시리즈

[DD프리즘] 스스로 판단하는 이글루시큐리티 ‘ATRA’

이민형 기자

[디지털데일리 이민형기자] 최근 기존 보안솔루션의 방어선을 우회하는 고도화된 사이버 위협이 증가하고 있다. 진화하는 사이버 위협을 따라잡기 위해 보안담당자는 지속적인 정보공유와 취약점 수동 패치를 이어가고 있지만 이 같은 대응 방법은 알려지지 않은 공격에 대해서는 매우 취약하다.

뿐만 아니라 각 네트워크 환경의 특성을 반영하지 못해 비정상트래픽에 대한 판단을 전문 보안관제 인력에게 의존할 수 밖에 없다.

이에 대응하기 위해 이글루시큐리티는 최근 비정상트래픽을 실시간으로 감시할 수 있는 설솔루션 ‘아트라(ATRA, Abnormal Traffic Real-time Analysis)’를 내놨다.

ATRA는 지능형 의사기반의 비정상트래픽 실시간 분석 시스템으로 자체 개발한 ATRA NMS와 ESM, 패킷분석시스템 등 기존 보안시스템과의 연계를 통해 다양한 네트워크 정보를 수집, 학습해 비정상트래픽 판단 기준을 고객의 네트워크 환경에 맞게 최적화시킨다.

ATRA는 수집기(Collector), 분석 엔진(Engine), 뷰어(Viewer) 등 세 가지로 구성된다.

ATRA의 수집기는 단위 보안장비 및 네트워크 장비로부터 보안로그, 네트워크 자원, 트래픽 분석정보를 수집하여 보다 입체적인 분석을 위한 기초 데이터를 생산한다.

분석 엔진은 ‘지능형 의사기반의 위협분석 기술’을 통해 수집된 기초 데이터를 보다 종합적, 입체적으로 분석한다. 지능형 의사기반의 위협분석은 네트워크 상황의 변화를 탐지할 수 있는 정보를 실시간으로 수집한 뒤 트래픽 유형을 파악해 정상적 트래픽의 기준 데이터(Baseline)을 생성한다. 기준데이터는 실시간 네트워크 유입 정보와 비교 분석을 거쳐 이상징후를 검출해 내고, 검출된 이상징후는 다시 가중치가 적용돼 네트워크 환경을 직관적으로 판단할 수 있는 종합 위험도를 산출한다.

수집 및 분석한 정보들은 직관적인 콘솔, 대시보드, 상세분석페이지 등의 뷰어를 통해 실시간으로 표현해준다.

특히 분석엔진에 의해 산출된 위험지수의 범위에 따라 보안 위험도를 5단계(정상, 관심, 주의, 경계, 위함)로 구분 설정해 전체 보안 위험도의 변화를 한 눈에 파악할 수 있도록 했다.
 
ATRA는 네트워크 규모에 맞게 유연한 구축이 가능하며, 각 모듈이 독립적으로 운영되기 때문에 모듈단위의 장애 발생시 다른 모듈의 업무에 영향을 주지 않는다.

또한 네트워크 환경에 대한 지속적인 학습을 통해 비정상 트래픽을 판단하는 기준을 능동적으로 갱신해 해당 네트워크 환경에 최적화된 판단 기준을 제공한다. 회사측은 “이는 기존의 샘플(시그니처, Signature) 기반 보안 솔루션의 한계를 극복할 수 있다”고 설명했다.

뿐만 아니라 각 네트워크 환경에 미치는 영향력을 고려한 뒤 수집기로 모은 다양한 정보자산에 가중치를 부여함으로써 더욱 정확한 분석결과를 도출한다.

뷰어의 경우 정밀 보안 분석에 최적화된 콘솔뿐 아니라 고객 맞춤형 웹기반 대시보드와 상세페이지를 제공하는데 고객의 요구사항을 반영할 수 있으며 고객 맞춤형 보안분석 보고서를 제공해 관제인력의 업무효율성을 높일 수 있다.

이글루시큐리티의 ATRA는 현재 일부 공공기관에 구축돼 있으며, 기업들을 대상으로도 본격적인 영업에 나설 계획이다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널