안랩 ‘AIPS’, 네트워크 풀 스택 지원 지능형 차세대 IPS
상태바
안랩 ‘AIPS’, 네트워크 풀 스택 지원 지능형 차세대 IPS
  • 데이터넷
  • 승인 2019.08.16 09:21
  • 댓글 0
이 기사를 공유합니다

네트워크 운영 간소화 … 지능형 비즈니스 지원·고객 경험 향상

[데이터넷] 다양한 보안 솔루션들이 차세대로 진화하고 있다. 레거시 IPS 또한 새롭게 등장하고 있는 보안 위협에 대한 탐지 및 차단은 물론 정밀한 분석까지 가능한 차세대 IPS로 교체되고 있다. 이러한 추세에 맞춰 출시된 안랩의 차세대 침입방지 솔루션 ‘AIPS’는 강력한 위협 탐지와 빅데이터 처리 엔진 기반의 정밀하고 유연한 위협 분석, 뛰어난 가시성과 사용 편의성을 제공해 고도화된 네트워크 보안 위협에 대응한다.<편집자>

AI, 클라우드, 5G는 4차 산업혁명과 디지털 트랜스포메이션을 대표하는 기술로, 네트워크 환경을 빠르게 변화시키고 있다. 우리 주변에서 쉽게 IoT 기기들을 찾을 수 있게 됐으며, 인공지능이 탑재된 가전제품과 자율 주행 차량이 등장했다. 또한 기업의 수많은 자산과 서비스가 클라우드 환경으로 이전되고, 5G 상용화로 트래픽 규모가 나날이 증가하고 있다.

이러한 네트워크의 변화와 더불어 신기술들이 보안 위협과 융합되기 시작하면서 수많은 신종, 변종 위협이 생겨나고 있다. 최근 네트워크 보안 위협은 공격 방식이나 감염 경로가 전통적인 방식과 달라 대응이 어렵고, 대규모 피해를 일으킨다. 이처럼 네트워크의 변화와 함께 고도화되고 있는 보안 위협에 대응하기 위해서는 보안 기술의 진화가 필요하다.

지능형 위협 차단하는 탐지엔진
침입방지시스템(IPS) 역시 이 같은 진화의 요구에 직면해있다. 과거 공격은 서버, 애플리케이션의 취약점을 이용한 공격이 주를 이뤘다. 레거시 IPS는 알려진 취약점과 공격에 대응할 수 있는 시그니처 기반 위협 탐지와 임계치 기반 탐지·차단으로 대응했다.

시그니처 방식 탐지 기능은 패킷 기반 공격에 특화돼 있으며, 다른 보안 솔루션과의 연계 없이 IPS 단독으로 위협에 대응하는 형태였다. 레거시 IPS로는 지능화되고 다변화하고 있는 보안 위협에 대응하는데 한계가 있다.

안랩의 차세대 IPS 솔루션 ‘AIPS’는 진보된 탐지 엔진과 안랩의 광범위한 위협 대응 인프라를 기반으로 하는 정교한 시그니처를 이용해 지능적인 위협을 탐지하고 차단한다. 네트워크 풀 스택을 커버하는 다양한 탐지 필터와 암호화 트래픽 분석 악성파일 탐지와 추출, 트래픽 자동 학습 등 차세대 기능을 적용해 변화하는 위협에 대응한다.

AIPS는 정확도를 높인 위협 탐지 차단 기능과 더불어 안랩의 독자 기술로 개발된 빅데이터 처리 엔진 기반의 모니터링, 대시보드, 통계 분석 등을 통해 보안 이벤트를 보다 신속하면서도 직관적이고 유연하게 확인하고 대응할 수 있다. 네트워크 통합 보안관리 플랫폼인 ‘안랩 TMS’ 및 다른 보안 솔루션들과의 연계를 통해 더욱 강력하고 지능적인 위협 탐지와 풍부한 위협 분석을 기대할 수 있다.

네트워크 풀 스택 지원하는 위협 차단 시스템
DPI 기술을 통해 패킷의 페이로드를 분석하는 IPS 제품은 악성 트래픽의 탐지와 차단이 가장 핵심이라고 할 수 있다. 진화하고 있는 보안 위협에 대응할 수 있도록 다양한 종류의 트래픽에 대한 탐지 엔진과 기능을 제공해야 한다.

강력한 위협 탐지 엔진을 탑재하고 있는 AIPS는 네트워크 풀 스택 위협을 탐지한다. 고속 패턴 매칭을 기반으로 비정상 IP/MAC 기반의 제어, 비정상 프로토콜의 차단, 임계치를 기반으로 하는 행위 기반 탐지 및 애플리케이션 제어 등 레이어 2부터 레이어 7까지 네트워크 전체 영역의 위협을 찾아낸다.

AIPS는 네트워크 전반에 걸쳐 탐지와 차단 기능을 제공하기 때문에 단순히 취약점을 이용한 공격뿐 아니라 SCAN 공격, 플루딩 공격, 변조된 IP를 통한 우회 공격 등 다양한 보안 위협에 대응할 수 있다.
최근 보안 위협의 주를 이루는 멀웨어 공격에 대응하기 위해서 YARA 엔진을 적용했다.

이를 통해 악성파일을 탐지하고, 추가 분석을 위한 탐지된 악성파일을 추출할 수 있다. 또한 HTTPS와 같이 암호화 트래픽에 대한 가시성 확보를 위해 SSL 트래픽 검사 기능도 제공한다. 더불어 자사의 안랩 TMS와 연동하면 다수의 AIPS로부터 수집된 정보들을 머신러닝 기반으로 정밀한 분석이 가능하다.

▲ AIPS 통합 로그 기능

빅데이터 처리 엔진으로 향상된 로그·이벤트 처리 및 분석
AIPS는 빅데이터 처리 엔진을 적용해 대용량의 보안 이벤트를 빠르게 수집하고 정규화해 원하는 정보에 대한 상세 검색과 보고서 생성이 편리하다. 또한 메모리와 스토리지 등 시스템 리소스의 효율성을 대폭 개선해 저사양 장비에서 고효율을 보장한다. AIPS는 빅데이터 처리 엔진을 통해서 성능과 효율성을 바탕으로 보다 향상된 로그 처리 및 분석이 가능하다.

위의 <그림>은 AIPS의 통합 로그를 보여주는 관리자 인터페이스다. ‘통합 로그’ 메뉴를 통해 AIPS로 유입된 트래픽에 대한 탐지 및 차단 결과와 시스템에서 발생한 모든 로그 현황을 한 눈에 확인할 수 있다.

상세한 검색을 원할 때 검색 조건을 선택하는 간편 검색과 사용자가 원하는 검색값을 직접 입력하는 ‘상세 검색’ 기능을 이용할 수 있다. 상세 검색은 검색 조건들을 AND/OR/NOT으로 조합할 수 있어 사용자에게 더욱 유연한 검색 환경을 지원한다.

AIPS는 통합 로그 외에도 ‘트래픽 로그’, ‘탐지/차단 로그’, ‘시스템 로그’ 메뉴를 제공한다. ‘트래픽 로그’ 메뉴는 유입된 모든 트래픽에 대한 처리 결과를, ‘탐지/차단 로그’ 메뉴는 설정된 정책을 기반으로 탐지 또는 차단된 로그 현황을, ‘시스템 로그’는 설정, 업데이트, 관리자 등 시스템과 관련된 모든 로그를 보여준다.

이러한 세 가지 로그는 개별 메뉴로 확인할 수 있을 뿐 아니라, 다양한 추가 검색 조건을 조합해 유용한 결과를 얻을 수 있다.

▲ 위협 정밀 분석 및 추적 위한 드릴다운

사용자 중심 다양하고 유연한 이벤트 통계
네트워크 보안 위협에 대한 정밀하고 유연한 분석을 위해서 AIPS는 기본적으로 제공하는 미리 정의된(Pre-defined) 통계 규칙 외에 사용자가 원하는 톱 규칙과 추이 규칙을 생성할 수 있다. 벤더에서 제공하는 통계 규칙만으로는 관리자들이 실질적으로 원하는 통계 및 위협에 대한 분석 결과를 도출하기 쉽지 않다. AIPS는 이러한 문제점을 보완하고자 사용자 중심의 유연한 사용자 정의 기능을 제공한다.

AIPS에서는 총 세 가지의 통계 메뉴를 제공한다. ‘톱 통계’ 메뉴는 통계 기준과 여러 개의 통계 속성들을 조합해 가장 많이 검색된 로그의 순위 정보를 확인할 수 있다. ‘추이 통계’ 메뉴는 여러 개의 통계 속성을 이용해서 검색된 로그의 시간별 추이 정보를 보여준다. 그리고 통계 결과를 그래프로 보여주기 때문에 통계의 전체적인 흐름과 급증·급감과 같은 이상 현상을 쉽고 빠르게 파악할 수 있다.

‘기준별 추이 통계’ 메뉴는 톱 통계와 추이 통계를 결합한 형태로, 통계 기준과 통계 속성을 통해 가장 많이 검색된 로그를 시간별 추이 정보로 나타낸다. 검색된 로그들에 대해 톱 통계와 추이 통계를 한 번에 확인할 수 있는 장점이 있으며, 각 항목에 대한 합계, 평균, 최대, 최소 등의 다양한 수치를 함께 제공해서 보다 정밀한 이벤트 분석이 가능하다. 그리고 통계 메뉴 또한 간편 검색과 상세 검색을 지원한다.

AIPS의 가장 큰 차별점으로 드릴다운 기능을 꼽을 수 있다. 톱·추이 통계에서 통계 기준이나 속성들에 대해 추가적인 검색이 가능해 원하는 정보를 손 쉽게 찾아볼 수 있다. 이러한 통계 검색 기능은 추가적인 연관 통계 검색으로 위협에 대한 정밀한 분석과 추적을 가능하게 하며, 끊김 없는 드릴다운 연결 기능으로 사용자 중심의 편리한 인터페이스를 제공한다.

▲ AIPS 대시보드와 사용자 정의 위젯 생성

뛰어난 가시성·높은 자유도 제공하는 대시보드
IPS에서 위협에 대한 탐지·차단만큼 중요한 것이 정보 가시성을 제공하는 것이다. 수많은 로그와 이벤트 중에서 원하는 정보를 쉽고 빠르게 파악할 수 있어야 위협에 대한 대응 시간을 줄일 수 있다. AIPS는 뛰어난 가시성과 높은 자유도의 대시보드와 위젯을 제공해 관리자가 원하는 정보만으로 구성된 대시보드를 통해 직관적으로 정보 확인이 가능하다.

AIPS에서는 미리 정의된 통계 규칙 또는 사용자 정의 통계 규칙을 통해 수집된 정보를 대시보드와 위젯으로 만들 수 있다. 대시보드는 기본 제공되는 미리 정의된 패널과 사용자 정의 패널로 구분된다.

사용자 정의 패널은 사용자 정의 위젯으로 구성이 가능하며, 사용자 정의 위젯은 통계 규칙을 기반으로 생성된다. 위젯은 그래프, 지도, 표, 숫자 등 총 8가지 형태로 생성이 가능하며, 크기나 위치를 자유롭게 조정할 수 있기 때문에, 사용자가 원하는 구성, 원하는 형태로 대시보드를 만들 수 있다.

사용자에게 높은 자유도를 제공하면서, 동시에 뛰어난 정보 가시성으로 쉽고 직관적인 정보 확인이 가능한 것은 AIPS만의 특장점이라고 할 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.