드로르 살리 가디코어 창업자 겸 아시아·태평양 총괄 부사장전 애플 마케팅 매니저, 전 아노빗 테크놀로지스 부사장 / 사진 가디코어
드로르 살리 가디코어 창업자 겸 아시아·태평양 총괄 부사장
전 애플 마케팅 매니저, 전 아노빗 테크놀로지스 부사장 / 사진 가디코어

“워크로드(workload⋅컴퓨터 시스템이 처리하는 작업) 자체에 방화벽 기능을 내장한 마이크로 세그먼테이션(Micro Segmentation)으로 사이버 보안 수준을 높일 수 있다.”

이스라엘 보안업체 가디코어(Guardicore)의 창업자이자, 아시아⋅태평양 사업을 총괄하는 드로르 살리(Dror Salee) 부사장은 8월 17일 ‘이코노미조선’과 서면 인터뷰를 통해 이같이 밝혔다. 

마이크로 세그먼테이션은 분산 방화벽 플랫폼을 말한다. 네트워크를 보다 작은 조각으로 분할한다는 뜻이다. 네트워크 일부가 바이러스에 오염돼도 확산을 막을 수 있다. 또 워크로드에 방화벽이 내장돼 있어 감염된 워크로드가 다른 워크로드나 애플리케이션을 감염시키지 못한다. 이러한 이유로 마이크로 세그먼테이션은 제로 트러스트(Zero Trust) 보안 모델을 구현하는 방법으로 꼽힌다. 

제로 트러스트 보안 모델은 개별 단말기나 네트워크에서 데이터에 접근을 요청할 때 ‘그 어떤 것도 신뢰하지 않는다’라는 개념을 적용한 보안 모델이다. 이 보안 모델은 네트워크를 분리시키고 다중 인증과 같은 방식의 복잡한 검증 과정을 통해서만 시스템 접근을 허용한다. 가디코어는 지난해 IT 센트럴 스테이션(IT Central Station)에서 ‘최고 마이크로 세그먼테이션 업체’로 선정됐다. IT 센트럴 스테이션은 약 38만 명의 현업 IT 전문가들이 기술 제품 리뷰를 공유하는 온라인 사이트다. 보안 업체들도 가디코어의 고객이다. 독일의 도이치뱅크, 스페인 산탄데르, 스위스 UBS 등 글로벌 금융기관들도 가디코어 고객사다. 

지난 4월에는 엔비디아가 가디코어의 마이크로 세그먼테이션 솔루션을 적용, 데이터 처리 장치(DPU)인 ‘엔비디아 블루필드-2’를 업그레이드 했다. 

CD프로젝트레드, 콜로니얼 파이프라인, JBS, 카세야 등 올해 전 세계적으로 이슈가 됐던 랜섬웨어(ransomware⋅몸값 요구하는 악성코드) 피해 업체 중 여러 곳도, 재발 방지를 위해 이 회사의 마이크로 세그먼테이션 보안 솔루션을 도입했다. 구체적인 수치는 공개하지 않았지만 가디코어 매출은 최근 4년간 약 20배 급증했다. 다음은 일문일답. 

마이크로 세그먼테이션 모형도. 사진 가디코어
마이크로 세그먼테이션 모형도. 사진 가디코어

팬데믹 이후 랜섬웨어 공격이 늘었다고 한다
“그렇다. 팬데믹(pandemic·감염병 대유행) 이후 원격 근무로 전환되면서 많은 회사의 사이버 보안에 허점이 드러났다. 직원들이 재택근무를 계속할 수 있도록 해야 했지만 일반 회사 조직에는 재택과 원격 근무용 보안 인프라가 잘 갖춰져 있지 않았다. 그 결과 사이버 공격의 쉬운 표적이 됐다. 또 암호화폐나 핀테크 결제 기술이 과거보다 진화한 것도 랜섬웨어 공격 증가의 원인이 됐다. IT 인프라 구축 환경의 변화도 랜섬웨어 공격 증가의 배경이다.

과거에는 대부분의 조직이 모든 인프라를 온프레미스(On-Premises)에 뒀다. 클라우드 같은 원격 환경이 아니라 작업장 또는 사무실에 자체 데이터 센터를 구축한 것을 말한다. 이 때문에 물리적으로 많은 서버가 존재했다. 

그러나 최근 IT 환경에서는 클라우드가 자체 서버들을 대체하고 있다. 이는 외부에서 새로운 서버를 가동하고 서버의 규모를 제어할 수 있는 전례 없는 상황을 허용했다는 의미이기도 하다. 새로운 위험이 초래되자 회사들은 스스로를 보호할 방법을 도입, 회사 외부의 데이터 센터에서 이를 제어할 수 없도록 만들어야 하는 상황에 놓였다. 이를 위해선 네트워크 분리(망 분리) 보안 적용과 IT 담당자의 빠른 적응이 필요했다. 클라우드에서 기존 방화벽 접근 방식을 완전히 포기하고 보다 현대적인 소프트웨어 기반 솔루션으로 전환해야 했다.”

랜섬웨어 공격 형태는 어떤가
“팬데믹 이후 랜섬웨어 양상도 크게 변했다. 이중 갈취 공격이라는 새로운 형태의 공격이 나타난 것이다. 전통적 랜섬웨어와는 달리 데이터나 시스템 암호화 후 몸값만 요구하는 데 머물지 않고, 민감한 데이터를 인터넷에 게시하지 않는 조건을 내걸고 추가적인 금전을 요구하는 이중 갈취가 성행하고 있다.”

사이버 보안이 왜 중요한가
“과거와 달리 보안은 회사 평판의 중요한 기준이 되고 있다. 아무리 좋은 서비스를 제공한다고 해도 보안이 취약하면 고객들로부터 좋은 평가를 받지 못한다. 고객들은 자신의 정보가 유출될 위험을 떠안고 싶어 하지 않는다. 사비어 보안이 취약해 자주 해킹의 표적이 되면 고객들이 그 회사를 신뢰할 수 없다고 말할 것이다. 일반 고객들은 이제 단순히 회사의 서비스 수준만을 따지지 않고, 자신의 데이터를 회사가 어떻게 보호할지 관심을 가질 것이다. 그러므로 회사 평판을 지키기 위해 사이버 보안은 중요한 의미를 갖는다.”

기업의 사이버 공격 대비책은
“미국 정부는 지난 6월 랜섬웨어 등 사이버 공격에 대비하기 위해 취해야 할 권장 조치 5가지를 발표했다. 데이터 백업, 패치 시스템 수시 업데이트, 랜섬웨어 사고 대응 계획 점검, 보안팀 작업 확인, 네트워크 분리가 그것이다. 이 가운데 네트워크 분리가 가디코어가 가장 자신 있는 분야다. 네트워크 분리는 원래는 어려운 작업이지만 클릭 몇 번으로 쉽게 전환할 수 있게 만든 방화벽 플랫폼인 마이크로 세그먼트를 제공한다.”

이미 랜섬웨어 공격을 당했을 때 대처는
“모든 파일과 백업이 랜섬웨어에 의해 암호화된 후 공격받은 사실을 알게 된 피해자로선 대처 방법이 없는 경우가 많다. 

물론 피해자가 랜섬웨어 범죄자에게 돈을 줬다고 해도 문제 해결이 보장되지 않는다. 재감염을 막기 위해 피해자는 IT 인프라의 핵심인 액티브 디렉토리(Active Directory) 같은 중요한 서버부터 시작해 감염된 서버에 대한 치료 프로세스를 진행해야 한다. 이때 사고 기록 장치(EDR) 도구를 이용하면 도움이 된다. 그러나 치료 이후에는 감염된 서버에서 네트워크를 확실히 분리해야 한다. 그러지 않으면 다시 감염될 수 있다. 마이크로 세그먼테이션 설치도 도움이 된다.”

특별히 보안이 취약하다고 보는 분야는
“실제로 네트워크가 처음에 어떻게 구축되고 설계됐는지에 따라 다르고, 이러한 사항은 회사마다 다르기 때문에 딱 집어 말하긴 어렵다. 그래도 언급하자면 사물인터넷(IoT) 장치를 예로 들 수 있다. IoT 장치는 제품 설계 단계에 보안에 대한 내용이 포함되지 않기 때문에 종종 많은 보안 문제를 일으킨다. IoT 네트워크를 분리하는 방법이 필요한 이유다. ”

랜섬웨어 갱 조직이 인공지능(AI)을 쓰면
“역사는 나쁜 사람들이 파괴적인 결과를 얻기 위해 첨단 기술을 사용한다고 말해주고 있다. AI는 이제 막 그 힘을 드러내기 시작한 놀라운 기술이다. 분명히 나쁜 사람들이 범죄를 저지르는 데 효과적으로 사용할 것이다. 다만 현재로서는 랜섬웨어 공격에서 AI의 징후가 보이지는 않는다. 현장에서 보고 있는 바에 따르면 최근 공격들의 대부분은 실제 사람에 의한 공격이다. AI를 이용한 자동화된 공격이 아니라는 얘기다. 알고 보면 공격의 배후에는 악의적인 뜻을 가진 사람이 앉아 있을 뿐이다.”

심민관 기자
이코노미조선 기자