(데일리시큐=미국 샌프란시스코 RSAC 2020 현장) 2020년 글로벌 정보보안 솔루션 트렌드에는 어떤 변화가 있을까. 이를 한 눈에 볼 수 있는 세계 최대 규모의 RSAC 2020 EXPO가 미국 샌프란시스코 모스코니센터에서 2월 25일부터 27일까지 열렸다.

이번 RSAC 2020 EXPO는 26개국 640개 이상의 정보보안 기업이 참가해 자사 주력 솔루션과 서비스를 세계 시장에 선보이는 자리였다. 해당 분야의 패권을 장악하려는 총성 없는 전쟁터라고 할 수 있다.

기존 글로벌 보안기업들이 남·북관 전면에 대형 부스를 차려놓고 압도적인 존재감을 과시하는가 하면 전시관 사이드에는 중소기업, 스타트업 등 작은 부스로 참가한 기업들도 즐비하다. 혹은 지난해 작은 부스로 참가했다가 대규모 투자를 유치하면서 올해 갑자기 중, 대형 부스로 참가하는 기업 등 다양하다.

◇EDR

우선 EDR(Endpoint Detection & Response)은 RSA 전시회에 핵심 솔루션 분야로 이제 자리를 잡은 분야다. 많은 EDR 벤더들이 참가했지만 그 중 최근 200만 달러 투자를 유치한 ‘SentinelOne(센티넬원)’과 ‘VMware Carbon Black’(브이엠웨어 카본블랙)이 관심을 끌었다. 세부적인 기능으로 들어가면 차이는 날 수 있지만 유니크한 기술을 선보인 기업은 많지 않았다는 평가다.

◇SOAR

SOAR(Security Orchestration, Automation and Response) 분야는 몇 년 전부터 대두되어 오고 있는 보안 자동화 물결에 힘입어 많은 기업들이 자사 솔루션에 내재화하는 단계에 이르렀다.

SOAR는 파이어아이, 팔로알토네트웍스, 스플렁크, 라피드7, 프루프포인트, 포티넷 등 대형 보안기업들이 ‘위협 인텔리전스(TI)’와 EDR, SIEM 등 많은 영역을 연결시켜 나가면서 글로벌 정보보안 트렌드의 주류로 자리잡았다. 대형 보안기업들은 ‘X-SOAR’까지 주창하며 인테그레이션 되는 범위를 더욱 넓혀가고 있는 모습을 보이고 있다.

특히 SOAR가 주류로 등장하고 있는 이유는 보안전문가의 부족과 너무 많은 얼랏 정보로 인해 혼란에 빠진 SOC(보안운영센터) 조직이 증가했기 때문이다. 인력도 부족하고 처리 불가능한 정도로 쏟아지는 얼랏의 폭포에서 실제 위협정보를 빠르게 탐지하고 대응할 수 있도록 자동화 해주는데 SOAR의 필요성이 대두된 것이다. 파이어몬, 알고섹, 기가몬 등 방화벽 정책관리 벤더들도 SOAR를 내재화하는 등 주요 보안업체 대부분이 SOAR 지원에 나서고 있다는 것을 알 수 있다. 국내 벤더는 아직 이렇다 할 벤더가 없는 상황이다.

보안의 모든 영역에서 자동화 물결이 글로벌 대세를 이루고 있다는 것을 알 수 있다.

◇MDR

한편 이번 RSA에서 MDR(Managed Detection & Response) 서비스를 지원하겠다는 기업들도 증가했다. 지금까지는 위협 신호를 주는 것만으로도 고객들이 만족했다면 이제는 실제 위협인지, 어떤 종류의 위협인지, 어느 단계까지 들어 온 위협인지, 그럼 어떻게 막아야 하는지 등을 알려달라는 고객이 증가하고 있다. EDR과 각종 레거시 보안장비에서 들어온 정보들을 관리해서 탐지하고 대응해 주겠다는 것이다. 위협 탐지, 대응의 자동화 서비스로 볼 수 있다. 고객의 니즈에 맞게 글로벌 보안시장이 빠르게 변화하고 있다는 것을 알 수 있다.

◇BAS

BAS(Breach and Attack Simulation) 시장도 떠오르고 있는 분야다. 기존의 방어 위주의 사이버 보안 솔루션에서 벗어나 실전 공격시나리오를 실시간 적용해 고객의 실 운영 시스템의 보안실태를 검증할 수 있는 솔루션이다. 가트너에서도 가장 빨리 성장하는 보안 산업군 중 하나로 분류해 많은 관심을 받고 있는 분야이기도 하다.

이 분야에서는 ‘세이프브리치(SafeBreach)’와 ‘어택아이큐(AttackIQ)’ 등이 RSA 전시장에서 관심을 끌었다. 솔루션 개념은 네트워크 전구간에 시뮬레이터를 설치하고 실제 해커들이 사용하는 실전 공격 기술(MITRE ATT&CK, Threat Intelligence 등, 업체별로 차이가 있음)들을 사이버 킬체인(Cyber Kill-Chain) 개념으로 공격 시뮬레이션한다는 것이다. 고객들은 일년에 한 두번 모의해커들에게 테스팅을 맡기는 것이 아니라 상시적으로 테스트하면서 조직의 보안역량을 끌어올릴 수 있기 때문에 주목을 받고 있다.

◇OT보안

OT보안 업체들도 눈에 띄었다. 지난해 RSAC 2019 키노트에서도 OT 영역으로까지 보안이 확장되어야 한다고 언급된 바 있다. 최근 시스코와 포어스카우트, 테너블 등이 OT보안업체를 인수하면서 경쟁하고 있다. 국내 시큐아이도 OT보안에 뛰어들면서 이번 RSA에 플랫폼을 선보이기도 했다.

OT영역의 엔드포인트 가시성을 제공하고 OT 프로토콜 네트워크에서 이상행위 탐지가 가능해야 한다. 국내에서도 OT보안에 대한 필요성이 대두되고 있다. IT와 OT가 융합되면서 IT 위협이 OT 위협과 오버랩 되고 있다. 특히 OT보안 위협은 공급망 위협으로 이어질 수 있기 때문에 시장의 니즈가 커질 전망이다. 하지만 폐쇄적인 OT영역에 어떻게 보안이 자연스럽게 진입할 수 있을지 풀어야 할 숙제긴 하다.

◇SASE / 제로 트러스트

SASE(Secure Access Service Edge) 분야도 클라우드 보안 요구사항으로 주목 받고 있다. 팔로알토네트웍스, 포스포인트, 넷스코프 등이 주력 벤더다. 클라우드 자체에 대한 보안이 아니라 기업의 엔드포인트와 원격 유저들이 클라우드에 접속할 때 발생할 수 있는 보안 위협에 대응할 수 있는 통합 보안솔루션이며 장비가 아닌 서비스 형태로 소개되고 있다.

한편 2012년 처음 나온 제로 트러스트(Zero-Trust)는 이제 개념에서 벗어나 실제로 적용하는 기업들이 늘고 있다는 것을 알 수 있다. RSA 전시회에 참가한 기업들 중 엔드포인트 보안과 EDR 기업들 그리고 NAC 기업, 계정관리 기업들은 제로 트러스트를 대부분 적용하고 있다. 그리고 마이터어텍(MITRE ATT&CK)도 안티바이러스, EDR, MSSP 등 많은 기업들이 적용하고 있으며 세션 발표에서도 상당수 언급된 분야라고 할 수 있다.

RSAC 2020 전시장에서 만난 최일훈 소만사 부사장은 “새로운 업체들이 많이 등장했고 클라우드 보안 기업들도 많이 보였다. 우리나라 클라우드가 뒤쳐져 있어서 클라우드 보안기술 격차가 예상된다. 또 EDR 기업은 지난해보다 더 커지고 많아졌다. 특히 엔드포인트와 네트워크를 통합한 XDR 업체들도 늘어나는 추세로 보여진다. 통합 추세다”라며 “순수 네트워크 보안기업은 줄어들고 있다. 회사 네트워크의 경계가 무너지고 있기 때문이다. 클라우드 환경 때문인데 한국이 뒤쳐지고 있다는 생각이 든다”고 말했다.

또 “그렇다고 굉장히 유니크한 것도 크게 없는 듯 하다. 통합과 오케스트레이션, 자동화가 더욱 강화되고 있다. 글로벌 기업들은 점점 규모가 커지고 있다. 예전에는 기술력과 유통, 채널의 문제라고 생각됐지만 이제는 이들의 규모가 무서울 정도다. 한국 시장에서 너무 앞선 기술만 개발하는 것도 힘들다. 제품이 팔려야 새로운 기술도 개발할 수 있는데 무거운 마음이다”라고 전했다.

해외 보안기업들은 공유와 협력을 최대의 가치와 경쟁력이라고 생각하고 있으며 적극적으로 동참하고 있다. 기술을 제휴하고 인테그레이션을 확대하고 있다. 그들의 전시부스에는 여러 보안 파트너 기업들의 로고를 붙여 놓고 연동되는 것을 자랑스럽게 말한다. 고객들은 연동되지 않는 제품은 기술력이 떨어진다고 생각할 정도다. 하지만 국내 보안기업들은 다른 기업들과 협력하지 않고 독자 제품만 개발하고 있다. 이 부분에서 경쟁력을 잃어가고 있는 것이 아닐까.

★정보보안 대표 미디어 데일리시큐!★