2024-03-28 21:45 (목)
[RSAC 2020 참관기] 황석훈 타이거팀 대표의 눈에 비친 글로벌 보안 트렌드
상태바
[RSAC 2020 참관기] 황석훈 타이거팀 대표의 눈에 비친 글로벌 보안 트렌드
  • 길민권 기자
  • 승인 2020.03.03 15:55
이 기사를 공유합니다

필자. 황석훈 타이거팀 대표. RSA 2020 엑스포 현장.(사진 본인 제공)
필자. 황석훈 타이거팀 대표. RSA 2020 엑스포 현장.(이하 사진 본인 제공)

SafeBreach, BehavioSec 솔루션을 본견적으로 한국에 소개하기 위해서 노력한지 1년반 정도 된 지금, 크게 두가지 이유로 RSA 컨퍼런스를 참관하게 되었다. 2016년 이후로 2번째 방문이다.

첫번째 이유는 두 솔루션 이외에 국내 소개를 앞둔 두가지 솔루션에 대한 계약과 업무협의, 그리고 직접 데모를 보기 위함이었다.

블루헥사곤 RSA 2020 전시부스
블루헥사곤 RSA 2020 전시부스

첫번째 솔루션은 딥러닝 기반의 실시간 악성코드 탐지 솔루션인 BlueHexagon(블루헥사곤)으로 최근 3개월내에 수집된 20만건 이상의 샘플을 가지고 수행한 BMT에서 오탐없이 99.9%를 실시간으로 탐지해내는 놀라운 성능을 보여줌으로써 기존 경쟁사들을 압도했다. 현재 빠르게 악성코드 탐지 시장에서 인지도를 높여가고 있다.

그리고 IoT/OT 장비를 자동으로 찾고 이에 대한 취약점 관리를 해주는 Armis(알미스) 때문이었다. 네트워크에 연결되는 800만개 이상의 디바이스를 실시간으로 구분하고 패킷 분석을 통해 행위도 분석하여 위협을 탐지하고 디바이스 격리 등의 대응을 자동으로 수행한다. 그리고 취약점 관리까지 수행한다. 올해 1.3조원 투자 유치로 유니콘이 된 기업이다. 이 솔루션은 미국 삼성에서 사용할 정도로 검증된 제품이다.

뛰어난 성능 때문에 두 제품 모두 현재 미국 시장에서 가장 핫한 제품들로 인정받고 있으며 이를 국내에 소개할 수 있는 기회를 얻게 되어 너무 기쁘다.

두번째 이유는 RSA 부스 관람을 통해서 보안 솔루션들의 동향과 기술적 수준 그리고 변화 등을 직접 보고 느끼고 싶었기 때문이다. 아무래도 기존 모의해킹 비즈니스 외에 솔루션 비즈니스를 시작하다 보니 그러한 필요성을 많이 느낀 것 같다. 또한, 위 네가지 솔루션 이외에도 향후 보다 좋은 제품을 지속적으로 국내에 소개하고 싶어서다.

RSA의 전반적인 분위기는 코로나의 영향이 매우 컸던 것 같다. 한국에서 왔다고 하니 악수 후에 손세정제를 사용하는 외국인이 심심찮게 있었다. 그런 이유 때문인지 개인적으로 국내, 중국, 일본 등 아시아계 사람들을 거의 보지 못했을 정도였다. 매년 RSA 행사에 참관하시는 다른 분들의 의견을 들어봐도 전체적인 인원이나 부스들이 작년만 못하다라고 하였다. 여러 사전 조사를 통해서 알고 있던 2019년에 비해서 올해 솔루션적으로 크게 새로운 것은 없는 것 같았다.

2020년 RSA 메인테마는 “Human Element”였다. 보안 인식제고나 문화 정착, 접근통제와 프로세스의 개선을 보다 쉽고 자연스럽게 적용할 방법에 대한 것이었고 이와 관련된 솔루션들이 다수 선보였던 것 같다. 하지만 아직도 주제를 적절하게 한글로 번역하는 것에는 성공하지 못했다.

개인적으로 관심이 많았던 제품군은 자동으로 취약점을 찾거나 관리하는 분야의 제품들이었다. 해서 해당 제품들을 보고 느낀 점을 몇가지 전하고자 한다.

◇ Agent-Less(에이전트 리스)와 취약점 관리

RSA 2020 엑스포. 알미스 전시부스.
RSA 2020 엑스포. 알미스 전시부스.

확인 결과 이미 몇몇 솔루션들은 몇 년 전부터 이 기술을 사용하고 있었다. 네트워크 스위치 장비나 라우터에 미러링 형태로 연동되며 네트워크 패킷을 분석해 자산을 식별하는 기술들이다. 패시브 스캔(Passive Scan) 방식이라고 한다. 에이전트 없이 구분함에도 불구하고 디바이스 식별 능력이 탁월했다. ForeScout, Armis 등이 대표적인 제품이다.

패킷을 분석하기 위해서는 해당 패킷의 프로토콜을 지원해야 정확하게 디바이스를 식별할 수 있으므로 와이어샤크 같이 해당 모듈들을 모두 가지고 분석한다고 이해하면 좀더 쉬울 것 같다. 이를 통해서 PC나 서버 같은 OT시스템뿐만 아니라 핸드폰, 테블릿, CCTV, 인터넷 전화기, 의료기기, 스마트공장 기기, 각종 센스 등을 탐지할 수 있다고 한다. 제품따라 차이는 있겠지만, 몇 만개까지 식별 가능하다고 한다. 또한, SSL/TLS 패킷의 데이터 경우에도 전용 시스템을 연동시 내용까지 열람하는 것이 가능하다고 한다.

그리고 파악된 자산에 대해서 취약점 디비와 연동하여 취약점을 표기해 준다. 다만, 네트워크 통신을 하지 않는 자산에 대해서는 탐지가 어렵다. 때문에 망이 완전히 분리된 경우에는 해당 망에 스위치 장비 등에 추가 설치가 필요하다.

개인적인 의견이지만, 자산관리가 앞으로 이러한 형태로 바뀔 것이라고 생각한다.

기존 악성코드를 탐지하기 위해서 Anti-Virus(안티바이러스) 또는 EDR 등이 에이전트 기반으로 동작했다. 또는 가상머신을 기반으로 분석하는 솔루션도 있지만, 시간이 오래 걸리고 분석크기에 대한 제한이나 개수에 대한 제한 등도 있었다.

Agnet-Less 방식으로 동작하는 BlueHexgon은 딥러닝 기반 솔루션으로 이러한 문제를 모두 해결한 제품이다. 파일 크기가 1G까지 분석이 가능하고 실시간 탐지, 정확도 99.9%의 놀라운 성능을 보여주었다. 개인적으로 제품에 대해 어느 정도 인지하고 갔음에도 불구하고 직접 확인한 결과 성능에 놀랐다.

기존 에이전트 방식은 사용자 컴퓨터를 너무 느리게하고 다양한 충돌 문제를 야기해서 도입하는 것 자체가 부담이었다. 한번 도입하면 쉽게 개선이나 변경이 어렵기도 하다. 때문에 에이전트가 없는 방식은 분명 향후에도 더 많은 곳에 적용될 것으로 생각한다. 개발시에 클라우드 기반을 기본으로 하기 때문에 더욱 그러할 것으로 예상된다.

◇Cyber Kill-Chain(사이버 킬체인)과 ATT&CK 모델

대부분의 취약점 관리를 지원하는 솔루션들은 해당 취약점에 대해 설명할 때 Cyber Kill-Chain과 ATT&CK 모델을 함께 설명했었다. 인상적이었다. 물론 애초에 취약점 정보 데이터 생성시에 그렇게 만들었을 것이라 생각했지만, 이러한 정보의 반영은 그리 오래 되지 않았기 때문이다.

대응을 하는 방법에는 여러가지 방법이 있을 수 있다. 때문에, 어떤 형태의 공격이고 세부기술이 어떤 부류에 속하는지 명확하게 안다는 것은 보다 체계적인 대응과 개선이 가능하도록 하는데 큰 도움을 줄 수 있다고 생각한다.

◇정보연동(Integration)

RSA 2020 엑스포. 세이프브리치 전시부스.
RSA 2020 엑스포. 세이프브리치 전시부스.

가장 인상 깊었던 것 중 하나는 바로 ‘Integration’이었다. 타이거팀에서 국내에 소개하고 있는 SafeBreach(세이프브리치) 역시 Qualys(퀄리스)와 협약해 보안솔루션의 대응 능력 점검시에 CVE 취약점을 이용할 수 있게 되었다. Qualys는 CVE 취약점을 자체적으로 관리하는데 이 분야에서는 압도적인 역량을 가지고 있는 회사로 미국내 영향력이 가장 큰 회사중 하나다.

INSIGHTS(인사이츠)라는 제품은 여러 회사나 기관들로부터 취약점이나 OSINT 정보 등을 수집하고 뛰어난 검색 기능을 통해서 특정 개인, 회사, 제품 등에 대한 이슈들을 찾을 수 있게 해주는 제품도 있었다. 이외에도 모두 기억나지는 않지만, 다수의 솔루션이 더 있었던 것 같다.

◇대시보드

RSA 2020 엑스포. 크라우드스트라이크 전시부스.
RSA 2020 엑스포. 크라우드스트라이크 전시부스.

대략 80% 이상의 대시보드는 ElasticSearch와 연동한 Kibana를 이용해서 만들었던 것 같다. 대시보드 구현에서 ELK(ElasticSearch, Logstash, Kibana) 스택기반의 개발은 최근 몇 년동안 가장 인기있는 것이 아닌가 하는 생각이 들었다. 개발하기가 쉽고 다양한 기능을 제공해주기 때문이다. 그러다 보니 대시보드 느낌이나 UX가 거의 유사했다. 필자의 의견은 대시보드를 한번만 보면 금방 이해가 될만큼 명확한 것이었다. 하지만, 앞서가는 몇몇의 기업들은 그렇지 않았던 것 같았다. Crowdstrike(크라우드스트라이크), ForeScout(포어스카우트), SafeBreach(세이프브리치) 등이 깔끔하고 명확하게 화면 구성을 보여주기 위해서 많은 정성을 들인 듯 했다. 대체로 투자를 많이 받았거나 상장을 앞두고 있거나 대세로 자리잡은 회사들이 대체로 그러했던 것 같았다.

사실 몇 일 동안 세미나는 포기하고 최대한 많은 부스를 방문하기 위해서 노력했다. 짧은 영어 실력으로 정말 많은 질문을 했고 대시보드를 암기하겠다는 의지로 보고 또 봤던 것 같다. 많은 것을 담고 싶었기 때문이다. 몇몇 업체들은 내년이 기대되기도 했다. 그리고 몇몇 업무 미팅을 하면서 많은 회사들은 부스보다 VIP 리셉션에 더 많은 집중을 한다는 사실도 알게 되었다.

많이 피곤하고 쉽지 않은 일정이었지만 2021년에도 꼭 다시 그곳에 있을 것이라 생각했다. 이번에는 영어 잘하는 분과 동행해서 많은 도움을 받았지만, 다음에는 좀더 영어실력을 키워 좀더 깊이 있게 직접 대화할 수 있도록 준비해야겠다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★