[데이터넷] 쿼리시스템즈의 SIEM·SOAR 솔루션 ‘큐티(QTIE)’가 통합보안관리 부문의 국가정보원 CC 인증을 획득했다. 이번 CC 인증은 그동안 평가 기준이었던 보안요구사항 2.0이 아닌 새로 변경된 보안요구사항 3.0 기준의 CC인증 평가로 보안 솔루션 중 2번째, 통합 보안 관리 솔루션 중 첫 번째 인증이다.

큐티는 단일 플랫폼 내에서 차세대 SIEM, SOAR 기능을 지원하는 차세대 SIEM 솔루션으로, 도입 운영 비용 절감, 운영 관리 효율성, 편의성, 보안 대응 역량 등을 향상시킬 수 있다.

단일 플랫폼서 위협 자동 대응 효과 높여

국내 보안 시장에서 로그관리 시장은 컴플라이언스 준수를 위한 통합 로그 수집(LMS), 위협 탐지 및 보안 관제를 위한 ESM·SIEM, 보안 관제 자동화를 위한 SOAR로 나뉜다. 고객은 이 솔루션들을 각각 검토하고 도입, 관리해야 하는데, 이들을 각각 연동하고 운영 관리하는데 어려움을 겪고 있다. 개별 솔루션 도입비용이 증가하고, 관리 복잡성이 높아지며, 상이한 이벤트 포맷으로 인해 실제 발생하는 위협을 제대로 탐지하지 못했다.

차세대 SIEM 솔루션 큐티는 단일 플랫폼에서 LMS, SIEM, SOAR 기능을 모두 제공해 보안 탐지 효율성과 관리 편의성, 비용 절감 등의 효과를 제공한다.

단일 서버서 초당 100억건 검색

차세대 SIEM 솔루션 큐티는 여러 가지 기능을 하나의 소프트웨어에 결합한 것에 그치는 것이 아니라 각각의 보안 모듈 성능과 기능을 극대화 및 고도화해 단일 기능에 있어서도 최상의 기능과 성능을 제공한다.

통합보안관리 솔루션의 가장 기본이 되는 로그 수집, 검색 성능의 경우 국내 공인 기관의 성능 평가 테스트를 통해 단일 서버에서 초당 100억 건 이상의 검색 성능이 가능하다는 것을 검증받았다. 위협 탐지를 위한 정책과 플레이북 역시 하나의 플레이북 내에서 다수의 상관 분석 또는 시간대별 분석, 연계 분석 기능, 슬로우 어택(Slow Attack) 탐지를 위한 비콘(Beacon) 행위 분석 등 기존 ESM, SIEM에서 제공하기 어려운 기능들도 제공하고 있다.

다중상관분석 가능한 플레이북 활용 알려지지 않은 위협 탐지

차세대 보안 솔루션 큐티는 룰 기반 상관 분석 정책에서 탐지하기 어려운 이상 징후와 비정상 데이터를 탐지할 수 있다. 로그 데이터에 대한 분류, 희귀, 이상값 탐색 및 지속적인 인덱스 변환을 통해 부정 행위를 탐지할 수 있으며 비정상 위협을 탐지하기 위한 쉬운 다중상관분석이 가능한 플레이북 정책 설정 기능을 통해 관리자가 원하는 위협탐지 기능을 설정할 수 있다.

지능형 위협 오탐 없이 자동 차단

큐티의 가장 큰 장점은 위협을 오탐 없이 정확하게 식별하고 탐지하는 다수의 특허 기술을 갖고 있다는 점이다. 또한 정책 기반 기능 구현으로 신뢰성이 높다.

하루에 수 TB의 로그가 발생하는 대형 사이트에서 위협 식별 및 자동 차단(대응) 체계를 구축 운영하는 사례를 포함해 다수의 금융, 기업, 공공 사이트에 자동 차단 대응 체계를 구현해 운영하고 있다.

실제 운영 사례를 살펴보면 지난해 큐티를 도입한 A그룹은 상주 보안관제 인력이 수행하던 외부 위협에 대한 분석 대응 정책을 큐티로 이관해 외부로부터의 확실한 형태의 정찰 작업을 수행했다. 기존 보안 장비에서 탐지하기 어려운 슬로우 브루트포스(Slow Bruteforce) 등의 공격을 탐지해 일일 수백 건의 위협을 차단하고 있다.

K대학은 SSL을 이용해 IPS를 우회하는 Log4j 취약점 공격 탐지, 차단을 위해 큐티와 프로브를 연동해 사용하고 있다. E기관은 기존 ESM 장비에서 탐지된 위협을 한번 더 정밀하게 분석한 뒤 자체 평판과 연계해 연간 70만건의 차단 대응 서비스를 제공했다.

큐티는 강력한 검색 성능과 분석 능력, 주기적인 제조사 권장 정책 제공, 마이터 어택 프레임워크 체계 적용 패킷 기반 데이터 수집 등 가시성과 보안 대응 체계 고도화를 위한 기술을 지속적으로 개발, 제공해 국내 SIEM 솔루션 리더로 자리매김하고 있다.

김선애 기자 다른기사 보기