[PASCON 2020] 팔로알토네트웍스, 네트워크 보안의 표준 재정의

“머신러닝 기반 차세대 방화벽, 클라우드 통해 수집된 최신 IoC 인텔리전스 정보를 머신러닝 기법으로 탐지”

PASCON 2020에서 팔로알토네트웍스 박영욱 이사가 “해커보다 스마트 해야 막을 수 있다!"는 주제로 키노트 발표를 진행하고 있다.

데일리시큐 주최 하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020이 11월 10일 더케이호텔서울 가야금홀에서 방역수칙 준수하에 성황리에 개최됐다.

이번 PASCON 2020에서 팔로알토네트웍스 박영욱 이사는 “해커보다 스마트 해야 막을 수 있다!(머신러닝 기반의 차세대 방화벽의 스마트 기능)”을 주제로 키노트 발표를 진행했다. 강연 주요 내용은 다음과 같다.

■세계 최초 머신러닝 기반 차세대 방화벽

애플리케이션 사용, 사용자 행동 및 복잡하고 뒤얽힌 네트워크 인프라의 근본적인 변화로 인해 전통적인 포트 기반 네트워크 보안에 취약점을 노출시키는 위협 환경이 조성되고 있다. 가상화, IoT, BYOD, SaaS 도입 확산으로 위협의 벡터가 증가하는 상황에서 사용자는 업무 관련성 및 보안 리스크를 고려하지 않은 채 다양한 유형의 디바이스에서 실행되는 수많은 애플리케이션을 이용하고 있는 상황이다.

또한 사이버 공격은 모든 IT 환경에 일상화되는 것은 물론 정교함을 더하며 고도화되고 있다. 암호화된 트래픽에 담긴 멀웨어는 전년대비 32% 증가했으며, 매월 3억개에 달하는 새로운 공격 샘플들이 등장하고 있다. 반면 공격자들의 진화 속도와는 달리 숙련된 보안 인력은 부족한 실정이다.

팔로알토 네트웍스가 세계 최초로 선보인 머신러닝 기반 차세대 방화벽은 지능적인 선제 방어를 통해 위협 차단, IoT 디바이스 보호, 보안 정책 제안을 지원함으로써, 네트워크 보안의 표준을 재정의한다. 시그니처 탐지 방식에 의존하지 않아 신종 위협에 대한 탐지가 가능하며, 애플리케이션 및 디바이스 행위 분석을 기반으로 차세대 방화벽 정책을 자동으로 생성한다. 또한 클라우드를 통해 수집된 최신 IoC 인텔리전스 정보를 머신러닝 기법으로 탐지한다.

이를 통해 알려지지 않은 파일 및 웹 기반 공격을 최대 95%까지 즉시 보호하며, 권장 정책 자동화로 인적 오류의 가능성을 줄이고 시간을 절감할 수 있도록 돕는다. 또한 즉각적인 실시간 보호 기능을 지원함으로써, 별도의 센서 구축 없이 관리 범위를 벗어난 IoT 디바이스를 포함한 모든 디바이스에 대한 가시성과 보안 기능을 확대시켰다. 머신러닝 기반 차세대 방화벽의 주요 특장점은 다음과 같다.

△IoT 보안=팔로알토 네트웍스 유닛42(Unit42) 연구 조사에 따르면 엔터프라이즈 네트워크 전체에서 비관리형 IoT(사물 인터넷) 및 OT(운영 기술) 디바이스의 점유율이 30%를 넘어섰다. IoT 디바이스는 대체로 규제를 받지 않고, 취약점을 내포한 경우가 많으며, 제약 없는 액세스로 네트워크에 연결되어 엄청난 사이버 보안 위험을 초래한다.

그러나 시중의 IoT 보안 솔루션들은 알려진 디바이스에 대한 가시성을 제한하고, 단일 용도의 센서를 필요로 하며, 일관된 방어 기능이 부족하고, 통합을 통해서만 적용할 수 있다는 한계가 있다. 팔로알토 네트웍스의 차세대 방화벽에 결합된 IoT 보안은 ML 기반 검색을 통해 이전에는 볼 수 없었던 디바이스를 포함하여 네트워크의 모든 IoT 및 OT 디바이스를 정확하게 식별하고 분류한다. 또한 취약한 디바이스를 빠르게 평가하여 다음 단계를 시작하는 데 필요한 모든 정보를 찾아내고 위험 우선순위를 지정할 수 있도록 돕는다.

△인라인 ML을 통해 알려지지 않은 위협 예방=기존에는 위협의 새로운 변종과 새로운 디바이스를 식별하고 차단하기 위해 시그니처를 필요로 했다. 그러나 공격자들이 기계(machine)를 사용하여 공격을 자동으로 변형시킴에 따라, 시그니처 업데이트로는 이러한 공격을 막아내기 어려워졌다. 이전의 네트워크 보안 제품들은 우회 경로를 통해 공격을 탐지하고 사후 차단하는데 머신러닝을 사용했지만, 팔로알토 네트웍스 머신러닝 기반 차세대 방화벽은 인라인 머신러닝 모델을 사용하여 알려지지 않은 공격을 사전에 방지한다. 시그니처리스(signatureless) 방식으로 비즈니스 생산성을 저하하지 않으면서도 무기화된 파일, 자격 증명 피싱과 악성 스크립트를 차단한다.

△컨테이너 차세대 방화벽=대규모 인프라를 보유한 기업 중 60% 이상이 컨테이너를 도입했거나 테스트하고 있으며, 이러한 환경의 절반 이상이 쿠버네티스(Kubernetes)와 같은 오케스트레이터를 사용하고 있다. 컨테이너에는 지능형 공격을 방지할 수 있도록 다른 워크로드와 동일한 수준의 네트워크 보안이 필요하다. 팔로알토 네트웍스의 CN시리즈(CN-Series)는 쿠버네티스와 통합되어 있는 업계 최초의 컨테이너 폼팩터 차세대 방화벽이다. 위협 예방 및 고급 네트워크 보안 서비스로 쿠버네티스 네임스페이스 경계를 보호하며, 자동 배포 및 구성으로 원활한 네트워크 보안을 지원한다. 클라우드 기반 위협 탐지 솔루션 ‘와일드파이어’, 선제 방어 플랫폼을 CN시리즈 방화벽에서 활성화하여 익스플로잇을 차단하고 멀웨어를 방지하며, 알려졌거나 알려지지 않은 지능형 위협을 모두 방어할 수 있다.

△암호화된 트래픽에 대한 완전한 가시성=오늘날의 거의 모든 엔터프라이즈 트래픽은 암호화되어 있으며 멀웨어 역시 70% 이상 암호화를 활용해 악의적인 활동을 숨기고 보안 수단을 회피한다. 또한 SSL을 이용하는 애플리케이션의 26%는 표준 포트(443/TCP)를 이용하지 않으므로 표준 포트가 아니더라도 SSL 트래픽을 식별하고 복호화 수행할 수 있어야 고위험 애플리케이션을 차단할 수 있다. 팔로알토 네트웍스의 차세대 방화벽은 모든 포트의 트래픽을 보고 복호화 할 수 있어 애플리케이션, 사용자, 콘텐츠 및 위협을 불문하고 완전한 가시성을 제공한다. 복호화된 트래픽은 메모리에 저장되고 다른 디바이스로 전송하지 않으므로 이를 통해 SSL의 기밀성을 확보하고 규정을 준수할 수 있다. 또한 TLS 1.3 및 HTTP/2와 같은 프로토콜을 사용하는 트래픽을 보호하고 보안 리스크를 완화하며 SaaS 및 공용 애플리케이션을 빠르고 쉽게 보호한다.

PASCON 2020에서 팔로알토네트웍스 박영욱 이사의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.