- 보안 로그·이벤트와 네트워크 메타데이터 연관 분석, SIEM·포렌식 장점 결합

[디지털데일리 이유지기자] 보안정보이벤트관리(SIEM) 솔루션과 네트워크 포렌식 솔루션의 장점을 결합한 새로운 사고대응 보안 솔루션이 나왔다.

파로스네트웍스(대표 황항수)는 16일 서울 코엑스 인터컨티넨탈호텔에서 차세대 사고대응 보안 솔루션인 PDMA(Pharos Defense & Management of Security)를 공개했다.

PDMS는 보안장비 이벤트 수집, 상관관계 분석 기능과 함께 네트워크 트래픽을 수집, 전수 저장해 이상 트래픽과 악성파일을 분석하며 네트워크 가시성도 확보할 수 있는 기능을 모두 제공한다. 빅데이터 분석기술을 이용한 분석엔진으로 보안로그·이벤트와 네트워크 메타데이터를 수집해 데이터를 조합 분류하며 연관분석한다.

플루언시사는 미국 보안스타트업 유망주로, RSA 컨퍼런스에서 ‘톱10 이노베이션 샌드박스’ 업체로 선정된 바 있다. 공동 창업자 두 명은 모두 맥아피(현 인텔시큐리티) 출신이다. 이번에 파로스네트웍스가 PDMS에 이 회사의 기술을 탑재해 공급하면서 한국에서 전세계 최초로 공급이 시작된다.

파로스네트웍스는 이번 제휴로 자체 개발한 네트워크 위협분석 모니터링 관제 시스템에 플루언시의 빅데이터 수집·검색·분석기술을 통합했다. 이에 따라 개별 솔루션의 이벤트 기반 한계점과 높은 투자·운영비용을 지불해야 하는 포렌식 솔루션의 한계를 뛰어넘는 차세대 사고대응 솔루션을 개발했다는 것이 회사측의 설명이다.

이 제품은 침해사고 발생시 사고원인을 빠르게 파악해 신속한 대응조치를 취할 수 있게 한다. 보안장비를 우회하는 정교한 지능형지속위협(APT) 공격을 탐지하고 대응하는데 효과적이다.

황항수 파로스네트웍스 대표는 “보안사고 대응에서 핵심은 시간과의 싸움”이라며 “사고대응 솔루션으로 많이 사용해온 SIEM과 포렌식 장비는 운영이 어렵거나 고비용으로 효율성이 떨어지는 단점을 갖고 있다. PDMS는 이같은 단점을 보완해사고 발생 시 수초 이내의 빠른 시간에 대응할 수 있게 한다”고 말했다.

회사측에 따르면, 지난 1월 한 병원에서 발생한 보안사고 조사에 적용한 결과 130대의 외부 명령제어(C&C) 서버 호스트가 622대의 감염된 PC와 통신하고 있었고, 외부로 유출된 데이터가 하루 10기가바이트에 달하는 것으로 파악돼 조치했다. 사실 이 병원은 앞서 침입방지시스템(IPS) 로그를 통한 사고 조사에서 5곳의 외부 명령제어(C&C) 서버에 300대의 감염PC가 통신 시도를 탐지해 통신 차단 등의 조치를 취한 상태였다.

네트워크 메타데이터와 상관분석을 실시함으로써 알지 못했던 감염 사실과 피해 사실을 추가로 발견해 대응할 수 있었다.

파로스네트웍스는 플루언시 기술을 탑재한 PDMS 사업을 국내에서 본격화하며, 플루언시와의 전략적 제휴로 일본 등 아시아지역까지 이 회사의 제품을 판매하게 된다.

<이유지 기자>yjlee@ddaily.co.kr