사용자 삽입 이미지
IBM이 글로벌 보안 시장 재편을 노린다. 적극적인 인수합병(M&A)와 보안 사업 강화를 통해 당초 2018년까지 보안 시장 1위를 석권하겠다는 목표를 앞당긴다는 계획이다.


IBM은 지난 2011년 보안정보이벤트관리(SIEM) 솔루션 업체 Q1랩을 인수한 이후 보안 사업 강화를 꾀했다. Q1랩 인수 이후에도 IBM은 파이버링크, 트러스티어 등을 추가로 인수했으며, 최근에는 크로스아이디어와 라이트하우스를 추가로 인수하며 광범위한 보안 포트폴리오를 완성했다.



라이트하우스 인수 관련 공식 보도자료(영문)

크로스아이디어 인수 관련 공식 보도자료(영문)


IBM이 초점을 잡고 있는 부분은 ‘시큐리티 인텔리전스’다. IBM의 시큐리티 인텔리전스는 IBM의 보안 솔루션과 예측할 수 있는 방법을 통해 외부위협에 적절히 대응하는 전략이자 시스템을 의미한다. 외부위협에 적절하게 대응할 수 있도록 IBM이 설계한 것은 ‘실시간 분석’이다.

시큐리티 인텔리전스에서 무엇보다 중요한 것은 바로 실시간으로 다양한 정보간의 상관관계를 파악할 수 있어야 한다. 보다 많은 정보를 수집하고 이를 위협 대응에 반영하는 것에 초점을 두고 있다.

이미 IBM은 ▲시큐리티 인텔리전스(Q1랩, 2011년 인수) ▲데이터보호(가디엄, 2009년 인수) ▲애플리케이션(워치파이어, 2007년 인수) ▲인프라(Network XGS)로 구성된 보안 프레임워크를 갖추고 있으며, 지난해 트러스티어를 인수하며 사기예방, 이상행위탐지와 같은 세그먼트를 추가하게 됐다.

이번에 IBM이 이수한 크로스아이디어와 라이트하우스는 레거시와 클라우드 기반 계정접근관리(IAM) 솔루션을 가진 업체다.

IAM 솔루션은 각 정보시스템 사용자(직원, 고객, 계약자 등)를 식별하고, 정의된 사용자 권한에 의해 정보시스템에서 제공하는 자원에 대한 접근을 제어한다. 핵심 역할은 식별된 사용자(Identity)가 권한을 가진 IT자원에 접근(access)할 수 있도록 통제하는 것이다.

식별된 사용자가 IT자원에 접근할 수 있도록 통제한다. 이 기능만 생각하더라도 응용분야가 대폭 확대된다.

일반적으로 클라우드 기반 인프라에서 사용자 식별을 위해 IAM 솔루션을 활용할 수 있으며, 궁극적으로는 사물인터넷에도 IAM 솔루션을 적용할 수 있다.

사물인터넷 시대의 도래로 과거와 달리 지금은 사용자가 쓰는 모든 디바이스, 애플리케이션, 서버 등이 인터넷과 연결돼 있다. 기업들은 광범위하게 늘어난 인프라로 인해 많은 정보를 습득할 수 있지만, 그만큼 보안에 대한 위협도 커진 상황이다.

기업과 개인이 관리하는 수많은 디바이스와 데이터는 결국 계정이라는 영역으로 귀결되고, 이는 IAM 솔루션의 중요성으로 이어질 수 밖에 없다.

크로스아이디어와 라이트하우스 인수로 IBM은 클라우드 보안을 비롯해 사물인터넷 보안까지 영역을 확대하게 됐으며, 그들이 주장하는 ‘보안시장 1위 탈환’이 허무맹랑한 이야기가 아니게됐다.

한편 가트너의 글로벌 보안시장 마켓쉐어 보고서는 아래 표를 참고하면 되며, 주목할 것은 최근 3년간 IBM의 보안사업 매출성장률이다.
사용자 삽입 이미지

2014/08/13 08:52 2014/08/13 08:52
최근 보안시장에서는 지능형지속가능위협(APT)와 같은 고도화된 위협이 증가함에 따라 빅데이터 분석을 보안과 결합하고자 하는 요구가 많아지고 있다.
APT에 대한 선제적인 방어와 공격과 위험을 예상하고 감지하기 위해 기업은 방대한 양의 데이터를 빠른 속도로 취급, 처리해 네트워크 내외부에서 발생하는 모든 정형·비정형 데이터를 분석할 수 있는 인프라가 필요하기 때문이다.

또한 기업은 클라우드, 모바일, 가상 환경을 아우르는 모든 컴퓨팅 환경을 모니터링해야 하며 실제 보안 문제가 발생했을 시 자동적인 조치가 취해져야 한다.

여기서 보안정보이벤트관리(SIEM)과 빅데이터 분석의 결합이 대두됐다. 보안 어플라이언스들이 쏟아내는 수많은 데이터를 분석해 가장 적합한 조치를 취할 수 있는 것이 목표다.

IBM, HP, EMC 등 글로벌 업체들은 일찍부터 자사의 SIEM에 빅데이터 분석 기능을 탑재하기 위해 힘써왔으며, 현재는 구현 방식은 조금씩 다르나 ‘실시간분석’, ‘예측분석’이라는 목표 달성을 위해 솔루션을 고도화하고 있다.

국내 업체 중에서는 이글루시큐리티, KCC시큐리티도 빅데이터 분석으로 보안위협 대응에 나선 상황이다.

◆빅데이터 분석을 통해 ‘시큐리티 인텔리전스’ 전략 펼치는 한국IBM

‘시큐리티 인텔리전스’는 IBM의 보안 솔루션과 예측할 수 있는 방법을 통해 외부 위협에 적절히 대응하는 전략이자 시스템을 의미한다.

박형근 한국IBM 보안사업부장은 “시큐리티 인텔리전스에서 무엇보다 중요한 것은 바로 실시간으로 다양한 정보간의 상관 관계를 파악할 수 있다는 점”이라며 “IBM의 시큐리티 인텔리전스는 기업에서 일어나는 모든 IT활동을 수집하고 실시간 이벤트 및 히스토리컬 이벤트에 대해 종합적인 상관관계 분석을 수행함으로써 가장 정확한 인시던트(Offence)를 찾아낸다”고 설명한다.

예를 들어 네트워크 커뮤니케이션이 제대로 적절히 이뤄지고 있는지 확인할 수 있으며, 혹시라도 정상적이지 않은 서비스가 있는지, 이상한 프로그램은 없는지, 예상치 않았던 로그인이나 실패 사례, 그리고 예상치 못한 변화는 없는지, 그리고 새로운 서비스가 IT관리자들도 알지 못하는 사이에 설치됐는지 등에 대한 인사이트를 갖게 되는 것이다.

또 한가지 시큐리티 인텔리전스에서 중요한 것은 바로 예방과 감지이다. 시큐리티 인텔리전스를 적용하면 다양한 공격과 사고가 발생하기 전에 예방이 가능하다. 실제 보안사고가 발생할 경우 얼마나 발 빠르게 대응할 수 있는가 하는 것이 가장 중요하고, 현재의 기업들이 시큐리티 인텔리전스 적용이 필요한 이유다.

IBM은 큐레이더(IBM QRadar Security Intelligence Platform)로 APT와 같은 보안위협에 대응한다.

큐레이더는 단순한 로그 수집, 분석에 그치지 않고, 네트워크 트래픽 정보, 취약점 스캔 결과 등을 수집한다. 또 네트워크, 데이터 센터, 어플라이언스 등에 어떤 일이 벌어지고 있는지를 파악할 수 있도록 사용자에게 가시성을 제공한다.

◆노란코끼리(하둡)와 함께 가는 HP

올해 초 한국HP는 자사의 SIEM 솔루션 아크사이트에 의미기반 분석엔진을 탑재하고, 대용량데이터 분석을 강화하기 위해 하둡을 지원한다고 밝혔다.

박진성 한국HP 엔터프라이즈 시큐리티 프로덕트(ESP) 이사는 아크사이트와 의미기반 분석엔진을 통합한 것에 대해 “콘텐츠 분석과 실시간 데이터 분석의 통합”이라는 문장으로 표현했다.

‘아크사이트 클라우드 커넥터 프레임워크(HP ArcSight Cloud Connector Framework)’라고 불리는 이 프레임워크는 아크사이트와 의미기반 분석 엔진인 HP 오토노미 아이돌(HP Autonomy IDOL)을 통합해 유저로부터 발생하는 모든 데이터에 대한 내용, 콘셉트, 의견, 사용 패턴을 자동적으로 인식한다.

이는 가공되지 않은 보안관련 데이터(raw security data)의 분석을 지원한다. 또한 행동패턴을 포함한 유저의 감성과 관련된 데이터의 자동적 인식 및 분석을 통해 더욱 신속하게 정보 보안 위협을 실시간으로 감지해 대응할 수 있다.

로우데이터는 기본적으로 크기가 크다. 가공되지 않은 데이터이기 때문이다. 이를 처리하기 위해 HP는 아크사이트와 하둡을 연계시켜주는 플러그인을 개발했다.

박 이사는 “HP 아크사이트·하둡 통합 유틸리티는 HP 아크사이트의 리포팅, 검색, 상관관계를 분석하는 성능과 하둡의 거대한 중앙 스토리지와의 연계를 통해 기업이 페타바이트(Petabytes) 데이터를 처리하는데 필요한 스토리지 역량을 제공할 수 있다. 이러한 오픈소스 기반의 기계 학습 알고리즘(machine-learning algorithms), 통계 분석, 이상 감지, 예측 분석은 수집된 데이터와 접목돼 보안 이슈에 대한 더욱 넓은 통찰력과 해결방안을 지원할 수 있을 것”이라고 설명했다.

IBM과 HP는 빅데이터를 처리하는 방식은 다르지만(자체-하둡), 수많은 데이터(로그)에서 유의미한 데이터를 추출, 분석하는 것은 크게 다르지 않다는 것을 알 수 있다.


2013/10/02 09:16 2013/10/02 09:16


한국HP는 최근‘시큐리티 솔루션 포트폴리오’를 발표한 바 있습니다. 주지하다시피 HP의 시큐리티 솔루션은 올해 초 한국HP가 내놓은 ‘시큐리티 인텔리전스와 리스크 매니지먼트(HP Security Intelligence and Risk Management, SIRM)’의 완결판입니다.

 

이는 지난 2년간 HP가 인수합병한 티핑포인트, 아크사이트, 포티파이의 기술을 통합해 하나의 플랫폼에서 기업내 모든 부서를 지원할 수 있도록 만든 솔루션입니다.

SIRM 플랫폼은 3단계의 시큐리티 프레임워크를 가지고 있습니다. 먼저 기업내 그룹웨어나 애플리케이션에 대한 취약점을 제거하는 시큐어코딩 단계, 두 번째로 기업내부, 외부의 데이터유출과 탈취를 막아주는 네트워크 기반 보안 단계, 마지막으로 침해사고 조기경보를 위한 전방위 보안 모니터링과 리스크 매니지먼트가 그 끝입니다.

위성표 한국HP 이사는 보안사고를 불러오는 가장 근본적인 이유가 ‘취약점’이라고 강조했습니다. 보안 취약점에 대한 패치를 하지 않을 경우, 그 보안 취약점을 이용한 공격을 당할 수 있습니다.

지난해 지능형지속가능위협(APT) 공격으로 암호화키를 잃어버렸던 EMC RSA가 좋은 사례입니다. 위 이사는 “RSA 사고의 경우 보안 취약점을 해결하지 못한 것이 사고의 근본적인 이유”라고 강조했습니다.

한국HP는 SIRM 플랫폼이 APT 공격에도 대응할 수 있을뿐더러, 클라우드 보안에도 큰 효과를 볼 수 있다고 강조했습니다.

 

앞서 언급한 티핑포인트, 아크사이트, 포티파이의 솔루션이 하나의 플랫폼에서 동작하기 때문이라고 합니다. 위 이사는 “티핑포인트, 아크사이트, 포티파이는 각자 시장에서 최고수준을 자랑하는 솔루션이고, 이를 HP는 하나의 플랫폼으로 결합해 고객들에게 제공할 수 있다”고 설명합니다.

먼저 HP가 말하는 클라우드 보안 전략 다이어그램을 살펴보겠습니다.


모두 6개의 단계로 클라우드 웹포털 보안에서부터 리스크 매니지먼트까지 하나로 통합된 것을 확인할 수 있습니다. HP의 클라우드 보안 프로세스를 솔루션 별로 살펴보도록 하겠습니다.

먼저 클라우드 웹 시큐리티, 클라우드 클라이언트 시큐리티 부분입니다. 사용자가 기업 클라우드에 접속하기 위해서는 다양한 단말기와 애플리케이션(앱)으로 클라우드 포털에 접근합니다.

해당과정에서 HP는 포티파이를 이용한 앱 취약성 분석을 실시합니다. HP는 기업들에게 정적 애플리케이션 보안 테스트(Static Application Security Testing, SAST), 동적 애플리케이션 보안 테스트(Dynamic Application Security Testing, DAST), 런타임, 하이브리드 기술 등을 사용해 취약성을 분석하게 됩니다. 물론 포티파이는 모바일오피스 등에 사용되는 모바일 앱의 무결성도 체크하게 됩니다.

네트워크 보안도 중요합니다. 웹 포털을 통해 진입한 사용자의 접근의 무결성을 보장하고 불법적인 침입을 탐지, 차단하기 위해서입니다. HP의 네트워크 보안솔루션 티핑포인트가 그 역할을 하게 됩니다.

티핑포인트는 침입방지시스템(IPS)입니다. 기존 IPS와 유사하게 시그니처 기반으로 동작하게 되는데, 가장 큰 장점은 취약점을 분석해 스스로 패치하는 ‘시큐리이 인텔리전스’ 기능이 탑재됐다는 것이라고 합니다.

위 이사는 “해커와 보안업체간 쫓고 쫓기는 게임에서 이기기 위해서는 다양한 시그니쳐들을 입력해 즉시 사용할 수 있도록 해야한다”며 “이미 발견된 6000개의 시그니처 중 2000개는 이미 설정을 해둔 상태다. 기업에 알맞은 설정을 하기 위해 들어가는 인력, 시간의 비용이 줄어들기 때문에 비용도 줄어들게 된다”고 설명합니다.

티핑포인트는 네트워크 보안 단계에서도 활약하지만, 클라우드·가상화 환경의 보호에도 일약합니다.

아크사이트는 모든 장비와 통합, 연동돼 동작합니다. 모든 보안장비들이 내놓는 로그들을 분석해 취약점을 찾고, 이를 관리자에게 알려줍니다. 그런데 아크사이트는 단순한 보안로그관리 장비가 아닙니다. 시스템 운영을 도와주는 분석 솔루션에 가깝습니다.

위 이사는 “아크사이트를 도입하는 기업들은 이를 보안에만 활용하지 않는다. 그들의 궁극적인 목적은 품질 향상”이라며 “미국의 이통사 버라이즌은 아크사이트를 도입해 3G 통신망 관리를 하고 있습니다. 3G 중계기, 호스트 등 장비의 상태를 분석해서 파악할 수 있게 됐기 때문이다. 어떤 장비와도 연동할 수 있다는 점이 가장 큰 장점”이라고 말합니다.

지금까지 설명한 HP의 보안 프로세스는 클라우드 보안에만 적용할 수 있는 것이 아니라 모든 보안 시스템에 활용할 수 있다는 점이 돋보입니다.

다만 기업 시스템 전체에 티핑포인트, 아크사이트, 포티파이 등의 솔루션을 도입, 활용해야한다는 점에서 특정 기업에 대한 의존도가 높아진다는 점은 되려 리스크가 될지도 모르겠습니다. 또 국내 보안솔루션 제품에 비해서 고가라는 점도 무시할 수 없는 문제입니다.

한편으로 국내 보안업체들이 협력해 이러한 통합 보안플랫폼을 만들어보는 것도 나쁘지 않을 것 같습니다. 물론 일부 기업들만 이득을 보는 ‘컨소시움’ 형태는 지양해야겠지만요.

2012/09/26 14:40 2012/09/26 14:40