- 사용자·앱·데이터 상호작용에 초점, ‘애널리틱스’ 투자 강화

[디지털데일리 이유지기자] HP 보안사업부가 완전히 변했다.

이제 더 이상 HP 보안 사업의 핵심은 ‘티핑포인트’ 주축의 네트워크 보안이 아니다. ‘포티파이’ 애플리케이션 보안, ‘아크사이트’ 보안정보이벤트관리(SIEM) 솔루션처럼 각각의 영역에 특화된 포인트 보안 솔루션을 강조하지 않는다.

사이버 환경에서 성을 높이 쌓고 외부 침입에 방어하는 ‘경계보안’ 영역인 네트워크 보안보다는 인프라 위에서 동작하는 애플리케이션과 사용자, 데이터 영역에 무게를 실었다. 그리고 이들 세 요소의 상호작용을 분석(Analytics)해 보호하는데 주력한다.

사용자와 애플리케이션, 데이터, 인프라같은 조직의 모든 보안요소를 HP는 애널리틱스 주축의 보안 인텔리전스 프레임워크 안에 담았다.

한국HP가 22일 서울 양재동 엘타워에서 개최한 ‘HP 프로텍트 인 서울’ 행사에서는 이같은 HP 엔터프라이즈보안제품사업부(ESP)의 방향성과 보안 전략이 명확히 드러났다.

이같은 변화는 IT 환경이 변화했고 사이버공격 방식도 크게 바뀌는데 따른 것이다((New Style of IT, New Style of Threats).

국내에서는 처음 개최한 이번 ‘HP 프로텍트 인 서울’ 행사에서 첫 기조연설을 맡은 파라스 샤(Paras Shah) HP 아시아태평양·일본(APJ) ESP 전략사업담당은 “HP는 보안 제품군을 하이브리드 엔터프라이즈 IT 환경, 조직화된 새로운 위협 라이프사이클에 맞게 재정비했다”며 “새로운 IT, 하이브리드 환경에서는 네트워크 보호만으로는 충분치 않다. 애플리케이션과 사용자, 데이터 간 상호작용을 보호하는 것이 중요하다”고 강조했다.

모바일과 BYOD(Bring Your Own Device), 사물인터넷(IoT) 환경이 발전하면서 네트워크 경계가 사라지고 있다. 너무나 많은 기기와 플랫폼, 사용자로 경계에 구멍이 뚫리고 있지만 이를 통제하기는 너무나 어려운 상황이다.

이로 인해 이제는 경계를 뚫고 기업 내 호스트나 네트워크에 침입하는 것이 아니라 대부분(82%) 애플리케이션단에서 침해가 이뤄지고 있다는 것이 샤 담당의 설명이다.

샤 담당은 “기업에서 가장 중요한 자산은 사람이다. 애플리케이션이 비즈니스 운영에 도움을 주며 파트너와 고객들 간 정보 공유도 중요하다. 따라서 애플리케이션과 사용자 간 상호작용을 보호하는 것이 가장 중요하다”며 “하이브리드 환경에서는 인프라 보호나 통제가 쉽지 않기 때문에 문제를 쉽게 관리하며 수많은 데이터 안에서 비정상적인 패턴과 악의적 행동을 찾아낼 수 있도록 돕는 애널리틱스(분석)가 필요하다”고 말했다.

이에 따라 HP는 1년 반 전부터 애널리틱스 분야에 투자를 크게 늘려 왔다. 앞으로도 기존의 두 배 수준으로 투자를 강화할 방침이다.

사용자, 애플리케이션, 데이터 간 상호작용을 보호, 분석을 통한 인텔리전스를 확보하기 위한 노력의 결과로 HP는 작년과 올해 지속적으로 새로운 제품군을 선보이고 있다.

애플리케이션단 신제품인 ‘앱 디펜터’는 포티파이 제품군에서 수행한 보안 테스트·검사 기술을 바탕으로 인프라나 디바이스에 관계없이 모든 애플리케이션을 모니터링한다. 애플리케이션과 사용자와의 상호작용을 나타낸다. 관련 정보는 아크사이트 SIEM으로 전달돼 연관분석을 수행해 공격이나 문제가 있다면 즉시 조치시킨다.

데이터단에서는 ‘아탈라’를 이용해 워드, 파워포인트, PDF, 이메일같은 비정형 데이터와 파일을 모니터링해 지속적으로 자동 분류한다. 미리 설정한 보안위협에 해당하는 규칙과 정의에 따라 침해 발생시 ‘볼티지’ 제품을 이용해 바로 암호화할 수 있도록 지원한다.

사용자단 솔루션으로는 ‘아크사이트 UBA(User Behavior Analytics)’를 새롭게 선보였다. 직원, 파트너, 고객 등 사용자가 애플리케이션이나 파일을 사용하는 행위를 지속적으로 모니터링하면서 점수를 부여한다. 만일 기준에서 크게 벗어난 이상행위를 할 경우 포렌식 검사를 수행해 대응조치를 수행할 수 있게 한다.

HP는 최근 인프라 보호를 위한 ‘DNS 멀웨어 애널리틱스’도 발표했다. 내부에서 발생하는 방대한 데이터와 이벤트를 분석해 악성을 분류, 감염된 호스트를 격리시키거나 네트워크 접속을 끊는 등의 조치를 수행할 수 있도록 하는 제품이다.

이밖에도 올 상반기에 크라우드소싱을 통해 보안정보를 모으는 개방형 표준 기반의 보안위협 인텔리전스 플랫폼인 ‘쓰렛 센트럴’도 선보였다.

샤 담당은 “HP는 사용자와 애플리케이션, 데이터가 어떤 기기나 인프라에서 동작하든 그에 맞게 보호를 지원할 수 있도록 제공한다”며 “HP의 엔드투엔드 접근방식과 보안 제품군은 최근의 공격 라이프사이클에도 부합되고 있어 각 단계에 대응할 수 있다”고 부각했다.

이제 HP는 사용자, 애플리케이션, 데이터, 인프라와 모니터링·인텔리전스까지 필요한 보안체계를 갖췄다. 쓰리콤을 통해 티핑포인트를 인수한 이후 포티파이와 아크사이트, 올해 데이터 암호화 업체인 볼티지까지 잇단 보안기업 인수와 더불어 보안연구소 활동, 그리고 사이버위협 공유·협력을 바탕으로 한 인텔리전스 확보 노력이 더해진 결과다.

HP는 티핑포인트, 포티파이 등 인수로 확보한 DV랩스, HP랩스 등의 보안연구소를 운영하고 있으며, HP보안연구소(HPSR)를 만들어 특화된 각각의 연구소 간 협력을 강화하고 있다.

샤 담당에 이어 발표에 나선 마크 페인터(Mark Painter) HP ESP 보안 에반젤리스트는 “HP 보안연구소는 혁신적인 연구를 수행, 취약점과 위협을 찾아 사용자들에게 실행가능한 해결책을 제공하는 것에 목적을 두고 있다”며 “보안은 제품이 아니라 프로세스, 과정이다. 협업으로 실행가능한 보안체계를 구축하기 위해 HPSR를 만들어 악성코드 분석, 애플리케이션·웹, 네트워크·모바일팀 간 협업을 수행하고 있다”고 강조했다.

또한 그는 더욱 폭넓은 협업 사례로 ‘ZDI(제로데이 이니셔티브)’ 후원 활동도 소개했다.

ZDI는 세계적으로 유명한 버그바운티 커뮤니티로, HP는 이를 후원함으로써 화이트햇 해커들이 발견하는 제로데이 취약점을 자사 보안 솔루션에 적용하고 있다. ZDI를 후원한 역사는 10년에 달한다.

ZDI는 매년 ‘폰투오운(Pwn2Own)’이라는 글로벌 버그바운티 대회를 개최하고 있다. 국내에서는 올해 열린 세계 최대 해킹대회인 ‘데프콘23 CTF’에서 우승한 우리나라 ‘DEFKOR팀’에서 활약했던 이정훈 연구원이 이 대회에서 22만5000달러(2억5000만원)에 달하는 상금을 타 내 화제가 되기도 했다.

페인터 에반젤리스트는 “악당들도 정보를 공유하고 있으며 우리보다 더 많은 돈을 쓰고 있다. 그 때문에 1400억달러가 넘는 블랙마켓이 형성되고 있다. 엔지니어가 특정 취약점을 발견한 뒤 보상을 요구하면서 관련내용을 공개하겠다고 협박하는 그레이마켓도 존재하고 있다”고 지적했다. 그는 화이트시장과 관련 “취약점을 찾아 신고하면 보상을 해주는 ‘버그바운티’ 보상액도 매년 늘고 있다”고 덧붙였다.

HP는 ZDI를 통해 3000명 넘는 외부 연구자들과 협력하고 있다. 지금까지 후원한 보상금 액수는 1200만달러가 넘는다. 그는 “그동안 2000개 넘는 취약점을 발견했으며 그로 인해 400개 넘는 패치가 발표되기도 했다”면서 “티핑포인트를 사용한다면 ZDI 제로데이 정보를 바탕으로 패치가 나올 때까지 기다리지 않아도 사전에 조치를 수행할 수 있으며 네트워크와 애플리케이션을 보호할 수 있다”고 소개했다.

<이유지 기자>yjlee@ddaily.co.kr