네트워크, 보안 장비들과 보안정보이벤트관리(SIEM) 솔루션만으로 모든 보안 위협에 대응할 수 있을까?

일반적으로 보안정보이벤트관리(SIEM)는 보안 솔루션들이 내놓는 정보를 취합해 유의미한 데이터를 뽑아내는 것에 주력한다.

방화벽, 침입방지시스템(IPS)와 같은 네트워크 보안 어플라이언스에서부터 네트워크접근관리(NAC), 백신(AV) 등이 탑지한 위협요소를 분석해 대응하는 역할을 담당한다.

하지만 보안 장비들이 걸러내지 못하는 위협은 분명 있다. 지능형지속가능위협(APT) 공격이나 제로데이 공격 등은 일반적으로 알려지지 않은 공격이기 때문에 보안 솔루션들이 탐지하기가 어려운 것이 사실이다.

이러한 이유 때문에 최근에는 SIEM과 트래픽 분석을 결합하는 움직임이 나타나고 있다. 이는 SIEM 솔루션을 기보유한 업체들로부터 시작되고 있는데 EMC 보안사업부인 RSA와 이글루시큐리티가 시장에 선수를 쳤다.

트래픽 분석 솔루션은 빅데이터와도 연관이 있다. 매초 수천건이 쏟아져나오는 패킷을 모두 수집해 빠른 시간내에 분석하기 위해서는 빅데이터 처리 능력이 필요하기 때문이다.

EMC 보안사업부 RSA는 네트워크 트래픽 전수조사 솔루션인 넷위트니스를 보유하고 있다. 넷위트니스는 국내에서 APT 대응솔루션으로 널리 알려졌는데 이는 내부로 들어오는 모든 트래픽을 분석해 알려지지 않은 위협에 대응할 수 있었기 때문이다.

RSA는 넷위트니스에 SIEM과 빅데이터 플랫폼을 결합한 제품을 출시했다. ‘시큐리티 애널리틱스’라고 불리는 이 솔루션은 로그와 트래픽을 한번에 처리할 수 있다.

박범중 한국EMC RSA 차장은 “SIEM은 룰(Rule) 기반으로 동작하기 때문에 룰이 만들어놓은 시나리오에서 조금만 벗어나더라도 이를 탐지할 수 없다. 그러나 최근 해킹사고를 보면 알 수 있을테지만 예측이 불가능한 공격이 감행되고 있다”고 말했다.

시나리오에 없는 공격을 탐지하기 위해서는 트래픽과 로그를 전수조사하는 수 밖에 없다. 하지만 전수조사는 말처럼 쉽지 않다. 수천, 수만건의 로그와 트래픽을 수초내에 분석해서 적용해야만 유의미하기 때문이다.

박 차장은 “전수조사에는 빅데이터를 활용해야 한다. 수 초 이내에 쿼리를 내놓고 판단할 수 있어야 하기 때문이다”라며 “테라바이트(TB) 급의 패킷을 수초내에 해결할 수 있는 것은 하둡과 같은 빅데이터 플랫폼이다. 하둡의 분산처리 시스템은 이를 가능케 한다”고 강조했다.

RSA는 보안·네트워크 장비들이 쏟아내는 로그와 패킷을 ‘시큐리티 애널리틱스 웨어하우스’에서 모두 수집해 처리한다.

시큐리티 애널리틱스 웨어하우스는 빅데이터 분석을 통해 유의미한 데이터를 도출해내고 최종적으로 ‘예측모델’을 만들어낸다. 통계적 추론에 의한 결과값으로 보안위협에 선제적인 대응을 하겠다는 취지다.

박 차장은 “모든 SIEM 솔루션 업체들도 조만간 트래픽 분석에 대한 필요성을 인지하고 시장에 진입할 것이며 ‘예측모델’의 발전 가능성 역시 무궁무진하다”고 말했다.

이글루큐리티는 SIEM에 비정상트래픽을 분석할 수 있는 솔루션(IS-ATRA)을 내놨다.

이 제품은 RSA의 ‘시큐리티 애널리틱스’와 유사한 모델이다. 단 트래픽 전수조사 대신 비정상 트래픽을 탐지하고, 학습을 통한 성능 향상, 그리고 관제에 대한 효율성 향상이 주 목적이다.

임형준 이글루시큐리티 ATRA팀장은 “알려지지 않은 공격 위협을 탐지하기 위해서는 네트워크 흐름(Flow)을 기반으로 한 비정상트래픽을 파악할 필요가 있다. 유입 트래픽에 대한 지속적인 모니터링과 학습을 통하여 유입된 트래픽이 내부 시스템 및 장비에 미치는 영향과 상태에 대해 파악하고 이를 종합해 알려지지 않은 공격 위협, 유입된 비정상트래픽, 내부현황 그리고 그에 따른 대처방안을 알려준다”

RSA 제품과 이글루시큐리티의 트래픽 분석 솔루션은 빅데이터를 기반으로 평상시 네트워크 특성과는 다른 이상징후를 검출해 내는 것에 주력을 하고 있다.

RSA(시큐리티 애널리틱스)는 이를 트래픽, 로그 전수조사를 통해 SIEM과 통합하고, 이글루시큐리티는 이상 트래픽을 탐지해 이를 SIEM과 결합했다.

데이터 처리능력이나 확장성은 RSA가 보다 높지만 이글루시큐리티의 솔루션은 학습 능력을 갖춰 지속적으로 잠재적 위협요소에 대한 판단력을 높인다는 것에 의의를 둘 수 있을 것으로 보인다.
2013/10/02 09:16 2013/10/02 09:16
최근 보안시장에서는 지능형지속가능위협(APT)와 같은 고도화된 위협이 증가함에 따라 빅데이터 분석을 보안과 결합하고자 하는 요구가 많아지고 있다.
APT에 대한 선제적인 방어와 공격과 위험을 예상하고 감지하기 위해 기업은 방대한 양의 데이터를 빠른 속도로 취급, 처리해 네트워크 내외부에서 발생하는 모든 정형·비정형 데이터를 분석할 수 있는 인프라가 필요하기 때문이다.

또한 기업은 클라우드, 모바일, 가상 환경을 아우르는 모든 컴퓨팅 환경을 모니터링해야 하며 실제 보안 문제가 발생했을 시 자동적인 조치가 취해져야 한다.

여기서 보안정보이벤트관리(SIEM)과 빅데이터 분석의 결합이 대두됐다. 보안 어플라이언스들이 쏟아내는 수많은 데이터를 분석해 가장 적합한 조치를 취할 수 있는 것이 목표다.

IBM, HP, EMC 등 글로벌 업체들은 일찍부터 자사의 SIEM에 빅데이터 분석 기능을 탑재하기 위해 힘써왔으며, 현재는 구현 방식은 조금씩 다르나 ‘실시간분석’, ‘예측분석’이라는 목표 달성을 위해 솔루션을 고도화하고 있다.

국내 업체 중에서는 이글루시큐리티, KCC시큐리티도 빅데이터 분석으로 보안위협 대응에 나선 상황이다.

◆빅데이터 분석을 통해 ‘시큐리티 인텔리전스’ 전략 펼치는 한국IBM

‘시큐리티 인텔리전스’는 IBM의 보안 솔루션과 예측할 수 있는 방법을 통해 외부 위협에 적절히 대응하는 전략이자 시스템을 의미한다.

박형근 한국IBM 보안사업부장은 “시큐리티 인텔리전스에서 무엇보다 중요한 것은 바로 실시간으로 다양한 정보간의 상관 관계를 파악할 수 있다는 점”이라며 “IBM의 시큐리티 인텔리전스는 기업에서 일어나는 모든 IT활동을 수집하고 실시간 이벤트 및 히스토리컬 이벤트에 대해 종합적인 상관관계 분석을 수행함으로써 가장 정확한 인시던트(Offence)를 찾아낸다”고 설명한다.

예를 들어 네트워크 커뮤니케이션이 제대로 적절히 이뤄지고 있는지 확인할 수 있으며, 혹시라도 정상적이지 않은 서비스가 있는지, 이상한 프로그램은 없는지, 예상치 않았던 로그인이나 실패 사례, 그리고 예상치 못한 변화는 없는지, 그리고 새로운 서비스가 IT관리자들도 알지 못하는 사이에 설치됐는지 등에 대한 인사이트를 갖게 되는 것이다.

또 한가지 시큐리티 인텔리전스에서 중요한 것은 바로 예방과 감지이다. 시큐리티 인텔리전스를 적용하면 다양한 공격과 사고가 발생하기 전에 예방이 가능하다. 실제 보안사고가 발생할 경우 얼마나 발 빠르게 대응할 수 있는가 하는 것이 가장 중요하고, 현재의 기업들이 시큐리티 인텔리전스 적용이 필요한 이유다.

IBM은 큐레이더(IBM QRadar Security Intelligence Platform)로 APT와 같은 보안위협에 대응한다.

큐레이더는 단순한 로그 수집, 분석에 그치지 않고, 네트워크 트래픽 정보, 취약점 스캔 결과 등을 수집한다. 또 네트워크, 데이터 센터, 어플라이언스 등에 어떤 일이 벌어지고 있는지를 파악할 수 있도록 사용자에게 가시성을 제공한다.

◆노란코끼리(하둡)와 함께 가는 HP

올해 초 한국HP는 자사의 SIEM 솔루션 아크사이트에 의미기반 분석엔진을 탑재하고, 대용량데이터 분석을 강화하기 위해 하둡을 지원한다고 밝혔다.

박진성 한국HP 엔터프라이즈 시큐리티 프로덕트(ESP) 이사는 아크사이트와 의미기반 분석엔진을 통합한 것에 대해 “콘텐츠 분석과 실시간 데이터 분석의 통합”이라는 문장으로 표현했다.

‘아크사이트 클라우드 커넥터 프레임워크(HP ArcSight Cloud Connector Framework)’라고 불리는 이 프레임워크는 아크사이트와 의미기반 분석 엔진인 HP 오토노미 아이돌(HP Autonomy IDOL)을 통합해 유저로부터 발생하는 모든 데이터에 대한 내용, 콘셉트, 의견, 사용 패턴을 자동적으로 인식한다.

이는 가공되지 않은 보안관련 데이터(raw security data)의 분석을 지원한다. 또한 행동패턴을 포함한 유저의 감성과 관련된 데이터의 자동적 인식 및 분석을 통해 더욱 신속하게 정보 보안 위협을 실시간으로 감지해 대응할 수 있다.

로우데이터는 기본적으로 크기가 크다. 가공되지 않은 데이터이기 때문이다. 이를 처리하기 위해 HP는 아크사이트와 하둡을 연계시켜주는 플러그인을 개발했다.

박 이사는 “HP 아크사이트·하둡 통합 유틸리티는 HP 아크사이트의 리포팅, 검색, 상관관계를 분석하는 성능과 하둡의 거대한 중앙 스토리지와의 연계를 통해 기업이 페타바이트(Petabytes) 데이터를 처리하는데 필요한 스토리지 역량을 제공할 수 있다. 이러한 오픈소스 기반의 기계 학습 알고리즘(machine-learning algorithms), 통계 분석, 이상 감지, 예측 분석은 수집된 데이터와 접목돼 보안 이슈에 대한 더욱 넓은 통찰력과 해결방안을 지원할 수 있을 것”이라고 설명했다.

IBM과 HP는 빅데이터를 처리하는 방식은 다르지만(자체-하둡), 수많은 데이터(로그)에서 유의미한 데이터를 추출, 분석하는 것은 크게 다르지 않다는 것을 알 수 있다.


2013/10/02 09:16 2013/10/02 09:16

- [딜라이트닷넷 창간4주년/분석의시대] 빅데이터 분석을 활용한 지능형 보안 강화①

 

갈수록 복잡해지는 IT 환경과 보안위협의 급증, 지능화에 따라 최근 보다 능동적이고 효과적으로 대응하기 위한 방법으로 보안관리에 빅데이터 기술을 결합하는 사례가 늘어나고 있다.

<딜라이트닷넷>은 기존의 보안정보이벤트관리(SIEM) 솔루션의 고도화를 비롯해 빅데이터 분석을 탑재한 통합로그분석시스템의 현안을 살펴본다.

또 하둡과 같은 빅데이터 플랫폼, 분석기술을 접목해 보안수준을 높이고 있는 업체들의 전략과 솔루션의 강점을 살펴본다.  <편집자주>


날로 고도화되는 보안위협으로 인해 통합로그분석시스템에 대한 업계의 관심이 높아지고 있다. 기존의 단일 보안솔루션(방화벽, 침입방지시스템 등)만으로는 보안위협에 대응하기 어렵기 때문이다.

또 기존에 수집만 하던 로그의 가치를 보안담당자들이 깨닫게되면서 로그분석에 대한 수요가 많아진 것으로 분석된다.

통합로그분석시스템은 방화벽, 침입방지시스템 등 네트워크 보안장비를 비롯해 호스트, 메인프레임 등 기업내 모든 어플라이언스에서 내놓는 로그를 저장하고 이를 통해 유의미한 데이터를 생성한다. 빅데이터 분석을 보안에 활용한 사례다.

또 수많은 정형·비정형데이터를 마이닝해 유의미한 수치를 뽑아낼 수 있다. 가령 같은 지점에서 발생하는 오류에 대한 로그가 각각의 어플라이언스에서 도출됐다면 이를 바탕으로 정확한 진단이 가능하다는 의미다.

여기서 생성된 데이터는 기업내 보안 취약점을 알아낼 수 있도록 도와주거나 전사적인 리스크 관리에도 탁월한 효과를 발휘하고 있다.

아울러 개인정보를 취급하는 모든 사업자들은 사용자의 접속기록(로그)을 안전하게 보관할 수 있도록 기술적·관리적 조치를 취해야한다는 법적인 이슈도 통합로그관리시스템의 인기요인 중 하나다.

◆통합로그분석시스템, 보안정보이벤트관리(SIEM)과는 무엇이 다를까

여기까지만 본다면 통합로그분석시스템은 통합정보관리(ESM)이나 보안정보이벤트관리(SIEM)와 크게 다른점이 없어보인다. ESM, SIEM 역시 로그와 이벤트를 수집, 분석하는 기능을 갖추고 있기 때문이다.

그럼 통합로그분석시스템 전문업체의 이야기를 들어보자. 딜라이트닷넷은 이상준 유넷시스템 연구소장과 이용섭 이너버스 차장과 인터뷰를 진행했다.

기자 “SIEM과 통합로그분석시스템은 별로 다른게 없는 것 같습니다. 무슨 차이점이 있나요?”

이상준 유넷시스템 연구소장 “양 솔루션은 로그 또는 이벤트를 수집하고 분석하는 고유의 기능은 서로 유사한 것은 사실입니다. 하지만 통합로그분석시스템은 수집, 분석 성능과 분석의 유연성에 초점을 맞추고 있습니다. 반면 SIEM은 보안 침입, 사고에 대한 시그니처를 보유하고 있고 보안사고에 대한 예·경보, 후속 처리 등에 초점을 맞추고 있습니다.”

이용섭 이너버스 차장 “초창기 로그관리의 주요 이슈는 시스템의 정상적인 동작 여부를 확인하고 에러를 점검하기 위해 데이터를 손상하지 않고 원본 로그 파일을 보관하는 것이 주 목적이었습니다. 하지만 IT인프라의 대형화의 빅데이터 시대가 열리면서, 근래의 통합로그분석시스템은 수집, 처리된 대용량의 로그 데이터의 연계성을 분석해 침입탐지, 이상징후 탐지, 내부정보 유출 모니터링 등 고도의 상관분석 기술을 활용하는 방향으로 가고 있습니다.”

즉, 통합로그분석시스템은 로그 수집은 기본 기능이며, 분석의 성능과 유연성, 데이터간 연계성에 초점을 맞추고 있다고 볼 수 있다.

◆하둡이 ‘킹왕짱?’…“꼭 그런 것은 아니다”

빅데이터라는 용어의 등장으로 ‘하둡(Hadoop)‘이라는 기술도 부각됐다. 하둡은 대량의 데이터를 처리할 수 있는 분산 처리 파일 시스템 중 하나다. 일각에서는 하둡이 빅데이터 분석에 가장 빠른 시스템이라고 이야기하지만 그렇지는 않다.

이상준 연구소장의 이야기를 들어보자

“빅데이터 기술은 규모의 경제 개념이 적용됩니다. 일정 숫자 이상의 서버에 분산 저장/분석 환경에서나 스탠드얼론(Stand Alone) 시스템보다 좋은 성능을 발휘할 수 있게되는데, 이 정도의 규모의 로그를 생산하는 기업이나 기관은 극소수에 불과합니다. 즉, 빅데이터 분석에 하둡만 고집할 필요는 없다는 것입니다.”

빅데이터 분석의 핵심은 정형, 반정형데이터를 얼마나 빨리 분석할 수 있느냐에 달려있다. 수집되는 로그의 형태가 다양하고 그 양이 어마어마해지다보니 하둡을 채택하는 경우가 많은 것일 뿐, 독자적으로 분산 처리가 가능하다면 문제될 것은 없다는 의미다.

물론 통합로그분석시스템을 도입하기 전에 벤치마크테스트(BMT)를 통해 성능을 확인하는 것은 당연한 절차이고, 시스템 환경에 따라 달라질 수 있어 하둡의 효용에 대해서는 여기서 마무리 짓고자 한다.

◆“이정도는 돼야 통합로그분석시스템 아니겠어?”
하둡 기술을 채택하지 않고도 빅데이터 분석이 가능하다고 방금 전 설명했다. 그렇다면 빅데이터 분석을 위해 통합로그분석시스템이 갖춰야할 것은 무엇일까.

최소한 이정도의 스펙은 갖춰줘야 그래도 ‘아, 이 제품은 빅데이터 분석을 할 수 있겠구나’라고 생각하지 않겠는가.

통합로그분석시스템이 갖춰야 할 최소한의 요건으로 이 소장과 이 차장은 똑같이 ‘대용량 로그를 처리할 수 있는 성능’을 꼽았다.

이 소장 “10기가 방화벽이 피크타임때 생산하는 로그는 초당 2만건 정도가 발생하는데요, 시스템의 수집, 분석 성능이 이보다 못하면 통합로그분석시스템이라는 타이틀이 무색하지 않겠어요?”

이 차장 “맞습니다. 통합로그분석시스템은 무엇보다도 대용량 로그를 처리할 수 있는 고성능의 분산처리기술과 상관분석 알고리즘, 복잡한 쿼리를 처리하고 신속한 결과값을 산출할 수 있는 능력을 지녀야 합니다.”

기자 “새로운 장비가 들어왔을때는 기존 시스템을 얼마나 고쳐야하나요? 이런 부분도 중요하지 않을까요?”

이 소장 “그렇습니다. 새로운 로그를 수집할 때마다 제품을 수정해야 한다던지, 전문가에 의해서만 가능한다면 활용성이 제한될 것입니다. 수집과 분석의 유연성을 가지고 있어야 합니다.”

기자 “빅데이터 분석이 핵심인데, 그 많은 데이터를 보관하려면 어떻게 해야합니까. 스토리지가 꽉 찬다면요?”

이 차장 “그 말대로 대용량 로그관리가 가능하려면 이에 대응할 수 있는 분석 처리 기술과 저장능력을 가지고 있어여 합니다.”

이 소장 “추가로 스토리지를 증설할 수 있는 확장성을 갖춘다면 더더욱 좋겠죠.”

2013/10/02 09:15 2013/10/02 09:15