구글은 내부 보안 역량을 통합한 ‘구글 통합 보안 플랫폼(Google Unified Security)’을 10일 발표했다. 구글에 따르면, 이 플랫폼은 네트워크, 엔드포인트, 클라우드 인프라, 애플리케이션 전반에 걸쳐 위협 가시성, 탐지, 사고 대응 기능을 제공한다. 내부 및 외부 위협 인텔리전스, 구글의 인시던트 대응 조직인 맨디언트(Mandiant)의 전문성, 그리고 자동으로 경고를 분류하고 조사할 수 있는 AI 기반 에이전트를 결합한 것이 특징이다.
구글 클라우드 보안 부문 부사장 브라이언 로디는 현지 기자 간담회에서 “구글 통합 보안 플랫폼은 구글이 가장 잘하는 확장성, 검색, 분석 역량을 보안 분야에 적용한 것”이라며 “탁월한 위협 가시성, 클라우드 보안, 신뢰받는 브라우저, 맨디언트의 전문성을 생성형AI인 제미나이로 강화했으며, 구글의 전 지구적 인프라 위에서 구동된다”라고 설명했다.
로디는 점점 복잡해지는 IT 인프라를 노리는 사이버 범죄조직과 국가 후원 위협 행위자들의 정교한 공격에 대응하기 위해, 기업이 보다 효과적으로 보안 역량을 발휘할 수 있도록 지원하는 것이 이번 플랫폼의 목표라고 밝혔다.
이 플랫폼은 기존 보안 도구와의 통합도 가능해, 여러 도구에서 발생하는 데이터 단절 문제를 해결하는 데 중점을 두고 있다.
보안 특화 에이전트 AI
구글은 제미나이 AI를 활용해 일부 보안 업무를 자동화하는 에이전트를 개발하고 있다. 예를 들어, 기존 시큐리티 운영 플랫폼인 구글 시큐리티 오퍼레이션즈(Google Security Operations)에는 경고를 자동 분류하고 조사하는 에이전트가 탑재될 예정이다. 이 에이전트는 2분기 중 프리뷰 형태로 제공되며, 경고의 맥락을 파악하고 관련 정보를 수집해 분석가가 검토할 수 있도록 판정 결과와 의사결정 내역을 제공한다.
또 다른 AI 기반 에이전트는 2분기 중 구글 위협 인텔리전스(Google Threat Intelligence)에 추가될 예정이다. 이 에이전트는 악성코드 분석을 수행해 특정 코드가 악성인지 여부를 판단할 수 있으며, 난독화된 스크립트를 안전하게 실행해 내용을 분석하는 기능도 갖췄다.
현재 구글 시큐리티 오퍼레이션즈에는 맨디언트 전문가가 고객 환경 내 위협을 탐지하고 대응하는 ‘맨디언트 위협 디펜스(Mandiant Threat Defense)’ 서비스가 포함돼 있다. 보안 사고 발생 시, 고객은 새롭게 도입된 ‘맨디언트 리테이너(Mandiant Retainer)’ 서비스를 통해 사전 협의된 조건으로 빠르게 인시던트 대응 서비스를 요청할 수 있다. 이 서비스는 최대 2시간 내 대응이 가능하다.
클라우드 보안 강화
구글 클라우드 플랫폼(GCP)의 시큐리티 커맨드 센터(Security Command Center)는 AI 모델 활용과 관련된 클라우드 워크로드 보호 기능을 새롭게 도입한다. 특히 GCP의 기존 AI 보호 서비스의 일환으로 제공되는 ‘모델 아머(Model Armor)’는 사용자가 GCP 또는 멀티 클라우드 환경에 구축한 AI 모델에 입력되는 프롬프트에 콘텐츠 안전성과 보안 정책을 적용할 수 있게 해준다.
6월부터는 민감한 데이터를 탐지하고 보호할 수 있는 데이터 보안 태세 관리(DSPM, Data Security Posture Management) 기능도 프리뷰로 제공된다. 이 기능은 AI 모델 학습에 사용되는 데이터셋을 포함해 민감 데이터를 분류하고 보안·컴플라이언스 정책을 적용할 수 있도록 지원한다. 구글은 “DSPM 기능은 민감 데이터의 탐지와 분류, 보안 및 컴플라이언스 정책 적용, 위반 사항 모니터링, 액세스와 흐름, 보존 및 보호 조치 등을 구글 클라우드 데이터 분석 및 AI 제품 내에서 직접 수행할 수 있도록 돕는다”고 전했다.
같은 시기에는 시큐리티 커맨드 센터에 새로운 ‘컴플라이언스 매니저(Compliance Manager)’ 기능도 추가된다. 사용자는 이를 통해 보안 정책과 설정을 정의하고 모니터링하며, 감사 대응을 위한 데이터 컴플라이언스를 유지 및 증명할 수 있다.
이외에도 구글 컴퓨트 엔진과 구글 쿠버네티스 엔진은 제품 콘솔 내에서 취약점과 보안 관련 결과를 보여주는 ‘보안 위험 대시보드’를 제공하게 된다. 개발자 보안 플랫폼인 스닉(Snyk)과의 새로운 통합도 이뤄져, 개발팀이 코드 내 취약점을 빠르게 식별할 수 있다.
구글 클라우드는 네트워크 보안을 위해 외부 보안 벤더와의 통합도 확대하고 있다. 대표적으로 인포블록스(Infoblox Threat Defense)와 함께 DNS 기반 위협을 탐지하는 ‘DNS 아머(DNS Armor)’, 시만텍 DLP와 구글 민감 데이터 보호 기능이 결합된 ‘보안 웹 프록시(Secure Web Proxy)’의 인라인 데이터 유출 방지 기능, 구글 클라우드 차세대 방화벽(Cloud NGFW Enterprise)의 L7 도메인 필터링 기능 등이 포함된다.
엔드포인트 보호 기능
엔드포인트 보안 측면에서는 크롬 엔터프라이즈 브라우저(Chrome Enterprise)와 유료 서비스인 크롬 엔터프라이즈 프리미엄(Chrome Enterprise Premium)이 중심이다. 이 브라우저는 웹 브라우징 중 실시간 악성코드·피싱 방지, 엔드포인트에서의 악성코드 심층 스캔, 데이터 유출 방지, URL 필터링, 사용자 행동 분석 등을 지원한다.
이번에 추가된 기능 중에는 기업이 자체 브랜드와 자산을 구성해 내부 도메인에서 발생하는 피싱 시도를 식별할 수 있게 하는 기능이 있다. 또한 데이터 마스킹 기능이 도입돼 워터마크 삽입, 스크린샷 차단, 복사·붙여넣기·업로드·다운로드·출력 제어 등 기존 DLP 기능과 함께 제공된다.
로디는 “구글 통합 보안 플랫폼은 자사 및 서드파티 보안 텔레메트리를 통합해 가시성, 검색, 탐지 기능을 시큐리티 오퍼레이션 플랫폼 위에서 제공한다”라며 “최신 위협 인텔리전스를 기반으로 데이터를 자동 분석해 우선순위를 정하고, 보안의 공백을 파악한다”라고 말했다. 이어 “보안 정책을 능동적으로 검증하고, 클라우드·SaaS·온프레미스 환경 전반에서 대응 프로세스를 통합해 자원을 최적화하며, 고객이 필요한 경우 맨디언트 전문가를 요청해 보안 팀을 보강할 수 있다”라고 설명했다.
[email protected]
Leave a Reply