알려지거나 알려지지 않은 위협 머신러닝으로 대응
팔로알토 네트웍스 머신러닝 방화벽 출시 “5초 대응도 길다고 느꼈다”
[2020년 07월 07일] - 지능적이고 선제적인 보안은 모든 보안 사고에서 늘 거론하던 문구다. 하지만 말이 쉽지 실제 행하기는 어렵다. 사고라는 것이 원해서 발생하는 것이 아님에 대응, 대책, 대비를 세워도 결국 터질 건 터진다. 그래서 재수 없어 걸렸다는 푸념 또한 나름대로 일리가 있다. 보안 기업의 자존심이 걸린 만큼 팔로알토 네트웍스도 보안 사고는 결코 발생하면 안 될 이슈였다.
알려진 이슈를 제대로 막는 것이 당연하다지만 알려지지 않던 이슈까지 재빨리 막는 것은 확률 싸움에 가까웠다. 시장에서는 그래야만 제대로 된 보안 장비라 여기는 풍토가 자리했는데, 사람이 할 수 없다면 인공지능의 힘을 빌리는 건 어떨까?
자발적인 학습으로 성능을 높이는 머신러닝(ML)이 보안 현장에 등장한 이유다. 팔로알토 네트웍스는 방화벽 핵심부에 머신러닝 기술을 탑재해 선제 방어 능력을 높였다. 차단, IoT 디바이스 보호, 보안 정책까지 덩달아 효과를 볼 수 있다.
그러한 제품을 선보인 팔로알토 네트웍스 닐 주크(Nir Zuk) 창업자 겸 CTO의 말에는 힘이 실렸다 “13년 전 팔로알토 네트웍스는 차세대 방화벽을 선보이며 네트워크 보안을 완벽하게 변화시켰다. 이제 하이브리드 클라우드, IoT 디바이스, 원격 근무에 이르기까지 기업망의 범위가 확장되고 있는 가운데 공격의 속도가 빨라지고, 자동화를 통해 진화하고 있다. 사이버 보안을 위한 완전히 새로운 접근법이 필요한 시점이다. PAN-OS 10.0은 세계 최초의 머신러닝 기반 차세대 방화벽으로 여러 분야에 걸쳐 지속해서 학습하고 선제적으로 보안을 향상함으로써 보안 전문가들이 대응하는 데 그치지 않고 한발 앞서 나갈 수 있도록 돕는다”고 주장했다.
업데이트 한 PAN-OS 10.0을 기반으로 다음과 같은 기술을 구현한다.
• ML 기반 인라인 멀웨어 및 피싱 방지 - 공격자가 기계(machine)를 사용하여 공격을 자동으로 변형시킴에 따라, 시그니처 업데이트로는 이러한 공격을 막아내기 어려워졌다. 이전의 네트워크 보안 제품들은 우회 경로를 통해 공격을 탐지하고 사후 차단하는데, 머신러닝을 사용했지만, 팔로알토 네트웍스 머신러닝 기반 차세대 방화벽은 인라인 머신러닝 모델을 사용하여 알려지지 않은 공격을 사전에 방지한다.
• 무지연(Zero-delay) 시그니처 업데이트 - 업계 평균 수일 걸리던 위협 대응 시간을 수분으로 이미 단축한 바 있는 팔로알토 네트웍스는 이번 신제품을 통해 시스템 감염을 99.5% 줄일 수 있는 무지연(zero-delay) 보호를 선보였다.
• ML 기반 통합 IoT 시큐리티 - 새로운 IoT 디바이스가 급격하게 증가하는 가운데 정보보안 부서의 승인 없이 기업망에 접속하는 사례가 늘어나고 있다. 머신러닝을 기반으로 하는 팔로알토 네트웍스의 새로운 ‘IoT 시큐리티(IoT Security)’는 별도의 센서나 인프라 구축 없이 완벽한 디바이스 가시성을 제공하며, 이전에 사용된 적 없는 새로운 디바이스에 대해서도 이를 적용하여 이상 징후 및 취약성을 파악하고, 적절한 보안 정책을 권장한다.
• ML 기반 보안 정책 - 머신러닝 기반 차세대 방화벽은 많은 양의 원격 측정 데이터를 분석한 후 정책을 권고한다. PAN-OS 10.0과 IoT 시큐리티를 통해 고객은 안전한 디바이스 동작을 위한 IoT 시큐리티 정책 권장 사항을 확인하고 채택할 수 있다. 이를 통해 시간을 절감하고, 인적 오류 가능성을 줄이며, IoT 디바이스 안전성을 확보할 수 있다.
총 4개 항목을 기반으로 알려지지 않은 파일과 웹 기반 공격을 최대 95%까지 즉시 보호한다는 것이 팔로알토 측의 주장이다. 정책을 자동화하여 인적 오류의 가능성을 줄이고 시간을 절감할 수 있다. 즉각적인 실시간 보호 기능은 별도의 센서 구축 없이 관리 범위를 벗어난 IoT 디바이스를 포함한 모든 디바이스에 대한 가시성과 보안 기능을 높인다.
이와 함께 컨테이너형 폼팩터인 CN 시리즈(CN-Series)도 출시했다. 이 제품에는 간편한 복호화, 고가용성 클러스터링, 새로운 고성능 하드웨어 카드, 선제방어, DNS 보안 강화를 포함한 70여 개 이상 기능을 담았다.
팔로알토 네트웍스 코리아 이희만 대표는 “각종 위협은 자동화를 통해 진화하고 있으며, 각종 디바이스들로 인해 공격 표면은 조용하고 빠르게 증폭되고 있다. 팔로알토 네트웍스는 고객들이 수동적인 대응을 벗어나 클라우드를 기반으로 보안 범위를 확대하고 위협 인텔리전스를 신속하게 공유함으로써, 모든 지점에서 공격자들보다 한발 앞설 수 있도록 지원하고 있다”고 말했다.
《팔로알토 네트워크 코리아 이희만 대표와의 1문 1답》
Q. 클라우드와 비 클라우드와의 비중은 어떠한가?
A. 비즈니스에 클라우드 비중이 크지 않다. 하지만 문의는 꾸준하다. 또한 클라우드 분야 기술 쪽의 발전이 빠르다. 그룹화를 해보면 글로벌 사업을 중요하게 여기는 대기업에서 클라우드에 관심을 보인다. 팔로알토는 클라우드 관련 솔루션을 다 가지고 있는 보안 업체이고 추후 장점을 가지고 사업 영역이 확대되리라 본다.
Q. 디바이스, IoT 등 하드웨어 연동 관리는?
A. 3단계로 관리한다. 카메라를 연동할 경우 대분류는 카메라로 분류하고, 다시 중분류에서 밴더를 나뉜다. 그리고 마지막 소분류는 디바이스 정보를 확인한다. 예를 들어 A 밴더가 제조한 1번 카메라다. 라는 식으로 연결한다. 클라우드를 이용하고 있기에 디바이스 연동에 한계는 없다.
Q. 코어에 삽입한 ML 자동화가 경쟁력 있는 이유는?
A. 어떤 파일이나 웹 피싱이 들어왔을 때 공격인지 정상적인지 네트워크 장비에 정보가 없으면 분석에 시간이 걸린다. 그 시간만큼 구멍이 발생하는데, 정보가 없기에 위협요소라 말하는 이유다. 실시간 무지연으로 공격인지 아닌지를 파악하는 기술. 그것이 이번 기술의 핵심이다. 기존에는 5분이라는 시간으로 전 세계 1등을 차지했는데, 이제는 그조차도 없앴다.
Q. 머신러닝 기반이라면 얼마나 학습 데이터를 확보하고 있나?
A. 기업이 가지고 있는 파일을 받아서 컴플라이언스에 위배되지 않게 데이터 분류 기준을 세우고, 이를 활용해 신뢰도를 가른다. 동시에 멀웨어로부터 보호한다. 모든 기업마다 메타 데이터를 보유하고 있기에 학습 효과를 높이는 것은 문제없다고 본다.
Q. 서비스 요율이 꽤 올라갔다고 들린다. 사실인가?
A. 오해가 있는 것 같다. 경쟁사 업계 표준과 비교해 합리적인 가격을 제시하고 있다.
Q. 대표로 부임한 이후 소회를 말해달라.
A. 20년간 다양한 회사를 경험했다. 주로 B2C 분야였는데, 결국은 데이터 기반으로 사업을 더 고도화하는 것이라 본다. 그만큼 데이터가 중요하고 관련 사업의 성장 속도가 빨라지는 추세다. 거기에서 기회를 발굴해서 가장 뛰어난 솔루션과 브랜드로 성장한 팔로알토에 조인하게 돼 영광이다. 앞으로 더 과제가 많다고 생각을 하고 고객에게 우리가 가지고 있는 것을 충분히 알리는 작업이 필요하지 않나 생각한다. 한국에서 포괄적인 보안 니즈에 대해 보안 분야에 대해서는 파트너로서는 같이 협업해서 도움이 되는 회사로 포지셔닝하는 것이 목표다. 사업적인 부분은 후속적으로 나오는 것이고 좋은 솔루션과 직원, 고객에게 잘 포지셔닝 하고 알리는 것이 사업적으로 좋은 성과를 내는 방법이라 본다.
By 김현동 에디터 hyundong.kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
