맨디언트 인텔리전스 결합해 최신 위협 대응
[데이터넷] 클라우드에 많은 피해를 입히는 것이 크립토마이닝과 랜섬웨어다.
클라우드 리소스를 무단으로 사용해 암호화폐를 채굴하는 크립토마이닝은 클라우드 리소스 사용 현황을 세밀하게 모니터링하지 않으면 쉽게 발견할 수 없다. 구글 클라우드의 ‘2024년 1분기 위협 지형’ 보고서에 따르면 클라우드 인증정보를 도용한 공격자의 3분의 2가 크립토마이닝을 통해 수익을 얻었다.
크립토마이닝을 포함한 악의적인 행동은 랜섬웨어로도 이어진다. 공격자는 다양한 방법을 사용해 침입하며, 중요 정보를 유출하고, 데이터를 암호화한 후 유출한 데이터를 공개하거나, 규제준수 위반으로 신고한다면서 협박한다. 공격 자체로 인한 피해뿐만 아니라 기업의 신뢰를 잃게하는 등의 추가 피해도 발생한다.
구글 클라우드 시큐리티(맨디언트)의 스티브 레드지안(Steve Ledzian) 아태지역 부사장 겸 최고기술책임자(CTO)는 “크립토마이닝, 랜섬웨어, 기타 클라우드 상에서 발생하는 다양한 위협에 효과적으로 대응하기 위해 구글 클라우드 시큐리티는 보안운영(SecOps)과 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)을 통합한 ‘SCC 엔터프라이즈’를 출시했다. SCC 엔터프라이즈는 멀티 클라우드의 파편화된 위협 상황을 단일 콘솔에서 관리해 클라우드를 보다 효율적으로, 안전하게 운영할 수 있게 한다”고 말했다.
SCC 엔터프라이즈를 활용한 사례를 설명하면, 케이스가 발생했을 때, 개발·관리·보안팀이 협력해서 해당 케이스를 분석해 근본원인을 파악하고 빠르게 대응할 수 있다. 클라우드 보안 상태나 유출된 사용자 인증 정보, 노출된 데이터, 잠재적인 위협 활동을 식별하고 SecOps에서 즉시 대응할 수 있다. 더불어 내장형 복구 기능이 통합돼 있어 랜섬웨어 등으로 인한 서비스 중단 피해시에도 즉시 복구할 수 있다.
카일 터너(Kyle Turner) 구글 고객 엔지니어링 및 보안 영업 부문 사장은 “구글 클라우드는 속도와 효율성을 개선해 고객의 클라우드 운영을 효율화하는 것을 가장 중요한 목표로 삼고 있다. SCC 엔터프라이즈는 개별 조직이 사용하는 툴을 이용해 식별한 파편화된 데이터를 통합하고 분석해 즉각적인 최적의 대응이 가능하도록 지원한다”고 설명했다.
클라우드 보안 관리 워크플로우 통합
구글 클라우드는 SecOps와 CNAPP을 통합해야 하는 이유로 ‘멀티 클라우드의 복잡성’을 들었다. 멀티 클라우드를 운영하는 조직은 CNAPP을 사용하고자 하는데, SecOps는 대부분 온프레미스 환경에서 운영되고 있기 때문에 CNAPP에서 발견한 위협을 보안운영팀과 함께 해결하는 것이 어렵다.
SCC 엔터프라이즈는 구글 클라우드가 자체적으로 축적해 온 보안 기능과 맨디언트의 위협 인텔리전스, 그리고 AI를 활용해 멀티 클라우드의 중단없는 보안 운영이 가능하도록 한다. AWS, 애저도 지원해 멀티 클라우드 보안운영의 복잡성을 줄인다.
보안팀은 SCC 엔터프라이즈를 활용해 ▲조직의 보안 상태 ▲잠재적인 위협 활동 ▲클라우드 사용자 인증 정보 및 데이터 등을 파악할 수 있다. 위협 대응 프로세스를 정립하고 클라우드 보안 위험 관리를 위한 모든 워크플로우를 통합해 문제 해결의 책임을 명확히 규명할 수 있다.
구글 보안 패브릭 기반으로 구동
SCC 엔터프라이즈는 구글 보안 패브릭을 기반으로 구동돼 통합 효과를 한층 높인다. 이 시스템은 클라우드 환경에서 발생하는 방대한 데이터를 수집하고 분석한다. 그리고 수집한 데이터를 기반으로 멀티 클라우드 환경의 복잡한 연결 관계를 한눈에 보여주는 그래프를 생성한다. 또한 커스터마이징 가능한 플레이북을 제공해 조직의 특수성에 맞는 보안 대응을 가능하게 한다.
또한 디지털 트윈 모델을 만들어 지속적인 위험 분석 엔진을 제공하며, 클라우드 내 서로 연결된 구성 요소 간의 복잡한 관계를 이해할 수 있게 한다. 이 엔진은 가상머신, 컨테이너, 네트워크, 데이터 저장소 등 클라우드 환경의 모든 요소로 구성한 디지털 트윈 환경을 만든다. 그리고 공격 시뮬레이션을 수행해 해커가 어디를 공격할 수 있는지, 어떤 클라우드 자원이 취약한지, 공격에 성공하면 어떤 영향을 받을지 예측한다.
시스템은 이를 참조해 공격 경로를 시각화하고, 위험 수준을 평가해 보안팀에게 관련 정보를 제공한다. 이 정보를 바탕으로 보안팀은 위협 탐지 및 침해 대응 전략을 수립할 수 있다. 더불어 위험 분석 엔진은 여러 클라우드 서비스의 특성을 고려해 각 환경에 맞는 위험 요소를 발견하고 분석해 보안팀이 멀티 클라우드에 맞는 전략을 수립할 수 있도록 지원한다.
맨디언트 헌팅 기능 이용해 보안 강화
SCC 엔터프라이즈는 맨디언트의 위협 인텔리전스를 통합해 새롭고 특이한 공격을 자동으로 식별하고 방어할 수 있는 기능도 제공한다. 이 외에도 보안 전문가부터 경험이 적은 보안팀 담당자 모두가 간소화된 방식으로 보안 운영을 할 수 있도록 생성형 AI 기술도 적용했다. 보안팀은 생성형 AI 기능으로 복잡한 보안 문제를 조기에 식별하고 관련 위협이 무엇인지 이해하며 조사 및 문제 해결 과정에서 도움을 받을 수 있다.
또한 맨디언트 헌트(Mandiant Hunt)와 통합돼 보안팀의 기능과 역할을 강화한다. 이를 통해 보안팀은 온디맨드 방식으로 맨디언트의 인적 자원과 노하우를 활용할 수 있다. 맨디언트 헌트는 보안팀이 수백 명에 이르는 업계 최고 수준의 분석가와 연구원의 도움을 받고 보안을 우회하는 교묘한 위협을 찾을 수 있도록 지원한다.
모든 조직은 보안 조직의 규모와 상관없이 맨디언트 헌트의 인적 자원과 전문 지식을 활용해 조기에 위협을 탐지할 수 있는 역량을 확보할 수 있다. 즉 숙련된 보안 전문가를 채용하거나 보안 도구 투자를 늘리지 않고도 기술 격차를 해소할 수 있다.
구글의 최신 보안 운영 기능을 제공하는 플랫폼을 기반으로 하는 SCC 엔터프라이즈는 매일 수십억 건의 보안 이벤트를 처리하는 구글의 방대한 데이터 처리 능력과 전 세계 곳곳에 위치한 데이터센터 인프라를 활용해 고객의 멀티 클라우드 환경을 보호한다.
SCC 엔터프라이즈는 취약성, 잘못된 구성 및 보안 위협을 자동으로 분석한다. 분석한 위협들은 보안 분석가가 조사를 할 수 있도록 사례(case)로 지정된다. 사례에는 기본으로 제공하는 플레이북이 연결돼 있어 예방 및 복구 작업을 자동화할 수 있다. 분석가는 상황에 맞게 플레이북을 활용하거나 직접 조처를 할 수 있다. SCC 엔터프라이즈는 클라우드 보안팀과 보안 운영 팀을 하나의 플랫폼으로 통합한다. 이를 통해 다양한 기술 분야 전문가들이 보안 위험에 빠르게 대응하기 위한 협업을 원활히 할 수 있다.
