> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[침해 탐지·대응⑦] SIEM, 보안 지능 높인다
엔드포인트·네트워크 연계해 보안 가시성 높여…빅데이터 분석기술 접목해 지능적으로 대응
     관련기사
  [침해 탐지·대응①] 심화되는 사이버 공격…전방위 방어체계 필요
  [침해 탐지·대응②] 선제방어·탐지대응 투트랙 전략
  [침해 탐지·대응③] 엔드포인트 침해 탐지로 공격 차단
  [침해 탐지·대응④] 봇물처럼 터져나오는 EDR
  [침해 탐지·대응⑤] 머신러닝 이용 ‘인공지능 관제’ 시스템
  [침해 탐지·대응⑥] 사람처럼 생각하고 판단하는 보안 시스템
2016년 09월 02일 10:02:51 김선애 기자 iyamm@datanet.co.kr

지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>

SIEM, 보안 인텔리전스 연계해 고도화

위협 탐지·대응을 위해 필요한 기술은 보안관제 시스템에서 사용하던 TMS, ESM 등이 있으며, 최근에는 SIEM으로 통합되고 있다. SIEM은 보안 로그를 수집해 연계분석해 공격위협 가시성을 높여줄 수 있다.

그러나 SIEM도 한계가 있다. 로그만을 분석하기 때문에 네트워크 트래픽의 악성코드를 탐지하지 못하고 SIEM의 분석 패턴을 파악하고 임계치 이하의 행위를 지속한 공격도 발견된 바 있다. 지능형 공격은 6개월 이상, 길게는 수년간 시스템에 잠복해 공격을 진행하는데, SIEM이 수집한 로그는 3개월 가량 보관하기 때문에 3개월 이상 단위로 공격이 진행되면 연계분석이 불가능하다.

기태현 라온시큐어 이사는 “SIEM은 초기 보안 인텔리전스로 사용되면서 공격 시나리오를 만들고 이벤트를 쪼개 패턴을 확인하면서 공격을 차단했다. 그러나 이 방법을 우회하는 공격이 등장하고 있으므로, 공격 탐지 기법을 고도화해 SIEM이 탐지하지 못하는 공격도 찾아내야 한다”고 지적했다.

최근 SIEM은 엔드포인트 탐지 정보, 네트워크 포렌식 기술과 연계해 엔드포인트부터 네트워크 패킷, 시스템로그까지 종합적으로 분석할 수 있도록 진화하고 있다. 이에 더해 인공지능 기술을 접목해 전문가의 통찰력을 접목한 정확한 공격 탐지 성능을 제공한다.

   
▲SIEM의 진화(자료: EMC RSA)

HPE 아크사이트, 스플렁크는 SIEM 솔루션과 머신러닝 기반 UBA 제품을 연계해 지능적으로 공격을 탐지하고 있다. HPE 솔루션과 벡트라를 공급하는 오픈베이스가 개발하는 ‘엘라스틱’은 오픈소스 빅데이터 수집·분석 솔루션을 이용해 ‘가성비’ 높은 분석 솔루션을 제공할 계획이다.

SIEM 시장의 대표주자인 IBM ‘큐레이더’는 보안분석 시스템 ‘코그너티브’ 역량을 더해 지능적인 분석 역량을 강화했다. 또한 인공지능 버신 ‘왓슨’에 보안 기술을 학습시켜 보안관제 서비스에 활용하도록 할 계획이다. IBM은 왓슨의 한국어 습득이 완료되면 인터넷의 보안 블로그와 기사를 통해 한국의 보안 시장을 학습하고 이 지식을 기반을 보안 위협 탐지와 관제, 모니터링 분야에 도움을 줄 수 있을 것으로 예상한다.

마크 반 자델호프 IBM 보안 사업부 총괄 대표는 “IBM의 코그너티브 보안 포트폴리오는 인공지능 기술을 기반으로 하고 있으며, 한국에 대한 수준 높은 이해가 있어 한국 환경에 가장 잘 맞는 보안 기술을 제공할 수 있다”며 “왓슨과 IBM 보안 분석가들이 한국에 대한 이해를 높여가면서 더 정확하게 방어 서비스를 제공할 수 있다”고 말했다.

신호철 한국IBM 보안사업 총괄 상무는 “왓슨의 보안 인텔리전스는 IBM의 모든 보안 제품과 서비스에 적용하게 될 것이다. 연내 SIEM 솔루션 ‘큐레이더’에 적용해 출시할 예정이며, 내년 이후에는 다른 솔루션에 순차적으로 적용하면서 에코시스테을 통해 발전시켜 나갈 것”이라며 “다른 보안 기업들이 왓슨 엔진을 활용해 보안 위협을 학습하고 대응할 수 있도록 하는 비즈니스 모델도 가능할 것”이라고 설명했다.

큐레이더는 로그분석 기능 뿐만 아니라 취약점 관리, 위험관리, 포렌식 분석, 네트워크 행위 분석 기능 등을 제공하는 통합 보안 모니터링 플랫폼으로, 로그와 네트워크 패킷을 실시간으로 분석해 공격을 빠르게 탐지한다. IBM 보안연구소 엑스포스의 위협 인텔리전스 피드를 결합해 기업 보안 관리자에게 종합적인 뷰를 제공한다.

나병준 IBM 보안사업부 실장은 “큐레이더의 대표적인 성공사례인 KB금융그룹의 경우 2014년 아시안 뱅커의 프로젝트 어워드를 수상하는 등 IBM 큐레이더를 통해 내부 보안 위협을 체계적으로 관리하는 기업으로 꼽혔다. 또한 큐레이더는 국내 굴지의 그룹사 관제 서비스와 금융권에 공급돼 보안 탐지 능력을 인정받았다”고 말했다.

한편 IBM도 UBA/NBA 제품을 새롭게 출시하면서 큐레이더의 보안 탐지 역량을 한층 더 강화할 계획을 밝히고 있다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  엔드포인트 보안, 네트워크 보안, 침해 탐지 및 대응, SIEM, 보안 인텔리전스, 빅데이터 분석
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr