넷크루즈(대표 정상준)는 ‘넷크루즈 시큐리티 매니저 nSIEM V1.0(이하 nSIEM V1.0)’이 국제공통평가기준(CC)을 통과, IT 보안인증사무국으로부터 CC(Common Criteria) 인증 EAL2 등급을 획득했다고 밝혔다. 넷크루즈는 이번 CC 인증을 획득을 통해 nSIEM V1.0의 안정성과 신뢰성을 객관적으로 입증하여, 국가 및 공공시장에서의 통합보안관리 사업 확대를 기대할 수 있게 됐다.
nSIEM V1.0은 통합보안관리(ESM)에서 한 단계 진화된 보안관리솔루션으로 보안장비 로그뿐 아니라 네트워크 장비 및 애플리케이션 로그를 빅데이터 기반으로 수집한다. 또한 수집된 데이터를 기준으로 시나리오 기반의 연관관계를 설정해 위협상황을 분석한 후 관련 부서와의 협업을 통해 전사적으로 대응할 수 있는 지능형 종합분석시스템이다.
주요 기능으로는 수집된 데이터를 분석해 실질적인 위협상황을 판단하는 탐지 정책 기능을 제공하고, 위협상황 인지에 따른 상세내용 분석, 처리절차를 시스템에서 자동으로 제공한다. 위협등급이 높은 이벤트가 발생하거나 실질적인 위협이 탐지되는 경우, 관리자가 설정한 정책에 따라 대응 프로세스가 작동하고, 메일, SMS 등을 통해 관리자에게 위협상황을 실시간으로 통보하여 신속한 대응이 가능하다.
과거에는 보안장비 로그만으로 분석 및 대응이 충분했지만 최근에는 사이버 위협이 복합적인 양상을 띠면서 더 많은 로그를 수집하고 분석해야 효과적으로 대응할 수 있게 됐다. SIEM 운영의 핵심은 오탐 및 과탐을 방지할 수 있는 탐지 정책의 최적화라고 할 수 있는데, 방대한 로그를 면밀히 분석해 탐지 시나리오, 임계치 등을 도입 고객사 환경에 맞게 적용해야 한다.
넷크루즈는 이러한 탐지 정책의 최적화를 위해 그간의 운영 노하우가 집약된 200개 이상의 룰셋을 보유하고 있으며, nSIEM 구축 시 고객사 환경에 맞는 탐지 정책, 대시보드, 보고서 등을 최적화해 제공하고 있다.
그 동안 국산, 외산의 SIEM시스템이 금융사, 그룹사, 데이터센터, 공공기관 등을 중심으로 많이 도입됐다. 그러나 정작 현실에서는 로그관련 법규조항 준수를 위해 로그를 보관하는 용도로만 활용되거나 사이버 위협에 효과적으로 대응하지 못하는 문제를 안고 있는 현실이다.
SIEM을 도입한 고객의 대부분의 실질적인 요구는 SIEM시스템을 통해 자동화된 로그관리는 물론이고, 관리포인트를 줄이면서 위협상황 발생 시 조속한 인지 및 효율적인 위협 분석이 가능해야 한다는 것이다.
넷크루즈의 nSIEM은 이미 많은 고객사를 보유하고 있으며, 다양한 보안 용도로 활용되고 있다. D증권사의 경우는 악성코드 탐지로그, 주요서버 접속이력, 트래픽 로그 등을 수집해 시나리오 기반의 연관분석 기법으로 비정상적인 행위를 탐지하고 외부 유출을 차단하는 목적으로 활용 중이다. 또한 이벤트의 등급을 구분해 크리티컬 등급의 이벤트 발생 시 관리자에게 즉시 이메일과 SMS가 발송돼 위협상황에 신속하게 대응한다.
이처럼 최근의 보안위협은 단순하게 외부에서 내부로의 침입이 아니라, 최종목표는 내부 정보를 외부로 빼내는 것이므로 외부에서 들어오는 공격뿐 아니라 내부정보 유출에도 대응할 수 있도록 방대한 로그의 수집은 필수며, 위협상황을 종합적으로 판단할 수 있는 제품을 선택해야 한다.
넷크루즈 김선욱 부사장은 “nSIEM V1.0은 외부침입 탐지뿐 아니라 내부정보 유출 행위까지 종합적으로 모니터링 할 수 있는 지능형 종합분석시스템이다”며 “복합적인 위협상황에 대응하기 위해서는 SIEM 시스템의 도입이 필요하며, 동시에 도입기관에 최적화된 모니터링 프로세스가 제공돼야 한다. 넷크루즈의 nSIEM이 그에 대한 해답을 제공할 것”이라고 강조했다.
