지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>
빅데이터 분석 기술로 차세대 보안관제 업그레이드
침해 탐지를 위해 가장 많이 사용되는 서비스는 보안관제이다. 기존의 보안관제는 보안 시스템의 로그를 분석해 침해사고 여부를 확인하는 수준으로, 공격 가시성을 확보하지 못했다. 또한 기업들이 자산의 보안 로그를 외부로 보내는 것을 꺼려하고, 자체 SOC를 구축해 운영하면서 관제인력 파견을 요구하는 경향이 높았다. 공공기관은 자체 관제센터를 구축하고 관제 전문기업을 통해 파견근무를 원칙으로 했다.
그러나 최근에는 보안 위협이 빠르게 변하면서 관제 서비스와 운영인력에 대한 고도의 전문성이 요구되면서 파견관제보다 원격관제에 더 무게중심이 쏠리고 있다. 컴플라이언스로 파견관제를 수용해야 하는 공공기관을 제외하고 관제 서비스를 이용하는 산업군에서 원격관제 서비스로 전환되는 비중이 높아지고 있다.
이종수 SK인포섹 관제사업본부장은 “최근 원격관제 비중이 크게 늘어나고 있는데, 지능형 사이버 공격 대응을 위해 원격관제가 더 효과적이라는 것을 알게 된 고객들이 원격관제로 돌아서고 있으며, 중소기업에서도 관제의 필요성을 느끼게 되면서 원격관제 서비스를 찾게 됐기 때문”이라고 말했다.
SK인포섹은 사이버 공격 방어를 위해 취약점 진단과 정보보호 컨설팅을 통한 예방 전략과 보안관제 서비스를 통한 탐지 및 대응 전략을 제공한다. 자체 개발한 빅데이터 플랫폼을 이용해 방대한 보안 이벤트를 분석하고 실시간 침해를 탐지하고 대응한다.
인공지능 기술의 하나인 딥러닝 기술을 적용해 위협을 학습하고, 자동으로 대응하며, 공격이 진행될 때 정확하게 차단하고 다음 대응 단계에 돌입하는 오케스트레이션 기능까지 제공하고자 한다. 이 기술을 구현한 차세대 관제 플랫폼을 7월 1차 오픈하고, 베타테스트를 거쳐 연내 정식 서비스를 시작할 계획이다.
SK인포섹은 차세대 관제 플랫폼으로 해외 수출도 계획하고 있다. 원격 보안관제 모델이나 관제 플랫폼과 관제 노하우를 턴키로 수출하는 모델이 가능할 것으로 보고 있다.
국내 보안관제 시장은 너무 많은 기업들이 진출하면서 인력파견 서비스 모델을 기반으로 가격경쟁을 심하게 벌여 시장 전반을 약화시켰다. 업계 선두 기업 중 성과를 내고 있다고 할 수 있는 곳은 SK인포섹, 안랩, 이글루시큐리티 정도이며, 삼성SDS가 보안관제 시장 진입을 재시도하고 있다. 삼성SDS는 국내가 아니라 해외에 관제 서비스를 수출하기 위해 관제조직을 정비하고 있다고 밝히고 있다.
관제 시장을 리딩하는 업체들은 차세대 관제 시스템으로 업그레이드하면서 역량을 강화하고 있다. 이글루시큐리티는 자체 개발한 위협관리 시스템 ‘스파이더 TM’을 공급하면서 관제 역량을 강화시키고 있다. 스파이더TM은 네트워크 전반에 걸친 모든 정보의 흐름을 쉽고 정확하게 인지할 수 있는 일원화된 관제 환경을 구성해 사용자 편의성과 보안성을 높였다.
모든 로그와 네트워크 풀 패킷 데이터를 수집하고 이를 외부 위협 정보와 연계 분석할 수 있는 자동화된 분석 플랫폼을 제공한다. 사용자들은 다년간의 보안관제 수행 경험이 축적된 상관분석 시나리오를 통해 공격과 관련된 모든 보안 정보에 대한 연계 분석을 수행해 능동적인 보안 정책을 수립할 수 있게 한다
보안관제공유센터인 ‘날리지 센터(Knowledge Center)’를 통해 다양한 기업, 기관에서 수집된 최신 보안 위협 정보와 최신 위협 요소를 반영한 룰셋을 제공받음으로써 인프라와 조직의 취약점을 파고 드는 위협 요인에 대한 통합적 가시성을 확보할 수 있게 된다.
하반기에는 네트워크 패킷을 분석하는 NI(Network Insight) 기능이 추가되며, 행위 기반 탐지 및 취약점 차단 기술을 적용해 악성코드를 분석하는 ‘어드밴스드 쓰렛 디텍션 플러그인(Advance Threat Detection Plugin)’이 적용될 예정이다. 전체 시스템의 로그를 분석해 불법적인 정보유출을 감지하는 정보유출 모니터링 기능을 추가한다.
남현우 이글루시큐리티 이사는 “이글루시큐리티는 ‘인력’, ‘프로세스’, ‘기술’의 3요소가 유기적으로 결합된 통합보안관리 솔루션과 보안관제 서비스 제공을 통해 기업의 보안성과 효율성, 보안 관리자의 편의성을 두루 높이는 데 중점을 두고 있다”며 “대용량 데이터 실시간 연계분석으로 공격 유효성을 판단하고, 보안 정보를 사용자가 직관적으로 볼 수 있도록 시각화해 발생한 주요 보안 이벤트를 놓치지 않도록 도와준다”고 말했다.
