지능형 공격을 막기 위해 네트워크와 엔드포인트에 침투하는 악성코드를 찾는데 집중했지만, 보안 시스템을 우회하는 신변종 악성코드를 완벽하게 찾아내는 것은 불가능하다. 그래서 내부 시스템에서 발생하는 행위를 분석해 위협 정황을 차자내는 모니터링 기술이 부상하고 있다. 다각화되는 보안 모니터링 기술을 분석한다.<편집자>
오랜 기간 보안관제 시스템에서 사용돼 온 통합보안관리(ESM), 위협관리 시스템(TMS), 위험관리시스템(RMS)은 APT 공격 방어에 한계를 보이면서 차세대 기술에 자리를 내어주고 있다. 전통적인 관제 시스템은 시그니처와 행위패턴, 임계치 기반 탐지 기술을 사용하고 있어 이를 우회하는 공격을 효과적으로 막지 못하기 때문이다.
그 대안으로 등장한 것이 통합로그관리 시스템으로, 보안시스템에서 발생하는 모든 로그를 수집해 빅데이터 분석 기술을 접목해 공격 정황을 탐지해왔다. 로그분석 시스템도 한차원 더 발전해 사용자 행위 분석(UBA), 머신러닝, 딥러닝이 접목돼 탐지 정확도를 높이고 있으며, 개인정보/중요정보 유출, 사기거래 탐지 등의 정황을 알아낼 수 있다.
유넷시스템이 UBA와 머신러닝 기술을 접목한 통합로그분석 솔루션 ‘애니몬플러스’으로 개인정보 유출과 통합관제 서비스를 제공한다. 독자개발한 빅데이터 분석 프레임워크를 탑재한 애니몬플러스는 다양한 로그를 수집하고, 사용자 행위기반 프로파일링 기법으로 다차원 통합분석을 제공한다. 이를 통해 선제적·능동적으로 개인정보 침해행위에 대응할 수 있다. 이 제품은 커스터마이징이 필요 없으며, 자동으로 분석에 필요한 필드를 자동으로 추출하며, 의미 있는 필드만 실시간으로 보여줘 로그관리 업무 효율성을 극대화한다.
스플렁크에 대항하는 국내 로그 분석 솔루션 ‘로그프레소(LogPresso)’은 인메모리 기반 처리기술을 이용해 방대한 양의 로그를 수 분 안에 검색해 문제 원인 조사에 필요한 시간을 획기적으로 단축시켜 준다. 또한 이상거래 탐지 시스템(FDS) ‘로그세이(LogSay)’를 금융권 FDS 시스템과 엔터프라이즈의 내부정보/개인정보 유출 탐지 시스템으로 제안한다.
‘위협 인텔리전스’ 결합한 SIEM, 고도의 보안공격 차단 ‘탁월’
보안관제 시스템 분야의 주류로 자리잡은 ‘보안정보이벤트관리(SIEM)’ 시스템은 기업 내 모든 장비에서 발생하는 로그와 이벤트를 수집·분석해 보다 넓은 범위에서 보안 가시성을 제공해 준다. SIEM은 ‘위협 인텔리전스(Threat Intelligence)’와 연계되면서 차세대로 전환되고 있으며, 예측분석을 통해 보안 시스템을 우회해 진행되는 공격 정황도 감지하고 있다.
대표적인 SIEM 솔루션은 HPE ‘아크사이트‘로, 모든 OS, 네트워크 장비, 보안장비, 애플리케이션 등 350개 이상 디바이스로부터 정보를 수집하며, 지원하지 않는 장비는 툴킷을 통해 쉽게 연동할 수 있도록 해 사실상 모든 장비 및 로그분석 솔루션과 연동할 수 있다.
인텔시큐리티의 ‘맥아피SIEM’도 매년 가트너 매직쿼드런트 최상위 리더에 속한 제품으로, 인텔시큐리티의 ‘글로벌 위협 인텔리전스(GTI)’를 통해 수집된 위협정보를 연결해 정확도 높은 상황인식을 제공한다.
빅데이터 분석 기술 전문기업 스플렁크도 SIEM 분야의 대표적인 솔루션 ‘엔터프라이즈 시큐리티(SE)’으로 시장을 공략한다. SE는 사용자행위분석(UBA) 솔루션과 함께 적용돼 공격 탐지 효과를 높인다. 조사 히스토리 기능을 통해 다층 공격을 분석할 수 있으며, 보안 사건의 인과관계와 진화된 다층 공격의 세부사항을 이해하고 상호 커뮤니케이션 할 수 있다.
DDoS 솔루션 전문기업 아버네트웍스는 글로벌 인터넷 위협 탐지 조직 어서트 아틀라스(ASERT ATLAS)와 써드파티 인텔리전스를 함께 운영할 수 있는 ‘어드밴스드 쓰렛 플랫폼(Advanced Threat Platform)’을 새롭게 출시하고 시장을 공략한다. 공격에 노출된 모든 지점에서 공격을 탐지하며, 실시간 패킷 분석으로 암호화로 숨어들어오는 공격도 차단한다.
국내 기업 중에서는 보안관제 서비스를 제공해 온 이글루시큐리티와 코닉글로리가 관제 전문 경험을 녹여낸 SIEM 제품을 선보인다.
이글루시큐리티의 ‘스파이더TM(SPiDER TM) 5.0’은 이기종 IT 시스템에서 생성되는 모든 데이터를 수집, 저장, 처리하고 최신위협정보와 연계 분석해 의미 있는 결과를 도출한다. 보안관리자의 효율적인 업무수행을 지원하기 위해 위협 인텔리전스에 기반한 상관분석 시나리오를 제공한다. 위협의 우선순위를 파악할 수 있도록 하며, 공격 관련 로그와 네트워크 트래픽을 수집, 분석해 공격행위를 재구성해 공격 유효성을 정확하게 검증할 수 있게 한다.
코닉글로리의 ‘테스 티엠에스TES TMS’는 시만텍의 글로벌 인텔리전스 네트워크(GIN)와 연계해 글로벌 위협정보를 빠르게 업데이트해 글로벌 위협과 우리나라에서 발생하는 위협 모두에 빠르게 대응할 수 있도록 지원한다. 센서에서 트래픽을 수집·분석해 구간별 침입탐지, 트래픽 정보를 분석하고, 종합 상황도와 로컬/글로벌 위협정보를 분석하며, 프로파일 기반 트래픽/이벤트 이상징후를 탐지한다.
