[데이터넷] 전 세계 사이버 보안 시장이 사상 최대 호황을 누리고 있다. 우리나라 사이버 보안 시장도 고도성장을 기록하면서 질주하고 있다. 그 어느 때 보다 막대한 규모의 보안 투자가 단행되고 있지만 보안사고는 계속된다. 통합되지 않은 포인트 솔루션으로 인해 경보피로가 심해지고 보안 사각지대가 늘기 때문이다. 멀티 클라우드 환경으로 진화하면서 이 문제는 더 심해지고 있다. 급증하는 보안복잡성을 줄이고, 멀티 클라우드 효율성을 지킬 수 있는 통합보안 플랫폼에 대해 알아본다. <편집자>

하이브리드 클라우드 지원 한계

위협이 복합적으로 변하면서 보안 분석가가 로그만으로 이벤트를 판단하지 못하게 됐다. 그래서 분석가들은 위협 인텔리전스, 마이터 어택(MITRE ATT&CK) 프레임워크와 매핑해 보면서 이전에 발생한 공격과 연관성을 찾아본다. 그리고 자사 조직에서 이전에 발견된 침해시도가 있었는지, 공격 대상 내부 자산은 무엇이며, 자산의 성격이나 취약점, 담당자 등의 정보를 확인해 공격의 의도와 영향도를 확인한다.

이 과정에서 공격자가 사후 접속을 위해 생성한 관리자 계정이 있는지, 기존에 사용하지 않았던 서비스 포트가 열렸는지, 보안 설정을 해제하거나 로그 삭제, 위변조 정황이 있는지, 외부 명령을 실행하기 위한 웹셸, 루트킷을 설치했는지 등을 확인하고, 개별 보안 시스템에 접속해 격리, 차단 정책을 반영한다. 그리고 대응 보고서를 작성해 위협 대응 프로세스를 완결시킨다.

이 모든 과정을 진행할 때 전후 맥락을 잘 살펴봐야 하는데, 대부분 SIEM이 충분한 컨텍스트를 제공하지 않아 분석가가 정확한 판단을 내리기 쉽지 않다.

클라우드까지 확장된 하이브리드 환경에서 이 문제는 더 복잡해진다. SIEM은 프록시를 이용해 클라우드 로그를 수집하는데, 퍼블릭 클라우드 사업자의 로그 수집·저장 방법이 각 각 달라 SIEM이 개별 클라우드를 일일이 지원하도록 설정해 야 한다. 외산 SIEM의 경우, AWS, 애저, GCP 등 글로벌 퍼블릭 클라우드 로그 수집 기능을 지원하지만, 네이버, NHN 클라우드 등 국내 퍼블릭 클라우드 로그와 API 통합은 지원하지 않는다.

온프레미스 SIEM과 클라우드 SIEM의 통합도 문제다. 많은 경우 온프레미스와 클라우드에 각각 다른 SIEM을 구축, 운영하기 때문에 하이브리드 환경 전반에서 위협을 가시화하지 못한다. 규제나 조직요구사항으로 인해 클라우드 SIEM에 온프레미스 데이터를 전송하지 못하는 경우도 있으며, SIEM이 클라우드 관제를 위한 기능을 제공하지 못해 클라우드 데이터 통합이 어려운 경우도 있다.

SIEM 구축 후 새로운 보안 제품을 도입했을 때 이를 데이터 통합과 위협 탐지 프로세스에 즉각 적용하기 어렵다. 특히 국산 벤더 장비는 외부 연동이 쉽지 않아 SIEM을 처음 구축할 때도 국산 솔루션 연동에 많은 시간을 써야 한다. 새로운 제품을 도입할 때 기존 SIEM과 연동하기 위한 별도의 작업으로 시 간과 비용을 부담해야 한다.

더불어 외부침해 관제와 내부 유출관제를 별도로 운영하는 관제 프로세스로 인해 복잡성이 높아진다는 문제도 있다. 많은 경우 SIEM과 사용자 및 엔티티 행위 분석(UEBA)을 별도로 도입, 운영하고 있는데, 이 때문에 내·외부 위협에 대 한 통합 관제가 어렵고, 관제 포인트도 늘어나 업무에 부담을 준다.

성숙한 SOC에서 SOAR 도입 효과 높아

SOAR는 SIEM보다 더 해결하기 어려운 문제가 있다. SOAR 도입을 위해서는 위협 탐지와 대응 프로세스가 표준화되어 있어야 하며, 즉시 사용할 수 있고 편집 가능한 풍부한 플레이북을 갖고 있어야 한다. 또 사고대응을 위해 다양한 팀간 원활한 의사소통이 가능한 문화가 형성돼 있어야 하며, 인시던트 발생 시 각각의 조직원이 자신의 역할과 책임을 빠르게 이행할 수 있어야 한다.

SOC 성숙도가 높은 조직이 SOAR를 제대로 운영할 수 있는데, 대부분의 조직은 보안관제 프로세스 표준화도 제대로 준비하지 못하고 있다. 특히 오래 전 구축된 비표준 기반 기술과 이종 솔루션 연동을 지원하지 못하는 일부 국내 솔루션으로 인해 SOAR가 추구하는 완전한 통합이 불가능하다.

SIEM과 SOAR를 별도로 구축할 경우, SIEM 벤더의 협조가 원활하지 않다는 문제도 발생한다. SIEM 솔루션이 탐지 이 벤트를 SOAR로 전송하는 수준의 협조는 이뤄지지만, SOAR에서 SIEM API 호출 시 API 오용이나 부하 등으로 인한 장애 가능성을 우려해 보수적으로 연동하게 된다.

SOAR는 풍부한 플레이북이 있어야 자동화된 대응 프로세스를 만들 수 있는데, SIEM 등 다른 솔루션에서 SOAR에 플레이북을 위한 API를 제공할 때 별도의 개발이 필요한 경우가 많아 연동을 위한 적극적인 협조를 이끌어내기가 쉽지 않다.

디지털 포렌식 관점에서도 현재 SOAR는 한계가 있다. 실제로 침해가 발생했는지 판단하는 단계에서 EDR, NDR 등을 통해 추출한 포렌식 아티팩트를 수집하고 분석할 수 있어야 하는데, 대부분의 SIEM·SOAR는 IPS·웹방화벽의 페이로드를 분석해 정오탐을 분류하는 수준에 머물고 있다. 실제 침해증적 조사를 위해서는 별도의 포렌식 솔루션이 필요해 추가 솔루션 도입과 전문가 투입이 요구된다.

단일 플랫폼에 LMS·SIEM·SOAR 통합 필수

완벽하게 통합되고 자동화된 보안운영을 위해서는 단일 플랫폼에서 LMS, SIEM, SOAR를 지원하면서 이종 솔루션과 제한 없이 연동할 수 있는 기술을 갖춰야 한다. 고성능 빅데이터 처리 기술과 하이브리드 클라우드 지원 기술을 통해 어떤 조건의 조직이라도 지능적인 위협에 효과적으로 대응할 수 있어야 한다.

로그프레소는 AI와 빅데이터 기술을 독자 연구 개발한 보안운영(SecOps) 플랫폼 전문기업으로, LMS, SIEM, SOAR와 디지털 포렌식(DFIR), 위협 인텔리전스(CTI) 서비스까지 제공해 다양한 위협 환경에서 비즈니스를 보호한다. UEBA 기술을 통합해 단일 플랫폼에서 외부침해 대응과 내부정보 유출방지까지 지원하며, 로그프레소 자체 사이버 위협 인텔리전스(CTI)와 국내외 다양한 CTI를 연동해 위협 대응 역량을 높이며, 자동화된 포렌식 분석으로 확장형 탐지 조사 대응 (XDIR)까지 제공한다.

공공, 금융, 제조·민간 기업 200여곳에 공급된 로그프레소 플랫폼은 온프레미스, 클라우드, SaaS 통합을 지원한다. 로그프레소 스토어를 통해 국내외 여러 벤더 솔루션 지원 앱을 제 공해 이종 솔루션을 쉽게 연동할 수 있다. 앱은 장비 특성에 맞는 대시보드까지 자동으로 설정해 관리 편의성을 한 차원 높인다.

데이터·업무 중심 통합보안관제 제공

로그프레소 통합플랫폼을 이용해 LMS, SIEM, SOAR로 단계적으로 확장해 나간 대표적인 공급사례로 부산은행을 들 수 있다. 부산은행은 2016년 통합보안관제 시스템 구축을 위해 여러 솔루션을 검토한 후 빅데이터 기술 기반 로그프레소를 선택했다. 로그프레소는 데이터 수집뿐만 아니라 데이터에 대한 심층적인 가시성을 제공해 데이터 중심 보안관제를 가능 하게 했다.

부산은행은 2023년 현재, 처음 도입 시 보다 5배 증가한 500GB 용량의 데이터를 매일 수집·분석해 위협을 식별하고 대응하고 있다. 또한 부산은행이 자체 개발한 여러 시스템, 정보보호 업무를 위해 사용되는 수많은 시스템과 연계해 운영하 고 있다. 로그프레소 플랫폼을 통한 보안관제 개선 효과를 확 실하게 검증한 부산은행은 SOAR 솔루션 ‘로그프레소 마에스트로’를 도입해 완전한 통합과 자동화가 가능한 차세대 보안 관제 시스템 구축을 계획하고 있다.

글로벌 탑 티어 제조사는 로그프레소의 소나와 마에스트로를 도입해 자율성과 책임성이 강조되는 모니터링 중심 보안체계를 안정적으로 운영하고 있다. 이 회사는 AI·빅데이터 기술이 뛰어난 국내 기업에서 제공하는 솔루션을 최우선 검토 대 상으로 했기 때문에 로그프레소를 선택했다.

이 회사는 AI 분석 기능이 뛰어난 로그프레소 플랫폼으로 시나리오 기반 기술로 탐지하기 어려웠던 외부 침해 시도와 내 부유출을 빠르게 식별하고 대응할 수 있게 됐다. 특히 보안통제를 최소화하면서도 지속적인 보안 모니터링을 수행해 임직원의 업무 편의성을 높이고 생산성을 높일 수 있게 됐다.

글로벌 솔루션보다 높은 성능

LMS 솔루션 ‘로그프레소 소나 4.0 라이트(Logpresso Sonar 4.0 Light)’는 한국정보통신기술협회(TTA) 무손실 실시간 인덱싱·수집 성능 시험 결과 초당 270만건, 무손실 수집 성능 시험 결과 초 당 400만건 처리 기능을 기록한 솔루션이다. 이는 국내는 물론 글로벌 솔루션보 다도 높은 기록이다.

로그프레소 소나 라이트는 벡터화된 쿼리 엔진과 스키마리스 컬럼 스토리지 기술을 적용해 실시간에 가까운 대용량 로그 분석이 가능하며, 마우스 클릭만으로 수백 GB의 로그를 1초 내에 드릴다운 검색해 장기간의 해킹 시도 이력과 서비스 장애 원인을 확인할 수 있다. 300종 이상 쿼리 명령어와 함수를 통해 복잡한 비정형 데이터 분석도 쉽게 처리할 수 있다. 로그프레소 스토어에서 앱을 내려 받아 설치하면 전용 쿼리 명령어와 수집기가 확장돼 제약 없는 데이터 통합이 가능하다.

SIEM 솔루션 ‘로그프레소 소나’는 외부침해관제와 내부유출관제를 통합 제공하는 정보보호통합 플랫폼이다. 단일 플랫 폼으로 온프레미스뿐 아니라 클라우드 인프라, SaaS 보안 관 리도 지원하며, 멀티 클라우드를 위한 클라우드 보안 형상관리(CSPM), SaaS 보안 형상관리(SSPM)까지 지원해 모든 환경에서 사각지대 없이 위협을 탐지한다.

서드파티를 위한 80종 이상 앱을 제공해 SIEM과 이종 솔루션의 쉬운 통합을 지원한다. 또한 다양한 이종 솔루션에 대한 로그 정규화와 대시보드 시각화를 지원해 실질적인 데이터 분석 가용 범위를 넓혔다. 더불어 사용자 엔티티 행위 분석(UEBA)과 소명 워크플로우 기능을 통합시켰으며, 외부 침해관제와 내부유출탐지·내부자 위협 방어 기능까지 제공한다.

KB국민은행의 경우, 로그프레소 솔루션을 이용해 정보보호 통합 플랫폼을 구축, 경영진부터 업무 담당자까지 일관된 데이터 뷰와 통합된 보안 정책 현황을 파악할 수 있게 됐다. 고도화되는 사이버 위협에 대응할 수 있는 탁월한 기술, 서드파티와 유연하게 통합될 수 있는 생태계를 통해 침해사고 적시 대응, 사전·사후 정보보호 통제를 수행하고 있다.

SOAR 솔루션 로그프레소 마에스트로는 완전히 자동화된 보안운영을 지원하는 SOC 자동화 솔루션으로, 국내외 다양한 벤더 솔루션과 긴밀하게 협력해 이상적인 통합·자동화와 오케스트레이션을 제공한다. 국내에서 많이 사용하는 솔루션은 전용 앱을 제공해 쉽게 통합할 수 있게 했다.

플레이북도 자유롭게 커스터마이징할 수 있으며, 쿼리만으로 122종의 포렌식 아티팩트를 분석할 수 있게 해 로그 기반 위협 분석뿐만 아니라 침해조사까지 완벽하게 수행할 수 있게 한다.

마에스트로는 금융보안원의 금융 사이버 위협정보 공유 시스템(FCTI)과 연계해 악성 IP와 IoC, 금융전산위기경보와 보안관제 특이사항 등을 반영한 위협 탐지를 지원하며, 이외에도 국내외 여러 CTI와 취약점 정보를 결합해 알려진·알려지지 않은 위협과 취약점 공격을 선제적으로 차단한다.

또한 대규모 위협 자동 분석으로 SOC 효율을 6배 높이며, 대응 프로세스를 표준화해 일관된 업무 품질을 달성하게 한다. 분석·차단 시간 단축으로 MTTR을 향상시키고, 보안조직의 업무 피로도 감소와 고위험 위협 분석 집중력을 향상시킨다. API 통합으로 이전에 도입한 단위 보안 시스템 활용을 극 대화해 ROI를 향상시킨다.