EDR, NDR, NTA 업체들 대거 참여해 Demo 세션 발표 진행
RSA 컨퍼런스 ‘2019 AP&J(RSA conference 2019 Asia Pacific & Japan)’가 싱가포르 마리나 베이 샌즈에서 열렸다.
개막날, RSA 회장(Rohit Ghai)과 부회장(Holly Rollo)은 Opening Keynote에서 'The New why of Cybersecurity'라는 주제로 급속도로 변해가는 사이버 보안과 점점 복잡해지는 시장 상황 그리고 이에 맞추어 솔루션도 빠른 속도로 변화가 필요하다고 발표했다.
이런 시장 변화의 흐름에 따라 올해 RSA는 새로운 기술을 도입한 솔루션 업체들이 대거 참여하였다. AI, Bigdata, Data Science 등 그동안 도입 예정으로만 남았던 많은 기술들이 실제적으로 상품화되었으며, 이러한 새로운 솔루션들의 사용자 편의성을 위한 솔루션도 선보였다.
신기술의 도입에 따라 보안 솔루션은 단순히 악성코드나 해킹을 막는 행위를 벗어나서 이를 효율적으로 분석하고, 수집된 로그들을 통합하여 사용자에게 시각화하여 보여주는 기능을 갖게 되었다. 특히 EDR(Endpoint Detection & Response) 업체들과 NDR(Network Detection & Response), NTA(Network Traffic Analysis) 업체들이 대거 참여하여 자사 솔루션에 대한 Demo 세션 발표를 진행하였다.
전시 참가 부스들을 돌아보면서 가장 많이 눈에 들어오는 부분은 'EDR', 'MDR(Managed Detection&Response)'과 '통합 솔루션 로그 관리' 솔루션 업체들의 참여이다. SiCyber는 EDR 솔루션과 Managed Security 서비스를 결합한 MDR 서비스와 Firewall Management 서비스를 소개했다. ManageEngine는 업체 역시 모바일을 포함한 Endpoint Agent 관리 서비스를 전시했다.
한편 방화벽 업체나 Network Appliance 업체들의 참여는 기존보다 많이 줄어들었으며 이번 RSA에서도 눈에 띄는 차별성을 보이지 않았다. 세계적인 보안 트렌드가 점차 Network 중심에서 Endpoint 중심으로 바뀌어 가면서 많은 업체들은 Endpoint에서 동작할 수 있는 다양한 보안 기능에 중점을 뒀으며, 특히 다양한 보안 이슈들이 많은 Endpoint를 관리하는 것에 대해 강조하였다. 따라서 특정 솔루션이 '얼마나 잘 탐지하고 차단하는가'보다 Endpoint에서 사용하고 있는 솔루션들을 '얼마나 잘 관리하느냐'를 더 중요하게 여기고 있었다.
MDR 서비스는 기존의 보안 관제(MSS)에서 더 발전한 개념으로, 외부의 전문 보안팀이 24X7 전문적인 모니터링을 통해 네트워크에 침입한 악성코드와 악성 행위에 대해 탐지 및 대응을 하고, 고객사의 보안 정책 관리에서부터 침해 분석에 이르기까지 다양한 서비스를 제공하는 것을 말한다.
국내에서는 생소한 개념이지만 해외에서는 많은 보안 업체들이 실제로 제공하고 있는 서비스이다. 자체적으로 보안 관제 인력을 충원할 수 없거나 보안 전문 인력을 충원하였다 하더라도 더욱 뛰어난 전문가에게 EDR 운영 및 관제 서비스를 받는 것이 비용적인 측면에서 더욱 효과적일 뿐만 아니라 보안 수준 역시 더 뛰어나기 때문에 이미 많은 해외 업체들이 MDR 서비스를 도입하여 이용 중이다.
국내 상황 역시 직접 보안 인프라를 구성하여 보안 관제센터를 구축하는 것보다 외부 전문 업체의 도움을 받아 MDR 서비스를 구축하는 것이 더 효과적으로 보인다. 아무리 좋은 솔루션을 도입했다 하더라도 솔루션에 대한 이해가 충분하지 않으면 솔루션의 성능을 100% 이끌어낼 수 없기 때문이다.
엔드포인트 환경을 보호하기 위해서는 그만큼 솔루션에 숙련된 전문가의 도움이 많이 필요하다. EDR 솔루션은 MDR 서비스의 필요조건이 되므로 EDR 전문 업체가 직접 MDR 서비스를 동시에 운영하는 경우가 많다. 왜냐하면 EDR 솔루션에 대한 이해가 높기 때문에 해당 솔루션을 100% 활용할 수 있기 때문이다.
위드네트웍스 역시 글로벌 트렌드에 빠르게 적응하여 뛰어난 탐지 성능과 가시성을 갖춘 Cybereason을 통한 EDR과 MDR 서비스를 준비하고 있다. MDR 서비스는 단순하게 해외에 존재하는 서비스를 모방하는 것에서 그치지 않고 국내 환경에 맞는 서비스를 제공하기 위해 다양한 서비스 모델을 개발 중에 있다.
마지막으로 이번 RSA는 작년에 비해 참가업체뿐만 아니라 방문자 역시 감소했다. 그럼에도 불구하고 오히려 각각 부스들을 둘러보는 방문자들은 단순히 트렌드 확인차 온 것이 아닌 진지하게 솔루션에 대해서 알아보고 도입 시 기대효과나 자사에 도움이 되는 기술이 있는지 확인하는 경우가 많았다. 하지만 이러한 글로벌 보안 컨퍼런스를 통해 솔루션 개발 업체들이 타사의 앞선 기술을 참고하여 자사의 솔루션에 적용하다 보니 솔루션들이 보면 점점 유사한 GUI나 기술을 가져 획일화되는 경향이 있어 안타까웠다.
이번 컨퍼런스에 참가한 많은 업체 중에서도 비슷한 키워드, GUI를 가진 솔루션들이 굉장히 많았다. 이는 많은 보안 솔루션 개발 업체가 뛰어넘어야 할 문제점으로 보인다.
길민권 기자, 데일리시큐(https://www.dailysecu.com)
Comments