[데이터넷] 디지털 트랜스포메이션을 진행하고 있는 기업이 비즈니스 전략 결정을 위해 빅데이터를 활용하고 있으며, 다양한 IoT 기기를 사용하고 있다. 이로인해 IT 자산이 증가하고 IT 의존도가 높아지면서 IT 인프라를 타깃으로 하는 사이버 위협도 심화되고 있다.

IT와 보안 기술이 발전하면서 이를 이용하고 우회하려는 사이버 공격이 고도화되고 복잡해지고 있어 네트워크 경계에서 위협을 탐지하고 차단하는 기존 방식으로는 비즈니스를 보호할 수 없게 됐다. 보안 담당자들은 현재 닥친 긴급한 위협 대처에 대부분의 시간을 할애하고 있어 고도의 지능적 우회공격을 인지하지 못하거나 인지한다해도 시간이 부족해 적절하게 대응하지 못한다.

빅데이터·AI/ML 활용 보안위협 파악

기업은 많은 예산을 들여 보안 솔루션을 도입하고, 강력한 보안 체계를 만들어 통제하고 있지만, 여전히 보안 사각지대가 존재한다. 확장되는 클라우드로 인해 공격표면은 한없이 증가하고 있으며, 새로운 보안 취약점 노출 빈도도 높아지고 있다. 데이터 유출과 같은 보안 사고는 비즈니스 중단, 막대한 경제적 손실, 기업 신뢰도 하락으로 이어질 수 있다.

보안 조직은 많은 IT 시스템과 보안 장비들이 쏟아내는 대량의 데이터에서 위협과 관련한 정보를 수집해야 하며, 데이터의 상호 연관관계를 파악하고 위험도를 측정해야 한다. 탐지된 의심 이벤트를 추적하면서 이상행위가 발생하기 전에 제어해야 한다. 이를 위해서는 엔드포인트 데이터와 기타 로그가 볼 수 없는 네트워크, 장치, SaaS 애플리케이션, 사용자 행동 등을 확인해야 하는데, 현재 보안 탐지 솔루션은 통합되지 못하고 사일로화 된 데이터들을 통합·연계분석하지 못한다.

수많은 트래픽 정보와 보안 위협 정보를 분석해 가시성을 확보하고, 보안 위협 탐지와 대응을 위해 한드림넷은 NDR 솔루션 ‘VIPM-USM(Unified Security Analytics Manager)’을 제공한다. 이 제품은 빅데이터와 AI/ML 엔진을 활용해 상관관계 분석을 통한 실질적인 보안 위협을 파악하고, 위협의 우선순위를 제공한다.

또한 마이터 어택(MITRE ATT&CK)의 킬체인(Kill Chain)을 기반으로 보안 위협 현황을 단계별로 식별하고, 네트워크 위협의 영향도를 시각화해 분석한다. 네트워크에서 이동하는 보안 위협을 탐지·구분하고 보안스위치와 연동해 위협 단말을 즉시 격리하는 등 자동화된 보안 대응을 수행한다.

모든 데이터 연관성 자동 분석

VIPM-USM은 네트워크 트래픽 정보와 보안 위협 정보를 수집, 처리하기 위해 인터플로우(Interflow) 데이터 레코드를 이용해 원본 데이터를 최대 100:1 비율로 축소시킨다. 이를 빅데이터 시스템에 저장하고 AI/ML 엔진을 이용한 고도화된 분석 기술로 위협을 탐지한다.

전체 네트워크의 트래픽을 수집해 동-서(East-West), 남-북(South-North) 전방위적 보안 위협을 파악한다. 머신러닝 기반 IDS에 최신 시그니처를 지속적으로 업데이트해 실시간 위협을 탐지하며, 트래픽을 재조립해 악성코드를 식별하고, 이상행위를 검사한다.

지능형 애그리게이션 TAP 스위치를 이용해 패킷 중복 제거를 수행하고, 동일한 액세스 스위치에 연결된 자산 간 위협 확산도 탐지할 수 있어, 네트워크 전반의 보안 위협을 VIPM-USM에서 확인할 수 있다.

전술·침해 단계 가시성 제공

VIPM-USM은 마이터 어택 기반 최신 위협 분석 모델링을 제공해 악성코드, 위험 파일 등에 의한 실질적인 위협에 즉각 대응할 수 있으며, 실시간 위협 인텔리전스 정보를 연동해 피싱, 위협 사이트 접속을 분석해 실제 위협 대처 방안을 제공한다.

AI/ML 분석으로 실시간 위협에 영향을 받은 내부 자산 현황과 회사 보안 위협 추이 변화를 지속적으로 추적하고, 자산별 킬체인 단계의 리스크를 한눈에 파악할 수 있는 파노라마 뷰를 제공한다.

VIPM-USM은 네트워크 가시화 기능을 제공해 네트워크 서비스 현황 전체 요약, 네트워크, 서버, 데이터베이스, DNS, 애플리케이션, HTTP, 터널 애플리케이션 등으로 세분화해 네트워크 서비스의 상태를 쉽게 파악할 수 있게 한다.

VIPM-USM은 비지도 학습 및 지도학습 ML 모델링으로 AI를 통한 다양한 경고(Alerts)의 상관관계를 분석해 공격 전체에 대한 흐름을 파악하며, 통합된 사건으로 연관 처리한다. 전체 공격 수행 관계에 대한 히스토리 분석과 상관관계 분석을 통해 현재 공격에 노출된 내부 자산과 공격 흐름을 명확하게 파악할 수 있도록 도식화해 제공하며, 관련 있는 각각의 보안 이벤트를 AI를 이용해 하나의 사건으로 처리해 효율적으로 대응할 수 있게 한다.

VIPM-USM은 네트워크로 전송되는 파일에 대한 머신러닝 탐지(File AV), 샌드박스 기반 행위 분석으로 악성코드를 탐지한다. 악성코드로 의심되는 파일을 직접 샌드박스에 업로드해 분석할 수 있다.

위협 헌팅, 자산 분석, 사용자 행위 분석, 파노라마 뷰, 키바나(Kibana) 플러그인 등의 기능을 통해 신속하고 정확한 보안 위협 조사 방법을 제공한다.

빅데이터에 인터플로우로 저장된 데이터 레코드의 정보를 이용해 신속하게 조사할 수 있으며, 보안 이벤트 인덱스(Index)를 설정해 조사 단계 용이성을 높이고 위협의 상관관계 조사 기능 등을 제공해 고도화된 위협 헌팅을 수행할 수 있다.

상관관계 분석으로 위협 탐지 업무 효율성 높여

VIPM-USM은 AI/ML 기반 상관관계 분석을 통한 실질적인 보안 위협 탐지로 업무 효율성 높일 수 있다. 보안 위협을 킬체인 중심의 단계별 위협 식별, 경고의 심각성을 실시간 제공해, 위협 진행 단계를 한눈에 식별할 수 있다.

VIPM-USM은 사전 제공되는 200개 이상의 플레이북을 통해 쉬운 대응 정책을 수립할 수 있으며, 사용자 정의 플레이북으로 세밀한 정책 구현도 지원한다. 한드림넷의 VIPM(Visual IP Manager)과 연동해 모든 IP 단말 제어, 격리 조치로 보안 위협 확산을 완화할 수 있다.