[데이터넷] 전통적인 SIEM은 보안 장비에서 생성되는 로그를 분석하는 수동적인 장비였으며, 개별 이벤트를 연계시키지 못해 사각지대가 넓다. 차세대 SIEM은 모든 시스템의 로그를 상관분석하고, 지능적으로 탐지하며, 확실한 위협은 자동 대응까지 제공해 보안관제 효율성을 높인다. 차세대 SIEM의 필수기술은 공격자의 정찰을 알아차리고, 침투 시도를 차단하며, 수평이동을 감지해 대응하는 것이다. ‘자동화’를 통해 효과적인 보안을 제공해야 한다.

| 연재순서 |
1. 보안관제 및 보안위협대응 체계 구축시 고려사항
2. 차세대 SIEM 선택시 고려사항
3. 차세대 SIEM을 이용한 위협자동대응체계 구축 전략(이번호)

앞서 2회차에 걸쳐 최근 보안 위협과 이를 식별하고 대응하기 위한 차세대 SIEM에 대해 살펴봤다. 이번호에서는 진화하는 위협을 탐지하기 위한 차세대 SIEM의 필수 기능과 구축 방안에 대해 알아본다.

빠르고 정확한 로그 수집·관리

차세대 SIEM의 로그수집, 관리단계에서 고려사항과 구축 방안은 다음과 같다.

● 빠른 검색 성능·확장 가능성

보안 장비 로그의 평균 크기를 500~520 byte로 산정했을 때, EPS에 따른 일간, 연간 이벤트 량과 이벤트 수는 <그림 1>과 같다. 하루 100G의 이벤트가 발생하는 기관 또는 기업이라면 연간 600억건 이상의 로그가 저장된다고 예상할 수 있다. 이 환경에서 초당 100만건의 이벤트를 검색할 수 있는 성능의 로그관리 시스템을 운용하다면 1년 전 로그를 검색하는데 1000분, 대략 16시간이 소요된다.

만약 초당 100G 이상의 이벤트가 발생하고, 로그를 1년 이상 보관해야 하는 규정 또는 보안 정책을 운영하는 곳이라면 기본 검색 성능이 초당 10~100억건의 이벤트를 검색할 수 있고, 클러스터를 통한 검색 성능 확장이 가능한 솔루션을 도입하는 것이 차세대 SIEM 구축의 첫 번째 단계라고 할 수 있다.

● 로그 수집 단계서 정규화· 범주화

수집된 원본 로그를 안전하게 저장·관리하는 것도 중요하지만, 수집된 이기종 보안 로그를 이용해 효율적인 상관분석 정책을 세우기 위해 로그에 대한 정규화 작업과 범주화 작업을 고려해야 하다. 정규화는 이벤트 필드 명을 통일하는 작업이다. A방화벽에서 출발지 주소를 src_address라는 필드를 사용하고, B IPS에서는 attacker address라는 필드를 사용한다면 특정 IP에 해당하는 모든 이벤트를 검색하기 위해 src_address 필드와 attacker address라는 필드를 모두 고려해 검색해야 하다. 운영 중인 장비가 많지 않다면 큰 문제가 되지 않지만, 다양한 장비를 운영하다면 파편화된 필드 명은 검색에 어려움을 초래하게 된다.

검색 편리성과 함께 상관 분석 규칙을 효율적으로 생성, 관리하기 위해서는 범주화 작업도 매우 중요하다. 범주화 작업은 일종의 색인 작업으로 이벤트를 요소별로 구분하는 것이다. 예를 들어 로그가 발생된 장비의 유형(방화벽, IPS, 웹 방화벽, 서버 등), 로그 중요도, 동작 유형(허용 로그인지 차단 로그인지 혹은 인증 성공 로그인지, 실패 로그 인지 등), 보안로그 유형(DOS 공격인지, 웹 해킹 공격 인지 등)을 요소별로구분하는 것이다.

범주화 작업을 거치면 검색할 때도 편리하지만 상관 분석 정책을 설정할 때 확장성 있게 사용할 수 있다. 예를 들어 여러 제조사의 방화벽을 운영하는 데이터센터 혹은 그룹 망에서 여러 기종의 방화벽 로그에 상관없이 방화벽 기준으로 IP스캔이나 포트 스캔을 탐지하는 정책을 세울 때 범주화 작업이 돼 있다면, 간단한 검색 명령으로 이 기종의 방화벽 로그를 검색할 수 있으며, 보다 유연하게 상관 분석 정책을 설정할 수 있게 된다. 범주화 작업은 검색이나 단순 상관 분석 정책 뿐 아니라 다중 상관 분석 정책에서도 유용하게 사용할 수 있다.

상관 분석으로 위협 탐지 정확도 높여

위협을 정확하게 식별하고, 탐지·대응하기 위해서는 해킹공격의 수법을 이해하고 이를 역이용할 필요가 있다. 위협 탐지, 대응 정책을 효율적으로 설정하기 위해 고려해야 할 사항이 많지만, 일반적인 사항을 정리하면 다음과 같다.

● 정찰 단계 탐지·침투 시도 차단

공격자가 공격 대상 취약점이나 접속 가능한 서비스를 확인하는 정찰 단계는 거의 모든 침투 시도에서 발견된다. 정찰 단계 또는 다양한 검색 엔진의 스캔을 차단하면 공격자의 눈을 가릴 수 있는 효과를 얻을 수 있다.

<그림 2>는 각종 자산 정보나 자산에 대한 취약점 정보를 확인할 수 있어 해커나 모의해커도 활용하는 센시스 스캔 프로토콜 정보다. 이 정보를 역으로 활용하면 스캔 시도를 효율적으로 탐지할 수 있다. 예를 들어 16개의 포트를 스캔하는 접속 시도와 함께 공격자가 하트블리드 취약점 스캔을 하거나, 웹 서비스에 대해 URI 스캔을 하는 시도를 같이 탐지 정책을 세운다면 보다 정확하게 스캔 시도를 탐지할 수 있다.

취약점 진단 도구 탐지 정책을 위해서는 스캔 혹은 침투 공격 시도 시 발생하는 다양한 공격을 개별적으로 탐지하는 것이 아니라 지속적으로 연관 분석할 수 있도록 구성해 탐지 정확도를 높일 수 있다. 예를 들어 SSH 포트에 대한 IP 스캔 공격을 했던 공격자가 몇 분 뒤 브루트포스 공격을 시도한다면, 이를 개별 상관 분석 룰로 처리하는 것이 아니라, 상관 분석 이벤트 간 상관 분석을 하거나 이벤트 간 다중 상관분석을 하도록 복합 상관 분석 정책을 설정한다.

장시간 일정 시간 간격을 두고 천천히 접근해 오는 공격 시도를 탐지하는 것도 중요하다. 짧은 시간 다량의 호스트나 포트를 스캔을 하는 전통적인 방식의 정찰 스캔은 IPS나 차세대 방화벽 등에서 충분히 탐지·차단할 수 있다. 차세대 SIEM에서는 전통적인 보안 장비에서 탐지하기 어려운 느린 정찰탐지를 수행할 수 있어야 한다. 장기간 소량으로 탐지되는 이벤트에서 주기적인 공격 행위를 파악할 수 있어야 한다.

이러한 정책을 적용하기 위해 SIEM 제조사별로 다양한 기술을 제공하고 있다. 인메모리상에서 상관 분석 또는 플레이북을 수행하고, IP별 장시간 메모리 테이블을 유지하면서도 메모리 문제가 발생되지 않도록 하는 기능, 메모리 최적화, TTL만료 시 즉각적인 메모리 반환 등을 제공하는 솔루션을 활용하면 효율적으로 정책을 적용할 수 있다.

● 다단계 공격 탐지

분명한 목적을 갖고 들어오는 공격, 특히 호스트를 타깃으로 시작해 다양한 공격을 진행하는 APT는 여러 단계에 걸쳐 공격을 진행하며, 호스트나 네트워크에 흔적(로그)을 남긴다. 특히 네트워크·이메일 샌드박스 기반 APT 방어 솔루션 또는 머신러닝 분석 기능 기반 NTA·NDR솔루션이 구축돼 있으면 이러한 흔적을 잘 찾을 수 있다. 이러한 점을 이용해 연계 구성을 하면 좀더 효율적으로 APT 공격을 탐지, 대응할 수 있다.

예를 들어 APT 공격을 여러 단계별로 탐지할 수 있는 기능을 갖고 있는 APT나 NTA 솔루션을 운영할 경우 단계별로 생성되는 로그가 있는데, 특정 호스트에서 이러한 단계별 이벤트가 정해진 시간 흐름 안에서 발생되는 것을 추적, 탐지할 수 있는 정책을 설정할 수 있다면 단일 이벤트보다 더 정밀하고 정확하게 위협을 탐지 식별할 수 있다.

이때 중요한 것은 조건과 임계치 기반의 전통적인 상관 분석 정책을 세워서는 원하는 구성을 할 수 없기 때문에 반드시 상관 분석 또는 플레이북 내에서 여러가지 조건을 순차적으로 그리고 시간의 흐름 순서에 맞춰 탐지할 수 있는 기능을 확인하고 적용해야 하다.

이러한 구성을 통해 SIEM뿐 아니라 기 구축된 APT나 NTA에 대한 활용성도 비약적으로 향상될 수 있다.

●수평 이동 탐지로 공격 확산 차단

지난 수년간의 공격 트렌드를 보면 공격은 특정 단말에 머무르지 않고 내부에서 내부 간 위협 전파를 통해 더 많은 PC를 감염시키거나 특정 권한을 갖고 있는 관리자 PC 권한 탈취까지 지속적으로 이뤄지고 있다.

이러한 공격은 내부에서 내부 간의 통신으로 이뤄지며, IPS, 방화벽, 웹방화벽, APT 등 경계기반 보안 솔루션으로 탐지하기 어렵다. 이러한 공격을 탐지하기 위해 각종 프로토콜을 인지하고, 인지한 프로토콜을 파싱해 SIEM으로 정보를 전달할 수 있는 패킷 기반 NTA나 프로브가 필요하다.

이러한 기능이 제공되는 SIEM을 운용하면 NTA나 프로브 로그를 통해 SMB 버전1, 취약한 SSL암호화 통신 등 취약한 프로토콜을 이용한 공격을 탐지하는 정책을 설정할 수 있다. 이를 통해 내부 위협 이동에 대한 가시성을 확장할 수 있다.

SIEM 또는 SOAR를 이용한 위협 자동 차단 체계가 충분히 성숙되지 않았다고 생각하는 이들이 있다. 그러나 자동대응 체계는 이미 다양한 규모·다양한 산업군에서 성공사례를 공개하고 있으며, 향후 더 빠르게 확산될 것으로 보인다.

위협 자동대응 체계는 공격자를 이해하고, 공격 초기 단계를 효율적으로 식별하며, 식별된 위협을 즉각 차단한다. 예를들어 포트 스캔이나 IP SCAN이 짧은 시간 대량의 IP에 대해, 5초~1분 사이의 간격을 두거나 스캔하는 대역을 전체 IP대역이 아니라 10개 단위 IP로 잘라서 스캔하는 식으로 공격의 트렌드가 바뀌고 있다. 이러한 트렌드를 파악하고 대응하는 정책을 설정하는 것이 공격자를 이해하고 공격의 초기 단계를 효율적으로 탐지·차단할 수 있다.