더욱 빠르고 효과적인 공격 탐지 및 차단을 위한 사이버 보안 오픈소스 프로젝트 발족

한국 서울, 2022년 9월 8일 – 사이버 보안 및 기술 전문기업 연합이 데이터 사일로 제거하여 보안 팀의 고충을 해결하기 위한 오픈소스 프로젝트를 발표했다. Black Hat USA 2022에서 공개된 Open Cybersecurity Schema Framework (OCSF) 프로젝트는 사이버 공격을 보다 빠르고 효과적으로 탐지, 조사하고 차단하도록 지원할 것이다.

OCSF 프로젝트는 Broadcom 사업부인 Symantec에서 수행한 ICD Schema 작업을 바탕으로 AWS와 Splunk의 주도로 출범되었다. OCSF에는 Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro, Zscaler 등 15개 기업이 창설 멤버로 참여하였다. 사이버 보안 커뮤니티의 모든 구성원들이 OCSF를 활용하고 동참할 수 있다.

오늘날 사이버 공격을 탐지하고 차단하는 데에는 사이버 보안 도구 전반의 연동이 필요하다. 하지만 불행히도 여러 소스에서 데이터를 정규화하면 상당한 시간과 리소스가 필요하다. OCSF는 단순화되고 벤더 제약 없는(vendor-agnostic) 분류법을 제공하여 보안 팀이 시간 소모적인 정규화 작업 없이 데이터 수집 및 분석을 향상시킬 수 있도록 지원하는 것을 목표로 한다. 

OCSF는 모든 환경, 애플리케이션 또는 솔루션 제공업체에서 채택할 수있는 개방형 표준이며 기존 보안 표준 및 프로세스에 부합된다. 사이버 보안 솔루션 제공업체들이 OCSF 표준을 제품에 통합함에 따라 보안 데이터 정규화 작업이 간소화되고 보안 팀 부담이 줄어들 것이다. OCSF는 보안 팀이 많은 시간과 에너지를 데이터 정규화에 소비하는 대신 데이터 분석, 위협 식별, 사이버 공격 방어 자체에 주력할 수 있도록 해줄 것이다. 

멤버 의견: 

Splunk 보안 시장 그룹 부사장 패트릭 커플린(Patrick Coughlin)은 “보안 전문가들은 갈수록 증가하는 애플리케이션, 서비스, 인프라 제공업체에서 나오는 개별 데이터를 통합하느라 씨름하고 있다”며 “광범위한 위협을 탐지하고 대응하려면 정규화되고 선별된 데이터가 필요하다. 이 문제를 해결하기 위해서는 업계가 함께 협력해야 한다. 스플렁크가 OCSF 커뮤니티의 자랑스러운 일원으로 참여한 이유가 바로 이 때문이다. 보안은 결국 데이터 문제이다. 우리는 보안 데이터의 모든 생산자와 소비자를 위한 개방형 표준 솔루션을 만들고자 한다”고 말했다.

Broadcom의 Symantec 엔터프라이즈 사업부 GM 롭 그리어(Rob Greer)는 “Symantec과 Broadcom Software는 OCSF 프로젝트의 토대로 ICD 스키마를 제공한 것을 자랑스럽게 생각한다. 이것은 우리가 보안 산업 전반에 걸쳐 개방형 표준을 지원하는 방식에 대한 또 다른 증거"라며 “OCSF 커뮤니티는 사이버 보안 조사를 위해 다양한 소스의 텔레메트리를 활용하는 수천 여 조직의 보안 운영을 간소화할 것”이라고 말했다.

AWS의 CISO 오피스 디렉터 마크 라일랜드(Mark Ryland)는 “보안 문제를 효과적으로 탐지, 조사, 대응하려면 도구 전반에 걸친 보안 관련 데이터에 대한 전체적인 관점을 갖는 것이 중요하다. 고객들은 보안 팀이 위험을 분석하고 대응하는 데 집중하기보다 다양한 도구에서 데이터를 정규화하는 데 너무 많은 시간과 에너지를 소비하고 있다고 말한다”며 “OCSF의 목표는 도구 간의 상호운용성을 높임으로써 고객이 신속하고 효과적으로 사이버 보안 문제를 파악하고 대응하도록 지원하는 것이다. 보안은 AWS의 최우선 과제이며 OCSF 커뮤니티와 협력하여 고객의 안전한 운영을 위한 업계 표준을 추진하게 되어 기쁘다”고 말했다.

Cloudflare CTO인 존 그레이엄(John Graham)은 "모든 기업이 보안 환경을 분석하고 파악할 수 있는 간단하고 방법을 사용할 수 있어야 한다. 이는 데이터에서 시작된다"며 “OCSF에 참여함으로써 전체 보안 업계가 데이터 포맷에 수많은 시간과 리소스를 낭비하는 대신 진짜 중요한 작업에 집중할 수 있기를 바란다"고 말했다.  

CrowdStrike CTO인 마이클 센토나스(Michael Sentonas)는 “CrowdStrike의 임무는 보안 침해를 막고 조직의 생산성을 높이는 것”이라며 “우리는 조직이 모든 데이터를 이해하고 분석하고 보안 운영을 간소화하여 위험을 낮출 수 있도록 해주는 공유 데이터 스키마 개념을 굳게 믿는다. CrowdStrike는 OCSF의 일원으로서 조직이 공격자보다 앞서 나가는 데 필요한 솔루션을 제공하는 데 주력하고 있다”고 말했다.

DTEX Systems 공동설립자 겸 CTO인 모핸 쿠(Mohan Koo)는 “현대의 사이버 보안 운영은 팀 스포츠이다. 단일 제품으로 가능한 것 이상의 가치를 제공하려면 여러 제품들이 서로 통합되어야 한다. 물론 개방형 API와 매핑 데이터 구조를 사용하면 가능하지만, 개발 및 처리 리소스는 무한하지 않다”며 “OCSF 이니셔티브는 비효율성을 제거하고 표준화된 데이터를 통해 원활한 통합을 가능하게 해준다. 따라서 보다 적은 비용으로 더욱 빠른 탐지와 대응이 가능해진다”고 말했다. 

IBM Security의 IBM Fellow, 부사장 겸 CTO인 스리다르 무피디(Sridhar Muppidi)는 “사이버 보안은 21세기의 가장 시급한 과제 중 하나이며 어떤 하나의 조직, 기관 또는 공급업체가 독자적으로 해결할 수 없다”며 “IBM Security는 오래 전부터 오픈 소스와 공개 표준을 지지해 왔으며 OCSF와 같은 공통 데이터 포맷이 다양한 사이버 보안 제품 간의 상호운용성을 개선하여 갈수록 교묘해지는 공격자들에 맞서는 집단적 힘이 될 수 있다고 믿는다”고 말했다.

IronNet 공동 CEO 겸 설립자인 키스 알렉산더(Keith Alexander)는 “협업은 IronNet 사명의 핵심이므로 Splunk와 AWS와 함께 OCSF의 구성원으로 합류하게 된 것을 자랑스럽게 생각한다. 우리는 사이버 보안 데이터 공개 표준을 개발함으로써 사이버 방어 강화를 위해 협력할 수 있다”며 “OCSF 초기 멤버 중 일원으로서 우리는 프레임워크를 성장시키고 인사이트를 공유하여 더 빠른 가시성과 더 높은 수준의 사이버 보호가 실현되기를 기대한다”고 말했다.

JupiterOne의 CEO 겸 설립자인 Erkang Zheng은 “OCSF 이니셔티브는 진정으로 전례가 없는 작업이다”라며 “수집 전에 데이터를 정규화하는 것은 보안 전문가에게 가장 큰 고충 중 하나였다. 여러 보안 벤더들의 공통 지식을 기반으로 하는 OCSF가 제안한 범용 프레임워크는 이 시간 소모적인 작업을 간소화하여 궁극적으로 모두를 위해 더 우수하고 강력한 보안을 실현한다”고 말했다.

Okta 미주지역 CSO(Chief Security Officer)인 크리스토퍼 니겔(Christopher Niggel)은 “Okta의 비전은 모든 사람이 모든 기술을 안전하게 사용할 수 있도록 하는 것이다. 광범위하고 심층적인 기술 환경에서 애플리케이션 전반의 원활한 통합과 상호운용성은 특히 보안 도구에서 매우 중요하다”며 “OCSF와 같은 연합은 보안 팀이 비즈니스의 전체 애플리케이션 생태계에서 데이터에 대한 액세스를 간소화하여 위협을 더 빠르게 탐지하고 조사할 수 있도록 해준다. 따라서 모든 사용자와 조직을 보다 안전하게 만들 수 있도록 지원한다”고 말했다.

Rapid7 탐지 및 대응 부사장 샘 아담스(Sam Adams)는 “우리는 보안 벤더로서 계속해서 진화하는 위협으로부터 조직뿐만 아니라 더 큰 커뮤니티를 보호하기 위해 끊임없이 노력하는 보안 팀을 지원해야 한다”며 “이를 위해서는 작업의 기반이 되는 데이터를 표준화해야 한다. 서로 다른 소스의 보안 데이터를 사용하는 데 따른 복잡성을 최소화할 수 있다면 보안 전문가는 매년 수백만 시간을 절약할 수 있다. Rapid7은 오픈 소스 커뮤니티를 지원한 자랑스러운 역사를 가지고 있다. 우리는 이러한 믿음을 공유하는 동료들과 함께 데이터 사일로를 허물고 보안 팀의 부담을 제거하는 솔루션을 구축하게 된 것을 기쁘게 생각한다”고 말했다.

Securonix 부사장 겸 사이버보안 에반젤리스트인 아우구스투스 바로스(Augusto Barros)는 “사이버 보안에 속도와 효율성을 추가하는 것은 지속적인 위협 인플레이션과 싸우는 조직의 주요 과제 중 하나”라고 말하면서 “OCSF는 보안 데이터 공유를 간소화하고 조직이 새로운 위협 탐지 분석을 신속하게 적용하고 기본 데이터 제공 소스에 관계없이 위협을 추적할 수 있도록 해준다. 이 공통 프레임워크는 또한 조직이 사이버 보안 데이터를 저장하고 가치를 얻기 위해 개방적인 새로운 접근 방식을 추구하는 과정에서 개별 데이터 저장소의 적용을 간소화한다”고 설명했다.

Sumo Logic 보안사업부 VP 겸 GM 데이브 프램튼(Dave Frampton)은 “기업은 오래 전부터 시스템 간 위협 데이터 공유의 필요성을 인식해 왔으며 오늘날의 위협 환경에서는 최고 수준의 효율성과 보호를 위해서는 중요 정보를 통합하고 공유할 수 있는 표준화가 필요하다”며 “우리는 OCSF에 참여하여 모두를 위한 보안 데이터의 가치를 향상시키고 사이버 위협 탐지, 조사, 차단에 필요한 신뢰할 수 있는 인사이트를 제공한다”고 말했다.

Tanium 기업 전략 수석부사장 롭 젠크스(Rob Jenks)는 “고객과 파트너가 Tanium의 실시간 엔드포인트 데이터를 계속해서 표준화함에 따라 끊임없이 변화하는 사이버 보안 환경에 빠르게 대응하는 것이 중요하다”면서 “우리는 개방형 사이버 보안 스키마 프레임워크를 위한 지원을 플랫폼에 추가함으로써 서로 다른 데이터 소스를 통합하여 사이버 보안 공격을 탐지, 조사, 차단하는 기능을 강화하는 데 주력하고 있다”고 말했다.

Trend Micro 글로벌 고객 성공 및 위협 연구 부사장 마이크 깁슨(Mike Gibson)은 “데이터 사일로는 기업에 불필요한 위험을 가중시키며 보안 팀의 골칫거리”라며 “개방형 커뮤니티를 통해 사일로를 허물고 보안 관리 간소화하여 위험을 최소화하는 것이 필요하다. 보안 팀이 형식에 대해 걱정하는 시간을 줄이고 인텔리전스에 더 집중할 수 있도록 해주는 솔루션을 구축하는 데 업계 동료들과 함께 동참하게 된 것을 자랑스럽게 생각한다”고 말했다.

Zscaler 기술 제휴 부사장 아밋 라이카르(Amit Raikar)는 “제로 트러스트의 리더인 Zscaler는 OCSF 범용 프레임워크를 통해 파트너와 협력하여 고객이 IT 및 보안을 혁신하도록 지원하게 된 것을 자랑스럽게 생각한다”면서 “제로 트러스트는 팀 스포츠이다. OCSF가 제안한 프레임워크는 장벽을 허물어 분석 및 탐지를 개선하고 더 나은 실행 정책을 만드는 데 도움이 될 것”이라고 말했다.

IDC Security and Trust 리서치 디렉터 미셸 아브라함(Michelle Abraham)은 “현대 SOC 팀이 직면한 중요한 과제는 다양한 보안 도구에서 서로 다른 데이터를 정규화하는 것이다. 보안 이벤트 데이터에 대한 개방적이고 확장 가능한 표준을 규정함으로써 OCSF는 최신 보안 위협을 탐지하고 방어하는 데 필요한 데이터 정규화 작업을 간소화한다”면서 “OCSF 표준 도구를 채택한 고객은 데이터 수집 워크플로우 구축에 따른 복잡성을 제거하는 이점을 누릴 수 있다”고 말했다.

OCSF에 대하여

OCSF는 오픈 소스 프레임워크를 통해 단순화되고 벤더 제약 없는(vendor-agnostic) 분류법을 제공하여 보안 팀이 시간 소모적인 정규화 작업 없이 데이터 수집 및 분석을 향상시킬 수 있도록 지원하는 것을 목표로 한다. OCSF 프로젝트는 AWS와 Splunk의 대표로 구성된 운영위원회를 주축으로 컨트리뷰터 및 유지 보수 팀이 공동 관리한다.

OCSF 프로젝트 참여 및 기부 방법은 아래 사이트에서 확인할 수 있다. 
https://github.com/ocsf/.