[데이터넷] 새로운 기술이 등장하면 해당 기술이 가져올 현상과 미래에 대해 많은 전망과 예상이 쏟아지면서 과대광고와 무성한 소문이 빠르게 퍼진다. 이후 신기술에 대한 소문과 거품이 가라앉고 나서야 비로소 기술의 본질적인 가치가 드러나고, 이후 산업적 대중화가 이뤄진다.

이러한 흐름을 읽기 위해 가트너는 주목할 만한 신기술을 선정하고 기술의 수명주기를 분석한 하이프 사이클(Hype Cycle) 모델을 제안한다. 하이프 사이클은 과거와 비교해 진화 혹은 퇴화된 기술을 가늠하고, 향후 선택, 집중해야 할 기술들을 파악하는 데 도움을 받을 수 있으며, 특히 IT 분야에서는 이를 다양한 기술에 대한 미래 예측의 근거로 활용하고 있다.

본고에서는 하이프 사이클 모델을 사이버 보안 분야에 적용시킨 ‘2023년 보안 운영 하이프 사이클(Hype Cycle for Security Operations, 2023)’에 포함된 기술들과 사이버 보안 분야에서 나타날 기술 흐름의 변화에 대해 알아보고자 한다. |김승진 이글루코퍼레이션 전임컨설턴트|

거품이 꺼지면 기술력 드러난다

가트너의 하이프 사이클 모델을 정리해 보면, 신기술 등장과 이를 개발한 기술 업체의 과장, 언론의 관심, 대중의 과잉 기대가 합쳐져 초기에 지나치게 큰 환상이 형성된다. 그 후 실망감으로 인해 언론과 대중들의 관심이 사라지고, 어느 정도 시장의 구도가 갖춰지면 다시 관심을 받고, 본격적으로 해당 기술이 시장에 보급된다.

'하이프 사이클'의 하이프(Hype)는 ‘과장된’, ‘부풀려진’, ‘환상’이라는 뜻으로, 하이프 사이클은 ‘과장 주기’ 정도로 번역할 수 있다. 하이프 사이클을 구성하는 요소 중 가로축(Time)은 기술의 성숙도를 나타내는 ‘시간’을 뜻하고, 세로축(Expectations)은 시장이 기술에 대해 갖는 ‘기대치’를 뜻한다. 그리고 하이프 사이클의 곡선은 신기술에 대한 시장의 기대와 기술이 성숙해가는 ‘과정’을 나타내며, 가트너는 이를 5가지 단계로 구분하고 있다.

발생기(Innovation Trigger): 신기술 부상 단계. 잠재적 기술이 관심을 받기 시작하는 시기로 초기 개념 증명 내용과 미디어의 관심이 대중화된다. 하지만 초기 단계의 가설과 같은 개념적 모델과 미디어의 관심이 대중의 관심을 불러일으켜 시장의 기대는 높지만, 아직 상용화된 제품은 없고, 상업적 가치도 증명되지 않은 상태이다. 즉 미디어에서 신기술이 세상을 바꿀 것이라고 이야기하고 대중들이 관심을 가지는 시기를 말한다.

버블기(Peak of Inflated Expectations): 신기술에 대한 기대가 폭발적으로 성장해 정점에 달하는 단계. 초기 미디어의 관심이 일부의 성공 사례와 다수의 실패 사례를 양산한다. 일부 기업은 실제 사업에 착수하지만 혁신의 한계에 도달하면서 많은 실패 사례가 발생한다. 대부분의 조직과 기업들은 관망하는 시기이다.

환멸기(Through of Disillusionment): 신기술에 대한 관심이 정점을 찍은 후, 대중의 관심이 식어가는 단계다. 대부분의 실험과 구현이 결과물을 내놓는데 실패함에 따라 관심이 시들해지는 시기다. 이때 제품화를 시도한 주체들은 크게 쇄신하거나 실패하며, 살아남은 주체들이 소비자를 만족시킬 만한 제품의 향상에 성공한 경우에만 투자가 지속된다.

계몽기(Slope of Enlightenment): 살아남은 일부 기술만 성숙 단계로 진입해가는 단계)다. 기술이 어떻게 조직과 기업에 이익을 줄 수 있는지에 대한 사례가 더 많이 구체화되고 널리 이해되기 시작된다. 2~3세대 제품들이 출시되고 더 많은 조직과 기업들이 사업에 투자하기 시작하나, 보수적인 기업들은 여전히 유보적인 입장을 취한다.

안정기(Plateau of Productivity): 계몽기를 지나 살아남은 기술들이 대중적으로 확산되는 단계. 기술의 실제 이점이 입증됨에 따라 시장의 주류로 자리 잡기 시작하며, 이를 도입하는 조직의 수도 크게 증가한다. 사업자의 생존 가능성을 평가하기 위한 기준 그리고 기술의 폭넓은 시장 적용성과 관련성이 명확해진다.

2023년 보안 운영 하이프 사이클

하이프 사이클 모델을 바탕으로 가트너는 24개의 사이버 보안 분야의 기술이 포함된 ‘2023년 보안 운영 하이프 사이클’을 발표했다.

가트너는 보안 운영 하이프 사이클 보고서를 통해 가장 먼저 보안·위험 관리(SRM) 리더들이 변화하는 보안 환경에 대응하기 위해 하이프 사이클에 포함된 기술들을 바탕으로 비즈니스 위험에 중점을 둔 전략(로드맵)을 개발해야 한다고 전했으며, 다음과 같은 4가지 요소를 포함시켜야 한다고 강조했다.

• 지속적인 위협 노출 관리(CTEM) 개념을 구현해야 함
• 비즈니스 관련 접근 방식을 적용해 탐지, 대응의 범위와 관련성을 개선
• 응답 시간 단축을 위한 자동화 극대화
• 운영 효율성 향상, 기술 강화를 위해 생성형 사이버 보안 AI를 활용

보안운영 하이프사이클에 포함된 기술

가트너는 2023년 보안 운영 하이프 사이클에 선정된 기술(보안 운영 기술·서비스)이 증가한 공격 표면 속에서 위협·취약성 노출을 식별, 사이버 공격으로부터 IT·OT 시스템, 클라우드 워크로드, 애플리케이션, 기타 자산 등을 보호할 수 있다고 전했다. 동시에 SRM 리더들은 선정된 기술들을 활용해 보안 운영(SecOps)의 기능을 전략화해 제공할 수 있다고 강조했다.

● 발생기(Innovation Trigger)

사이버 보안 메시 아키텍처(CSMA): CSMA는 전반적인 보안 효율성을 향상시키는 구성 가능한 분산 보안 제어를 설계하기 위한 새로운 접근 방식을 말한다. 구성 가능하고 독립적인 보안 모니터링, 예측 분석, 선제적 시행, 중앙 집중식 인텔리전스, 거버넌스, 공통 ID 패브릭을 강조하는 안전한 중앙 집중식 보안 운영, 감독을 가능하게 하는 접근 방식을 제공한다.

생성형 사이버 보안 AI: 퍼블릭 또는 프라이빗 호스팅 클라우드 서비스로 제공되거나 보안 관리 인터페이스와 함께 내장될 수 있으며, 조치를 취하기 위해 소프트웨어 에이전트와 통합할 수 있다. 기존 워크플로우를 개선하고, 조직의 보안 구성과 실제 공격 데이터 등을 생성해 높은 수준의 보안 역량을 구축할 수 있다.

자동화 보안 제어 평가(ASCA): ASCA는 엔드포인트 보호, 네트워크 방화벽, ID, 이메일 보안, 보안 정보, 이벤트 관리 등의 잘못된 구성 분석, 수정에 중점을 두어 기업 보안 상태를 개선한다. 독립 실행형 도구이거나 방화벽, ID 위협 탐지, 대응, 네트워크 보안 정책 관리, 클라우드 인프라 자격 관리와 같은 다른 보안 제품의 기능일 수 있다.

노출 관리(EM): 조직이 지속적이고 일관되게 가시성을 평가하고 조직 디지털 자산의 접근성과 취약성을 검증할 수 있도록 하는 일련의 프로세스와 기술을 포함한다. 빠르게 확장되는 공격 표면으로 인해 기존의 취약성 관리로는 충분하지 않은 조직에 존재하는 위협 노출의 목록을 작성하고, 우선순위 지정과 검증 등을 통해 문제를 감소시킨다.

자동화 침투 테스트, 레드팀 구성: 자동화 침투 테스트, 레드팀 구성이 노출·공격 표면 검증에 중요한 역할을 한다. 많은 조직이 규정 준수 요구 사항에 따라 의무가 있는 경우에만 테스트를 진행하며, 자동화가 증가하면 더 자주 신뢰할 수 있는 평가가 이뤄지고 소요되는 시간이 줄어들어 효율성과 신뢰도 높은 결과를 생성할 수 있다.

사이버 물리 시스템 보안(CPS Security): CPS는 물리적 세계와 상호 작용하기 위해 탐지, 계산, 제어, 네트워킹, 분석을 조율하는 엔지니어링 된 시스템을 말한다. 산업제어시스템(ICS), 감독 제어와 데이터 수집(SCADA), 운영기술(OT), 사물 인터넷(IoT), 산업용 IoT 등이 포함된다. CPS 보안은 증가하는 위협에 직면해 CPS가 안전하고 안정적이며 복원력을 유지하도록 보장하는 전반적인 규율까지 다룬다.

사이버 자산 공격 표면 관리(CAASM): 보안 팀이 자산 가시성, 노출 문제를 극복할 수 있도록 지원하는 데 중점을 둔다. 엔드포인트, 서버, 장치와 같은 자산의 하위 집합을 수집하는 다른 제품에서 자산 가시성을 집계, 이를 통해 보안 팀은 모든 디지털 자산에서 보안 제어 격차, 보안 태세, 자산 노출 등을 찾아 보안 상태를 개선할 수 있다.

서비스형 모의 침투 테스트 서비스(PTaaS): 모의 해킹을 통해 시스템에 존재하는 보안 취약점을 발견하고 수정하는 구독 기반 모델을 말한다. 취약성 검색, 애플리케이션 보안 테스트를 보완하고 침투 테스트 결과의 비용 최적화, 품질 개선과 취약성 상태 검증을 제공하며, 이를 통해 조직은 지속적인 평가를 통해 보안 태세를 향상시킬 수 있다.

신원 위협 탐지와 대응(ITDR): ID 인프라를 보호하는 것이 매우 중요한데, 계정과 ID 인프라가 손상되거나 권한이 잘못 설정되면 공격자가 시스템을 제어할 수 있다. ID 인프라 자체를 공격으로부터 보호하는 도구와 모범 사례 등을 포함하는 분야로, 위협을 차단, 탐지하고, 관리자 상태를 확인하고, 다양한 유형의 공격에 대응하고, 필요에 따라 정상 작동을 복구시킨다.

외부 공격 표면 관리(EASM): 인터넷에 연결된 기업 자산, 시스템과 관련 노출을 검색하기 위해 배포된 프로세스, 기술, 관리 서비스를 말한다. 인터넷 연결 자산을 식별하는 동시에 발견된 취약점, 관련 위협의 우선순위를 지정하는 데 도움을 주며, 위협 행위자에게 노출된 공개 도메인의 디지털 자산과 관련된 위험 정보를 제공한다.

● 버블기(Peak of Inflated Expectations)

디지털 포렌식, 사고 대응(DFIR): 규제 벌금, 법적 비용, 소송, 브랜드 평가 절하, 고객 이탈 등 조직의 사고 대응 능력을 선제적, 사후 대응적으로 강화하기 위한 전략적 투자로, 조직의 침해사고 대응(IR) 계획에서 DFIR 서비스가 점차 중요해지고 있다. DFIR은 고객이 잠재적인 보안 침해에 대응할 수 있도록 하는 다각적인 서비스로 제공된다.

XDR: 통합 보안 사고 탐지, 자동화된 대응 기능을 제공한다. 내부 기술 세트의 필요성을 줄이고 복잡한 솔루션을 운영하는데 필요한 직원을 줄일 수 있으며, 단일 중앙 집중식 조사, 대응 시스템을 통해 보안 운영 작업과 관련된 시간과 복잡성을 줄이는 데 도움이 된다.

침해, 공격 시뮬레이션(BAS): BAS 기술을 사용해 조직은 측면 이동, 데이터 유출과 같은 위협 벡터의 지속적인 테스트를 자동화해 보안 태세의 약점을 파악할 수 있다. BAS 평가를 통해 조직은 구성 오류로 인한 보안 상태의 차이를 탐지하거나 예정된 보안 투자의 우선순위 재평가를 가능하게 한다.

● 환멸기(Trough of Disillusionment)

디지털 위험 보호 서비스(DRPS): 브랜드 보호, 제3자 위험 평가, 외부 위협 발견을 가능하게 하고 식별된 위험에 대한 기술적 대응을 제공하는 일련의 기술 주도 서비스를 말한다. 표면 웹(Web), 다크웹(Dark Web), 딥웹(Deep Web), SNS 등에 대한 가시성을 제공해 중요한 자산에 대한 잠재적인 위협을 식별하고 위협 행위자, 악의적인 활동을 수행하는 전술, 프로세스에 대한 상황 정보를 제공한다.

관리형 보안 정보, 이벤트 관리 서비스: 클라이언트 소유 SIEM 솔루션의 원격 관리, 모니터링 기능 등을 제공한다. 여러 조직에서 SIEM을 도입하고 있으나 이를 효과적으로 운영하는 데 어려움을 겪는 경우가 있다. 매니지드 SIEM 서비스는 탐지 콘텐츠·보고의 생성, 조정, 유지 관리, 보안 문제에 대한 간단한 조사와 같이 간과된 영역에서 가치를 제공한다.

취약점 우선순위 지정 기술(VPT): 인텔리전스 소스, 분석, 시각화를 사용해 다양한 취약성 원격 측정 소스를 단일 위치로 간소화하고 중요한 수정·완화 활동을 가장 잘 수행하는 방법에 대한 우선순위가 지정된 실용적인 권장 사항을 효율적으로 제공한다. 보안 사고, 위반이 증가함에 따라 많은 조직에서 효과적인 취약점 관리 프로그램을 구현하기 위해 VPT 솔루션을 채택하고 있다.

관리형 탐지, 대응(MDR) 서비스: 대부분의 조직은 자체적으로 보안운영센터(SOC) 기능을 구축, 실행하기 위한 리소스와 예산 또는 욕구가 부족하다. 이러한 고객들을 위해 MDR 서비스는 SOC 기능을 원격으로 제공한다. 이를 통해 조직은 위협 중단, 억제를 통해 신속하게 탐지, 분석, 조사하고 능동적으로 대응할 수 있다.

보안 운영·위협 대응 자동화 솔루션(SOAR): 가트너는 SOAR를 사고 대응, 오케스트레이션, 자동화, 위협 인텔리전스(TI) 관리 기능을 단일 솔루션에 결합한 솔루션으로 정의한다. SOAR는 유연하며 다양한 보안운영센터(SOC), 광범위한 보안 운영(SecOps) 사용 사례에 적용할 수 있으며, SOAR를 활용한 위험 관리 사례는 지속적으로 등장하고 있다.

운영기술(OT) 보안: 운영기술(OT)에는 산업용 장비, 자산, 프로세스, 이벤트를 직접 모니터링 또는 제어해 변화를 탐지하는 하드웨어, 소프트웨어가 포함된다. OT 환경을 노리는 사이버 위협과 보안 솔루션이 증가함에 따라 한때 네트워크 중심 도구가 대부분이었던 일반적인 OT 보안 범주가 현재 다양한 범주로 진화하고 있다. 가트너는 OT 보안이 CPS 보안의 범주로 포함되고 있다고 설명한다.

● 계몽기(Slope of Enlightenment)

위협 인텔리전스(TI) 제품과 서비스: 사이버 위협과 위협 행위자를 프로파일링해 조직이 자체 위협 인텔리전스(TI)를 집계, 수집, 큐레이팅, 운영하고 잠재적으로 외부 엔터티와 공유할 수 있도록 지원하는 도구를 제공한다. TI는 조직이 위협 환경에 대한 가시성을 유지하고 위협이 조직에 나타나기 전, 중, 후에 적용할 수 있는 시기 적절하고 정확하며 실행 가능한 통찰력을 구축할 수 있는 수단을 제공한다.

네트워크 탐지 및 대응(NDR): 행동 분석을 네트워크 트래픽에 적용해 비정상적인 시스템 행동을 탐지한다. NDR의 핵심인 기계 학습 알고리즘은 다른 검색 기술에서 종종 놓치는 네트워크 트래픽 이상을 발견, 검색하는데 도움을 준다. 하드웨어, 소프트웨어 또는 SaaS 관리 콘솔로 제공될 수 있다. 조직은 NDR을 사용해 랜섬웨어 또는 내부자의 악의적인 활동과 같은 침해 활동을 탐지하고 억제할 수 있다.

엔드포인트 탐지 및 대응(EDR): 시스템, 프로세스, 사용자 활동을 분석해 보안 위협을 탐지하며 알려진 멀웨어, 랜섬웨어를 탐지하는 것은 물론, 알려지지 않은 위협을 발견하고 해결하는데 도움을 준다. EDR 기능은 종종 엔드포인트 보호 플랫폼(EPP)에 포함되며, 중앙집중식 클라우드 기반 보안 분석, 관리 소프트웨어에 연결된 소프트웨어 에이전트로 제공한다.

●안정기(Plateau of Productivity)

SIEM: 온프레미스, 클라우드 환경에서 보안 이벤트 데이터를 집계하고 분석하는 보안 시스템으로, 조직에 피해를 입히는 문제를 완화하고 규정 준수, 보고 요구 사항을 충족하기 위한 대응 조치를 지원한다. 가시성을 중앙 집중화하기 위해 다양한 환경의 데이터를 집계하고 정규화하는 것은 효과적인 보안 프로그램의 핵심 요소다. SIEM은 보안 이벤트를 식별, 우선 순위 결정, 조사하고 대응 작업을 실행하며 현재, 과거 보안 이벤트에 대해 보고하는 조직 기능을 지원한다.

취약성 평가(VA): 온프레미스, 클라우드, 가상 환경에서 작동해 노출을 줄이는데 도움을 주며, 컴플라이언스 보고, 제어 프레임워크, 위험 평가, 개선 우선 순위 지정, 개선 활동을 지원한다. VA는 취약성 관리(VM) 프로세스의 기본 구성 요소로, 인프라 강화, 보안 태세 관리, 사전 예방적 위협 방지, 규정, 규정 준수 체계를 지원하며, IT에 대한 위험을 줄이는데 도움이 되는 디지털 자산, 관련 보안 취약점의 검색, 열거를 위한 기본 프로세스를 지원한다.

보안 운영 하이프 사이클의 변화

올해 보안 운영 하이프 사이클에는 ▲생성형 AI 사이버보안 ▲보안 제어 평가 자동화(ASCA) 등 2가지 기술이 신규로 추가됐다. 이 중 챗GPT와 같은 생성형 AI를 사이버 보안 분야에 접목시킨 생성형 AI 사이버보안은 자동화된 워크플로우를 개선하는 등 보안 분야에서 잠재력을 지닌 것으로 판단되어 보안 운영 하이프 사이클에 처음으로 등장했다.

지난해 보안 운영 하이프 사이클에 포함된 ▲데이터 디스커버리와 관리 ▲CASB는 제외됐다. 가트너는 CASB는 보안 웹 게이트웨이(SWG), 제로 트러스트 네트워크 아키텍처(ZTNA)와 함께 보안 서비스 에지(SSE)의 기능으로 통합돼 이번 보안 운영 하이프 사이클에서 제외시켰다고 설명했다.

보안 운영 하이프 사이클에 또 하나의 큰 변화가 발생했는데, 바로 발생기(Innovation Trigger) 단계에 포함된 기술이 증가했다는 점이다. 발생기 단계에 포함된 기술은 지난해 8개에서 올해 10개로 증가했는데, 이에 대해 가트너는 공격 표면의 복잡성을 극복해야 한다는 시장의 요구를 나타낸다고 설명했다. 특히 EM, EASM, PTaaS, 자동화 침투 테스트와 레드 팀 구성, ASCA, ITDR 등의 기술이 디지털 자산 전체에서 공격 표면 노출을 지속적으로 발견하고 평가해 궁극적으로 조직의 공격 표면 노출 감소에 도움을 줄 것이라고 전했다.

사이버 보안 분야에서 가장 주목받는 기술들

가트너는 사이버 보안 분야의 다양한 기술 가운데 BAS, DRPS가 가장 주목받고 있다고 설명했다. 이러한 기술은 내부, 외부에서 지속적인 위험 평가, 위협 식별을 제공하는 것을 목표로 한다. XDR, DFIR이 버블기 단계에 포함됐는데, 이를 두고 가트너는 위협 탐지, 대응 준비에 대한 시장의 수요가 증가하고 있다는 것을 의미한다고 전했다.

생성형 사이버 보안 AI가 보안 운영 하이프 사이클에 처음으로 등장했다는 것은 시장의 많은 주목을 받고 있다는 것을 의미한다. 이와 관련해 가트너는 아직까지 생성형 사이버 보안 AI의 대부분이 테스트(실험) 기능으로 제공되고 있으나, 위협 탐지, 대응, 위협 인텔리전스, 노출 관리 기능 등은 이미 테스트가 완료됐다고 분석했다. 해당 기술을 구현하려는 SRM 리더들은 조직이 이러한 기능을 어떻게 소비하고 구축할 것인지 고려하고, 매커니즘을 통해 활용률을 감시해야 한다고 설명했다.

우선순위 매트릭스로 혜택 큰 기술 파악

가트너는 어떤 기술이 가장 빠르게 비즈니스 현장에서 활용될 수 있고, 또 어떠한 기술이 가장 큰 혜택을 가져올 것인지에 대한 인사이트를 한눈에 파악할 수 있도록 도와주는 우선 순위 매트릭스를 제공한다.

우선 순위 매트릭스의 가로축은 시장의 주류에 도달하기까지 소요되는 시간을 뜻하며, 세로축은 혜택(Benefit)을 의미한다. 조직이나 기업은 보안 운영 서비스와 기능 등에 투자하기 전에 어떠한 분야에 집중해야 하고, 얼마만큼의 예산을 지출해야 하는지에 대해 쉽게 식별할 수 있다.

가트너는 보안 운영에 부합하는 기술과 서비스가 조직이나 기업에게 즉각적인 혜택을 제공하는 경우는 거의 없다며, 이를 효과적으로 활용하기 위해서는 반드시 조직에 알맞은 프로세스를 구축해야 한다고 강조했다.

가트너의 보안 운영 하이프 사이클만으로는 증가하는 공격 표면에 대응하기 위해 개별 조직이 정확히 어떠한 기술 바탕으로 보안 운영 기능을 고도화시켜야 하는지에 대한 정답을 얻기는 어려울 것이다.

다만 이를 통해 개별 조직에서 보안 운영 기능과 서비스 등에 투자하기에 앞서 어떠한 분야에 얼마만큼의 예산을 지출해야 하는지에 대한 인사이트를 획득할 수 있는 만큼, 이를 활용해 개별 조직에서는 향후 더욱 증가할 공격 표면에 대응할 수 있는 프로세스를 구축할 수 있을 것으로 기대된다.