2022-11-28 01:15 (월)
[RSAC 2022] 글로벌 보안기업 동향과 보안조직에게 전하는 핵심 토크 내용들
상태바
[RSAC 2022] 글로벌 보안기업 동향과 보안조직에게 전하는 핵심 토크 내용들
  • 길민권 기자
  • 승인 2022.06.20 16:41
이 기사를 공유합니다

클라우드 보안, 제로트러스트 전략, XDR, TI...보안조직은 무엇을 준비해야 하나
RSAC 2022 키노트 강연장
RSAC 2022 키노트 강연장

[San Francisco / RSA Conference 2022] 지난 6월 6일부터 9일까지 미국 샌프란시스코에서 열린 세계 최대 정보보호 컨퍼런스&전시회 RSAC 2022에서 주요 보안 트랜드는 클라우드 보안, 제로트러스트 전략, XDR 솔루션, 위협 인텔리전스 서비스로 크게 요약할 수 있다. 

◇클라우드(Cloud) 보안

RSAC에 참석한 100명 이상의 사이버 보안전문가에서 현재 가장 우려 스러운 사이버 보안이슈에 대해 설문한 결과 가장 많은 37%가 ‘클라우드 보안’ 이라고 응답했다. 대부분의 보안 밴더들이 클라우드 보안 솔루션을 가장 중요한 테마로 시장에 소개했고 RSAC 2022 Expo에서 XDR과 함께 가장 많이 언급됐다. 더불어 클라우드 보안을 위한 SASE, CASB 및 클라우드 탐지·대응을 기능을 갖춘 XDR 솔루션이 본격적으로 소개됐다. 

◇제로트러스트(Zero Trust) 전략

클라우드 환경 도입, 코로나19로 인한 재택근무 증가 등 IT 환경 변화에 따라 공격 표면의 증가 및 내외부 환경의 경계가 모호해지는 현상이 발생하면서 내부 환경을 외부의 위협으로부터 ‘방어 및 차단’하는 전통적인 보안 전략에서 이미 시작된 공격의 확산을 지연시키고 최대한 빠르게 ‘탐지/대응’하는 제로트러스트 전략으로 변화한 것이다. 전시회에서도 기업의 제로트러스트 보안 전략을 지원하기위해 다양한 SASE, CASB, 행위기반 탐지, XDR, 사용자 계정 보호, 엔드포인트 모니터링 등이 시장의 주요 솔루션 및 서비스로 소개됐다. 

CSA(Cloud Security Alliance)는 제로트러스트 적용에 대한 CISO의 관점 및 진행 상황이라는 새로운 보고서를 발표했다. 800명 이상의 IT 및 보안 전문가를 대상으로 한 설문 조사에 따르면 앞으로 12개월 이내 C레벨 경영진의 80%가 제로트러스트를 우선 순위로 보고 있으며 94%는 제로트러스트 전략을 구현하는 중이고 77%는 제로 트러스트에 대한 예산을 늘리고 있다고 답했다. 

◇XDR 솔루션

클라우드 환경, 제로트러스트 전략 등 변화한 보안환경에서 전통적인 SIEM 기반의 보안 관제의 한계점 보완이 필요했다. 네트워크 트래픽 심층 분석, 엔드포인트 분석, 위협 인텔리전스 등을 통합해 보다 확장된 가시성 확보 및 행위기반 탐지·대응 능력을 제공하는 XDR 솔루션이 급부상했다. 기존 탐지·대응 솔루션 업체들이 대부분 XDR 솔루션을 신규로 출시했다. 

◇위협 인텔리전스(TI) 서비스

공격 표면의 증가, 광범위한 신규 취약점 발생, 계정 탈취에 의한 합법적 접근방식을 사용한 공격 등 IT환경 변화 및 공격 기술의 진화로 공격 패턴에 기반한 탐지·대응의 어려움이 발생하고 있다. 이에 행위기반 분석, 위협 인텔리전스 활용의 필요성이 증가함에 따라 위협 인텔리전스 서비스에 대한 관심이 증가한 것이다. 고도화된 공격에 보안 업계가 공동 대응하기 위해 클라우드플레어(Cloudflare), 클라우드스트라이크(CrowdStrike), 구글 클라우드(Google Cloud), 이너액티브(InnerActiv), 인테로스(Interos), 아이언넷(IronNet), 마이크로소프트(Microsoft), 넷스코프(Netskope), Nozomi Networks(노조미 네트웍스), 누클리어스 시큐리티(Nucleus Security), 센티넬원(SentinelOne), 심스페이스(SimSpace), 스냅어텍(SnapAttack), 트렐릭스(Trellix. 파이어아이와 맥아피 엔터프라이즈 합병 기업) 등 다양한 기업이 참여하는 위협 인텔리전스 연합 프로그램도 출범했다. 


◇RSAC 2022 글로벌 기업들 동향

RSAC 2022 전시장
RSAC 2022 전시장

RSAC 2022에서 발표된 주요 글로벌 보안기업 동향은 다음과 같다. 

Cisco(시스코)는 조직을 연결하고 보호하기 위한 클라우드 기반 플랫폼을 제공하는 것을 목표로 하는 새로운 시큐리티 클라우드 전략에 대해 발표했다. 이들은 보안 액세스, 보안 엣지 및 보안 운영을 포함해 보안 포트폴리오 전반에 걸쳐 향상된 기능을 발표했다. 또한 엔드포인트 관리 단순화를 목표로 하는 새로운 통합 보안 클라이언트를 도입했다.

Deepwatch(딥워치)는 관리형 확장된 탐지 및 대응(MXDR)을 통해 관리형 탐지 및 응답(MDR) 플랫폼의 기능을 확장했다. Deepwatch MXDR은 억제를 가속화하기 위해 자동화된 위협 대응을 제공하는 새로운 서비스다.

Fortinet(포티넷)은 머신 러닝, 자동화 및 FortiGuard Labs 전문가를 활용해 기업의 평판, 자산 및 데이터를 보호하는 디지털 위험 보호 서비스인 FortiRecon을 발표했다. FortiRecon은 외부 공격 표면 모니터링, 브랜드 보호 및 위협 인텔리전스를 제공한다.

주니퍼 네트웍스는 CASB(Cloud Access Security Broker) 및 고급 DLP(Data Loss Prevention) 기능으로 SASE 제품을 확장했다. 이러한 개선 사항은 클라우드의 데이터에 대한 무단 액세스를 방지하고 가시성을 확장하며 SaaS 애플리케이션을 보호하는데 도움이 된다.

MITRE Corporation(마이터)은 공급망 보안 위험에 대한 새로운 지식 기반과 보안 위험 평가 프로세스를 제공하는 무료 공개 플랫폼인 ‘신뢰 시스템(System of Trust)’의 도입을 발표했다. 위협을 찾고 완화하기 위한 사전 예방적 접근 방식을 제공하는 System of Trust는 조직이 평가할 14개의 위험 영역을 자세히 설명하고 2천200개 이상의 특정 공급망 보안 위험 질문을 포함한다. 프레임워크는 강점과 약점을 식별하는 데 도움이 되도록 위험에 점수를 매기고 순위를 지정하고 공급업체, 제품 및 서비스 전반에 걸쳐 이해할 수 있는 공통 어휘를 제공한다.

Mandiant(맨디언트)는 딥 웹 및 다크 웹에서 조직의 공격 표면과 잠재적으로 문제가 되는 활동에 대한 정보를 제공하는 디지털 위험 보호 솔루션을 출시했다. 또 Mandiant Advantage 내에서 사용할 수 있는 새로운 모듈이자 새로운 디지털 위험 보호 솔루션의 핵심 동인인 Advantage Digital Threat Monitoring의 일반 공급을 발표했다.

Neosec(네오섹)은 API 남용 식별에 중점을 둔 위협 사냥 서비스인 ShadowHunt를 출시했다. 새로운 기능은 사용 중인 모든 API를 자동으로 지속적으로 식별하고, 위험상태를 평가하고, 사용자 행동 이상을 모니터링함으로써 조직이 비즈니스 API 트래픽의 위협을 식별할 수 있도록 Neosec 클라우드 기반 플랫폼을 향상시킨다. ShadowHunt 서비스는 또한 조사 결과를 요약하고 여러 회사에서 식별된 API 위협에 대한 뉴스를 제공하는 월간 보고서를 제공한다.

Qualys(퀄리스)는 조직의 위험 상태에 대한 통찰력과 드래그 앤 드롭 워크플로를 사용하여 대응을 조정하는 기능을 제공하는 새로운 클라우드 기반 솔루션인 VMDR(Vulnerability Management, Detection and Response) 2.0을 공개했다. VMDR 2.0은 6월 말에 제공될 예정이다.

Akamai(아카마이)는 회사가 설명하는 상위 3가지 인터넷 보안 위협에 대한 3가지 보고서를 발표했다. 보고서는 랜섬웨어, 웹 애플리케이션 및 API, DNS 트래픽에 중점을 두고 있다. 

블랙베리가 새로운 ZTNA(Zero Trust Network Access) 솔루션을 출시했다. 2022년 7월에 출시될 예정인 새로운 CylanceGATEWAY는 보안 액세스, 액세스 제어, 연결 보호, 피싱 감지 및 내부 점령 탐지 기능을 제공한다.

RSAC 2022 전시장
RSAC 2022 전시장

Checkmarx(체크막스)는 Checkmarx One 애플리케이션 보안 테스트 플랫폼에 애플리케이션, 구성요소 상호 작용, BOM에 대한 완전한 가시성을 제공하는 상관 관계 엔진인 Fusion이 포함되어 조직이 취약점의 상관 관계를 파악하고 우선 순위를 지정할 수 있다고 발표했다.

Forcepoint(포스포인트)는 코드명 Symphony라는 새로운 보안 통찰력 시각화 도구와 보안 SD-WAN 솔루션의 새로운 Forcepoint FlexEdge 제품군의 미리보기를 제공합니다. Symphony를 통해 사용자는 Forcepoint 제품이 제공하는 효능의 재정적 가치를 시각화하고 수량화할 수 있다. 새로운 FlexEdge Secure SD-WAN 시리즈는 애플리케이션 중심 SD-WAN을 회사의 네트워크 보안 및 위협 보호 기술과 통합하여 지사 및 원격 사이트에 대한 연결 및 네트워크 보안을 단순화한다.

SafeBreach(세이프브리치)는 보안 팀이 실제 적의 행동을 복제하는 공격 시나리오를 생성, 사용자 지정 및 실행하는 데 사용할 수 있는 코드 없는 레드 팀 자동화 플랫폼인 SafeBreach Studio를 공개했다. 보안 팀은 전문 지식 없이도 레드 팀 연습을 쉽게 자동화하고 확장할 수 있다.

Armis(알미스)는 AVM(Asset Vulnerability Management)이라는 종단 간 위험 기반 취약성 수명 주기관리 솔루션을 공개했다. AVM은 자산 및 취약성, 위험 기반 우선 순위 지정, 보안 자동화 및 오케스트레이션, 취약성 완화 노력을 추적하기 위한 기능에 대한 완전한 보기를 제공하도록 설계된 Armis 플랫폼용 애드온 모듈이다. 회사는 AVM이 IT, OT, ICS, IIoT 및 클라우드를 포함한 전체 공격 표면을 포괄한다고 말한다.

Sumo Logic(슈모 로직)은 Sumo Logic Threat Labs라는 새로운 위협 연구 및 보안 탐지 부서를 발표했다. 새 부서의 목표는 심층 탐지 콘텐츠, 신속한 대응 지침 및 실행 가능한 모범 사례를 회사 고객에게 제공한다.

Thales(탈레스)는 약 2천800명의 응답자를 대상으로 한 설문조사를 기반으로 하는 2022 클라우드 보안 보고서를 발표했다. 보고서에 따르면 기업의 45%가 지난 1년 동안 클라우드 기반 침해를 경험했거나 감사에 실패했다고 전했다. 

Code42(코드42)는 데이터 위험 감지 기능을 확장한다. Code42 Software는 Incydr 내부 위험 관리 제품의 데이터 위험 감지 기능을 확장했다. Icydr은 보안팀이 계약자, 신입 사원, 퇴사 직원, 권한 있는 사용자와 같이 데이터를 위험에 빠뜨릴 가능성이 가장 높은 사용자 그룹에 보다 쉽게 집중할 수 있도록 하는 감시 목록 기능을 제공한다.

Entrust(엔트러스트)는 비즈니스 리더가 현재 사이버 보안 문제를 해결하는데 도움이 될 수 있는 리소스와 전문가 조언을 제공하는 Entrust Cybersecurity Institute를 출범했다. 

Lumu(루무)는 보안팀이 사고에 더 빠르고 효율적으로 대응할 수 있도록 돕기 위해 회사의 사이버 보안 스택에 대한 단일 보기를 제공하는 새로운 기능인 Incident View를 발표했다.

Malwarebytes(멀웨어바이츠)는 DNS 필터링으로 엔드포인트 보호 플랫폼을 확장했다. 조직이 악성 웹사이트에 대한 액세스를 차단해 직원을 보호하는 데 도움이되는 DNS 필터링 모듈로 Nebula 엔드포인트 보호 플랫폼을 확장했다. 이 모듈은 또한 예외를 관리하기 위한 도구를 제공하고 도메인 이름 요청을 암호화한다.

Noname Security(노네임 시큐리티)가 API 보안 플랫폼 3.0 버전을 발표했다. 최신 버전의 플랫폼은 API 보안 문제에 대한 더 나은 가시성을 제공하고 조직이 개인 정보 보호 규정을 준수하도록 돕는다.

SentinelOne(센티넬원)은 Singularity XDR 플랫폼의 진화를 공개했습니다. 새로운 Skylight는 데이터 가시성, 수집 및 저장 기능을 제공하여 보안 팀이 잠재적 공격을 보다 쉽게 분류, 조사 및 대응할 수 있도록 한다.

Tenable(테너블)은 4,500만 달러에 EASM(External Attack Surface Management) 회사 Bit Discovery 인수를 마무리하고 Bit Discovery 기술의 모든 기능을 활용하는 EASM 솔루션인 Tenable.asm의 출시를 발표했다.


◇RSAC 2022 강연중 주요 발언 내용들 

RSAC 2022 키노트 강연장
RSAC 2022 키노트 강연장

그리고 RSAC 2022 강연에서 최근 트렌드를 가늠해 보고 생각해 볼 만한 내용들은 다음과 같다. 

로힛 가이 RSA CEO는 “사이버 보안은 기술을 사용해 정보에 접근 또는 생성하는 능력을 보호하고, 정보가 기하급수적으로 증가하면서 사이버 보안 역시 지속적으로 변화한다. 대부분의 공격은 손상된 ID를 기반하는데, 제로트러스트 시대에서 더 나은 ID 관리를 하기 위해 플렛폼에 구애 받지 않고, 변화하지 않는(Constant) 아이덴티티 기반의 솔루션을 사용할 것”을 말했다.

시스코 부사장은 “비즈니스 관계의 상호 연결성은 이제 액세스 및 ID 관리에 더 세심한 주의가 요구된다. 직원만 있는 것이 아니라, 계약자, 공급업체, 고객, 파트너 등이 있고, 영향을 미칠 수 있는 사람들의 수도 점점 더 많아지게 되고, 이러한 관계에 인간과의 상호 작용을 포함하며 사이버 범죄자의 쉬운 표적이 된다고 지적했다. 공격은 지속적으로 더욱 맞춤화 되고 개인화되고 있기 때문에 제로트러스트 정책을 사용하고, 발전시켜야 한다고 강조했다. 로그인 시 사용자의 신원과 액세스 권한을 확인하는 것만으로는 더 이상 충분하지 않고, 사용자 행동을 정기적으로 평가해야 한다”고 말했다.

미국 국가정보국장은 “민관 의사소통채널을 계속 열어 두고 우리가 직면한 문제에 실제로 영향을 미칠 수 있는 방법과 대응할 수 있는 아이디어에 대해 함께 브레인스토밍 하는 것이 중요하다. 정보보안책임자가 임무를 더 잘 수행하려면 다르게 생각하는 다양한 인력이 필요하다”고 말했다. 

트렐릭스 CEO는 “사이버 보안 업계는 거의 300만 명에 달하는 인재 부족이 남긴 공백을 메울 새로운 접근 방식이 필요하다. 새로운 위협을 학습하고 적응하는 기술을 제공하는 것은 솔루션의 일부일 뿐이며 적보다 앞서기 위해서는 인재에 투자해야 한다. 미래의 위협을 이해하고 비용 효율적인 솔루션을 제공하고 예상치 못한 방식으로 혁신해 사이버 위험을 완화하고 다음 침해에 한 발 앞서가야 한다”고 말했다. 

버라이존은 강연에서는 “우리는 위협 행위자와 표적 사이에 있고 이에 대항하기 위해서 사이버 공격의 전장에 대한 가시성 확보가 필요하다. 이를 통해 공격의 출처와 특성에 대한 시각을 제공해 공격을 조사하고 억제하고 단호하게 대응 할 수 있다. 이때 위협 인텔리전스는 새로운 위협에 대한 더 나은 통찰력을 제공하고, 위협에 대응 할 수 있도록 지원한다. 또 보안 사고 및 데이터 침해에 대해 6하원칙에 대한 답변을 확인해야 하고 구조적이고 반복 가능한 방식으로 보안 사고를 설명하기 위한 공통 언어 제공이 필요하다. 인텔리전스를 통해 데이터 격차를 해소하고 조직이 더 정확한 품질과 더 많은 위험 데이터를 확보해야 한다”고 말했다. 

시스코는 강연에서는 “방어 친화적인 인프라 구축(대응 환경 발전, 자산/위협/사각지대 이해, 로그정보 파악, 툴을 빠르게 배포하는 방법과 절차)을 지향하고, 사건 대응 체계(준비, 탐지/분석, 방지, 근절/복구, 관리)를 조직에 맞게 정립해야 한다”고 말했다. 

RSA NetWitness는 강연에서 “보유하고 있는 모바일을 포함한 솔루션에 대한 목록을 만들어여 한다. 향후 에코시스템 파트너와 관련된 내용과 과거 사건을 검토하고, SOC팀이 위협에 대해 동일하게 인식하는지 점검하고 최종적으로 직원, 파트너, 고객을 위한 행동 시나리오를 생성하고 실행할 것과 비즈니스를 보호할 때 자동화 및 분석 기반을 극대화하기 위해 사용 가능한 데이터 전체를 활용할 것”을 강조했다. 

맨디언트는 자체 조사 결과 아시아에서 랜섬웨어 공격 분석이 급격히 늘어난 것을 확인했고 2021년 약 6억 달라(약7800억원)의 가상화폐가 지불 된 것을 확인했다고 전했다. 랜섬웨어 공격을 분석해보면 공격자의 전체 공격 진행과정을 볼 수 있으며, 빠른 탐지가 중요하고, 탐지는 단순히 도구의 문제가 아니라고 말했다. 공격대응시 공격자의 인텔리전스를 알면 대응이 극적으로 변하고, 공격표면 관리와 포괄적인 가시성이 중요하다. 그리고 신속한 평가를 위해 강력한 보안 아키텍처를 준비하고 소유권과 권한을 문서화해 신속하게 조치하고 전문 인력을 준비하는 것이 중요하다고 강조했다. 특히 위기 관리는 최악의 상황에 대한 계획을 포함해야 하고, 랜섬웨어는 어느 특정 인원만의 문제가 아니기 때문에 IT, 보안, 서버 등 팀간 커뮤니케이션이 필요하다. 그리고 인텔리전스 이용 및 전문가를 통해 사이버 공격에 효과적인 대응이 필요하다고 말했다. 

레코디드 퓨쳐(Recorded Future)는 강연에서 “인텔리전스는 전략적 보안 우선 순위를 알리고, 불확실성을 줄여주고 자동화시 측정 가능한 운영 환경을 만드는데 중요하게 사용되기 때문에 인텔리전스 사용을 확장해야 한다”고 강조했다. 

이어 “공격 단체는 그룹으로 활동하고 세력을 확장하려고 랜섬웨어 갱은 제휴프로그램, 상업계약업체, 악성코드 제조사 등으로 부터 아웃소싱하고 있는 상황이다. Recorded Future는 다양한 위협 데이터를 수집하고 이질적인 소스에서 공통의 보안 인텔리전스를 자동으로 생성하며 빠른 식별, 우선순위 선정 그리고 위협 대응 시 자신 있게 대응 할 수 있도록 한다. 결국 모든 것들이 인터넷을 통하고 인터넷은 공격적이고 불확실성의 세계이기 때문에 인텔리전스는 유일한 평형 장치다”라고 말했다. 

체크포인트는 강연에서 “오늘날 엄청나게 많은 공격이 발생하고 있고, 솔라윈즈, 로그4j등 취약점도 많이 발견되고 있다. 랜섬웨어는 공격을 비즈니스화 시켰고 하지만 보안 조직은 너무 많은 보안 얼랏, 너무 많은 관련 제품 그리고 너무 느린 새로운 보호 전략에 적응 시간 등으로 압박을 받고 있다. AI기반의 보안이 사이버 보안의 안전을 유지할 수 있는 대안이 될 수 있다. 제로트러스트 정책을 반드시 자동화 해야 한다”고 말했다. 

AT&T는 강연에서 “위협을 신속하게 찾아 대응하려면 적시에 위협 인텔리전스를 제공하는 중앙 집중적인 가시성과 자동화된 위협 탐지가 필요한데, 개방형 XDR전략은 진화하는 사이버 공격에 도움 줄 수 있다. 특히 Open XDR는 자동화된 위협 탐지와 사건 대응을 제공하고, 보안 아키텍처를 뜯어 고칠 필요가 없고, 한 화면에서 관리가 가능하다는 장점이 있다. 오픈된 구조이기 때문에 보다 영리하고 강력한 연동 기능을 제공한다. 추가로 보안 전문 관리 서비스의 중요성을 이야기 하는데, 매니지드 서비스는 보안 기술, 인프라 등에 관한 전문지식을 갖고 있고, 복잡한 솔루션 구현을 지원하며 사고 대응에 대한 계획을 갖고 있기 때문에 필요하다”고 강조했다. (샌프란시스코 RSAC 2022 / 데일리시큐)

★정보보안 대표 미디어 데일리시큐!★


관련기사