> 뉴스 > 테크가이드 > 통신/네트워크
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
행위기반탐지로 무중단 네트워크 구현
NBA(Network Behavior Analysis)
2008년 03월 05일 00:00:00 데이터넷
NBA·NAC 상호보완 가능 … 보안 시장 ‘덩크슛’ 기대

NBA는 국내시장에서 소개하기에는 다소 이른 감이 적지는 않다. 국내에선 NAC(Network Access Control) 열풍으로 인해 NBA에 대한 주목도는 상대적으로 떨어지기 때문이다. 이에 국내에서 NBA 이슈에 대응하고 있는 기업은 씨큐비스타, 유넷스템 등 2~3개 기업으로 제한되며, 시장 규모를 평가하기에도 아직 이르다. 하지만, 비즈니스 연속성 확보를 위해 네트워크 무결성이 어느 때보다 강조되고 있는 오늘날 NBA는 결코 간과할 수 있는 솔루션이 아니다. NBA에 대해 알아본다. |글·오현식 기자·hyun@datanet.co.kr|


NBA(Network Behavior Analysis)는 글자 그대로 네트워크의 행위에 기반해 문제를 일으키는 접속기기의 차단을 행하겠다는 개념이다. 예를 들어, 바이러스에 감염돼 이상 트래픽을 발생시키는 기기가 있다면, 즉시 이를 차단해 네트워크에 대한 영향을 제거하게 된다.
기존 보안의 패러다임에서 보면, NBA는 전혀 새로운 기술이다. 시그니처 방식에 의존하던 기존 보안 솔루션과 달리 시그니처를 배제하고 순수하게 네트워크에 접속된 기기가 수행하는 행동을 판단의 기준으로 삼는다는 점에서 기존 보안 솔루션과 차별화된다. 이에 NBA는 기존 보안의 패러다임을 변화시켜 새로운 패러다임을 창조하는 기술로 주목된다.

간과할 수 없는 솔루션
다른 관점에서 보면 아이러니하게도 NBA는 결코 새로운 기술이라고 할 수 없다. 안티바이러스는 물론, 칩입탐지 및 방지(IDS&IPS) 솔루션에서도, NAC(Network Access Contrl) 솔루션에서도 이러한 행위기반 탐지는 시그니처 방식의 허점을 보완하기 위해 각 분야에서 꾸준히 접목돼 온 기술이다.
IPS의 경우, 분산서비스거부(DDoS) 공격과 제로데이 공격방어를 위해 시그니처에 의한 탐지 외에도 트래픽 임계치를 설정해 설정된 트래픽 이상을 발생하는 소스IP를 차단하는 방법이 적용되고 있고, 일부 NAC 제품에서도 제로데이 공격 방어를 위해 이상 트래픽을 유발하는 기기를 검출해 실시간 차단하는 기술이 포스트 어드미션 NAC란 이름으로 NBA 기술이 접목되고 있다.
NBA가 시그니처에 의존하지 않는 새로운 보안 패러다임을 낳고 있기는 하지만, 여타의 보안 기술에서도 기존의 시그니처 의존 방식을 보완하는 방안으로 일부 적용되고 있는 까닭에 국내 시장에서 NBA는 크게 주목되지 못하고 있다. 특히 접속기기에 대한 사전 보안 점검으로 사후 대응에서 사전 예방으로 변화시키는 NAC가 크게 주목받으면서 국내 시장에서 NBA에 대한 관심은 더욱 멀어지게 됐다.
현재 국내 시장에서 관심은 다소 떨어진 측면이 있지만, NBA 기술은 네트워크 무결성 확보를 위해 반드시 도입돼야 할 기술 중 하나로 꼽힌다. 가트너, 양키그룹 등의 시장 조사기관은 NBA에 대한 시장 보고서를 별도로 선보이고 있을 정도로 해외에서 NBA는 이미 시장 안착에 성공하고 있으며, 시장 참여 기업수 또한 지속적으로 증가해 아버네트웍스(Arbor Networks), 카운트스톰(Counte Strorm), 랜스코프(Lansope), 소스파이어(Sourcefire) 등 10여개 이상의 기업이 경쟁하고 있다.


NBA·NAC, 경쟁 아닌 보완
NBA가 국내 시장에서 크게 주목받지 못하는 데에는 NBA 열풍이 큰 자리를 차지한다. NAC는 사실 유사한 부문이 많은데, 특히 ‘이상 기기’의 ‘접근을 차단’해 ‘네트워크를 보호’한다는 점에서 NBA와 NAC는 친족관계를 형성한다. 일부 리서치 기관에서 포스트 어드미션 방식의 NAC 제품군을 넓은 의미의 NBA 제품군에 포함시키는 까닭 역시 NBA와 NAC의 유사점이 높은 까닭이다.
하지만, NBA와 NAC의 구분점도 명확하다. 개념적으로 볼 때 NAC가 기기의 건강상태를 네트워크 접속 이전에 점검해 네트워크 무결성을 확보한다는 특징이 있는 사전 예방 솔루션인 반면, NBA는 사전점검을 수행하지 않고 접속된 기기가 이상 행위를 보였을 때 이를 차단하는 사후 대응 솔루션에 가깝다. 물론 NBA는 네트워크 전체의 관점에서 접근할 때 이상기기를 즉시 차단함으로써 네트워크 감염을 막는다는 사전 예방 솔루션으로 볼 수 있지만, 엄밀하게는 행위가 있은 후 이를 근거로 차단하는 사후 대응 솔루션이다.
또 NAC가 각 엔드포인트 기기의 통제에 중점을 둬 대부분의 솔루션이 에이전트를 탑재하고 있는 반면, NBA에서는 엔드포인트는 전혀 중요하지 않은 부분이다. NBA는 네트워크 가용성 유지란 오직 하나의 목표를 향해 직진하는 솔루션으로 대부분 에이전트 없이 단말의 허용/차단이란 두 가지 방법의 제어만을 제공한다.
시그니처 방식을 전혀 사용하지 않는다는 점에서도 차별화된다. 이상기기의 접속을 차단해 네트워크를 보호한다는 점은 동일하지만, 이상기기의 판단 기준이 다른 것이다.
시그니처는 NBA와 NAC를 구분짓는 결정적 요소다. NBA 솔루션은 시그니처 방식을 사용하지 않는다. 물론 NAC의 경우에도 솔루션 자체에서는 시그니처를 사용하지 않지만, NAC에서 보안 솔루션의 최신 패치적용 여부를 살피는 것이 곧 최신 시그니처 확보 여부를 살핀다는 점을 감안하면, NAC 솔루션은 궁극적으로는 시그니처에 기반한 보안 방법론이라고도 볼 수 있다.
이와 달리 NBA 솔루션은 오직 트래픽만을 이용해 이상 행위를 탐지하고, 자체적으로 이를 차단한다. 즉 NBA 개념에는 처음부터 시그니처 배제돼 있는 것. NBA 솔루션은 시그니처를 사용치 않고 보안 문제를 해결하도록 실시간 대응을 수행하게 된다.
NBA와 NAC가 유사점도 있지만, 또 분명한 차이점도 갖고 있기에 이들 두 솔루션은 상호보완재로써의 역할 수행이 가능하다는 것이 보안 관계자들의 지적. NAC가 접속기기의 사전 체크를 통해 알려진 공격에 대해 네트워크 무결성을 확보하게 되고, NAC로 파악할 수 없는 제로데이 공격 등에 대해서는 NBA 솔루션을 통해 네트워크 다운을 방어할 수 있다는 것이다.
시장조사기관인 가트너는 NBA에 대해 “방화벽과 같은 정책기반 보안 솔루션, IDS/IPS, SIEM과 같은 시그니처 기반 보안 솔루션이 놓칠 수 있는 위협에 대한 간극(Gap)을 메울 수 있는 보안솔루션”이라며 “IDS/IPS 구현 이후에 기업이 반드시 구현해야 할 솔루션”이라고 말하고 있다. 가트너는 또한 기술의 시장 적용 과정을 예측하는 하이퍼사이클을 통해 NBA를 향후 2~5년내 시장 주류로 자리매김할 기술로 평가했다.


네트워크 최종 지킴이로 자리매김
NBA 솔루션과 기존 솔루션을 변별짓는 또다른 부문은 NBA 솔루션이 치료 목적이 아니라는 점이다. NBA는 자체적인 치료 기능을 제공하지 않으며, 단순히 네트워크의 접속을 허용하거나 차단하는 역할을 수행한다. 솔루션 자체에서는 치료 기능이 없지만, 안티바이러스 솔루션 등과 연계해 최신 패치 업데이트 페이지로 연결하는 NAC와 비견되는 부문이다.
NBA 솔루션인 ‘애니몬 프로(Anymon Pro)’를 선보이고 있는 유넷시스템의 남인우 이사는 “NBA는 네트워크 유지를 위한 최종 안전장치 개념의 솔루션으로 각 기기의 치료가 아니라 전체 네트워크가 원활히 돌아가도록 유지하는 것이 목적”이라며 “NBA는 문제에 대한 해결이라기 보다는 문제 해결을 위해 시간을 벌어주는 측면이 더 크다”라고 설명했다.
그렇다면, ‘NBA 솔루션이 반드시 필요한가’란 의문이 뒤따르는 것은 당연하다. ‘근본적 문제 해결을 제공하지 않는 솔루션이 투자가치가 있는가’의 문제제기가 충분한 설득력을 가지는 것이다.
이에 대한 대답은 ‘예스(Yes)’다. 근본적 문제해결이 아니지만, NBA의 투자가치는 충분하다. 이는 더욱 위협적으로 진화하는 공격 때문이다. 특히 제로데이 공격이 NBA의 가치를 높여준다고 할 수 있다.
최근의 보고에 따르면, 대부분의 전파성 공격은 취약점 발견 이후 채 하루가 되지 않아 발생하며, 2~4일 안에 확산된다. 그렇지만, 이 취약점을 해결할 수 있는 보안패치는 것은 이보다 훨씬 늦은 시점에 발표돼 적용되게 된다. 이러한 제로데이 공격은 계속 증가하고 있으며, 피해 또한 확산되고 있기에 패치발표 전 발생하는 제로데이 취약점 방어는 보안 시장의 핫이슈가 되고 있다. 보고에 따르면, 매주 수십개의 시종 취약점이 발견되고 있는데, 이는 그만큼 제로데이 공격의 가능성도 높음을 보여준다고 할 수 있다.
제로데이 공격은 기존 시그니처 방법으로는 막을 수 없다. 앞서 살폈듯 취약점 공격에 대한 시그니처 개발이 더 늦기 때문이다. 이에 NBA의 필요성이 제기된다. NBA를 통해 제로데이 공격에 감염된 기기를 차단함으로써 네트워크가 원활히 운용될 수 있도록 하는 것이다.
남인우 이사는 “제로데이 공격 대응은 시간 싸움이라고 볼 수 있다”며 “취약점 패치 발표되기 이전 공격 대응까지 이르는 시간을 벌어줘 네트워크를 보호한다는 측면에서 NBA는 충분한 가치가 있다”고 밝혔다.
NBA 솔루션인 ‘스톰아이(Storm-I)’를 개발·공급하면서 국내 NBA 시장을 개척해나가고 있는 씨큐비스타 전덕조 사장은 “비즈니스 연속성이 강조되는 시점에서 네트워크의 가용성은 매우 중요한 부문”이라고 전제한 후 “진화된 공격에 보다 완벽하게 대응하기 위한 네트워크 최종 지킴이로 NBA는 필수적이다”고 강조했다.
전덕조 사장에 따르면, 전파에 수시간에서 수일이 소요되는 이메일 웜이나 님다 등은 바이러스 갱신, 라우터, 방화벽 등을 통해 사람에 의한 제한적 대응이 가능하고, IPS 등에 의한 자동화된 대응도 가능하다. 하지만, 수분에서 수시간이 소요되는 ‘워홀(Warhol)’과 같은 유형의 공격은 사람에 의한 대응이 불가능하며, 나아가 수초에서 수분밖에 소요되지 않는 워홀이나, 플래쉬 위협의 경우에는 현존하는 방어기법으로는 대응이 불가능해 NBA와 같은 자동 차단툴이 필요하게 된다.
제로데이 공격만이 문제는 아니다. 오늘날 공격이 금전적 이익을 노리는 양상으로 변화하면서 과거와 같이 대형 공격이 아닌 국지적인 은밀한 공격으로 이뤄진다는 점도 NBA의 필요를 뒷받침하는 요소다. 또 오늘날의 해커는 보안 기업의 탐지를 피하기 위해 특정 대상을 타깃으로 해 특화된 공격을 진행하고 있기도 하다. 시그니처 방식으로는 은밀히 진행되는 국지적인 공격에 한계를 가질 수밖에 없다.
시그니처 방식은 너무 많은 수를 적용하면 성능저하의 문제점이 발생하게 된다. IDS/IPS의 경우, 제작된 시그니처는 3천개 이상이지만, 성능저하를 방지하기 위해 모든 시그니처가 아닌 현재 빈번하게 공격이 발생하고 있는 공격에 해당하는 일부의 시그니처(약 800여개)만을 사용하게 된다.


연평균 30% 성장 ‘고속질주’
국내 시장에서는 아직 NBA에 대한 관심이 미미한 실정이지만, 진화된 공격을 방어하기 위한 최종 스위퍼로 해외에서는 NBA가 각광받고 있다. 가트너는 NBA 솔루션이 2006년 1억2천만달러(약 1천146억원)의 시장을 형성한 것으로 집계하고 있다. 보다 주목해야 할 것은 바로 시장성이다.
가트너는 2008년 NBA 시장규모를 2006년에 비해 두 배에 가까운 2억1천만달러로 예상하고 있다. 연평균 30% 이상의 고속성장을 예측하고 있는 것. 더욱 놀라운 것은 이러한 고성장세가 최소 2010년까지는 이어지리라는 것이 가트너의 예상이다.
양키그룹 역시 “IDS/IPS/웹 방화벽/ESM 이후의 차세대 네트워크 보안 솔루션”이라고 NBA를 정의하면서 “알려지지 않은 공격을 탐지하는 보안 솔루션의 역할도 있지만, 네트워크 운영과 어우러져 인프라 감시, SNMP에 의한 용량 감시, 넷플로우(NetFlow) 성능 감시, 통합 장애 감시까지 수행할 수 있어 보안 운용과 네트워크 운용을 결합하는 필수 솔루션”이라는 평가를 내리고 있다.
이러한 전망 속에 대기업군의 참여도 이뤄지고 있어 향후 시장은 더욱 활기를 띌 것으로 전망된다. IBM은 ‘IBM 프로벤티아 ADS(IBM Proventia Anomaly Detection System)’를 선보이면서 NBA 시장에 대응하고 있다. “NBA 기업들이 핵심으로 얘기하는 기술들은 예전부터 스위치단에서 제공했던 기능”이라며 NBA 이슈에 직접적으로 대응하고 있지는 않지만, 가트너 등은 시스코 역시 주요 NBA 기업 중 하나로 꼽고 있다.
또 다수의 NAC 벤더들도 취약했던 실시간 대응 부문을 보완하기 위해 NBA 개념을 제품 속에 끌어들이고 있다. 보다 완벽한 NAC 구현을 위한 네트워크 가시성(Network Visibility) 확보의 기본 개념으로 NBA를 언급하고 있는 것. 나아가 미라지네트웍스와 같이 포스트 어드미션 NAC에 중점을 둔 기업들은 포괄적인 의미에서 NBA 기업군으로 꼽히기도 한다.
국내에서도 NBA 개념은 조금씩 성장하고 있는 상황이다. NBA 전문기업을 표방하고 있는 씨큐비스타는 올 상반기 내에 2~3곳의 레퍼런스 확보를 자신하고 있고, 유넷시스템 또한 올해 상반기 중 2~3곳의 레퍼런스 추가 확보를 예상하고 있다. 셀프시큐리티는 GS인증을 획득한 NBA솔루션 ‘트렌드맵TAS(TrendMap TAS)’를 통해 서울산업대학교, 한국원자력연구원, 한국과학기술정보연구원, 한국정보보호진흥원, 광주과학기술원, 동명대학교 등을 레퍼런스로 확보하고 있다.
무엇보다 반가운 점은 국세청이 전사적인 NBA 도입을 고려하고 있다는 점이다. 국세청은 지난해 전국에 산재한 지방세청까지 포괄하는 NBA 구축을 검토한 것으로 알려지는데, 올해 프로젝트를 실시할 가능성이 높은 것으로 알려진다. 국세청의 도입은 국내 시장에서도 NBA 솔루션에 대한 관심을 불러일으킬 수 있는 호재로 꼽힌다.
해외 시장에서 10여개 이상의 기업이 활동하고 있는데, 국내에서 큰 이슈를 낳지 못했다는 점은 의아함을 불러일으킨다. 비근한 예로 NAC의 경우, 10여개 해외 벤더가 참여했을 때는 국내 시장에서도 대단한 주목을 끌고 있었다. 물론 NAC는 시스코, 주니퍼, MS 등 대형 벤더가 앞서 이슈화를 끌고 나갔다는 측면도 적지 않지만, 100여개 이상의 기업이 참여하면서 치열한 경쟁을 벌이고 있는 국내 보안 시장에서 NBA와 같이 새로운 보안 솔루션을 대다수 기업이 간과했다는 점은 무언가 이상하다.


어디선가 들은 얘기
NBA 기술에 대한 국내 보안 벤더의 호응이 크지 않았던 데에는 근접한 시기에 NAC의 폭풍이 몰아쳤다는 요인이 존재하기 때문이라고 풀이할 수도 있다. 하지만, 이러한 설명으로도 NBA에 대한 무관심을 설명하기에는 2% 부족한 듯 보인다. 남은 2%를 채워주는 것은 NBA의 기술적 까다로움과 함께 NBA가 갖는 태생적 아이러니 때문이다.
NBA의 발목을 잡는 아이러니는 차세대 보안 솔루션이란 위상에 걸맞지 않게 ‘새로움이 없다’는 점이다. NBA의 핵심인 네트워크 어노멀리(Anomaly), 즉 이상 트래픽 탐지는 시그니처 방식의 대안으로 IPS 벤더 등에서 얘기된 바 있으며, 탐지에 의한 네트워크 격리는 NAC 솔루션과 겹치는 부문이다. 또 가시성 확보는 보안 솔루션과의 연동을 통해 ESM(Enterprise Security Management)에서도 3차원 그래픽 뷰를 통해 제공하던 부문이며, 보안 운용과 네트워크 운용의 통합은 SIEM(Security Information & Event Management) 등에서도 나온 얘기다.
이와 관련, 업계의 한 관계자는 “NBA를 설명에는 신선함이 없다”며 어려움을 토로하기도 했다. 예를 들어 네트워크 가시성을 얘기할 때 고객이 “음, 이건 ESM에서 가능하니 다음 얘기를”, 네트워크 격리를 얘기할 때 “음, 이건 NAC에서 가능하니 다음 얘기를” 등으로 계속 넘기다 보면, NBA에 대한 어떤 것도 설명할 수 없게 된다. 즉, NBA의 역할은 분명 하지만, 이를 구현하는 기술이 기존 솔루션 등에서도 한 두 차례 씩 언급되던 내용이다 보니, NBA에 도입에 대한 투자를 이끌어 내지 못하는 어려움에 직면하고 있는 것이다.
나아가 참여 기업수가 적음으로 인한 버거움도 있다. 국내 NBA 시장은 씨큐비스타와 유넷시스템, 셀프시큐리티 등 국내 기업 세 곳 뿐이라고 해도 과언이 아니다. 프로벤티아 ADS의 경우, ISS가 IBM에 인수되는 과정(ADS는 기존 ISS의 제품이다)에서 신규 시장이라 할 수 있는 NBA 쪽에 힘을 기울일 여력이 없었기에 유넷시스템과 씨큐비스타, 셀프시큐리티 시장을 개척해야 했다. 이들 3사가 시장에 메아리를 가져올 큰 이슈를 불러일으키기는 쉽지 않은 일이다. 이슈를 불러일으킬 수 있을 만큼의 참여업체 증가도 필요하다고 지적된다.
이에 한 관계자는 “미래 공격에 대응하는 필수적인 핵심툴로 NBA의 전망은 밝지만, 시장 활성화까지는 다소 시간이 필요할 것 같다”며 다소 유보적인 입장을 표명하기도 했다.
그렇지만, NBA가 줄 수 있는 보안 효과는 뚜렷하다. 어떤 경우에도 네트워크 무결성이 유지되도록 할 수 있는 솔루션은 NBA가 유일하다고 해도 지나친 얘기는 아니다. 특히 제로데이 취약점 문제를 다루고, 제로데이에 대한 해법을 제시한다는 측면은 타 보안 솔루션이 가질 수 없는 NBA만의 고유한 장점이라고 할 수 있다.
한국IBM의 관계자는 “단기적 볼때 최근 기업의 많은 보안담당자들이 기존 정책, 패턴기반의 경계 보안 솔루션만으로는 효과적인 보안과 전사적 보안 구현이 어렵다는 사실을 깨달고 있어 NBA에 대한 관심이 조금씩 증가하고 있다”며 “특히, 올 6월 지불카드 산업 데이터 보안표준(PCI DSS)이 의무화된다면 전사적인 네트워크 접근 모니터링이 가능한 NBA 시장이 더욱 부각될 수 있을 것”이란 희망을 피력했다.
더불어 NBA는 네트워크의 가시성을 제공해 줄 수 있다는 장점도 있다. 셀프시큐리티의 트렌드맵, 씨큐비스타의 스톰아이 등은 NBA가 제공하는 가시성을 강조한 작명이라고 할 수 있다.
오늘날 복잡한 네트워크에서 가시성 확보는 무엇보다 중요한 문제다. 사용하지 않는 포트나 서비스 등이 존재한다는 것은 곧 관리되지 않는 구성요소가 존재한다는 의미로 보안의 취약점으로 작용하기 때문이다. 또 이들은 불필요한 비용을 지불하게 만드는 요인이기도 하다. NBA는 네트워크에 대한 명확한 통찰력을 제공해 네트워크 가용성을 향상시키고 네트워크 무결성을 확보하도록 한다.
따라서 네트워크 가용성이 중시되는 IDC 등에서는 NBA 도입을 피할 수 없을 것으로 예상된다. 전덕조 씨큐비스타 사장은 “보안 관리가 우선인 기업은 ESM, TMS 등 보안 관리 제품을 먼저 도입하는 것이 필요하겠지만, 네트워크 가용성이 중시되는 기업은 방화벽, IPS 등에 이어 가장 먼저 도입해야 될 필요가 있는 것이 바로 NBA”라고 조언했다.


제품소개
셀프시큐리티 / 트렌드맵TAS
GS인증 획득한 NBA 솔루션

셀프시큐리티(대표 김진열 www.selfsecurity.net)는 ‘트렌드맵TAS(TrendMap TAS)’를 개발, 출시하고 있다. 트렌드맵TAS는 플로우 기반의 트래픽 분석을 통해 비정상 행위를 탐지하는 NBA 제품이다.
트렌드맵TAS는 네트워크 트래픽에 대한 실시간 분석을 수행해 이를 기반으로 비정상 행위를 탐지하고, 위험경보를 발령하게 된다. 네트워크 이상징후에 따른 조기 대응이 가능해 알려지지 않은 공격에 대해 네트워크를 보호함과 동시에 DoS/DDoS 공격에 대응해 DDoS 확산과 피해를 차단함으로써 네트워크 가용성을 높이고, 네트워크의 생존성을 확보할 수 있게 된다.
학습기능을 통해 인터페이스나 사용자, 또는 서비스별로 패턴을 추출하고, 트래픽 특성을 파악해 이상징후를 보다 정확하게 파악하도록 하며, 악성 프로그램에 의해 사용되는 트래픽/포트를 파악해 이를 차단하는 기능도 제공된다. 아울러 시각화 기술을 적용해 제공되는 트래픽 통계를 직관적으로 파악하게 함으로써 이상징후 발생시 보다 신속한 대응이 가능하도록 지원한다.
셀프시큐리티의 트렌드맵TAS는 가상화 기술을 지원해 관리 편의성을 꾀할 수 있으며, 넷플로우, 에스플로우는 물론 패킷 미러링/스니핑 방식의 다중 프로브 지원으로 높은 확장성을 제공한다.
트렌드맵TAS는 4.0버전을 선보일 정도로 제품 안정화를 이뤄냈으며, 이를 기반으로 서울산업대학교, 한국원자력연구원, 한국과학기술정보연구원, 한국정보보호진흥원, 광주과학기술원, 동명대학교 등의 레퍼런스를 확보하고 있다. 지난 2006년에는 GS(Good Software) 인증을 획득해 성능을 대외적으로 인정받고 있다.
<문의 : 0502-222-4650>



씨큐비스타 / 스톰아이
정책기반·시그니처기반 보안 솔루션 보완

씨큐비스타(대표 전덕조 www.cqvista.com)는 NBA 솔루션으로 ‘스톰아이(Storm-I)를 선보이고 있다. 스톰아이는 방화벽과 같은 정책기반 보안 솔루션과 IDS/IPS, SIEM(ESM, TMS)와 같은 시그니처 기반 보안 솔루션이 놓칠 수 있는 위협에 대한 갭을 메울 수 있는 네트워크 보안 솔루션이다.
경쟁제품들이 라우터의 플로우 정보를 분석해 네트워크의 이상행위를 탐지하는 반면, 시큐비스타의 스톰아이는 스탠드얼론 방식을 채택해 라우터에 부담을 주지 않는 장점이 있다. 스톰아이는 2Gbps의 네트워크 트래픽 정보를 수집해 상태기반의 잠재적 위협 탐지, 행위 분석기반의 이상행위(Anomaly) 탐지를 수행, 웜, 스캔, DDoS는 물론, 알려지지 않은 제로데이 공격을 실시간으로 정확히 탐지할 수 있다.
스톰아이의 아이(I)는 영단어(eye)에서 차용한 것으로 스톰아이는 네트워크에 대한 가시성을 확보, ‘네트워크를 관찰하는 눈(eye)’의 역할을 수행한다. 인프라 감시, SNMP에 의한 용량 감시, 넷플로우(NetFlow) 성능 감시, 통합 장애 감시를 통해 관리자가 네트워크 상태를 명확하게 파악하도록 하는 것이다. 즉, 보안과 네트워크 운영을 아우르는 네트워크·보안 컨버전스의 개념을 충족하는 솔루션이 바로 스톰아이다.
스톰아이는 외부 유입 트래픽을 감시·분석하는 데이제로(DayZero) 센서, 임의의 내부 네트워크에서 적용돼 내부 트래픽을 수집하는 어노멀리(Anomaly) 센서 등으로 구성된다. 제로데이센서는 라우터 뒤, 방화벽 앞단에 설치돼 9가지 유형 공격을 감지/차단함으로써 네트워크를 보호할 수 있다. 어노멀리 센서는 서비스별 트래픽 학습에 의해 패턴을 추출함으로써 이상행위를 즉시 감지하고, 경보를 발령할 수 있게 된다.
<문의 : 031-621-0236>



유넷시스템 / 애니몬 프로
실시간 비정상 네트워크 행태분석·격리 시스템

유넷시스템(대표 심종헌 www.unet.kr)의 ‘애니몬 프로(Anymon Pro)’는 방화벽, 자체센서, 기타 네트워크 장비 등으로부터 네트워크 트래픽 정보를 수집해 바이러스, 웜 등을 포함한 비정상 행위를 조기에 탐지하고 문제가 있는 단말기를 격리해 네트워크를 보호하는 NBA 솔루션이다.
기존의 침입탐지시스템, 침입차단시스템 등이 탐지하지 못하는 알려지지 않은 웜(Zero-Day Worm), 내부 네트워크에 유입되는 웜, 인가되지 않은 프로토콜 사용, 기존 보안장비의 정책설정 오류 등을 탐지하고 대응할 수 있는 전사 네트워크 보안 대응체계를 마무리짓게 된다.
일반적으로 NBA제품이 보통 스위치나 라우터 등의 네트워크 장비를 통과하는 전체 트래픽으로부터 얻어진 샘플 데이터인 플로우 데이터로 네트워크 분석하는 반면, 애니몬은 방화벽이나 방화벽과 유사한 트래픽 로그를 지원하는 소스들로부터 수집된 데이터를 사용해 네트워크 성능저하나 부하를 방지하게 된다.
방화벽 세션로그는 로그 생성에 있어서도 기존 플로우 데이터 분석 방법과 비교해 획기적으로 부하를 절감하게 할 수 있을 뿐 아니라 네트워크 경계점을 오가는 전체 트래픽 정보를 보여줄 수 있어 플로우 샘플데이터 기반으로 분석하는 기존 방법의 한계를 극복하게 한다.
애니몬 센서를 통해 내부에서 유입되는 패킷으로부터 세션정보를 축척·분석·추론함으로써 내부 트래픽을 효과적으로 분석, 외부로부터의 공격은 물론 감염된 PC를 통해 기업 내부에서 발생하는 악성 트래픽을 효과적으로 차단할 수 있다.
<문의 : 02-2028-9000>


한국IBM / 프로벤티아 어노멀리디텍션시스템
특허 기술 이용해 전사 네트워크 통찰력 제공

한국IBM(대표 이휘성 www.ibm.com/kr)의 ‘프로벤티아 어노멀리 디텍션 시스템(Proventia Anomaly Detection System, 이하 ADS)’는 기존 사용중인 내부 네트워크 인프라 스위치, 라우터 등으로부터 플로우 정보를 수집·모델링화해 트래픽의 상관관계를 분석함으로 웜과 같은 위협을 탐지·방어하며, 복잡한 내부 네트워크의 상태를 상세히 나타내줌으로 전사적 네트워크 현황을 명확히 파악하도록 정보를 제공하는 시스템이다.
ADS는 일반적으로 플로우 데이터를 수집하는 콜렉터와 수집한 플로우를 모델링하고 분석하는 애널라이저로 구성된다. ADS콜렉터는 스위치나 라우터로부터 플로우 데이터를 수집하거나 또는 SPAN,TAP을 사용해 트래픽을 캡쳐해 데이터 수집하게 된다. 이후 중복되는 플로우를 제거하고, 단방향 플로우를 양방향 플로우로 생성함으로써 네트워크 분석을 위한 상태정보가 있는 플로우로 재조립하게 된다.
ADS 애널라이저는 콜렉터가 수집한 플로우 데이터를 상관관계 분석 모델링 방법을 활용해 재가공함으로써 트패픽 플로우 데이터에 대한 행위 분석을 수행하게 된다. IBM ADS는 위협을 인식하고 네트워크 상관관계를 모델링화하기 위해 16건의 특허 기술 이용하고 있으며, 이러한 심도 깊은 분석을 통해 사용자, 네트워크, 애플리케이션 사이의 트래픽에 대한 통찰력을 제공해 준다.
ADS는 DoS, DDoS, 멀웨어, 피싱, 봇넷 C&C, P2P 등의 위협 및 새로운 위협으로부터 전사적 네트워크를 보호함으로써 네트워크 가용성을 최대로 유지하게 한다. IBM의 글로벌 조기 경보 시스템을 통해 제공되는 다양한 위협을 조기에 탐지할 수 있다는 점도 ADS의 장점이다. ADS는 또한 활동하지 않는 포트나 서비스, 애플리케이션에 대한 모니터링 등 네트워크에 대한 명확한 현황 분석으로 전사 네트워크에 대한 통찰력(Visibility)을 제공한다.
<문의 : 02-3781-7114>
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr