분석적 측면에서의 통합보안관리와 위험관리에 대한 필요성은 인식되고 있지만, 각 보안 솔루션들을 운영하는 동시에 상호연관성 분석을 통해 이상 징후를 찾아낼 수 있는 수준의 정보보호 전담조직 및 전문인력은 턱없이 부족한 게 사실이다. 올해 초에 발행했던 1.25 인터넷 대란이나 복합적인 사이버 침해사고들의 원인이 관리자가 시의적절하게 대응하지 못한 것이 원인으로 알려지면서 관리적 보안에 관심이 고조되고 있다. 이글루시큐리티의 ‘스파이더 TM’은 이와 같은 보안관리와 위험관리에 대한 해답을 제시한다.

정보보안관리 전문기업인 이글루시큐리티는 그동안 프로젝트 수행을 통해 축적해 온 다양한 노하우를 바탕으로 고객의 요구사항을 집적시킨 새로운 위험관리 제품을 완성시켰다. 스파이더 TM(SPiDER Threat Manager)은 기존 통합보안관리(ESM) 솔루션인 스파이더-1의 프레임워크를 그대로 사용하면서 ESM에서 진보된 형태의 위협관리 템플릿을 제공하는 위험관리 솔루션이다. 보안관리 프로세스를 위협관리 측면에서 위협을 식별하고, 조직의 IT 자산에 대한 가치 및 사용 목적/용도에 따라 예상되는 침해사고 시나리오를 설정하는 한편 공격수준에 대한 평가를 통해 블랙리스트에 대한 대응관리 및 조기 예·경보 체계를 일관성 있게 수행할 수 있도록 해준다.

스파이더 TM의 주요 기능

스파이더 TM은 ▲공격방법 분류 및 관리 ▲호스트 프로파일/포렌직스 관리 ▲참해사고 시나리오 관리 ▲공격레벨 평가 및 분석 ▲블랙리스트 추출 및 대응이력 관리 등을 통한 조기 예·경보 체계 구축에 목적을 두고 있다. 전사적 차원의 전산자원에 대한 각종 위협요소들을 감지해 잠재적인 손실을 최소화시켜 주고, 이를 통한 사전 대응체계 정립으로 보안사고 발생시 신속한 대응과 사전대응 능력을 확보할 수 있도록 지원해준다.

특히 스파이더 TM에서 돋보이는 것은 기존의 ESM 솔루션의 핵심 기술이라고 할 수 있는 상호연관성(Correlation) 분석 기능을 강화시켜 보안 담당자들이 해킹 위협에 대해 정확히 판단할 수 있도록 의사결정 지침을 제공해 준다는 것이다. 스파이더 TM에서 제공되는 진보된 상호연관성(Advanced Correlation) 분석이란 같은 종류는 물론이고 다른 종류의 보안시스템이 작동하는 상황에서 발생되는 이벤트의 패턴 상호간의 연관성 분석을 통해 위험요소에 대한 예방 및 제거를 일관되게 수행할 수 있도록 하는 기능이다.

공격방법 분류 및 관리

스파이더 TM에서는 네트워크 공격을 탐지할 수 있는 국내외의 주요 IDS들이 보유하고 있는 침입탐지 패턴을 ISTF(인터넷보안기술포럼) 표준화 방안을 수용할 수 있는 카테고리로 분류, 공격 패턴별로 설명과 관련 CVE 코드, 위험도, 예상되는 피해결과, 대응요령 등을 포함하고 있다.

○ 호스트 프로파일/포렌직스 관리
스파이더 TM은 각종 위험으로부터 보호받아야 할 주요 호스트의 자산가치가 포함된 상세 정보와 작업이력 관리, 그리고 피해를 당했거나 피해가 예상되는 포렌직스 자료를 관리할 수 있는 기능을 제공한다.

○ 침해사고 시나리오 관리
스파이더 TM은 식별된 공격과 관리 범위 내에 있는 주요 호스트간에 발생했거나 발생이 예상되는 사고의 시나리오를 축적관리 한다. 솔루션 설치시 기본 템플릿이 제공되며, 조합이 가능한 시나리오를 추가할 수 있는 기능을 포함해준다.

○ 공격레벨 평가 및 분석
스파이더 TM은 공격의 수준을 평가할 수 있는 모델을 정립하고, 그에 따른 대응 방안을 설정하는 기능을 제공한다. 공격의 수준을 평가하는 알고리즘은 공격의 대상과 공격을 평가할 수 있는 조건변수에 따라 공격의 레벨이 증가하는 방법을 적용하고 있으며, 각 단계의 가중치는 설정 변경이 가능토록 구성되어 있다.

○ 블랙리스트 추출 및 대응이력 관리
블랙리스트의 추출에서부터 선정, 대응관리에 이르기까지 침해대응 관리부분에 대한 프로세스를 지원한다. 블랙리스트의 추출은 사고 시나리오별, 공격수준 단계별, 예상되는 피해 결과별 등 다양한 선정 조건을 제시해 침해대응 업무의 효율성을 제공하고 있다. 또한 메일로 대응하기 위한 경고, 항의, 노티스 등의 유형별로 기본 템플릿을 제공해 대응관리 부분을 강화하고 있다.

○ 조기 예·경보 체계 구축
스파이더 TM은 공격 유형별 수준을 평가해 각 단계별로 해당 시스템 및 네트워크 관리자에게 예·경보를 발령하는 체계를 제공한다. 특히 위협관리 템플릿 제공으로 위협요소가 감지되거나 발생할 때 보안 담당자에게 신속한 예방·경보 발령 및 관리를 통해 보안사고 발생에 신속하게 대응하는 한편, 사전대응 능력을 확보할 수 있도록 지원한다.

○ 진보된 상호연관성 분석
상호연관성(Correlation)은 상호연관성 분석(연계분석)이라고 하는 ESM의 핵심 컴포넌트이며, 최근 국내외에서 가장 큰 기술적인 이슈로 떠오르고 있다. 다양한 이기종의 보안장비에서 발생하는 이벤트 간의 연관성을 분석해 침해사고 또는 이와 관련된 의심스러운 행위를 분석하는 보안관리의 주요 요소다.

스파이더 TM의 실시간 분산 상호연관성 분석의 주요 특징은 기존 제품의 한계적 요소를 극복해 진정한 의미의 실시간 상호연관성 분석 방법론을 제공한다는 것이다.

■ 문의 : 이글루시큐리티 (02-3404-8625 )
■ www.igloosec.com