[2020 ICT 분야별 전망] 보안관제①
상태바
[2020 ICT 분야별 전망] 보안관제①
  • 김선애 기자
  • 승인 2020.01.10 09:13
  • 댓글 0
이 기사를 공유합니다

너무 많은 보안 솔루션으로 보안 위협 증가
통합·자동화로 위협 탐지·대응 속도 높여야

[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>

파이어아이가 매년 발간하는 ‘맨디언트 M 트렌드 보고서’에서는 기업·기관이 침해 사실을 인지하기 까지 얼마나 오랜 시간이 걸리는지 조사한다. 2015년에는 평균 146일, 2016년 99일, 2017년 101일이었다. 아시아태평양 지역에서는 탐지 기간이 매우 길다. 2017년 498일간이나 침해 사실을 인지하지 못했으며, 2018년에는 탐지까지 262일 걸렸다. 2017년보다 절반 가까이 줄었지만, 미국 46일, AMEA 61일에 비하면 매우 긴 시간이다.

기업과 기관은 사이버 보안에 꾸준히 투자하고 있으며 보안 정책을 개선해나가고 있음에도 불구하고 초기 침해부터 탐지까지의 시간을 줄이는데 어려움을 겪고 있다. 해킹 사고의 99%가 3일 안에 피해를 발생시키는데, 탐지까지 262일이나 걸렸다면 8개월이 넘는 시간 동안 데이터가 빠져나간 셈이다.

너무 많은 시스템으로 위협 탐지 어려워

보안 시스템이 많은데 보안 탐지 시간을 줄이지 못하는 이유는 아이러니하게도 ‘너무 많은 보안 시스템’ 때문이다. 시스코 조사에 따르면 보안 시스템은 하루 10만개의 이벤트를 발생시킨다. 보안조직은 집중적으로 대응해야 할 위협 분석에 매달리지 못하고 보안 경보 피로를 겪게 된다. 특히 한국 기업들이 경보 피로를 호소하는데, 시스코 조사에 응한 기업 보안 담당자의 60%가 사이버 보안 경보 피로로 어려움을 겪는다고 답했다. 아태지역 평균 52%, 세계평균은 30%였다.

보안 관제 시스템을 고도화하기 위해 빅데이터 분석 기술을 더하면서 보안 피로는 더욱 심해졌다. 빅데이터 분석으로 인해 더 많은 이벤트가 탐지되고 보안팀의 업무를 급증시켰으며, 이 중 상당수는 위협으로 의심되는 부분이 있지만, 실제 공격으로 이어지지 않을 것으로 보이는것이다. 중요도가 낮은 수만개의 이벤트 중 실제 공격 가능성이 높은 중요 이벤트가 숨어 있어 보안조직의 침해 탐지가 어려워진다.

시스코 조사에서는 보안 시스템이 너무 많다는 것을 거듭 강조한다. 우리나라는 10개 이상의 보안 벤더 제품을 이용하는 고객이 조사 대상 국 중 가장 많다. 10개 이상 보안 벤더를 사용하는 기업이 2018년 34%였고, 2019년 56%로 늘어났다.

수많은 보안 시스템이 제각각 이벤트를 발생시키는데 서로 연관분석되지 못하고 분절된 상태로 남아 있기 때문에 더 심각한 문제다. 단일 시스템에서는 중요도가 낮은 이벤트이지만 여러 시스템에서 발생한 행위를 연결시켜 조사하면 심각한 파괴 행위를 일으키는 공격일 가능성이 높다.

통합·자동화로 보안 관제 효율화

이 문제를 해결하는데 전문인력의 충원이 필요하다. 거의 모든 보안조직은 인력난을 겪고 있다. 그러나 인력 충원만으로 현재 보안관제의 문제를 해결하지 못한다. 보안 이벤트는 사람이 수작업으로 분석할 수 있는 규모가 아니다. AI를 이용해 대규모 이벤트를 연계분석하고 위협의 우선순위를 평가해 보안조직의 대응 순서를 제안하는 것이 필요하다. 그렇게 제안된 상위 순위의 이벤트를 분석하는데에도 현재 보안 인력은 턱없이 부족하다.

보안팀의 업무를 줄이면서 탐지율을 높이는 방법은 통합과 자동화다. 산재되고 분절된 보안 시스템을 연동·통합해 보안이벤트의 연결성을 확인하면서 전체 공격이 어떻게 진행됐는지 가시화해야 한다. 보안 대응 프로세스를 표준화한 후 자동화하고, 분석가가 직접 분석해야하는 이벤트를 선별해 제공해야 한다. 분석가의 역량에 따라 보안 탐지율이 달라지도록 하지 말아야 하는데, 표준화와 자동화를 통해 분석가의 역량을 평준화하고 초보 분석가도 고급 분석가의 역량으로 탐지할 수 있어야 한다.

이러한 요건을 만족시킬 수 있도록 보안관제 시스템이 차세대 기술로 변화하고 있다. 초기에 사용된 통합로그관리 시스템은 빅데이터 분석 기술을 접목해 지능적인 분석 결과를 제공할 수 있으며, 뛰어난 시각화를 통해 관제 조직이 어디에 먼저 집중해야 하는지 알려준다.

보다 진화된 관제 시스템인 보안정보이벤트관리(SIEM) 시스템은 보안 시스템 뿐 아니라 다양한 네트워크, 엔드포인트, 클라우드에서 정보를 수집해 분석한다. 차세대 SIEM은 단일 플랫폼에서 모든 시스템과 네트워크를 연결해 로그를 수집·분석하며, AI를 이용해 방대한 정보의 상관관계를 알아낸다. 사용자 행위분석 엔진(UEBA)을 추가해 임계치·룰 기반 탐지의 한계를 해결한다.

차세대 SIEM 대표주자인 RSA ‘넷위트니스’는 네트워크 로그와 패킷, 엔드포인트·클라우드에서 정보를 수집하며, AI·머신러닝과 UEBA 엔진을 추가해 지능적인 위협을 차단한다. 보안 오케스트레이션, 자동화, 대응(SOAR) 솔루션까지 연동해 보안 관제 효율성을 한층 업데이트한다.

이 같은 통합 플랫폼은 온프레미스 데이터센터 환경은 물론, 멀티 클라우드, 운영기술(OT)과 연결되는 IT 융합환경 보안까지 지원할 수 있다.

▲RSA ‘넷위트니스’ 위협 탐지 및 대응 프로세스
▲RSA ‘넷위트니스’ 위협 탐지 및 대응 프로세스

통합 플랫폼으로 위협 탐지·대응

차세대 SIEM의 ‘통합 플랫폼 전략’은 로그 분석만으로 충분하지 않기 때문에 등장한 것이다. 모든 성공한 공격은 로그를 통해 발견되지 않으며, 82%의 초기 감염은 단 몇 분 만에 완료된다. 공격자는 며칠 내에 시스템을 장악하는데, 64%의 공격은 몇 달이나 지나야 탐지된다. 따라서 로그 분석의 제한된 가시성만으로 공격을 탐지할 수 없으며, 시스템과 네트워크 전체에서 이벤트를 수집하고 정밀하게 분석해야 진화하는 공격을 막을 수 있다.

이글루시큐리티는 보안관제 역량을 결집한 차세대 SIEM ‘스파이더 티엠’에 AI를 접목해 한 차원 높은 보안 탐지 능력을 제공한다. 이 솔루션은 ▲이기종 보안 장비에서 생성되는 방대한 로그를 수집·분석하는 ‘빅데이터 기반 보안관제 시스템(SIEM)’ ▲글로벌 최신 위협 정보를 실시간 수집·공유하는 ‘사이버 위협정보 공유시스템(IGLOO CTI)’ ▲IT 자산관리와 취약점 진단·조치 기능을 통합적으로 지원하는 ‘보안 취약점 자동진단 솔루션’ ▲위협 정보에 대한 지속적인 학습을 통해 공격을 탐지·예측하는 ‘머신러닝 기반 AI 시스템’을 연계해 알려지지 않은 보안 위협까지 예측해 대응한다.

시큐브는 통합로그관리 솔루션 ‘로그그리핀(LogGRIFFIN)’과 통합보안관리 솔루션 ‘티그리핀(tGRIFFIN)’을 서버보안 솔루션 ‘시큐브 토스(Secuve TOS)’ 및 시스템통합 계정권한관리 솔루션 ‘아이그리핀(iGRIFFIN)’과 연동해 복잡한 클라우드 환경에서도 계정관리와 해킹방지, 접근통제, 빅데이터 로그 수집·분석, 실시간 모니터링과 통합보안관제를 아우를 수 있게 했다.

풀 패킷 분석으로 진화하는 공격 탐지

네트워크 패킷 분석에 초점을 맞춘 네트워크 위협 분석(NTA) 솔루션도 최근 보안관제 시장에서 각광받고 있다. NTA는 네트워크 위협 탐지 및 대응(NDR) 솔루션과도 동일한 개념으로 사용되는데, 네트워크 풀 패킷 분석을 통해 실시간 위협을 탐지하고 대응할 수 있도록 한다. 특히 AI 기술을 이용해 정교한 위협까지 탐지할 수 있도록 도와주는 기술로 각광받는다.

NTA·NDR 시장의 대표주자는 다크트레이스와 벡트라이며, 국내 보안 스타트업인 쿼드마이너는 세계적인 IT 매거진이 아시아 태평양 지역 사이버 시큐리티 제공 기업으로 선정하면서 단숨에 시장 주류 기업으로 뛰어올랐다.

다크트레이스는 비지도학습 머신러닝을 이용해 학습 없이 네트워크에서 이상행위를 탐지한다. 사전 학습 없이 탐지하기 때문에 기존 보안 기술을 우회하는 신종 위협까지 지능적으로 차단할 수 있으며, IT는 물론 OT 프로토콜까지 고급머신러닝으로 분석해 이상행위를 찾아낼 수 있다.

벡트라는 지도학습과 비지도학습 머신러닝을 모두 사용할 수 있다고 주장한다. 사전에 공격 행위를 학습해 노이즈를 줄일 수 있으며, 운영 기간이 길어질수록 탐지 정확도가 높아진다. 이 솔루션은 IT는 물론 OT망에도 적용되어 운영된 성공사례가 있다.

쿼드마이너의 ‘네트워크 블랙박스’는 경쟁사보다 한 단계 더 깊이 들어간 풀 패킷 검사를 제공한다. 매우 빠른 속도로 대량의 패킷 데이터를 분석하며, 공격 시나리오와 지도학습 기반 머신러닝을 이용해 지능적인 우회 공격까지 찾아낼 수 있다. 설립 2년여만에 국내 주요 공공기관과 대기업, 금융사에 공급됐으며, 글로벌 식음료 기업의 한국 사업장에도 솔루션을 공급한다. 이 모델을 OT망에도 적용할 수 있다고 보고 테스트 중이다.

한편 쿼드마이너는 AWS 내에서 패킷을 분석하는 ‘클라우드 블랙박스’와 OT 네트워크의 빅데이터를 분석하는 센서인 ‘스펙트럼 어낼라이저’를 2020년 출시하고 시장을 한층 다각화 할 계획이다.

전체 가시성 제공하는 분석 솔루션 등장

시스코의 ‘스텔스워치’도 네트워크 분석 분야에서 주목할만한 솔루션이다. 스텔스워치는 암호화된 트래픽을 복호화 하지 않고도 분석할 수 있는 기술을 제공하며, 네트워크 전반의 가시성을 확보해 선제저적 위협 방어가 가능하다. 사용자 컨텍스트 인식, NAC 솔루션과 통합해 감염된 호스트를 스마트하게 격리하고 내부 네트워크의 무결성을 보장할 수 있다.

EDR, NDR을 포괄하는 XDR이라는 개념이 최근 등장하면서 주위를 환기시키고 있다. XDR은 엔드포인트, 네트워크, 클라우드 전반에서 위협을 탐지하고 대응하는 시스템으로, 팔로알토네트웍스, 트렌드마이크로, 스텔라사이버 등에서 주장한다. 이들은 모든 네트워크와 시스템에서 위협 정보를 수집하고 지능적으로 연관분석해 진화된 위협을 탐지할 수 있다고 주장한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.