네트워크 포렌식은 네트워크 패킷을 분석해 이상행위를 찾아내는 솔루션으로, 실시간 위협 탐지 기능보다 모니터링·보안 기능 개선에 초점을 맞춰 도입됐다. 풀 패킷 수집과 분석으로 정밀한 보안조사가 가능하며, 운영 기간이 길어질수록 탐지 정확도가 높아졌으며, APT 공격 받을 기회가 줄어들어 보안위협을 낮출 수 있다.
조남용 한국델이엠씨 RSA보안사업본부 부장은 “기존의 네트워크 포렌식은 강력한 분석도구로 기능하며 새로운 공격을 탐지하는 역할을 수행해왔다. 이제 새롭게 등장한 차세대 네트워크 포렌식은 다른 보안 요소와의 연관분석, 통합을 이용한 고도화된 탐지·대응 솔루션으로 진화하고 있다”고 말했다.
조남용 부장은 9일 서울 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 열린 ‘차세대 보안비전 2017’에서 ‘네트워크 포렌식의 진화’라는 주제로 발표하며 “보안담당자들은 솔루션은 좋지만 제대로 활용하지 못하고 있다거나, 너무 많은 트래픽에서 실제 공격을 찾기 어렵다, 혹은 경험이 풍부한 보안 전문인력이 필요하다고 주장했다. 새로운 네트워크 포렌식 솔루션은 고객의 목소리를 반영해 관리 용이성과 실시간 탐지 기능을 한층 강화했다”고 말했다.
연관성 분석 룰 이용한 자동탐지 제공
조 부장이 소개한 RSA ‘넷위트니스’는 보안관제 고급 전문가, 중급 전문가, 초급 전문가 등 담당자 수준에 맞는 최적화된 기능을 제공하며, 실시간 연관성 분석 룰을 이용한 자동 탐지, 시나리오 기반 탐지, CEP 기술을 활용한 정교한 분석이 가능하다.
연관성 분석 탐지의 예를 들어보면, 동일 소스IP에서 스크립트가 포함된 PDF 파일이 다운로드 된 후 10분 이내에 실행파일이 다운로드되고, 5분 내에 HTTP 트래픽이 비표준 포트로 위험 국가와 통신한다면 위협으로 인지되고 경고가 울리게 된다.
넷위트니스에는 머신러닝 기반 자동화된 C&C 도메인 탐지 기술이 추가됐으며, 데이터 사이언스 알고리즘을 활용한 실시간 분석이 가능하다. 현재 및 과거 행위를 기반으로 학습해 정상적이지 않은 상황을 지능적으로 인지하고 차단한다.
또한 위협 정보를 수집하는 시점에서 인텔리전스를 추가해 상황정보, IP 대역, IP 소유자/부서, 자산 중요도, 기밀정보 존재여부 등을 판단하고 즉시 정책을 실행하도록 한다. 악성코드 배포지점, C&C IP, 봇넷 IP, 사설 VPN 서비스, 익명 프록시 등의 위협 인텔리전스 기반의 대응이 가능하며, 비즈니스 정황에 기반한 위협 탐지 체계를 구축할 수 있다.
조남용 부장은 “넷위트니스는 기존의 네트워크 포렌식을 뛰어넘는 진화하는 보안관제 방안을 제시한다. 위협 정보 수집 시점부터, 분석, 실행에 이르기까지 전체 과정이 유기적으로 연동돼 고도화된 탐지·대응 솔루션으로 역할하게 될 것”이라고 말했다.
