지능형 지속위협(APT) 공격을 받은 기업/기관이 공격을 당했다는 사실을 알아차리는데 평균 243일이 걸리며, 63%의 기업/기관은 외부에 의해 자사 시스템이 공격을 당했다는 사실을 알게 된다.
라우 부사장은 “최근 발표되는 새로운 로그분석 시스템이나 SIEM 솔루션이 여러 IT 시스템의 로그 데이터를 통합분석한다고 강조하지만, 대부분은 몇 개 장비에서 생성되는 로그에 대한 부분적인 통합분석을 제공할 뿐, 진정한 의미의 통합이라고 할 수 없다”며 “스플렁크의 보안앱은 모든 IT 시스템에서 생성되는 정보를 통합한 후 연계분석해 은밀하게 진행되는 보안위협을 정확하게 탐지할 수 있다”고 말했다.
최근 보안위협은 기존의 보안 시스템을 우회하기 위해 정상파일로 위장하거나 암호화 돼 유입되고, 일부는 자바 스크립트 형태로 유입돼 내부에서 재조립되는 방식으로 시스템을 공격한다. 외부 C&C 서버와 통신할 때에도 모니터링 시스템의 탐지를 피하기 위해 비주기적으로 통신하며, 아주 작은 용량의 파일을 지속적으로 유출해 보안 시스템이 인지하지 못하도록 한다.
이러한 공격은 정상 사용자가 정상적인 방법으로 통신을 하는 것처럼 위장하고 있으나 여러 시스템 상에서 발생하는 로그를 연계해 보면 비정상적인 행위를 하고 있다는 사실을 알 수 있게 된다.
스플렁크는 모든 IT 장비로부터 로그를 수집하며, 써드파티와의 연계, 클라우드 시스템과의 연계가 유연하고 자유롭게 이뤄져 로그 데이터 수집 범위가 매우 넓다. 자체개발한 대용량 데이터 분석 기술을 이용해 방대한 분량의 다양한 형태의 데이터 연계분석이 가능하다. 여러 IT 솔루션 벤더와 파트너십을 맺고 있어 시스템간의 긴밀한 호환성을 보장할 수 있다.
라우 부사장은 “외부 해킹 뿐 아니라 내부자에 의한 보안위협도 매우 심각한 것으로 나타나고 있다. 기업/기관은 내외부에서 발생하는 다양한 보안위협에 방어하기 위해 모든 IT 시스템에 대한 정밀한 분석이 필요하다”며 “대용량 데이터를 수집·분석하는데 탁월한 기술력을 보여온 스플렁크의 보안앱에 대한 수요가 그 어느 때 보다 높다”고 말했다.
한편 스플렁크는 SIEM 솔루션 ‘스플렁크 엔터프라이즈 보안앱 3.0’을 출시하고 국내시장 공략을 강화하고 있다. 이 제품은 APT 공격을 빠르게 인지·대응할 수 있도록 시각화 기능을 고도화 했으며, 위협 인텔리전스 프레임워크, 새로운 데이터 유형에 대한 지원, 데이터 모델 및 피봇 인터페이스를 포함하고 있다.
