블루코트는 23일 자사의 ‘보안 분석 플랫폼(Security Analytics Platform)’을 이용해 APT와 같은 지능형 공격으로부터 IT 인프라를 안전하게 보호하고 있는 글로벌 고객사례를 발표했다.
블루코트의 보안 분석 플랫폼은 IT인프라의 보안 상황을 확인하는 시점 및 관리 방법을 기준으로 ▲상황 인식 ▲지속적인 모니터링 ▲보안 사고 대응 및 해결 ▲지능형 멀웨어 탐지 ▲데이터 유실 모니터링 및 분석 ▲웹 트래픽 모니터링 및 분석 ▲IT 거버전스, 리스크 관리 및 컴플라이언스 준수 등의 7단계로 분류해 분석한다.
미 군사기관, IT 인프라 가시성 확보
보안 전문가는 운영 도메인에 대한 전방위적인 가시성을 확보해야 한다. IT 인프라 전체 운영 현황에 대한 완벽한 정보와 시각적인 통찰을 갖춰야 한다.
미 군사기관에서는 블루코트의 보안 분석 플랫폼을 활용해 대규모의 인터넷 트래픽을 모니터링 하여 운영 현황을 분석한 정보를 IT 관리자 및 관계자들에게 제공하고 있다. 또한 내부 구성원들이 각자의 역할 및 보안 권한에 맞춰 시스템에 접근할 수 있도록 제한함으로써 전체 IT 인프라의 보안성을 크게 높였다.
글로벌 금융 투자기관, 전 세계 지점 모니터링
보안 분석 솔루션은 네트워크 상의 보안 카메라와 같은 역할을 담당해야 한다. 이를 활용해 보안 분석가들은 전체 네트워크 운영 현황을 한눈에 쉽게 확인하고, 산재한 기업 내 전체 데이터들을 빠르게 확인하고 통합 관리할 수 있어야 한다.
글로벌 금융 투자 기관에서는 블루코트의 보안 분석 플랫폼을 사용해 전세계 수십여 곳의 지점들의 IT 인프라를 모니터링하고 있으며, 이를 통해 네트워크 트래픽, 사용자 및 데이터에 대한 가시성을 확보했다.
이 회사는 블루코트의 보안 분석 플랫폼과 프록시SG, SSL 가시성 어플라이언스와 함께 써드파티 샌드박싱 보안 솔루션을 함께 사용해 보안 사고 시에 대응 시간을 크게 단축할 수 있었다.
글로벌 온라인 소매업체, 사고 대응 프로세스 마련
보안 분석 솔루션은 세션 및 오브젝트 재구성, 세션 재생, 근본 원인 탐색 등의 사고 대응 툴을 제공해야 한다. 이러한 툴을 사용해 신속하고 정확하게 누가, 언제, 무엇을, 어떠한 이유로, 어떻게 보안 위협을 일으켰는지 파악해 해결 시간을 단축할 수 있다.
글로벌 대형 온라인 소매 업체에서는 블루코트의 보안 분석 플랫폼을 활용해 사고 대응 프로세스를 정립하고, 보안 운영 센터를 구축했다. 이를 통해 네트워크의 내부 및 외부의 악성 코드를 식별하고, 전체 시스템에 대한 근본 원인 분석을 적용하는 한편, 사고 예방을 위해 공격을 재현하는 실험을 통해 안전성 보장 테스트를 진행하는 등 예방 형 제어 시스템을 구축했다.
블루코트 보안 분석 플랫폼은 지능형 멀웨어 분석 기능을 제공해 위험 상황을 빠르게 인지해 필요한 경우에 신속하게 경보를 발령함으로써 업무 생산성을 크게 높일 수 있었으며 궁극적으로 대고객 서비스를 개선하고 있다.
이 업체의 보안 운영 센터 담당자는 “근본 원인 분석 기능을 통해 사고가 발생한 과정을 파악하고 문제점에 대한 종합적인 정보를 확보함으로써 향후 같은 유형의 사고가 발생하지 않도록 예방 시스템을 구축했다”고 말했다.
지능형 멀웨어 탐지
보안 분석 솔루션은 주요 프로토콜 상의 트래픽을 감시하고 파일을 추출할 수 있어야 한다. 이후 멀웨어 탐지 시에 신속하게 경보를 발령하고, 동적인 멀웨어 분석을 위해 ‘샌드박스’ 등의 위험요소를 격리할 수 있어야 한다.
일반적인 보안 분석 솔루션은 보안상의 결함이 발생하고 난 후 소급 분석을 수행하거나 포렌식을 적용하는 등의 사고 대응형 툴로서 사용되어 왔다. 그러나 블루코트의 보안 분석 플랫폼은 보안 위협 대응 솔루션 쓰렛-블레이드(ThreatBLADES)를 추가형 모듈로 탑재할 경우 실시간 분석 탐지 기능을 제공한다.
멀웨어는 주로 다층 구조의 지능형 공격을 구성하는 요인이므로, 쓰렛-블레이드를 통해 지능형 공격 및 제로데이 공격을 빠르게 파악하고 분석할 수 있다.
소비자 가전 기업, 데이터 유실 모니터링·분석
보안 전문가들은 이메일, HTTP 업로드, 인스턴트 메시지 등 기업 망을 빠져나가는 모든 통신 채널을 모니터링하고 파일을 추출할 수 있어야 한다. 또한 경보 시스템을 통해 주요한 데이터의 유출을 방지할 수 있어야 한다.
글로벌 소비자 가전 기업에서는 블루코트 보안 분석 플랫폼을 사용하여 임직원 및 파트너 사들이 지적 재산 및 제품 관련 기밀 계획, 재무 정보 등을 유출하지 못하도록 보안 환경을 구축했다. 또한 이 플랫폼을 바탕으로 정보 자산 유출 사고 발생 시 이로 인한 재산 피해를 측정할 수 있도록 가이드를 마련했다.
웹 트래픽 모니터링 및 분석
보안 전문가들은 상세한 웹 트래픽 분석을 통해 봇넷, 커맨드/컨트롤 공격, 악성 웹사이트, 임베디드 멀웨어 등 각종 지능형 웹 기반 공격을 식별할 수 있어야 한다.
블루코트 보안 연구소에서는 자사의 보안 분석 플랫폼을 활용하여 악성 봇넷을 비롯하여 봇넷의 명령을 수행하는 피해 호스트를 식별하고, 전세계 서버를 제어했다. 미 정부 기관에서는 이러한 봇넷 공격 정보를 활용하여 봇넷 서버와 관련 도메인을 모두 제거하여 정부 자산을 보호할 수 있었다.
GRC
보안 전문가들은 임직원들의 애플리케이션 사용 및 데이터 접근을 모니터링하고 내부 규정 및 정부 정책을 준수할 수 있어야 한다. 관련 정책을 관장하는 인사 팀이나 재무 팀 또한 기업의 IT 인프라 운영 환경이 산업 표준 및 규정을 준수하고 있다는 것을 입증할 수 있는 근거를 확보할 수 있어야 한다.
기업에서는 내부 사용자들을 대상으로 이용목적 제한 방침(AUP)을 적용하는 한편 정부에서 제시하는 산업 표준 및 규정들을 준수 할 수 있도록 감사를 실시해야 한다.
블루코트의 보안 분석 플랫폼은 애플리케이션 분류 기능을 통해 정책 강제 및 규정 준수를 위한 중요한 역할을 한다. 기밀 정보가 저장된 파일 및 데이터베이스에 접근하는 모든 사용자들과 세션을 모니터링 하여 접근 권한을 확인하고, 데이터 유실 및 정책 위반이 발생하는 경우 모든 네트워크 활동을 레코드 함으로써 유실된 정보를 정확히 파악할 수 있다.
김기태 블루코트코리아 대표는 “이제 기업들은 자산 보호를 위해서 보안 위협 사태를 미연에 방지할 수 있는 사전 예방책을 수립하는 데 중점을 두어 공격에 대한 사전 정보 수집 및 분석을 통한 능동적으로 대처할 수 있어야 한다. 특히 클라우드나 모빌리티 등의 최신 기술이 적용된 환경이 확산되면서 IT 인프라의 복잡성이 크게 증가하고 있는 상황에서, 보안을 최상으로 유지할 수 있도록 적합한 기술과 정책 도입이 시급하다”고 말했다.
