[디지털투데이 황치규 기자] 디지털 트랜스포메이션이라는 슬로건 아래 최근 여기저기서 진행되는 움직임들을 보면 데이터를 효과적으로 활용해 비즈니스 성과를 끌어 올리는 것이 목표인 경우가 많다.

기업들이 데이터를 수집하고 분석해 의미 있게 쓸 있도록 지원하는 테크 기업들의 존재감이 커지는 것도 이와 무관치 않다. 특히 클라우드는 혁신적인 데이터 활용 기술들의 탄생을 이끄는 거대한 플랫폼으로 부상했다.

언제부터인가 클라우드 기반 데이터 기술들은 기업 비즈니스를 넘어 보안 전략에도 직접적인 영향을 미치는 변수로 통하고 있다. 비즈니스 데이터 분석 및 데이터 사이언스용으로 많이 쓰는 클라우드 기반 데이터웨어하우스(DW) 플랫폼인 스노우플레이크를 보안 리스크 분석에 활용하는 사례가 늘고 있는 것 역시 데이터 중심 시대, 새로운 트렌드로 볼 수 있다.

프로토콜에 따르면 스노우플레이크를 보안 솔루션으로 활용하는 기업들이 이미 꽤 있다고 한다.

최근 어도비가 200억달러에 사겠다고 해 관심을 끈 관심을 웹기반 디자인 소프트웨어 업체인 피그마가 사이버 보안을 위해 스노우플레이크를 활용하는 사례로 소개됐다. 피그마는 보안 피드와 다른 비즈니스 데이터를 결합하는 역량을 감안하면 스노우플레이크가 이미 보안 시장에 뛰어들었다고 보고 있다. 

피그마의 데브다타 아카위 보안 총괄은 회사 전체에 대해 단일 데이터레이크를 갖는 것은 광범위한 맥락에서 데이터 분석을 가능케 한다. 보안 리스크를 보다 잘 이해할 수 있게 해준다"면서 "이질적인 데이터 소스들에 걸쳐 상관관계를 만드는 것은 강력한 보안 프로그램을 만드는 것이다"고 말했다.

보안 솔루션으로써 스노우플레이크를 주목하기는 피그마 같은 사용자들 뿐만 아니다. 스노우플레이크 스스로도 보안을 차세대 성장 엔진으로 밀고 있는 모습이다. 6월 스노우플레이크는 고객들이 보안 데이터를 다른 사업 및 맥락 관련 데이터와 쉽게 결합할 수 있도록 사이버 보안 카테고리를 새로 발표했다.

오머 싱어 스노우플레이크 사이버 보안 총괄은 "보안 팀을 위해 스노우플레이크가 갖는 관련성은 사이버 보안에선 1급 비밀"이라며 강조했다.

프로토콜 보도를 보면 피그마 외에도 드롭박스, 도어대시, 트립액션스(TripActions), CSAA 인슈어런스 그룹(CSAA Insurance Group) 등이 스노우플레이크를 보안용으로 활용하고 있다. 기업들이 스노우플레이크를 쓰기 시작한 건 꽤 오래됐지만 보안 전략을 위해 스노우플레이크를 도입하는 것은 변화라는게 스노우플레이크 설명이다.

스노우플레이크는 보안 데이터와 다른 비즈니스 데이터를 결합하는 것은 보다 나은 정보로 위협 탐지 및 침해 조사를 할 수 있게 해준다. 예를 들어 인적 자원 데이터와 외부에 이메일을 포워딩하는 이벤트들 간 상관 관계를 보여주는 것은 어느 직원이 민감한 정보를 유출하는지 탐지하는데 도움이 될 수 있다는 얘기다.

이렇게 하는 것은 위협 탐짐 및 침해 조사에 전통하게 한다. 에를 들어 인적 자원 데이터를 외부 관계자들에 대한 이메일 포워딩 이벤트들과 상연관성을 보여주는 것은 한 지구언이, 민간한 정보를 유출하는지 탐지하는 데도 효과적일 수 있다.

오픈소스 소프트웨어 코드 저장소인 깃허브 데이터 피드와 클라우드 기반 ID보안 플랫폼인 옥타를 결합하면 누가 특별한 권한이 필요한 계정에 로그인해 무엇을 하는지, 승인 침해가 발생하고 있는지 등을 볼 수 있는 있는 시야를 제공한다.

그동안 의심스러운 개발자 행동은 보안 팀이 파악하기가 쉽지 않았다. 보안 팀들은 깃허브 데이터를 많이 활용하지 않았기 때문이다.

데이터웨어하우스는 예전에도 이미 온프레미스(구축형) 형태로 있었던 기술이다. 하지만 예전에는 데이터웨어하우스를 보안용으로 쓴다는 것은 생소한 스토리였다. 우선 사이버 보안은 연속적인 로그 스트림과 이벤트 등 다른 사업 부분들에 비해 많은 데이터를 생성했다. 기업 입장에서 보안 관련 데이터를 오랫동안 저장한다는 것은 비용 측면에서 만만치 않은 일이었다. 어떤 데이터를 보관할지 정하는 것도 어려운 선택이었다.

하지만 스노우플레이크가 클라우드 기반 데이터웨어하우스를 구현하면서 분위기는 달라진다. 스노우플레이크는 스토리지와 컴퓨팅 간 가격이 분리돼 있다. 이를 통해 기업들은 사고가 실제로 발생했을 때 저장돼 있는 보안 데이터 요청에 들어간 컴퓨팅 계산 시간에 대해서만 비용을 지불한다. 나머지 시간은 상대적으로 저렴한 스토리지 비용만 내면 된다.

스노우플레이크는 보안 관련해 나름 생태계 전술도 구사하는 모습. 외부 보안 업체들이 스노우플레이크 데이터 플랫폼 기반 보안 기능을 제공하도록 하는 것이 골자다. 크리스티안 클레이너먼 스노우플레이크 수석 부사장은 "데이터를 애플리케이션으로 가져오는 대신 애플리케이션을 데이터로 가져 오자는 것이다"고 설명했다.

프로토콜에 따르면 보안 분석 및 상관 관계를 제공하는 헌터스(Hunters), 접근 통제 및 프라이버시 관리 업체 임뮤타(Immuta), 위협 탐지, 조사, 보안 측정, 컴플라이언스 상태 분석을 주특기로 하는 레이스워크(Lacework) 등이 스노우플레이크 파트너들로 이름을 올렸다.

데이비드 핫필드 레이스워크 CEO는 "고객들에게 데이터를 하나의 장소에서 가질 수 있는 방법을 제공하는 것은 비즈니스에서 무슨 일이 일어나는지 전체적으로 볼 수 있는 시야를 준다. 모든 비즈니스에서 보안은 점점 중요해지고 있다"고 전했다.

드롭박스의 경우 전통적인 보안 정보 및 이벤트 관리(security information and event management: SIEM)을 사용하다 판테르랩스(Panther Labs) 클라우드 네이티브 SIEM으로 바꿨다. 드롭박스는 전통적인 SIEM을 해체했다는 것이 오머 싱어 스노우플레이크 보안 총괄의 설명이다.

스노우플레이크를 보안 위협 분석용으로 활용하는 것은 아직 주류 트렌드라고 보기는 무리가 있다. 하지만 데이터 아키텍처를 새로 시작하는 기업들은 상대적으로 스노우플레이크를 보안용으로 투입하기가 쉬운 환경에 있고, 레거시 아키텍처를 운영하는 곳들도 결국에는 보안 데이터 아키텍처를 바꿀 것으로 회사 측은 기대하는 모습이다. 크리스티안 클레이너먼 부사장은 "공격이 점점 진화하고 복잡해지고 있다. 종종 위협을 탐지하기까지 3~4개월이 걸린다. 결과적으로 데이터를 삭제할 걱정이 없는 대규모 클라우드 기반 데이터레이크는 기본이 될 것이라고 생각한다"고 말했다.

스노우플레이크를 보안 솔루션으로 활용하는 것과 함께 위협 인텔리전스도 요즘 보안 업계에서 많이 유통되는 것을 키워드다.

위협 인텔리전스는 사이버 보안 전문가가 사이버 공격에 대해 정리하고 분석한 증거 기반 정보라는 의미인데, 클라우드 기반 서비스로 형태로 많이 제공된다. 보안 업계 판세에서 데이터 분석이 갖는 중량감이 커졌음을 상징하는  또 하나의 사례가 아닐까 싶다.