사이버 보안에 관심이 높은 금융회사는 얼마나 많은 솔루션을 사용하고 있을까? 평균 50개 정도의 개별 보안 솔루션이 설치된다.
IBM이 내놓은 '사이버 탄력성 조직 리포트'에 따르면 기업은 사이버 보안을 위해 50개 이상 도구와 기술을 배포한다. 일부는 100개가 넘는 곳도 있다.
사이버 위협이 증가하면서 이를 방어하는 보안 조치는 계속 증가한다. 기업 최고보안책임자(CISO)는 지금도 설치된 보안 솔루션이 많은데 또 무엇을 도입해야 하냐고 반문한다. 각 보안 솔루션에서 발생하는 다양한 위협 알람도 대응이 어렵다. 기업 내 사이버 보안의 복잡성은 계속 증가한다.
로그프레소는 보안 운영 복잡성을 줄이는 기업이다. 빅데이터 원천 기술을 기반으로 위협 탐지 및 분석, 디지털 포렌식, 침해 대응에 이르기까지 보안 운영의 전 과정을 지원한다. 보안관제팀과 침해사고대응팀은 동일한 플랫폼에서 함께 업무를 수행하게 돕는다. 기업 내 보안 위협의 가시성을 확보한다.
■ 보안제품에서 나오는 로그의 지휘자
"글로벌 기업은 애플리케이션 프로그래밍 인터페이스(API)를 공개해 각 보안 솔루션 간 연동에 집중합니다. 하나의 보안 제품이 모든 것을 대응할 수 없기 때문에 유기적인 연결이 필수 입니다."
양봉열 대표는 2013년 로그프레소 설립 후 보안 운영 플랫폼을 만드는데 집중했다.
개발자 출신인 양 대표는 로그프레소가 두번째 창업이다. 2000년 초반 국내 보안 시장에 유명세를 떨치던 기업에서 개발자로 일하다 2009년 '엔초비'를 창업했다. 첫 창업에서 시장에 안착하지 못했지만 다시 팀을 모아 2013년 두번째 도전에 나섰다.
"2013년 당시 통합보안관제 플랫폼은 사용자가 원하는대로 데이터를 분석해 위협을 탐지할 수 없는 한계가 있었습니다. 로그프레소는 사이버 보안에 최적화한 고성능 데이터 웨어하우스를 개발하고 가시성과 자유로운 분석이 가능한 사이버 보안 플랫폼을 구현하는데 집중했습니다."
최근 보안팀은 기존에 내부에 설치된 시스템(온프레미스)는 물론이고 클라우드까지 관리해야 하는 어려움에 직면했다.
양 대표는 "기업 환경이 온프레미스와 클라우드를 동시에 활용하고 있다"면서 "데이터 수집에서 위협탐지, 침해 분석과 대응, 시각화까지 하나의 플랫폼으로 통합해야 복잡성을 줄일 수 있다"고 강조했다. 수많은 보안 장치에서 나오는 로그 데이터를 한 눈에 파악하고 지휘해야 하는 것이다.
■ 개방형 보안 생태계 구성
로그프레소는 수많은 솔루션에서 나오는 로그를 수집하고 분석해 대응 방향을 제시한다. 이 때 가장 필요한 것이 제품간 연동이다.
양 대표는 "글로벌 기업은 API로 연동이 쉬운데 한국 제품은 쉽지 않았다"면서 "로그프레소는 수백 개의 서드파티 앱을 지원해 보안운영 플랫폼 기능과 성능이 확장되는 생태계를 조성하고 있다"고 말했다.
현재 로그프레소의 보안운영 플랫폼에 연동되는 앱은 130개다. 올해 안에 200개 제품과 연동을 목표로 한다.
그는 "매일 수십 만 건 발생하는 경보를 보안팀이 더이상 직접 분석할 필요가 없다"면서 "위협 유형별 대응 프로세스를 표준화하여 플레이북으로 구성할 수 있다"고 말했다.
로그프레소 마에스트로는 수십 가지의 보안 장비와 인텔리전스 서비스를 연동해 반복적인 작업을 자동화한다. 의사결정 요인이 복잡한 경우 학습을 통해 분석가의 결론을 예측하는 AI 모델을 플레이북에 결합했다.
■ 클라우드 위협까지 한눈에 관리
로그프레소는 기업 내부 시스템은 물론이고 클라우드 보안 위협까지 한번에 관리하는 '클라우드 보안 정보 이벤트 관리(SIEM)'를 내놨다. 클라우드 보안 위협에 대처하지 않는 기업은 이제 살아 남기 힘들다.
많은 회사는 업무를 위해 다양한 소프트웨어 서비스(SaaS)를 사용한다. 회사의 중요한 정보 자산이 회사 안과 밖, 다양한 곳에 흩어져 있다. 온프레미스 취약점을 이용해 클라우드와 SaaS를 탈취하거나, 반대로 클라우드와 SaaS를 통해 온프레미스를 탈취하는 등 유출 경로가 다변화했다.
싱글사인온(SSO)와 같은 통합 인증시스템이나, SaaS 관제를 누락하면 보안 사고로 이어질 수 있다.
양 대표는 "전통적인 로그 수집은 온프레미스 보안 장비에 국한됐지만, 이제는 클라우드와 SaaS까지 모든 로그를 모아야 한다"면서 "보안, 애플리케이션, 각종 인프라 로그까지 수집해야 가시성을 확보할 수 있다"고 설명했다.
그는 "모든 데이터를 수집해야 무슨 일이 일어나는지 파악하고 위협을 발견했을 때 대응할 수 있다"면서 "비즈니스를 성공시키기 위해 보안 운영 업무를 한다는 것을 항상 생각해야 한다"고 말했다.
로그프레소는 클라우드 SIEM '로그프레소 클라우드'에서 통합보안 제품을 개발하고 공급할 수 있도록 모든 기업과 협업에 집중한다.