빅데이터 분석 솔루션의 대명사로 불리는 스플렁크는 사용자 행동 기반 분석 시스템(UBA)를 통해 SIEM 및 관제 시스템의 관리를 효율화한다. UBA는 머신러닝 기술을 이용해 사용자 행위를 파악하고, 정상적인 행위만을 허용하는 시스템이다.
장경운 스플렁크코리아 이사는 “SIEM은 미리 설정된 룰 기반으로 임계치를 넘는 이상행위를 탐지하기 때문에 우회공격이 쉽다. UBA는 룰을 설정하는 것이 아니라 각 사용자의 업무 패턴을 파악해 정상행위만을 허락하는 방법으로, 보다 강력하게 이상행위를 탐지할 수 있다”고 설명했다.
지능형 SOC 운영 지원
UBA는 카스피다(Caspida)를 인수한 후 스플렁크 포트폴리오에 추가한 제품으로, 관리자의 개입 없이 자동으로 정상적인 업무패턴을 파악하고 정상패턴에서 벗어나는 행위의 위험정도에 대해 수치화 해 보여준다. 만일 정상적인 업무로 관리자나 현업에서 승인을 하면 해당 업무는 정상업무로 분류돼 정상업무 패턴에 대한 정확도를 높일 수 있다.
스플렁크는 SIEM 솔루션 ‘엔터프라이즈 시큐리티(ES)’의 기능도 강화해 정교하게 보안위협을 파악할 수 있도록 한다. IT 장비에서 발생하는 로그정보를 분석할 뿐 아니라 HTTP 트래픽의 헤더 정보를 분석해 악성코드가 정상 트래픽에 숨어 유입되는 것을 막는다.
스플렁크의 보안 솔루션을 이용하면 차세대 보안관제 시스템을 구성할 수 있으며, 지능형 보안관제센터(SOC)를 운영할 수 있다.
금융기관 등의 FDS나 보안 솔루션을 공급하는 기업의 CERT에도 활용될 수 있다. 실제 시스코의 CERT인 CSIRIT에서 스플렁크를 활용해 글로벌 보안 인텔리전스를 구축하고 있다.
장 이사는 “관제 시스템을 운영할 때 관리자가 개입하기 시작하면 관리업무가 증가하고 관리되지 않은 보안위협이 늘어나게 된다. ES와 UBA는 한 번 설치하면 자동화된 보안위협 관리가 가능하기 때문에 위협 수준을 낮출 수 있다”며 “이를 통해 보안 수준을 한층 강화할 수 있다”고 밝혔다.