변화하는 위협 환경, 강화되는 규제 환경, 증가하는 IT 인프라 복잡성을 처리할 수 있는 올바른 도구를 보유하고 있는가?
매일 변화하는 수많은 위협과 씨름하는 CISO에게 보안 도구의 품질은 더욱 중요해지고 있다.
오늘날 기업 보안을 위해 사용할 수 있는 도구의 범위는 놀라울 정도로 넓다. 도구 유형과 그에 따른 마케팅 명칭은 서로 겹치기도 하고 정확히 구분하기 어려워서 필수적인 엔터프라이즈 보안 도구 세트가 무엇인지에 대한 혼란이 가중되고 있다.
점점 더 다양해지는 보안 제품을 분류하고, 모든 기업이 갖춰야 할 보안 도구의 유형을 선별했다. 또한 각각의 카테고리가 중요한 이유를 설명하고, 각 클래스에서 사용할 수 있는 도구의 예시를 추가했다.
참고 : 각 카테고리에 나열된 제품은 대표적이며 정보 제공만을 목적으로 한다. 해당 카테고리의 시장 우위, 인기, 후원사 여부와는 관련이 없다.
1. 확장 탐지 및 대응(XDR)
완전한 구분과 정의가 어려운 부문인 AI 기반 XDR은 차세대 보안의 주축이 되고 있다. 이 기술은 기업의 보안 도구를 자동화하고 통합하여 네트워크, 엔드포인트 또는 클라우드에 유입되는 위협을 식별하는 퍼널의 최상위에서 작동한다. 포레스터 리서치에 따르면 AI 기반 XDR은 위협 탐지, 조사, 대응, 헌팅을 실시간으로 최적화한다. 이러한 기능을 아웃소싱하는 경우, 이 서비스는 관리형 탐지 및 대응(MDR)이라는 명칭으로 불린다.
XDR이 필수적인 이유
AI 기반 XDR은 위협 인텔리전스 및 취약성 관리와 기업 네트워크에 대한 공격 방어를 위한 효과적인 도구다. 이러한 도구는 일반적으로 방화벽과 함께 사용되어 네트워크에 유입되는 위협을 식별하고 우선순위를 지정한다. XDR의 목표는 수동 확인 없이 99% 이상의 위협을 실시간(또는 거의 실시간)으로 차단하는 것이다.
XDR 제품 예시
팔로알토 네트웍스 코텍스 XDR(Cortex XDR)은 AI 기반 분석을 사용하여 위협에 대한 대응을 조정하는 동시에 기기 제어, 방화벽, 디스크 암호화와 같은 엔드포인트 보호 기능을 제공한다. 또한 안티바이러스 및 멀웨어 보호, ID 위협 탐지 및 대응, 포렌식, 심층 엔드포인트 원격 분석 기능을 제공하여 사전 위협 추적 작업을 지원한다.
센티넬원 싱귤래리티는 엔드포인트, 클라우드, ID 텔레메트리, 서드파티 데이터를 포함한 모든 소스를 데이터 레이크에 결합하여 분석할 수 있는 AI 기반 플랫폼이다. 안티 익스플로잇 및 안티 멀웨어 보호 기능을 제공할 뿐만 아니라 센티넬원 에이전트는 센티넬원 서버에서 지속적 위협 인텔리전스 업데이트를 능동•수동적으로 수신한다.
2. 다단계 인증
다단계 인증은 엔드포인트 보호를 위해 보편화된 사이버 보험 적용 자격 핵심 보안 제어다. MFA는 사용자가 계정이나 애플리케이션에 액세스하기 위해 인증 앱, 외부 보안 키, 휴대폰으로 전송된 코드, 생체 데이터 등 다양한 인증 방법을 제공하도록 요구한다. 적응형 MFA는 행동 데이터를 기반으로 사용자 상호 작용이 위험하다고 판단되는 경우에만 개입하는 접근 방식이다.
MFA가 필수적인 이유
MFA는 기존의 사용자 이름/비밀번호 로그인 모델보다 데이터를 보호하고 사용자를 인증하는 데 더 효과적인 방법으로 간주된다. 또한 보안 인증 및 사이버 보험 적용을 위한 기본 표준으로 빠르게 자리 잡고 있다.
MFA 제품 예시
옥타(Okta)의 오쓰0(Auth0)은 새로운 기기, 신뢰할 수 없는 IP 주소, 불가능한 지리적 로그인 시도 같은 특이점을 고려해 비정상적이거나 위험한 사용자 행동을 식별하는 적응형 MFA를 제공한다. 이러한 이벤트가 발생하면 추가 인증이 필요하다.
유비코 유비키(Yubico Yubikey)는 사용자를 인증하는 하드웨어 USB 기기다. 일부 버전은 키에 지문 패드를 추가하여 또 다른 보안 계층을 포함한다. 일회용 비밀번호, 공개 키 암호화, 인증, 범용 2단계 및 FIDO2 프로토콜을 지원한다.
3. 네트워크 액세스 제어(NAC)
NAC를 통해 기업은 네트워크에 액세스하려는 기기와 사용자에게 보안 정책을 적용할 수 있다. 누가 어디서 로그인을 시도하는지 식별하고, 사용되는 기기에 필요한 보안 패치, 바이러스 백신 소프트웨어 및 기타 제어 기능이 있는지 확인한 후 사용자에게 기업 자산에 대한 역할 기반 액세스 권한을 부여한다.
NAC가 필수적인 이유
기업 IT 인프라의 복잡성이 증가하고 규정이 끊임없이 변화함에 따라 네트워크에 연결되는 대상을 파악하고 액세스 규칙과 제어를 일관되게 처리할 수 있는 방법이 필요하다. 대부분의 NAC 공급업체는 직원 소유 스마트폰과 태블릿을 비롯한 모바일 기기의 사용 증가와 네트워크에 연결되는 IoT 기기의 증가에 대응하기 위해 제품을 조정했다.
NAC 제품 예시
시스코 ISE(Identity Services Engine)는 제로 트러스트 네트워크의 정책 결정 지점이다. 스택에서 인텔리전스를 수집하여 사용자와 엔드포인트를 인증하고 위협을 자동으로 차단한다. 신뢰할 수 있는 사용자와 기기만 네트워크의 리소스에 액세스할 수 있도록 허용한다.
포티넷 포티NAC는 기업이 네트워크 액세스 정책을 시행하고 보안 프로토콜 준수를 보장할 수 있도록 지원한다. 네트워크의 기기 및 사용자에 대한 포괄적인 스냅샷을 제공하여 역할, 기기 유형, 네트워크 위치, 기기 및 사용자의 행동 패턴을 기반으로 세분화된 액세스 제어를 용이하게 한다.
4. 데이터 손실 보호(DLP)
DLP 도구는 민감한 데이터가 실수로 또는 악의적으로 기업 외부로 전송되는 것을 방지한다. 이러한 도구는 네트워크 트래픽에서 신용카드나 주민등록번호와 같은 특정 특성이나 패턴과 일치하는 데이터 요소를 모니터링하고, 관리자에게 민감한 데이터가 네트워크 외부로 유출될 가능성이 있는 경우 알려준다. 현재 많은 DLP 제품이 클라우드에서도 데이터 유출을 방지하도록 설계되어 있다.
DLP가 필수적인 이유
DLP 도구는 해커가 기업의 방어를 통과할 경우 해커의 활동을 탐지할 수 있는 핵심 무기다. 또한 비정상적인 직원 행동을 경고하여 내부자 위협을 식별하는 데도 매우 중요하다. 데이터 손실에 대해 막대한 벌금을 부과하는 최근의 개인정보 보호 규정은 DLP 구축의 가치를 더욱 높인다.
DLP 제품 예시
브로드컴이 인수한 시만텍 데이터 손실 방지 솔루션은 엔드포인트, 클라우드 앱, 이메일 및 웹 통신을 통한 데이터 유출을 방지한다. 기업이 GDPR, HIPAA, PCI DSS와 같은 규정을 준수하는 데 사용할 수 있는 정책을 함께 제공한다.
2021년 파이어아이(FireEye)와의 인수 및 합병을 통해 트렐릭스의 일부가 된 맥아피 DLP는 광범위한 데이터 보호 및 암호화 기술 제품군의 일부다. 네트워크, 엔드포인트, 스토리지 시스템, 클라우드에서 데이터 유출을 방지한다. 또한 기업에서 자산을 인벤토리화하고, 분류되지 않은 데이터를 분류하고, 데이터에서 정책 위반 여부를 스캔할 수 있도록 지원한다.
5. 방화벽
방화벽은 관리자가 설정한 규칙을 사용하여 네트워크 트래픽을 필터링하여 멀웨어, 무단 로그인 및 기타 다양한 보안 위협에서 보호한다. 방화벽은 발신 IP 또는 IP 범위, URL, 트래픽이 향할 수 있는 포트 및 기타 기준에 따라 트래픽을 차단할 수 있다. 또한 위협 방지, 애플리케이션 위협 인식, DHCP 및 DNS 지원, 심층 패킷 검사, 애플리케이션 수준 트래픽 필터링, 침입 탐지 및 방지 기능도 수행한다.
방화벽이 필수적인 이유
최신 방화벽 제품은 단순한 경계 방어를 넘어 URL 및 첨부 파일 필터링, 패치 검색, 인라인 패칭 등 가장 큰 위험에 대한 클라이언트 측 보호를 강화하는 방향으로 발전해 왔다. 방화벽은 머신러닝(ML)과 AI를 사용하여 패턴과 이상 징후를 실시간으로 식별하고 대응을 자동화하여 잠재적인 피해를 완화한다.
방화벽 제품 예시
시스코 파이어파워 9300 시리즈 완전 통합형 방화벽 제품은 위협 방지, 위협 탐지, 애플리케이션 방화벽, 고급 멀웨어 보호 기능을 제공한다. 이 방화벽은 AI를 사용하여 워크플로우를 간소화하고, 잘못된 구성을 찾고, 규칙을 자동 생성하여 정책 관리를 간소화한다.
바라쿠다 클라우드젠(CloudGen) 방화벽은 온프레미스 및 멀티클라우드 배포를 위한 보호 기능을 제공한다. 여러 물리적 위치는 물론 애저, AWS, GCP에 배포할 수 있다. SQL 인젝션, 크로스 사이트 스크립팅, DoS 공격 등 광범위한 네트워크 위협, 취약성, 익스플로잇으로부터 실시간 네트워크 보호를 보장하는 기능을 제공한다.
6. 침입 방지 시스템(IPS)
IPS는 일반적으로 기업 방화벽 뒤에 배포되는 인라인 기술로, 트래픽 흐름을 검사하고 악성 데이터 패킷을 자동으로 삭제하며 위협을 완화하는 기타 사전 예방 조치를 취한다. 네트워크를 스캔하고 잠재적 위협을 보고하는 침입 탐지 시스템(IDS)의 기능을 통합하고 미리 설정된 규칙에 따라 자동으로 대응하는 기능을 추가한다.
IPS가 필수적인 이유
IPS는 트래픽에 대한 심층 분석을 수행하여 알려진 위협과 일치하는 패턴을 식별함으로써 방화벽 또는 기타 네트워크 방어를 보완한다. IPS를 사용하면 소스 주소에서 트래픽을 차단하고 연결을 재설정하여 응답 시간을 크게 단축하고 추가 피해를 방지할 수 있다.
IPS 제품 예시
스노트(Snort)는 악성 네트워크 활동을 정의하는 규칙을 갖춘 무료 오픈소스 네트워크 IDS 및 IPS이다. 이러한 규칙을 사용하여 일치하는 패킷을 찾아 관리자에게 경고를 보내고 인라인으로 배포하여 패킷도 차단할 수 있다.
솔라윈즈(SolarWinds)의 시큐리티 이벤트 매니저는 다양한 소스에서 로그를 수집하고, 데이터를 파싱하여 읽기 쉬운 공통 형식으로 변환하는 수백 개의 사전 구축된 커넥터를 제공하여 잠재적 위협을 조사할 수 있는 중앙 위치를 만든다. 시각화, 필터, 반응형 텍스트 기반 검색 등 필요한 로그의 범위를 빠르게 좁힐 수 있는 기능이 포함되어 있다.
7. ID 및 액세스 관리(IAM)
IAM은 기업이 시스템과 데이터에 대한 사용자의 액세스를 제어할 수 있도록 도와준다. 권한이 있는 개인이 적시에 적절한 엔터프라이즈 리소스에 액세스할 수 있도록 보장한다. 많은 IAM 제품이 기업 자산에 대한 역할 기반 액세스를 지원하고 있다.
IAM이 필수적인 이유
기업이 더 많은 애플리케이션과 데이터를 클라우드로 마이그레이션함에 따라 기존의 경계가 무너지고 경계 보호의 의미가 줄어들고 있다. ID가 새로운 경계가 되는 것이다. 따라서 네트워크에 접속하는 사람과 기기를 정확하게 인증하고 권한을 부여하는 기능이 필수적이다. 또한 IAM은 사이버 보험 적용을 위해 필요한 핵심 보안 제어 기능이다.
IAM 제품 예시
세일포인트 테크놀로지 아이덴티티IQ(SailPoint Technologies IdentityIQ)는 기업이 사용자와 사용자가 액세스하는 애플리케이션, 시스템, 데이터에 대한 가시성을 제공하도록 설계된 AI 기반 온프레미스 ID 거버넌스 플랫폼이다. 기업 시스템 및 데이터에 대한 액세스가 항상 기업 정책을 준수하도록 보장하는 기능을 통합한다.
IT 관리자는 오라클 클라우드 인프라 ID 및 접속 관리를 통해 사용자 그룹을 기반으로 특정 리소스에 대한 접속 규칙을 설정하여 클라우드 리소스에 접속할 수 있는 사용자를 제어할 수 있다.
8. 클라우드 액세스 보안 브로커(CASB)
CASB를 통해 기업은 클라우드 서비스에 액세스하는 사용자에게 보안 정책을 적용할 수 있다. 온프레미스 또는 클라우드에 배포할 수 있으며, 클라우드 서비스 업체와 사용자 사이에 배치할 수 있다. 인증, 권한 부여, SSO, 멀웨어 탐지 및 방지 등 다양한 보안 정책을 시행할 수 있다. 2021년에 출시되는 차세대 CASB는 머신러닝, 자연어 처리 및 기타 기술을 사용하여 기업이 SaaS 앱과 데이터를 보호할 수 있도록 지원한다.
CASB가 필수적인 이유
CASB는 기업이 클라우드 데이터와 애플리케이션을 보호하고 규정을 준수할 수 있도록 도와준다. 또한 여러 클라우드 애플리케이션에서 ID 및 인증을 관리하고 제로 데이를 비롯한 알려진 위협과 알려지지 않은 위협을 차단할 수 있다. 또한 CASB와 보안 액세스 서비스 엣지(SASE)를 단일 콘솔로 통합한다.
CASB 제품 예시
팔로알토 네트웍스 CASB-X는 프리즈마 액세스 및 차세대 방화벽(NGFW) 모두에 걸쳐 CASB의 모든 보안 구성 요소를 제공한다. CASB-X 라이선스는 단일 테넌트 환경의 클라우드 관리형 Prisma Access, 파노라마 관리형 Prisma Access, 파노라마 관리형 NGFW에 적용된다.
넷스코프 CASB(Netskope CASB)는 SaaS 사용 모니터링, 섀도 IT 관리에 특화되어 있으며 DLP 기능을 제공한다. 트래픽을 모니터링하고 최종 사용자 트래픽을 보호하며 클라우드 사용 및 관련 위험에 대한 가시성을 제공할 수 있다.
9. 안티멀웨어
안티멀웨어 도구는 종종 안티바이러스 소프트웨어와 혼동되는 경우가 많지만, 그 기능은 다소 다르다. 안티멀웨어 제품은 바이러스와 웜뿐 아니라 스파이웨어, 랜섬웨어, 트로이목마 및 기타 위협으로부터 기업을 보호한다. 엔터프라이즈급 안티멀웨어 도구는 독립형 안티바이러스 제품을 대체하고 있다.
안티멀웨어가 필수적인 이유
일반적인 컴퓨터 바이러스는 성가시기는 해도 가장 큰 위협은 아니다. 이제는 랜섬웨어와 크립토마이닝이 멀웨어를 통해 클라이언트 수준에서 시작되는 공격의 대부분을 차지한다. 기업은 이러한 최신 위협을 방어하기 위해 안티바이러스 및 안티멀웨어 기능이 필요하다.
안티멀웨어 제품 예시
노우비포(KnowBe4) 피싱 알림 버튼은 사용자가 클릭 한 번으로 이메일 위협을 보안 팀에 전달하여 사용자의 받은 편지함에서 이메일을 삭제하여 향후 노출을 방지할 수 있는 무료 도구다. 이 도구를 사용하면 사고 대응 팀이 멀웨어 패키지가 포함되어 있을 수 있는 의심스러운 이메일에 즉시 액세스할 수 있다.
크라우드스트라이크 팰콘 엔드포인트 프로텍션 엔터프라이즈(CrowdStrike Falcon Endpoint Protection Enterprise)는 차세대 안티바이러스 및 EDR, 관리형 위협 헌팅, 위협 인텔리전스 자동화 등 침해 차단에 필요한 기술을 단일 경량 에이전트를 통해 통합한다.
10. 모바일 위협 방어
모바일 위협 방어는 바이러스, 웜, 랜섬웨어, 피싱, 스파이웨어, 데이터 손실로부터 모바일 디바이스를 보호한다. 가트너는 이 카테고리에 속하는 제품이 애플리케이션 수준, 네트워크 수준, 기기 수준에서 모바일 디바이스를 보호해야 한다고 설명했다.
모바일 위협 방어가 필수적인 이유
거의 모든 기업이 네트워크에 연결되는 모바일 기기(기업 소유 기기 및 직원 소유 기기 모두)를 관리하는 데 어려움을 겪는다. 일반적인 EMM(엔터프라이즈 모빌리티 관리) 또는 MDM(모바일 디바이스 관리) 제품에는 모바일 위협 방어 도구로서의 보안 탐지 및 예방 기능이 없다. 이러한 기능이 없으면 모바일 기기는 해커가 네트워크에 액세스하는 경로가 될 수 있다.
모바일 위협 방어 제품 예시
완데라(Wandera)는 모바일 기기에 설치된 앱에서 멀웨어 또는 기타 악성 활동의 징후가 있는지 지속적으로 검사한다. 스캔 데이터와 수십억 개의 엔드포인트에서 수집한 데이터를 비교하여 위협을 식별한다. 또한 멀웨어 다운로드 시도, 피싱 시도 및 기타 위협으로부터 네트워크 수준에서 보호한다.
짐페리움 zIPS 모바일 침입 방지 시스템(Zimperium zIPS Mobile Intrusion Prevention System)은 기기, 네트워크, 애플리케이션 계층에서 모바일 공격에서 안드로이드 및 iOS 기기를 보호하는 IPS다. 모바일 기기의 악성 활동을 모니터링하고 ML을 사용하여 기기의 일반적인 동작에서 벗어난 부분을 분석한다.
11. 백업 및 재해 복구
백업 및 재해 복구는 모든 기업에 필수적인 보안 제어 전략이다. 로컬 백업부터 클라우드에 대한 에어 갭 서버 기반 백업에 이르기까지 다양한 옵션이 있다. 백업 및 재해 복구 계획은 랜섬웨어로부터 복구하는 데 필수적이지만, 복원을 수행하기 전에 복원할 이미지 또는 파일에 멀웨어나 랜섬웨어가 없는지 확인하는 것이 중요하다.
백업 및 재해 복구가 필수적인 이유
백업과 재해 복구는 모든 기업의 표준 작업의 구성 요소로 알려져 있지만, 클라우드의 베어메탈 복원(BMR)은 중소기업에게는 아직 생소할 수 있다. 복구 시 가장 중요한 고려 사항은 속도이며, 클라우드 기반 BMR 속도는 지난 몇 년 동안 크게 향상되었다. 안전한 암호화 백업도 사이버 보험 자격에 필요한 요소다.
백업 및 재해 복구 제품 예시
패로닉스 딥 프리즈 엔터프라이즈(Faronics Deep Freeze Enterprise)는 복원 버튼을 사용하여 재시작 시 복구를 지원하는 온프레미스 디스크 이미징 제품이다. 이 애플리케이션은 윈도우 및 맥 서버와 워크스테이션은 물론 엔터프라이즈 네트워크 엔드포인트도 지원한다. 오프프레미스 버전인 딥 프리즈 클라우드는 SaaS 제품이다.
액션트 x360리커버(Axcient x360Recover)를 사용하면 사용자가 액션트 클라우드의 D2C(Direct-to-cloud) 백업 스냅샷에서 BMR을 수행할 수 있다. BMR은 디스크 이미지를 사용하여 온프레미스 서버 또는 워크스테이션으로 복원한다. MSP에게 인기 있는 이 프로그램을 통해 사용자는 윈도우, 리눅스, 맥OS, VM웨어, 퍼블릭 클라우드 및 IaaS 모델에서 데이터를 보호할 수 있다.
12. 인시던트 대응 관리
사고 대응 관리 시스템은 데이터 침해를 식별하고 대응 팀이 사전 정의된 일련의 조치를 따라 데이터를 보호하고, 침해의 증거가 손상되지 않도록 하며, 모든 주요 이해관계자가 사고 대응에 적절히 참여하는 데 매우 중요하다.
인시던트 대응 관리가 필수적인 이유
기업의 업종에 따라 업계 또는 정부의 규정 준수 규정과 사이버 보험 정책 요건을 준수하기 위해 사고 대응 관리 시스템을 갖춰야 할 수도 있다. 이러한 시스템은 적절한 조치가 올바른 순서로 취해지고 규정 준수를 위한 모든 보고가 적시에 이루어지도록 설계되었다.
사고 대응 관리 제품 예시
EHS(인사이트EHSInsight) 사고 관리 모듈은 작업장 사고 보고 및 추적을 간소화하여 팀이 아차사고를 포함한 모든 유형의 사고를 처리할 수 있도록 지원한다. 모든 관련 기록을 중앙 집중화하여 사고 데이터를 더 쉽게 관리하고 분석할 수 있다. 결국 모든 사고가 데이터 유출로 이어지는 것은 아니기 때문이다.
코노피(Conopy)의 사고 대응 소프트웨어는 사고가 법적으로 '침해'로 간주되는지, 개인 식별 정보(PII) 또는 보호 대상 의료 정보(PHI)가 유출되었는지, 기업이 GDPR, HIPAA, FERPA 및 기타 데이터 개인정보 보호 규정에 의해 시행되는 엄격한, 협상 불가능한 통지 기한에 구속될 수 있는지 여부를 판단할 수 있다.
13. AI 인프라 보안
기업에서 AI가 점점 더 증가하고 있다. 비즈니스 워크플로우를 최적화하고 자동화하기 위해 대형 언어 모델(LLM) 같은 새로운 AI 도구를 도입하여 비즈니스 가치를 탐색하는 개념 증명을 시작하는 기업이 늘어나고 있다. 그러나 서둘러 AI를 도입하는 과정에서 보안 강화 관행을 건너뛰면 기업과 데이터가 새로운 취약성과 위협에 노출된다. 그 결과, 기업의 새로운 AI 인프라 및 전략의 보안과 거버넌스를 개선하는 데 도움이 되는 새로운 범주의 보안 도구가 등장하고 있다.
AI 인프라 보안이 필수적인 이유
AI는 기업의 생존을 위한 필수 요소가 되고 있으며, 기업은 데이터 유출 위험에 더 많이 노출된다. 또한, AI 애플리케이션의 자동화된 특성과 모델이 인사이트와 조치를 도출하는 방식이 모호하기 때문에 기업은 모델 조작에 노출되어 문제가 있는지도 모르는 결과물에 노출될 수 있다. 또한 AI 인프라 보안 도구는 중요한 비즈니스 데이터가 LLM에 주입되지 않도록 하고 비즈니스 사용자가 AI와 상호 작용할 때 규정된 거버넌스 지침을 따르고 있는지 확인할 수 있다.
AI 인프라 보안 제품 사례
칼립소AI(CalypsoAI)는 모든 사용례에서 AI 사용을 보호하고 규제 준수를 보장하도록 설계된 엔터프라이즈급 AI 보안 엔진을 출시했다. 이 엔진은 역할 기반 액세스 제어 및 권한을 사용하면서 개인 식별 정보와 지적 재산을 탐지하고 보호할 수 있다. 필터링 및 감사 도구를 사용하여 보호 대상 정보가 외부 대형 언어 모델에 입력되지 않도록 보호할 수 있다.
레이커라 가드(Lakera Guard)는 매우 정확하고 지연 시간이 짧은 제어를 통해 생성형 AI 애플리케이션을 보호한다. 즉각적인 인젝션 공격, 우회 공격, 직접 공격으로부터 LLM을 방어한다.
editor@itworld.co.kr