보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
Stronger Together(함께하면 더 강해진다), RSAC 2023
2023.05.31
2,366
01. 서론
세계 최대 사이버 보안 박람회 ‘RSA Conference 2023’이 4월 24일부터 27일까지 미국 샌프란시스코에서 열렸다. 1991년 소규모 암호화 컨퍼런스로 처음 시작돼 올해로 32회를 맞이한 RSAC는 전 세계 내로라하는 사이버 보안 기업들이 한데 모여 고도화되는 보안 위협에 잘 맞서기 위한 저마다의 기술과 관점을 뽐내고 공유하는 무대다. 글로벌 정보보호 기술의 동향과 더불어 각 기업의 전략을 살펴볼 수 있다는 점에서, RSAC는 언제나 업계의 큰 주목을 받아왔다. 더욱이 이번 RSAC 2023은 코로나19 팬데믹 이후 3년 만에 정상화됐다는 평가를 받을 만큼 뜨거운 관심을 받았다. 전 세계 사이버 보안 기업 627개 사가 참가하고 약 4만 명의 참관객이 방문하며, 그 화려한 복귀를 알렸다.
이번 RSAC의 메인 테마는 ‘Stronger Together(함께하면 더 강해진다)’다. 미국의 사회 운동가 헬렌 켈러(Helen Keller)가 남긴 ‘Alone we can do so little; together we can do so much(혼자서는 적은 일을 할 수 있고, 함께라면 더 많은 일을 할 수 있습니다)’라는 말에서 착안됐다. 코로나19가 촉발한 디지털 전환의 가속화나 러시아∙우크라이나 전쟁 등 급변하는 국제정세와 진화하는 위협 가운데서 서로의 다양한 지식을 교환하고 성공 사례를 공유함으로써 함께 문제를 해결해 나가자는 의미가 담겼다. 하지만 그와 동시에 이러한 흐름에 합류하지 못한다면, 결국엔 도태되어 버릴 것이라는 경고도 깔려있다.
02. 사이버 보안의 핵심 기술로 자리매김한 인공지능(AI)
The Looming Identity Crisis (다가오는 신원 위기)
챗GPT의 선풍적인 인기에 힘입은 인공지능(AI) 열풍은, 이번 RSAC에서도 확연히 드러났다. 첫 기조연설을 맡은 로힛 가이(Rohit Ghai) RSA시큐리티 CEO는 AI 시대에 접어든 지금, 보안이 최우선(in the AI era, it is security first)이라 주장하며, 이를 위해서는 다가오는 신원 위기(Identity Crisis)에 잘 대처해 나가야 할 것임을 강조했다. 사이버 보안의 기본 전략이 되는 제로 트러스트(Zero Trust)는, 해커들의 주요 타겟이 되는 신원(Identity)을 보호하는 것에서부터 시작된다. 그리고 신원을 보호하기 위해서는 자동화를 비롯한 AI 기술이 필수적이다. 이는 다시 말해 제로 트러스트를 구현하기 위해서는 ‘나쁜 AI’에 대항할 수 있는 ‘좋은 AI’가 요구된다는 의미다. 더불어 로힛 가이 CEO는 이러한 ‘좋은 AI’의 영향력을 확대해 나가기 위해서는 좋은 측면에서 AI를 적극적으로 개발하고 강화해 나가고자 하는 보안 전문가들의 협업이 바탕되어야 할 것임을 이야기하며, 공동체 의식을 갖고 ‘좋은 AI’를 지켜나가줄 것을 당부했다.
No More Time: Closing the Gap with Attackers (더 이상 시간이 없다: 공격자와의 격차를 해소하자)
크리스 맥커디(Chris McCurdy) IBM시큐리티 부사장 역시 기조연설을 통해 AI의 역할을 강조했다. 그는 랜섬웨어 서비스화 등으로 인해 공격자가 악성코드를 배포하는데 걸리는 시간이 2개월에서 4일 이내로 줄어든 반면, 방어자 입장에서 데이터 유출을 찾아내는 데는 여전히 오랜 시간이 걸린다고 언급하며 이 격차를 해소할 필요가 있다고 말했다. 그리고 그 방법으로 자동화와 AI 기술을 꼽았다. AI를 기반 기술로 적극 활용함으로써 대응 시간을 공격자 수준으로 줄여나가야 하며, 동시에 진정으로 방어자에게 도움이 되고 신뢰할 수 있는 AI를 구현하는데도 소홀히 해서는 안된다고 주장했다. AI가 투명하고 공정할 때만 사이버 보안에 활용될 수 있다는 의미다. 앞서 소개한 로힛 가이 CEO의 기조연설과도 일맥상통한 내용이라고 볼 수 있다.
Security for machine learning (머신러닝을 위한 보안)
이렇듯 AI의 존재감이 날로 커져가는 가운데 ‘좋은 AI’를 만들기 위한 움직임도 주목받고 있다. 올해 가장 혁신적인 스타트업으로 평가받으며 2023 이노베이션 샌드박스(Innovation Sandbox)에서 우승을 차지한 ‘히든레이어(HiddenLayer)’는 AI 자산의 건전성을 보장하는 기업이다. AI 대중화 흐름에 발맞춰, 데이터 중독(data poisoning)이나 적대적 전송 가능성(adversarial transferability)과 같은 악의적인 기술을 방지하기 위해 AI를 사용하여 AI를 보호한다. 보다 자세하게는, 머신러닝을 통해 AI 시스템의 입력 및 출력을 모니터링하고 내장된 악성코드나 CVE 취약점, 더 나아가 적대적인 공격을 암시하는 이상 징후를 식별해 내는 플랫폼을 제공하고 있다.
보안업계에 불어온 생성형 AI 바람
AI 기술이 부각되면서 특히나 챗GPT의 영향으로, 생성형 AI에 대한 관심이 뜨거웠다. 생성형 AI가 접목된 서비스들이 다수 선보여졌는데 그 대표적인 예가 바로 마이크로소프트(MS)이다. MS는 챗GPT 기반의 AI 보안 비서 ‘시큐리티 코파일럿(Security Copilot)’을 공개했다. ‘가장 최근에 발생한 인시던트에 대해 알려줘’와 같이 자연어로 명령어를 입력하면, 이에 대한 답변을 내놓는 일종의 챗봇이다. MS의 보안 특화 데이터와 오픈AI의 GPT-4가 결합된, 보안 특화 챗GPT라 생각하면 더욱 이해가 쉽다. 생성형 AI를 활용하여 인시던트 대응, 위협 헌팅, 리포팅 등의 기능을 지원하면서 사용자가 보다 신속하고 정확하게 의사 결정을 내릴 수 있도록 도와준다. 생성형 AI, 설명 가능한 AI, AI 탐지 모델을 토대로, 특정 보안 데이터에 대해 AI가 판단한 근거를 자연어 형태로 알려주는 이글루코퍼레이션의 IGLOOXAI(가칭) 서비스와 유사하다.
구글 클라우드(Google Cloud)는 ‘시큐리티 AI 워크벤치(Security AI Workbench)'를 공개했다. 구글의 보안 특화 대규모 언어 모델(LLM) 'Sec-PaLM'을 기반으로 한 보안 스위트로, 다양한 도구들로 구성돼 사용자들이 자연어를 토대로 보다 쉽게 보안 위협을 탐지하고 대응할 수 있도록 지원한다. 그중 하나로 구글의 CTI 자회사 바이러스토탈(VirusTotal)은 코드 인사이트(Code Insight) 기능을 선보였는데, 멀웨어에 대한 자연어 생성 및 요약을 제공하는 서비스이다. 엔드포인트 보안 기업 센티넬원(SentinelOne) 또한 위협을 식별, 분석, 완화하는 데 도움을 주는 생성형 AI 엔진 퍼플 에이아이(Purple AI)를 공개하고, 이를 접목한 위협 헌팅 플랫폼을 선보였다.
이 외에도 AI는 이번 RSA 2023에서 가장 파급력이 큰 기술로 지목되며, AI 역할 확대에 따른 인력 재편성, 사이버 위협의 고도화, 대응의 지능화 등 다양한 분야와 방면에서 언급되는 모습을 보였다. 챗GPT가 보여줬듯 예상을 뛰어넘는 AI의 성능에 기대와 우려가 공존하는 분위기다. 각기 다른 방식의 접근법과 활용법이 제시되는 가운데 하나의 공통점을 찾자면, 이제 사이버 보안 영역에서 AI 활용은 더 이상 거스를 수 없는 흐름이 되었다는 사실이다. 공격자의 손에도 방어자의 손에도 들어온 AI라는 무기를 어떻게 잘 활용해 나가면 좋을지 고민이 필요한 시점이다.
03. 차세대 보안 솔루션으로 떠오른 XDR
솔루션 측면에서는, 확장된 탐지 및 대응(eXtended Detection and Response, XDR)이 주목받았다. XDR은 말 그대로 엔드포인트(EDR)나 네트워크(NDR) 등 각 영역별 탐지 및 대응 기능을 통합하여 ‘확장’한 솔루션이다. 날로 고도화되는 보안 위협에 신속히 대응하기 위해서는 파편화된 솔루션을 통합적으로 볼 수 있는 가시성 확보가 중요하다. XDR 솔루션은 사이버 보안 전반에 걸친 가시성을 확보하고 대응할 수 있는 체계를 갖출 수 있도록 도와준다.
이번 컨퍼런스에서 시스코(Cisco)는 AI 기반 통합 크로스 도메인 보안 플랫폼 '시스코 시큐리티 클라우드(Cisco Security Cloud)'의 최신 업데이트 사항을 발표하면서 XDR 솔루션을 새롭게 선보였다. 올해 7월 정식 출시 예정인 시스코의 XDR 솔루션은 클라우드 퍼스트(cloud-first) 솔루션으로, 인시던트 조사 간소화를 통해 SOC가 위협을 즉시 해결할 수 있도록 지원한다는 설명이다. 분석 결과를 토대로 인시던트 간의 우선순위를 매기고, 증거 기반 자동화를 통해 순위가 가장 높은 인시던트부터 대응해 나가는 기능도 갖췄다. IBM 시큐리티, 센티넬원(SentinelOne), 크라우드스트라이크(Crowdstrike) 등도 인프라 전반을 아우르는 가시성과 통합을 강조하면서 XDR을 비중 있게 다뤘다.
SIEM There, Done That: Rising Up in the SecOps Revolution (SIEM, 이미 다 해봤다: 보안운영 혁명 속에서 우뚝 서기)
트렐릭스(Trellix) CEO 브라이언 팔마 (Bryan Palma)는 기조연설을 통해 XDR의 필요성을 강조했다. XDR의 컨셉은 기본적으로 보안 이벤트 및 로그를 수집하고 분석하고 일원화된 관제 환경을 구성하는 SIEM과 유사하지만, 엔드포인트나 네트워크, 이메일 등 보다 넓은 영역을 다룬다는 면에서 한 단계 확장된 솔루션이라 평가받는다. 이에 브라이언 팔마 CEO는 보안운영 체계 고도화를 위해서 이제 SIEM을 넘어서는 XDR과 같은 고급 도구가 필요하다고 주장했다. 또 여기에 더해, 보안운영 혁명을 이뤄내기 위해서는 인텔리전스와 자동화, 그리고 AI의 역할이 중요하다고도 덧붙였다.
04. 그래도 잊지는 마세요, 클라우드와 제로 트러스트
더 이상 강조되지는 않았지만, 간과해서도 안될 클라우드와 제로 트러스트도 있다. 국내의 경우 여전히 온프레미스 기반의 보안 제품이 주를 이루고, 이를 클라우드 형태로 제공하는 서비스형 소프트웨어(SaaS)로의 전환 또한 원활하지 못하다. 그에 비해 글로벌 시장에서는 보안 제품이 클라우드 환경에서 작동되는 것은 따로 언급할 필요도 없는, 너무나 당연한 요소로 자리했다. 클라우드 최적화가 기본 전제가 되었기에 그 자체보다는 클라우드로 전송되는 데이터 보호, 클라우드에서 개발하는 애플리케이션, 개발할 때 사용되는 오픈소스, 서드파티와의 연동에 필요한 API 보안 등에 더욱 초점이 맞춰지는 분위기였다.
제로 트러스트 역시 마찬가지다. 이미 사이버 보안의 기본 전략이자 표준 개념으로 자리 잡았다. 이제는 제로 트러스트의 필요성을 굳이 이야기하기보다는 복잡 다양해지는 보안 환경 속 이를 제대로 구현하기 위한 기술론과 방법론에 더욱 집중해야 할 필요가 있다. 이번 RSAC 2023의 메인 테마인 ‘Stronger Together(함께하면 더 강해진다)’도, 그중 하나이지 않을까?