쿼리시스템즈 ‘큐티’, 지능형 탐지·차단 차세대 SIEM/SOAR …이기종 장비 통합 관리 가능

10여년 취약점 진단·모의해킹·컨설팅 역량 집결시킨 보안관제 솔루션

[데이터넷] 공격이 진화하면서 기존 보안 장비를 우회하는 위협이 등장하고 있지만, 이를 차단하는 포인트 솔루션을 추가해 보안 복잡성을 높일 수 없는 상황이 됐다. 그래서 기 구축된 보안 솔루션들을 제대로 동작시키면서 보안조직의 업무를 효율화할 수 있는 SOAR 도입에 관심이 쏠리고 있다. 쿼리시스템즈의 ‘큐티(QTIE)’는 차세대 SIEM과 SOAR를 통합한 보안관제 솔루션으로, 수많은 보안 이벤트를 지능적으로 연계 분석해 실제 위협을 탐지한다.

LMS·SIEM·SOAR 통합해 비정상 행위 탐지·대응

외부로부터의 위협이 지속적이고, 지능화되면서 이에 대한 대응 솔루션이나 대응체계 역시 고도화되고 있으며 이에 따른 운영 관리 부담 역시 늘어나고 있다. 쿼리시스템즈의 ‘큐티(QTIE: Quarry Threat Intelligence Eco-System)’는 다양한 이 기종 보안 장비에서 발생하는 수많은 보안 로그 안에서 확실한 보안위협을 정확하게 찾아 차단 대응까지 연계해주는 차세대 SIEM/SOAR 솔루션이다.

큐티는 ▲대용량 로그 관리 및 처리가 가능한 로그관리 시스템(LMS) ▲수집된 로그 안에서 상관 분석과 연계 분석 등을 이용해 위협을 식별, 탐지하는 SIEM ▲분석된 위협 IP에 대해 연동된 보안 장비로 차단 명령을 전송하는 SOAR 기능으로 구성돼 있다.

가시성 확보를 위한 네트워크 트래픽 수집/분석용 프로브(Probe)를 제공해 일반 보안 장비 로그 연동만으로 찾기 어려운 내부정보 유출 시도나 내부에서 내부로의 위협 전파, 웹 이상 접속 시도(매크로, 계정 도용 시도) 등 비정상 통신을 탐지할 수 있다.

큐티의 각 기능별 특장점을 살펴보면 다음과 같다.

● 통합 로그관리시스템

- 강력한 검색 성능: 큐티는 빅데이터 기반 검색 엔진을 통해 초당 10억~20억 건의 이벤트를 검색할 수 있는 강력한 검색 성능을 제공하며, 클러스터 구성을 통해 검색 성능과 분석 성능을 N배로 확장시킬 수 있다.

- 에이전트리스 기반 시스템·웹 로그 수집: 시스템별 에이전트를 설치하지 않고 윈도우와 리눅스 로그를 수집할 수 있다. 또한 웹 로그를 수집하기 위해 별도의 에이전트를 웹 서버에 설치하지 않고 웹 서버 앞 단에 패킷 기반 프로브를 구축해 클라이언트와 웹 서버간 웹 통신을 수집할 수 있으며, 웹 액세스 로그를 수집할 때보다 더 많은 정보(소스 포트, 헤더 정보 등)를 수집할 수 있어, 웹 어뷰징이나 매크로 접속 시도 등을 효율적으로 탐지할 수 있다.

- 검색 중 통계분석: 큐티는 SOC를 위한 대시보드와 검색, 통계 분석을 위한 대시보드를 모두 제공하고 있으며 검색 중 파이프라인 분석 명령 기능을 이용해 실시간 통계 분석 작업을 수행할 수 있다.

● SIEM

수많은 로그 데이터 안에서 정확하게 위협을 식별하고 탐지하는 능력은 차세대 SIEM/SOAR의 가장 중요한 요소 중 하나다. 큐티는 위협을 정밀하고 정확하게 분석하고 탐지하기 위해 마인드맵 기반의 플레이북을 제공한다.

큐티의 귀납적 추론 방식의 플레이 북은 플레이 북 내에서 시간의 흐름에 따른 다중 상관 분석을 수행하거나 상관 분석간 연관 분석을 수행해 위협을 정확하게 식별하고, 위협 탐지에 걸리는 평균 시간(MTTD)을 최소화할 수 있게 지원한다.

큐티는 다양한 인공지능 알고리즘을 이용해 일반적인 상관 분석 기능으로 제공하기 어려운 비정상 행위 탐지(Anomaly Detection)나 근본 원인 분석(Root Cause Analysis) 등의 기능을 수행할 수 있다. 큐티는 비지도 및 지도 학습 알고리즘을 모두 지원함으로써 각 알고리즘이 갖고 있는 장점을 극대화할 수 있는 활용 사례별 알고리즘을 선택적으로 사용할 수 있다.

● SOAR

큐티의 SOAR 기능은 여러가지 차별화된 요소와 함께 다양한 사이트에서 자동차단 운영 사례를 보유하고 있다.

- 국내외 다양한 보안 장비와 연동: Restful, SOAP API를 지원하지 않는 보안 솔루션과의 연 동을 위해 CLI 기반 연동 기능을 제공하며, 이를 통해 팔로알토 네트웍스, 포티넷, 시스코, 시큐아이, 안랩, 파이오링크, 지니언스 등 다양한 벤더 및 보안 솔루션과의 차단 연동 기능을 제공한다.

- 하나의 플랫폼 안에서 SOAR 구현: 큐티의 SOAR기능은 별도의 소프트웨어로 동작하는 것이 아닌 큐티 솔루션에서 라이선스로 필요 기능을 활성화할 수 있다. 큐티는 수집, 분석, 대응 라이선스를 분리 제공함으로써 필요에 따라 통합 로그 솔루션만으로 사용하거나 SIEM으로 운영을 하다 SOAR로 확장을 하는 등의 유연한 구성 변경을 할 수 있다. LMS/SIEM/SOAR 개별 솔루션 도입 비용 대비 도입 비용과 운영 비용을 절감할 수 있다.

- 제조사 권장 플레이북 제공: 공격을 효율적으로 식별하고 탐지하기 위해서는 공격의 형태를 이해하고, 분석할 수 있는 분석가의 노하우를 활용한다면 보다 효율적으로 위협을 탐지할 수 있다.

쿼리시스템즈는 지난 10여년 동안 수많은 고객사에 취약점 진단과 모의해킹, 정보보안 컨설팅을 수행해 왔으며 이를 통해 축적된 노하우를 활용해 침투 공격의 초기단계부터 공격의 징후를 탐지할 수 있는 다양한 플레이북과 정책을 제공한다.

- 차단 운영 사례: 실 서비스 망에 위협 자동 차단,대응 체계를 구현하기 위해 99.9999% 이상의 가용성과 신뢰성이 검증돼야 한다. 큐티는 오랜 기간 검증을 거쳐 공공, 기업, 대학 등 다양한 분야에서 자동 차단 대응 체계를 구축한 실적을 보유하고 있다.

큐티는 보안 위협 분석 및 자동 대응 체계 구축의 핵심 요소로써, IT보안 자동화를 통해 보안 관제 인력과 보안 운영인력이 더 중요한 업무와 분석에 집중할 수 있도록 도와줄 수 있는 IT보안 솔루션이다.

김선애 기자 다른기사 보기