글로벌 투자 회사

문제점

Medidata는 시스템 전반의 보안 태세에 대한 인사이트를 확보하고, 온프레미스 시스템과 클라우드 서비스 전반에서 발생할 수 있는 잠재적인 공격 징후를 식별할 수 있어야 했습니다. 이를 통해 공격을 가능한 한 신속하게 차단하고, 고객에게 자사의 높은 보안 수준을 입증해야 했습니다.

결과

Medidata는 매월 2테라바이트가 넘는 시스템 이벤트 데이터를 로깅하고 있습니다. Sumo Logic을 통해 Medidata는 클라우드 시스템에서도 온프레미스 시스템과 동일한 수준의 보안 가시성을 확보할 수 있게 되었습니다. 그 결과, 이전에는 탐지되지 않았을 보안 사고를 이제는 선제적으로 해결할 수 있습니다.

“Sumo Logic은 하이브리드 인프라를 효과적으로 관리하고 혁신을 가속화할 수 있도록 지원해 주었습니다. 이제 온프레미스 데이터 센터와 클라우드 애플리케이션 모두에서 로그를 수집하고, 이를 이해한 뒤 실시간으로 조치를 취할 수 있습니다. 이것이야말로 진정한 핵심 가치라 할 수 있습니다.” 글렌 와트, CISO, Medidata

Medidata의 클리니컬 클라우드(Clinical Cloud)는 이러한 방식을 통해 생명과학 조직이 임상 시험과 관련된 위험을 줄이고, 비용과 완료까지 소요되는 시간을 절감하는 동시에 성과를 개선할 수 있도록 지원합니다. Medidata의 고객 기반은 바이오제약 기업, 의료기기 및 진단 기업, 학술 기관과 정부 기관, 임상시험수탁기관(CRO), 기타 연구 기관에 이르기까지 매우 폭넓으며, 생명을 개선하는 의료 치료법과 진단 기술을 개발하는 전 세계 상위 25대 제약사 중 24곳이 Medidata의 고객입니다.

1999년 뉴욕에서 설립된 Medidata는 현재 미국, 영국, 일본 전역에 사무소를 두고 있으며, 비즈니스 운영과 서비스 제공을 위해 기술에 크게 의존하고 있습니다. 이러한 비즈니스 기술 환경은 온프레미스 데이터 센터와 퍼블릭 클라우드 시스템의 조합으로 구성되어 있습니다. 현재 텍사스주 휴스턴에 위치한 Medidata의 기존 데이터 센터는 Electronic Data Capture 플랫폼 호스트, 임상 시험 중 잠재적으로 심각한 이상 반응을 식별하는 Safety Gateway 등 Medidata 비즈니스의 핵심이 되는 여러 온프레미스 애플리케이션을 운영하고 있으며, Medidata 정보 중 가장 방대한 데이터 저장소를 보유하고 있습니다. “해당 데이터 센터는 매우 중요하고 규모도 큽니다. 하지만 Medidata가 의존하는 나머지 애플리케이션들은 모두 Amazon Web Services(AWS) 내에서 운영되고 있습니다.”라고 Medidata의 CISO인 글렌 와트는 말합니다.

투명성과 인사이트의 필요성

시스템과 데이터를 보호하기 위해 Medidata는 물리적 데이터 센터 내에 다양한 보안 통제와 프로세스를 포함한 성숙한 보안 프로그램을 구축했으며, AWS 보안 그룹과 같은 AWS에서 제공하는 보안 기능도 활용해 왔습니다. 이러한 온프레미스 및 클라우드 환경 보안 노력에 더해, Medidata는 시스템 전반의 보안 이벤트에 대한 투명성을 한층 더 강화하고, 고객에게 Medidata의 높은 보안 관리 수준을 입증하며, 데이터 유출을 방지하고, 공격을 준실시간으로 분석할 수 있는 역량이 필요했습니다.

와트가 달성하고자 했던 목표는 Medidata의 로그 및 시스템 파일을 분석해, 이상 징후나 공격이 진행 중임을 시사하는 이벤트를 식별할 수 있는 능력이었습니다. 기존의 시그니처 기반 또는 침입 탐지 시스템은 설정을 과도하게 조정할 경우 수많은 오탐을 발생시키며, 반대로 느슨하게 조정하면 사고를 놓치기 쉽습니다. 따라서 이러한 기존의 시스템에 의존하지 않는 것이 중요했습니다. “매월 2테라바이트에 가까운 로그 파일이 생성됩니다. 현실적으로 그 모든 데이터를 직접 검토해 공격을 식별하는 데 필요한 상관관계를 찾아내는 것은 불가능합니다. 그래서 강력한 보안 데이터 분석 역량이 필요했습니다.”라고 와트는 말합니다.

이러한 역량은 클라우드 환경에서 비즈니스가 운영되는 것에 대해 우려를 갖고 있는 일부 Medidata 고객의 걱정을 완화하는 데에도 큰 도움이 될 수 있었습니다. 데이터의 특성과 오늘날 강화된 제3자 검증 및 실사 절차로 인해, Medidata의 여러 고객은 클라우드 기반 시스템을 어떻게 보호하고 있는지에 대해 질문을 던지고 있습니다. “고객의 관점에서 보면 가장 먼저 눈에 들어오는 것은 우리가 클라우드에서 상당한 규모의 운영을 하고 있다는 점입니다. 일부 고객은 클라우드에 대한 본질적인 불안감과 보안에 대한 우려 때문에 매우 회의적인 시각을 갖고 있습니다. 데이터가 취약할 수 있고, 최악의 경우 데이터가 조작될 가능성까지 우려하는 것입니다.”라고 와트는 덧붙입니다.

적합한 솔루션을 찾기 위해 와트는 처음에 시장에 나와 있는 주요 SIEM과 여러 보안 데이터 분석 도구를 평가했습니다. 그러나 온프레미스와 AWS 환경 모두에서 작동하는 솔루션은 극히 드물었고, 일부는 온프레미스에 장비 설치를 요구하기도 했습니다. “평가했던 모든 벤더에게 가장 먼저 던진 질문은 해당 시스템이 AWS 내에서 실행되는지 여부였습니다. 그렇지 않다면, 논의는 5분 만에 끝났습니다.”라고 와트는 말합니다. “하지만 솔루션은 단순히 AWS에서 작동하는 것만으로는 충분하지 않았습니다. 데이터 센터에서도 함께 작동해야 했고, 추가적인 하드웨어나 소프트웨어를 요구하지 않는 솔루션이 필요했습니다.”

Sumo Logic으로의 전환

신중한 평가 끝에 Medidata는 클라우드 네이티브 데이터 분석 솔루션으로 이러한 요구 사항을 충족할 수 있다는 결론에 이르렀고, Sumo Logic을 선택했습니다. Sumo Logic은 Medidata의 전체 인프라와 애플리케이션 스택 전반에 걸쳐 실시간의 지속적인 인텔리전스를 제공하며, 온프레미스와 AWS 이벤트 로그를 모두 활용해 감사 대응이 가능한 규정 준수 보고서를 자동으로 생성할 수 있도록 지원했습니다. 또한 Sumo Logic은 네트워크, 서버, 애플리케이션 스택 전반을 아우르는 통합된 뷰를 제공함으로써 클라우드 및 온프레미스 감사 절차를 단순화하고 보안 태세를 강화할 수 있도록 했습니다.

아울러 머신 러닝 알고리즘으로 구동되는 예측 분석 기능은 규칙이나 사전 정의된 스키마에 의존하지 않고도 알려지지 않은 보안 이벤트를 발견해, 임박한 위협을 사전에 차단할 수 있도록 지원합니다. 와트는 Sumo Logic의 매끄러운 도입 과정에 매우 만족했습니다. “말 그대로 몇 분 만에 바로 가동할 수 있었습니다.”라고 그는 말합니다. “Medidata 엔지니어들이 Sumo Logic 엔지니어링 팀과 함께 작업했고, 20분도 채 되지 않아 모든 설정이 완료되었습니다. 이후의 모든 과정도 전부 그만큼 간단했습니다. 첫 번째 보고서부터 바로 실행 가능한 정보를 얻을 수 있었고, 이는 매일의 운영에서 매우 큰 가치를 제공하고 있습니다.”

중요한 것만 확인

매월 거의 2테라바이트에 달하는 로그 데이터가 생성되는 상황에서, 와트는 중요한 것과 그렇지 않은 것을 빠르게 구분할 수 있는 방법이 필요했습니다. “Sumo Logic은 이 부분을 탁월하게 해냅니다. 그 점에는 의심의 여지가 없습니다. Sumo Logic 도입 전에는 우리가 무엇을 모르고 있는지조차 몰랐습니다. 즉, 인지하지 못한 상태에서 여러 활동과 위협이 우리 눈앞에서 벌어지고 있었던 것입니다. Sumo Logic을 도입한 이후에는 마치 누군가가 눈가리개를 벗겨 준 것처럼, 우리 비즈니스에 잠재적으로 영향을 미칠 수 있는 요소들을 볼 수 있게 되었습니다.”라고 와트는 말합니다.

Sumo Logic은 Medidata의 높은 데이터 보안 수준과 사고 대응 역량을 입증하는 데에도 큰 도움을 주었습니다. “보안과 관련해 Medidata가 무엇을 하고 있는지 반드시 알고 싶어하는 고객이 있습니다. 해당 고객은 증거를 요구하곤 하는데, Sumo Logic이 제공하는 보고서를 통해 이를 제시할 수 있게 되었습니다. Sumo Logic을 통해 Medidata는 이제 보안 활동을 보다 쉽게 입증할 수 있으며, AWS 전반의 이벤트에 대한 가시성과 함께 잠재적으로 의심스러운 트래픽을 식별할 수 있는 역량도 확보했습니다. 이러한 보고 기능은 Medidata가 충족해야 하는 다양한 사이버 보안 규제 요건을 명시하고 있는 미국 식품의약국(FDA)의 CFR Part 11 규정을 준수하는 데에도 도움이 됩니다.

실시간 공격 탐지

Sumo Logic은 단순히 규정 준수나 모니터링 자체를 위한 모니터링을 넘어, 실행 가능한 보안 정보를 제공하고 실제로 진행 중이던 공격을 차단하는 데에도 성공했습니다. “어느 날 밤 늦은 시간, Sumo Logic이 우리 서버를 대상으로 한 공격으로 보이는 활동을 포착하고 알림을 발동했습니다. 알림을 받은 뒤 몇 분 만에 해당 활동이 공격으로 보인다는 결론에 도달했고, 즉시 해당 소스를 차단했습니다.”라고 와트는 회상합니다.

Sumo Logic은 해당 공격으로 보였던 활동의 근본 원인을 몇 분 만에 식별할 수 있는 인사이트를 Medidata에 제공했습니다. 그 명백한 공격은 한 고객의 서버에서 발생한 것이었습니다. 와트는 이것이 실제 공격일 수도 있고 오탐일 수도 있다고 판단해 전화로 해당 고객에게 연락했습니다. 어떤 경우든 고객에게 알리는 것이 중요하다고 판단했기 때문입니다. 하지만 고객은 그 주말 동안 침투 테스트를 진행하고 있었다고 알려왔습니다.

“침투 테스트 과정에서 누군가 설정을 잘못 입력하는 바람에, 자신들의 서버뿐 아니라 Medidata가 해당 고객과 함께 사용하던 서버까지 공격하는 상황이 발생했던 것입니다. 저는 Medidata가 공격을 탐지했고, 몇 분 만에 이를 차단했으며, 앞으로도 이상 징후가 보이면 매번 동일하게 대응할 것이라고 설명했습니다.”라고 와트는 말했습니다. “고객들은 정말 깜짝 놀랐습니다. Medidata가 그렇게 신속하게 대응할 수 있었고, 그 수준으로 고객을 보호하고 있다는 사실을 믿기 어려워했습니다. 그리고 이는 Sumo Logic 없이는 불가능했을 것입니다.”라고 그는 덧붙였습니다.

“Sumo Logic으로의 전환은 모든 측면에서 매우 큰 성공이었습니다. Medidata는 물리적 데이터 센터와 Amazon Web Services 환경 모두에서 필요한 모든 것을 확인할 수 있습니다. Sumo Logic은 고객이 우리 보안 프로그램에 대해 알고자 하는 내용을 입증할 수 있도록 도와주며, 이전에는 인지하지 못했던 수많은 공격과 활동을 이제는 확인할 수 있게 해줍니다.”라고 와트는 말합니다.