보안 운영(SecOps)과 클라우드 보안을 통합한 최초의 솔루션 'Security Command Center Enterprise'

업종과 규모를 불문하고 모든 조직이 클라우드를 최우선 전략 과제로 삼고 있습니다. 클라우드 전환이 활발히 이루어지면서 클라우드는 이제 조직들의 중요 애플리케이션과 데이터를 담는 공간이 되어 가고 있습니다. 이런 변화는 공격자들도 주목하고 있습니다. 그러다 보니 클라우드 환경의 위험 관리의 중요성이 그 어느 때보다 높아지는 분위기입니다.

공격자들의 관심이 어느 정도일까요? 실제로 기업 및 정부 기관을 노리는 APT(Advanced Persistent Threat) 공격 그룹들이 클라우드 인프라 공격에 관심을 보입니다. 클라우드에 초점을 맞추는 공격자들이 늘면서 대응책도 하나둘 나오고 있습니다. 그중 하나가 클라우드 네이티브 애플리케이션 보호 플랫폼(Cloud-Native Application Protection Platforms, 이하 CNAPP)입니다.

최신 CNAPP는 멀티 클라우드 보안을 위해 다양한 도구를 통합해 쓸 수 있는 편의성을 제공합니다. 하지만 대부분의 CNAPP 조직이 온프레미스 환경에서 이미 체계를 갖춰 수행하고 있는 보안 운영(SecOps)의 기능과 분리되어 있습니다. 따라서 클라우드까지 포괄하는 전체적인 시야를 충분히 제공하지 못합니다. 즉, CNAPP가 조직의 보안 운영 방식 및 전략과 매끄럽게 통합되지 않아 보안 운영의 일관성과 효율성을 유지하기 쉽지 않습니다.

이런 고충을 해결하고자 구글 클라우드가 업계 최초로 클라우드 보안과 조직의 보안 운영을 단일 플랫폼으로 통합한 클라우드 위험 관리 솔루션인 Security Command Center Enterprise를 발표하였습니다. 이 솔루션은 클라우드 환경과 조직의 보안 운영을 하나로 묶는 구심점입니다.

구심점이 필요한 이유는 무엇일까요? 클라우드 보안을 담당하는 도구, 팀, 데이터 관리가 기업의 보안 운영 체계와 분리되어 있으면 이해관계자 간 협업과 중앙 집중적인 통합 관리가 어렵습니다. Security Command Center Enterprise는 두 운영 환경의 간극을 메웁니다. 이 솔루션은 현대적인 보안 운영 플랫폼이 갖추어야 할 핵심 기능과 맨디언트 위협 인텔리전스 정보를 통합하여, 조직이 심각한 문제를 야기할 수 있는 위협을 식별하고 해결하는 데 필요한 기능과 도구를 제공합니다. 이 솔루션을 활용하면 조직은 클라우드에서 발행하는 위험을 더 효과적으로 식별하고 대응할 수 있으며, 멀티 클라우드 환경 전반에 걸쳐 보안을 강화할 수 있는 총체적인 접근을 할 수 있습니다.

물론 CNAPP도 보안 운영과 점점 더 밀접하게 통합의 길을 걸으며 발전하고 있습니다. 이런 클라우드 보안 도구 진화 역사에서 구글 클라우드는 Security Command Center Enterprise로 큰 족적을 남겼습니다. 하이브리드 멀티 클라우드 전환에 대한 최근의 요구가 반영된 보안 운영 플랫폼과 위협 인텔리전스 통합은 클라우드 보안 솔루션 분야에서 Security Command Center Enterprise만의 확실한 차별점입니다. 그 이유는 가트너의 보고서에서 찾아볼 수 있습니다.

가트너(Gartner) 애널리스트인 Neil MacDonald, Charlie Winckless, Dale Koepe이 작성한 보고서에 따르면 CNAPP는 개발 초기 단계부터 배포 및 운영에 이르는 클라우드 기반 애플리케이션의 전체 라이프 사이클을 아우르는 보호 기능을 제공합니다.¹ 보고서는 특히, 위협 연구팀을 갖춘 CNAPP 제공 업체의 솔루션이 클라우드 환경에서 발생할 수 있는 특정 취약점과 위험을 식별하는 데 큰 도움을 줄 수 있다고 강조합니다. 위협 인텔리전스 역량을 CNAPP 솔루션의 중요 차별화 요소로 본 것입니다. 또한, 보고서는 온프레미스 환경을 맡고 있는 보안 운영 센터(SOC)팀과 점점 영향력을 넓혀가고 있는 클라우드 보안팀이 서로 협력하여 하이브리드 환경 전체의 보안을 책임지게 될 것으로 보고 있습니다.²

클라우드 보안과 온프레미스 보안 운영을 하나로

Security Command Center Enterprise는 보안팀이 지금껏 경험하지 못한 보안 운영 경험을 제공합니다. 이 솔루션으로 보안팀은 SIEM 도구로 통찰력을 확보하는 것과 SOAR 도구로 신속한 대응을 하는 보안 운영 방식을 클라우드 환경까지 적용할 수 있습니다.

예를 들어볼까요? 보안팀은 Security Command Center Enterprise로 조직의 보안 상태, 잠재적인 위협 활동, 클라우드 사용자 인증 정보, 데이터 등을 한눈에 파악할 수 있습니다. 더불어 위협 대응 프로세스를 정립하고, 클라우드 보안 위험 관리를 위한 모든 워크플로우를 통합해 문제 해결 책임을 명확히 할 수 있습니다.

구글 클라우드 사이버 얼라이언스 리더이자 딜로이트 리스크 및 금융 자문 부문의 수석으로 활동 중인 Upen Sachdev는 "구글의 보안 솔루션은 고객이 사이버 방어를 강화하고 디지털 비즈니스를 보호하는 데 도움이 될 수 있습니다."라고 말했습니다. 그는 또한 "Security Command Center Enterprise는 현대적인 보안 운영과 최고의 클라우드 보안을 결합하여 클라우드 위험 관리에 있어 기존 보안 운영 체계와의 분리 문제를 해결할 수 있도록 설계되었습니다."라고 덧붙여 설명했습니다.

구글 보안 패브릭을 토대로 하는 솔루션

Security Command Center Enterprise는 구글 보안 패브릭을 기반으로 구동됩니다. 이 시스템은 클라우드 환경에서 발생하는 방대한 데이터를 수집하고 분석합니다. 그리고 수집한 데이터를 기반으로 멀티 클라우드 환경의 복잡한 연결 관계를 한눈에 보여주는 그래프를 생성합니다. 또한, 맨디언트의 위협 인텔리전스를 통합하여 새롭고 특이한 공격을 자동으로 식별하고 방어할 수 있는 기능도 제공합니다. 이외에도 보안 전문가부터 경험이 적은 보안팀 담당자 모두가 간소화된 방식으로 보안 운영을 할 수 있도록 생성형 AI 기술도 적용하였습니다. 보안팀은 생성형 AI 기능으로 복잡한 보안 문제를 조기에 식별하고, 관련 위협이 무엇인지 이해하고, 조사 및 문제 해결 과정에서 도움을 받을 수 있습니다.

구글 클라우드의 보안 시스템은 클라우드 환경을 실시간으로 복제하여 디지털 트윈(Digital Twin) 모델을 만들어 지속해서 위험을 분석하는 엔진을 기반으로 합니다. 이 위험 분석 엔진은 클라우드 내의 서로 연결된 구성 요소 간의 복잡한 관계를 깊이 이해할 수 있게 설계하였습니다. 어떻게 동작하는지 간단히 살펴보겠습니다. 이 엔진은 가상 머신, 컨테이너, 네트워크, 데이터 저장소 등 클라우드 환경의 모든 요소로 구성한 디지털 트윈 환경을 만듭니다. 그리고 공격 시뮬레이션을 수행하여 해커가 어디를 공격할 수 있는지, 어떤 클라우드 자원이 취약한지, 공격에 성공하면 어떤 영향을 받을지 예측합니다. 시스템은 이를 참조해 공격 경로를 시각화하고, 위험 수준을 평가하여 보안팀에게 관련 정보를 제공합니다. 이 정보를 바탕으로 보안팀은 위협 탐지 및 침해 대응 전략을 수립할 수 있습니다. 더불어 위험 분석 엔진은 여러 클라우드 서비스의 특성을 고려해 각 환경에 맞는 위험 요소를 발견하고 분석해 보안팀이 멀티 클라우드에 맞는 전략을 수립할 수 있도록 지원합니다. Security Command Center Enterprise를 실제로 어떻게 동작하는지 보고 싶다면, 데모를 신청하기를 바랍니다.

맨디언트의 전문 지식과 통합

Security Command Center Enterprise는 Mandiant Hunt와 통합되어 보안팀의 기능과 역할을 강화합니다. 보안팀은 온디맨드 방식으로 맨디언트의 인적 자원과 노하우를 활용할 수 있습니다. 보안팀은 Mandiant Hunt를 활용해 보안을 우회하는 교묘한 위협을 수백 명에 이르는 업계 최고 수준의 분석가와 연구원의 도움을 받아 찾을 수 있습니다. 이는 보안팀의 규모와 역량에 대한 격차를 줄입니다. 보안팀의 규모와 상관없이 모든 조직이 Mandiant Hunt의 인적 자원과 전문 지식을 활용해 조기에 위협을 탐지할 수 있는 역량을 확보할 수 있습니다. 즉, 숙련된 보안 전문가를 채용하거나 보안 도구 투자를 늘리지 않고도 기술 격차를 해소할 수 있습니다.

Security Command Center Enterprise는 구글의 최신 보안 운영 기능을 제공하는 플랫폼을 기반으로 합니다. 또한, 매일 수십억 건의 보안 이벤트를 처리하는 구글의 방대한 데이터 처리 능력과 전 세계 곳곳에 위치한 데이터센터 인프라를 활용하여 고객의 멀티 클라우드 환경을 보호합니다. Security Command Center Enterprise는 취약성, 잘못된 구성 및 보안 위협을 자동으로 분석합니다. 분석한 위협들은 보안 분석가가 조사를 할 수 있도록 사례(case)로 지정됩니다. 사례에는 기본으로 제공하는 플레이북이 연결되어 있어 예방 및 복구 작업을 자동화할 수 있습니다. 분석가는 상황에 맞게 플레이북을 활용하거나 직접 조처를 할 수 있습니다. Security Command Center Enterprise는 클라우드 보안팀과 SecOps 팀을 하나의 플랫폼으로 통합합니다. 이를 통해 다양한 기술 분야 전문가들이 보안 위험에 빠르게 대응하기 위한 협업을 원활히 할 수 있습니다.

멀티 클라우드를 고려한 설계

Security Command Center Enterprise는 2024년 3월 현재 수천에 이르는 구글 클라우드 고객을 보호하고 있습니다. 이 솔루션은 기존 제품의 기능을 확대해 구글 클라우드뿐만 아니라 아마존 웹 서비스와 마이크로소프트 애저까지 포괄하는 멀티 클라우드 보안 서비스를 제공합니다. 주요 기능은 다음과 같이 정리할 수 있습니다.

• 에이전트리스 방식으로 가상 머신과 컨테이너에서 발견되는 보안 취약점 탐지 및 에이전트 기반 취약점 관리
• 클라우드 설정 오류를 식별하여 방어 시스템에서 발생할 수 있는 취약점을 찾아내는 보안 상태 관리(Security posture management)
• 클라우드 인프라에 특화된 기술과 맨디어트의 사건 대응팀 및 위협 연구자들이 제공하는 위협 탐지 룰과 침해 지표(IOC)를 활용한 위협 탐지
• 위협, 잘못된 구성, 취약점에 효율적으로 대응하기 위한 통합된 응답 워크플로우
• 공격 경로를 시각화하여 공격자의 침입 경로 및 방법을 이해할 수 있도록 돕는 기능
• AI 워크로드에 최적화된 구글의 예방 및 탐지 보안 컨트롤
• DevOps 및 DevSecOps 팀이 클라우드 인프라의 보안을 설계하고 감시할 수 있게 하는 상태 및 거버넌스 컨트롤(Posture and governance control)
• 클라우드 환경에서 민감한 데이터를 찾고, 분류해 관리하는 데이터 보안 상태 관리(Data security posture management)
• 개발 초기 단계부터 보안을 고려한 접방 방식 지원(Shift-Left Security) - 개발자들이 처음부터 안전한 코드를 사용하도록 구글에서 테스트 및 검증한 수천 개의 오픈 소스 소프트웨어 패키지에 쉽게 접근하도록 지원, 인프라 코드(Infrastructure as code, IaC) 파일과 CI/CD 파이프라인을 스캔하여 리소스 사용 위반 사항 식별 등의 기능 제공

이제 Security Command Center Enterprise에 대한 업계의 반응을 살펴보겠습니다.

"액센츄어와 구글 클라우드의 전문 지식을 결합해 조직이 강화된 사이버 보안 프로그램을 구축하도록 지원하고 있습니다. Security Command Center Enterprise는 구글의 보안 운영 플랫폼의 규모와 속도를 활용하며, 맨디언트의 위협 정보와 구글의 AI 기술로 강화됐습니다. 이를 통해 클라이언트의 클라우드 배치를 보호하는 데 도움을 줄 것입니다."
- Rex Thexton, 액센츄어 보안 CTO 겸 사이버 보호 리더

"PwC에서 구글의 Security Command Center Enterprise를 테스트했을 때, 그 기능에 매우 만족했습니다. 고객들이 클라우드에서 비즈니스를 새롭게 구상함에 따라, 클라우드 보안 역시 확장되어야 합니다. 이 제품을 시장에 함께 선보일 수 있게 되어 기쁩니다. 구글의 이 솔루션은 공동 고객들이 멀티 클라우드 환경에서 위험을 효과적으로 줄이는 데 중요한 역할을 할 것입니다."
- Prakash Venkata, PwC 수석

Security Command Center Enterprise는 구독 서비스로 곧 일반 사용자에게 제공될 예정이며, 클라우드 워크로드를 기반으로 한 간단한 가격 정책이 적용됩니다. 기존 Security Command Center 프리미엄 구독 고객은 추가 비용 없이 업그레이드할 수 있습니다.

다음 단계

Security Command Center Enterprise에 관심이 있다면 구글 클라우드 담당자나 인증 파트너에게 연락하세요. 또한, 최신 소식과 기술 팁이 필요하면 Security Command Center Enterprise 사용자 커뮤니티에 가입하는 것을 추천합니다. 이외에도 Google Cloud Next'24 행사에 참석한다면 Security Command Center Enterprise 관련 기술 세션이 도움이 될 것입니다.

• Go beyond multi-cloud CNAPP security with Security Command Center Enterprise
• Prioritize and manage cloud risks with a Risk Engine built for cloud security
• Ensure the health of cloud resources: How to address software vulnerabilities and identity risk
• New posture and IaC protection in Security Command Center Enterprise
• New multi-cloud threat detection, investigation, and response in Security Command Center Enterprise

___

<sup>1. Gartner, Market Guide for Cloud-Native Application Protection Platforms, 14 March 2023.
2. Gartner, Emerging Tech: The Future of Cloud-Native Security Operations, 18 October 2023. Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved</sup>