스 전문 기업이 있으며 위협탐지에 대한 기술도 함께 제공하고 있다. 즉 보안솔루션 적용만 권고하는 것이 아니라 제안된 제품과 서비스를 함께 제공하면서 최근 추세에 맞도록 단순 로그 모니터링이 아니라 멀웨어 분석과 악성 행위 등에 대한 조기탐지 및 대응 서비스를 제공한는 기업들이 있다"고 덧붙였다.

SE-1-1.jpg
중소기업이 활용할 수 있는 보안서비스는 어떤 것들이 있을까. △위협 진단 컨설팅서비스 △MSS(Managed Security Services. 보안관제서비스) △MDR(Managed Detection and Response) △M-EDR(Managed Endpoint Detection and Response) 등이 있다.

또 보안 모니터링 및 대응 옵션에 대한 서비스는 중소기업 상황에 따라 아래와 같이 선택할 수 있다고 권고했다.

△Centralized Log Management

중소기업을 위한 아주 기본 단계다. 기존에 구축된 솔루션이나 서비스가 없다면, 가장 먼저 접근할 수 있는 방법론이다. 우선 주요 시스템에 대한 로그 수집 및 특정 보안 이벤트에 대한 알람 시스템을 구축하는 것을 권고한다. 대기업처럼 모든 보안 이벤트를 수집하고 24시간 상시 모니터링할 필요는 없다.

△MSS(Managed Security Service)

이미 보안 트렌드로 자리잡고 있으며 외부의 전문 서비스를 받을 수 있다. 하지만 주로 위에서 제시된 Centralized Log Management를 기반으로 보안관제서비스 영역으로 자리잡고 있다. 해외에서는 중소기업부터 대기업까지 MSS 서비스가 활성화되어 있다. MSS는 로그 관리 뿐만 아니라 디바이스 및 정책 관리까지 영역이 확장될 수 있다.

△MDR (Managed Detection and Response)

최근 대두되는 새로운 서비스다. 실질적인 위협이 되는 멀웨어, 파일리스 공격 등에 대한 모니터링, 분석, 대응까지 수행해 주는 서비스다. 이미 해외에서는 이 서비스가 자리를 잡아 가고 있으며 많은 중소기업들이 전문 서비스 기관으로부터 MDR 서비스를 받고 있다.

흔히 Managed+Controlled Service라고 말하고 있으며, 기존 MSS 서비스와 차별화 되는 것은 단순 모니터링 및 알람 위주가 아닌, 실질적인 액션이 제공된다. 즉 위협헌팅 또는 알려지지 않은 멀웨어 식별 및 차단 서비스, 이상 행위 모니터링 및 IOC 생성, 방화벽 등과 적용할 수 있도록 공유하는 서비스 등이 함께 제공된다.

△Co-Managed SIEM(SIEM+Managed Service)

SIEM 솔루션을 외부 서비스 기관에서 운영하고 중소기업 고객사의 로그를 서비스 기관으로 집중화 시킨 다음 Managed Service를 제공하는 영역이다. 이 부분은 로그 이벤트 수집에 대한 제한이 존재하지만 VPN 등의 채널을 통해 로그 취합 및 상관 관계 분석을 제공한다.,

켈리는 "최근 대두되고 있는 서비스는 바로 MDR과 MEDR 서비스라고 할 수 있다. 이러한 서비스를 받기 위해 고려할 사항으로는 △고용할 것인가, 서비스를 받을 것인가 그리고 △프로세스를 직접 구축할 것인가, 외부 전문 서비스의 프로세스를 적용할 것인가 또 △제품을 직접 구축해서 운영할 것인가, 제품과 서비스가 결합된 매니지드 서비스를 받을 것인가를 고려해야 한다"고 조언했다.

또 그는 "글로벌 사례를 보면, 최근 공격의 유형이 복잡해지면서도 쉽게 침투를 허용하는 단계에서 중소기업이 직접 모든 솔루션을 검토하고 기획하고 구축, 운영하는 것이 현실적으로 힘들어 지고 있는 것이 사실"이라며 "이에 외부 전문 서비스 그룹에 의한 MDR 서비스가 중소기업 보안정책 설계 및 운영 단계를 한 단계 업그레이드 시키는 대안으로 떠오르고 있다. 실제로 많은 사례들이 증명되고 있다"고 전했다.

마지막으로 가트너가 중소기업을 위한 MDR 서비스에 대해 아래와 같이 권고하고 있다. △MDR 서비스가 아직 초기 단계이기는 하지만 전문 서비스 기관과 함께 적용할 때 신규 위협에 대응할 수 있는 방안을 준비할 수 있다.

△예산, 인력 등의 이슈가 존재할 경우, 외부 전문 MDR 서비스 기관을 활용할 수 있다.

△MDR 서비스를 사용할 경우, 각 중소기업의 담당자와 적절할 대응 프로세스를 꼭 협의해야 한다.

△실질적인 위협 탐지 활동이 될 수 있는지 증명 및 테스트 단계를 거쳐야 한다.

이 시간은 중소기업이 최근 위협적인 사이버 공격에 대해 비용투자가 많이 요구되는 자체 보안 솔루션이나 인력 투자가 아니더라도 다양한 보안 서비스가 있고 이를 적극 활용한다면 실질적 보안역량을 높일 수 있다는 것을 권고하는 의미있는 자리였다.

이번 가트너 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록