[사례연구] 쿼드마이너, 실시간 네트워크 위협 분석으로 본사·지점 완벽 보호
상태바
[사례연구] 쿼드마이너, 실시간 네트워크 위협 분석으로 본사·지점 완벽 보호
  • 데이터넷
  • 승인 2021.04.05 15:57
  • 댓글 0
이 기사를 공유합니다

A기관 본사와 분산된 70여 지점 트래픽 모두 분석·위협 탐지 제공
트래픽 분석 솔루션 ‘네트워크 블랙박스’, IBM ‘큐레이더’ 접목

[데이터넷] 쿼드마이너는 A기관의 본사와 70여개 지점의 네트워크 위협 상황 분석 시스템을 성공리에 구현했다. 이미 알려진 공격 행위에 대한 패턴 기반 탐지 및 차단의 한계를 뛰어넘어 알려지지 않은 공격 행위까지 식별할 수 있는 분석 체계 구축을 위해 자사의 ‘네트워크 블랙박스(NetworkBlackbox)’에 IBM의 SIEM 솔루션인 ‘큐레이더(QRadar)’를 접목해 실시간 네트워크 위협 분석 솔루션을 구현했다. <편집자>

A기관은 ‘전국 70여 지점에서 발생하는 네트워크 트래픽을 모두 수집하고, 알려지지 않은 위협에 대한 분석 체계를 구축 하라’, ‘각 지사에서도 분석 결과를 활용할 수 있도록 하라’, ‘로그 수집, 전송, 검색, 분석, 저장 단계별 최적의 기술 대책 방안을 수립하라’, ‘1초에 3000만 건의 결과 값을 추출할 수 있게 하라’, ‘프로젝트를 5개월 이내에 끝내라’ 등 까다로운 요구 사항을 제시했다. 일반적인 네트워크 탐지 대응 솔루션 으로는 요구 사항 모두를 충족시키기는 어려웠다.

그러나 쿼드마이너는 기술 평가에서 1위를 차지했고, 실제로 5개월 만에 프로젝트를 완료했다. 쿼드마이너는 자체 개발 솔루션인 ‘네트워크 블 랙박스’에 IBM ‘큐레이더’를 결합한 실시간 네 트워크 위협 분석 솔루션 ‘QUADX’를 통해 프로 젝트를 성공리에 완수할 수 있었다.

알려지지않은 공격행위도 분석

A기관은 알려진 공격 행위에 대한 패턴 기반 탐지 및 차단의 한계를 뛰어넘어 알려지지 않은 공격 행위를 식별할 수 있는 분석 체계를 필요로 했다. 또 네트워크에서 수집한 메타데이터를 장기간 저장하고 대용량 데이터를 검색, 분석할 수 있는 체계를 원했다.

한정된 자원으로 네트워크 트래픽 수집, 전송, 검색 및 분석, 저장 단계별 최적의 기술을 구현하고, 각 지점에서도 분석 장비를 두고 결과를 활용해야 하는 보안 운영 환경이 필요했다. 게다가 네트워크 정보를 좀 더 쉽고 빠르게 검색하고 확인하기 위해 굉장히 빠른 검색 속도를 원했다.

쿼드마이너의 대표 솔루션인 ‘네트워크 블랙박스’는 네트워크 풀 패킷 검사를 통해 위협을 탐지하고, 이상 행위를 분석하고, 사후 절차까지 진행하는 네트워크 탐지 및 분석 솔루션이다. A기관의 ‘1초에 3000만 건의 결과 값을 추출하라’는 요구사항을 충족시키기 위해서는 쿼드마이너 ‘네트워크 블랙박스’와 ESM이나 SIEM 솔루션을 연계하는 것이 필요했다.

쿼드마이너는 IBM ‘큐레이더’를 결합한 ‘QUADX’를 통해 트래픽 수집, 위협 분석, 탐지, 그리고 70 여 지점의 수집 장비를 관리하면서 대용량 데이터를 빠르게 검색하고 결과를 대시보드로 보여주는 3단계 계층적 구조의 해 결책을 제시했다.

기존의 패킷 회선 정보를 가지고 이상 징후를 식별하고, 추가 사업을 통해 지점으로 확장하는 구축 전략을 펼쳤다. 각 지점의 네트워크 플로우 정보를 통해 가시성을 높여 효율적으로 관리하고, 네트워크 트래픽을 유실 없이 모니터링하는 위협 분석 체계를 구현하기로 했다.

▲QUADX 네트워크 트래픽 분석
▲QUADX 네트워크 트래픽 분석

선제적 위협 대응 제공

A기관은 개인정보가 담긴 페이로드에 민감했다. 따라서 콘텐츠나 패킷을 모두 저장하면 규정에 위배될 수 있기 때문에 트래픽을 선별적으로 분석 및 저장할 수 있는 기술을 통해 민감 정보를 제외한 나머지 데이터만 저장하고자 했다.

쿼드마이너는 패킷의 헤더 정보, 페이로드 정보, 플로우 정보, 풀 패킷 정보를 선택해 분석 및 저장 관리하는 핵심 기술을 보유하고 있다. 기관 및 기업의 내부 보안 정책에 따라 선택적으로 적용 가능하며, A기관의 경우 민감 정보를 포함하지 않는 QUADX의 기술이 적용됐다.

단순히 이벤트 로그 만을 보여주는 것이 아니라 사이버 킬 체인(Cyber Kill Chain) 모델을 적용해 취약점 중심의 프로세스를 벗어나 선제적으로 위협에 대응할 수 있도록 분류 체계를 제공한다.

QUADX는 ▲네트워크 트래픽 수집 및 사이버 위협 탐지와 사이버 킬 체인 분석 및 이상 징후 탐지를 위한 QUADX 센서 ▲일괄 패치와 업데이트, 그리고 운영정보 현황 파악을 위한 수집장비 관리인 QUADX 매니지먼트 ▲대용량 데이터를 활 용한 검색, 분석 툴을 제공하고 써드파티 솔루션과 연계, 스토리지 연동 구축을 위한 QUADX 애널라이저로 구성된다. QUADX 애널라이저는 IBM 큐레이더다.

네트워크 이상행위 지능적 탐지

QUADX 센서는 자체 보유한 특허 기술을 가지고 10G급의 네트워크 패킷을 유실 없이 애플리케이션 계층까지 재조합해 네트워크에서 발생한 행위를 탐지하며, 고도로 정제된 데이터베이스를 통해 기존 로그 기반 보안 장비 시스템의 한계를 넘어 사이버 위협을 전방위로 분석할 수 있는 데이터를 제공 한다.

QUADX 매니지먼트는 상관분석, 임계치 기반 분석 및 다수 의 장비에서 수집한 이벤트를 분석하고, 지도학습 기반의 인공지능 분석 엔진을 통해 위협을 다각도로 분석하는 것이 특 징이다. QUADX 애널라이저는 기존에 활용하던 단순 로그 수집, 분석, 검색에 그치지 않고, 네트워크 세션 및 메타데이터 를 수집해 좀 더 정밀하며, 포괄적인 상관관계 분석 및 컴플라이언스 관리 기능을 제공한다.

QUADX는 대규모 지점의 모든 네트워크 플로우 정보 를 로그화해 원본 로그를 QUADX 애널라이저로 전달하고, QUADX 센서와 QUADX 매니지먼트가 탐지한 위협 정보들은 대시보드를 통해 사용자에게 보여준다.

다양한 시장 요구 대응

쿼드마이너의 솔루션 라인업은 ▲비지도학습 기반의 머신 러닝 기능과 사이버 킬 체인 단계별 위협요소를 탐지하고 풀 패킷을 저장하고 다양한 형태의 콘텐츠를 추출하는 쿼드마이너 대표 솔루션인 ‘네트워크블랙박스’ ▲패킷의 일부가 아닌 전체 패킷을 탐지하는 ‘풀 패킷 NIDS’ ▲기업 내부에서 중요 정보를 유출하거나 내부 시스템을 위협하는 행위를 탐지하는 ‘인사이더 쓰렛’ ▲클라우드 환경에서 네트워크 블랙박스를 적용한 ‘클라우드블랙박스’ ▲QUADX 등 5종류가 있다.

이러한 다양한 제품군이 필요한 이유는 복잡하고 다양해지 는 인프라 환경과 시장에서의 요구 사항이 결합해 불필요한 기능을 과감하게 버리고 필요한 부분을 보강하는 전략을 취했기 때문이다. QUADX가 그 대표적인 사례다.

고객의 주요 요구 사항인 풀 패킷을 저장하지 않으면서 위 협을 탐지하라는 요구에 맞춰 풀 패킷 저장 기능을 과감히 버 리고, 위협을 상관분석, 임계치 기반 분석, 지도학습 기반의 인공지능 분석 엔진 등 다양한 분석 엔진을 통해 다각도로 탐 지하고 분석하는 기능을 보강하고자 큐레이더 제품과의 결합을 과감하게 선택해 시장에 선보였으며 그 결과는 성공적이었다.

또한 다양한 인프라 환경에 대응하고자 클라우드 환경에서 풀 패킷 분석이 가능한 클라우드 블랙박스 제품을 출시했으며, 클라우드 환경의 과금 특성을 고려해 필요한 데이터만 선별하고 분석하는 기능을 제공함으로써 시장의 요구 사항에도 유연하게 대응이 가능하다. 실제로 쿼드마이너는 랜섬웨어를 비롯한 악성코드에 대응한 사례와 내부 정보가 유출되는 사고에 대응한 사례들을 보유하고 있다.

● 랜섬웨어 대응 사례

쿼드마이너는 랜섬웨어 사이트에 접속한 내부 사용자를 탐 지하고 분석한 바 있다. 실제로 내부 사용자가 랜섬웨어 사이트에 접속했고, 다운로드를 받은 행위, 다운로드한 후 백그라운드에서의 이상행위와 프로세스가 데이터를 통신하는 행위, 유사 행위를 확인했다.

탐지된 내부 사용자의 행위 분석 화면을 확인한 결과, 대량 의 랜섬웨어 사이트, 원격 공유 디렉토리 사용 및 파일 전송 등이 확인됐다. 첨부 파일 안에 암호화 관련 룰에 탐지된 파일을 다운받은 행위를 확인했으며, 사용자가 랜섬웨어 사이트에 접속을 시도, 접속만 하고 서버 측에서 408 타임아웃을 발생시 켜 세션이 종료돼 데이터 통신이 없음을 확인했다.

● 내부 정보 유출 대응 사례

내부 문서를 외부에 업로드하는 행위를 탐지한 사례도 있 다. 실제로 해당 기업은 DRM이라는 문서 암호화 솔루션을 사용하고 있어 문서를 유출해도 외부에서 읽지 못하게 돼 있 었다. 그러나 이를 회피하기 위해 엑셀 파일의 화면을 캡처하거나 CCTV 화면을 찍어서 메신저를 통해 전송하거나, 웹하드 사이트에 파일을 업로드해 외부로 유출하는 행위를 탐지 했다.

● 악성코드 대응 사례

외부 C&C 서버에 접속하기 위해 악성 URL의 DNS 쿼리를 보내는 내부 사용자를 탐지한 사례도 있다. 악성코드에 감염 되면 외부에 있는 C&C 서버와 주기적으로 통신한다. 악성코 드가 활동을 시작했다는 신호를 계속 주고받는 것이다. 이런 주기적 통신을 탐지해 해당 사용자가 어떤 C&C 서버에 접속 하는지 파악한 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.