최근 보안시장에서는 지능형지속가능위협(APT)와 같은 고도화된 위협이 증가함에 따라 빅데이터 분석을 보안과 결합하고자 하는 요구가 많아지고 있다.

APT에 대한 선제적인 방어와 공격과 위험을 예상하고 감지하기 위해 기업은 방대한 양의 데이터를 빠른 속도로 취급, 처리해 네트워크 내외부에서 발생하는 모든 정형·비정형 데이터를 분석할 수 있는 인프라가 필요하기 때문이다.

또한 기업은 클라우드, 모바일, 가상 환경을 아우르는 모든 컴퓨팅 환경을 모니터링해야 하며 실제 보안 문제가 발생했을 시 자동적인 조치가 취해져야 한다.

여기서 보안정보이벤트관리(SIEM)과 빅데이터 분석의 결합이 대두됐다. 보안 어플라이언스들이 쏟아내는 수많은 데이터를 분석해 가장 적합한 조치를 취할 수 있는 것이 목표다.

IBM, HP, EMC 등 글로벌 업체들은 일찍부터 자사의 SIEM에 빅데이터 분석 기능을 탑재하기 위해 힘써왔으며, 현재는 구현 방식은 조금씩 다르나 ‘실시간분석’, ‘예측분석’이라는 목표 달성을 위해 솔루션을 고도화하고 있다.

국내 업체 중에서는 이글루시큐리티, KCC시큐리티도 빅데이터 분석으로 보안위협 대응에 나선 상황이다.

◆빅데이터 분석을 통해 ‘시큐리티 인텔리전스’ 전략 펼치는 한국IBM

‘시큐리티 인텔리전스’는 IBM의 보안 솔루션과 예측할 수 있는 방법을 통해 외부 위협에 적절히 대응하는 전략이자 시스템을 의미한다.

박형근 한국IBM 보안사업부장은 “시큐리티 인텔리전스에서 무엇보다 중요한 것은 바로 실시간으로 다양한 정보간의 상관 관계를 파악할 수 있다는 점”이라며 “IBM의 시큐리티 인텔리전스는 기업에서 일어나는 모든 IT활동을 수집하고 실시간 이벤트 및 히스토리컬 이벤트에 대해 종합적인 상관관계 분석을 수행함으로써 가장 정확한 인시던트(Offence)를 찾아낸다”고 설명한다.

예를 들어 네트워크 커뮤니케이션이 제대로 적절히 이뤄지고 있는지 확인할 수 있으며, 혹시라도 정상적이지 않은 서비스가 있는지, 이상한 프로그램은 없는지, 예상치 않았던 로그인이나 실패 사례, 그리고 예상치 못한 변화는 없는지, 그리고 새로운 서비스가 IT관리자들도 알지 못하는 사이에 설치됐는지 등에 대한 인사이트를 갖게 되는 것이다.

또 한가지 시큐리티 인텔리전스에서 중요한 것은 바로 예방과 감지이다. 시큐리티 인텔리전스를 적용하면 다양한 공격과 사고가 발생하기 전에 예방이 가능하다. 실제 보안사고가 발생할 경우 얼마나 발 빠르게 대응할 수 있는가 하는 것이 가장 중요하고, 현재의 기업들이 시큐리티 인텔리전스 적용이 필요한 이유다.

IBM은 큐레이더(IBM QRadar Security Intelligence Platform)로 APT와 같은 보안위협에 대응한다.

큐레이더는 단순한 로그 수집, 분석에 그치지 않고, 네트워크 트래픽 정보, 취약점 스캔 결과 등을 수집한다. 또 네트워크, 데이터 센터, 어플라이언스 등에 어떤 일이 벌어지고 있는지를 파악할 수 있도록 사용자에게 가시성을 제공한다.

◆노란코끼리(하둡)와 함께 가는 HP

올해 초 한국HP는 자사의 SIEM 솔루션 아크사이트에 의미기반 분석엔진을 탑재하고, 대용량데이터 분석을 강화하기 위해 하둡을 지원한다고 밝혔다.

박진성 한국HP 엔터프라이즈 시큐리티 프로덕트(ESP) 이사는 아크사이트와 의미기반 분석엔진을 통합한 것에 대해 “콘텐츠 분석과 실시간 데이터 분석의 통합”이라는 문장으로 표현했다.

‘아크사이트 클라우드 커넥터 프레임워크(HP ArcSight Cloud Connector Framework)’라고 불리는 이 프레임워크는 아크사이트와 의미기반 분석 엔진인 HP 오토노미 아이돌(HP Autonomy IDOL)을 통합해 유저로부터 발생하는 모든 데이터에 대한 내용, 콘셉트, 의견, 사용 패턴을 자동적으로 인식한다.

이는 가공되지 않은 보안관련 데이터(raw security data)의 분석을 지원한다. 또한 행동패턴을 포함한 유저의 감성과 관련된 데이터의 자동적 인식 및 분석을 통해 더욱 신속하게 정보 보안 위협을 실시간으로 감지해 대응할 수 있다.

로우데이터는 기본적으로 크기가 크다. 가공되지 않은 데이터이기 때문이다. 이를 처리하기 위해 HP는 아크사이트와 하둡을 연계시켜주는 플러그인을 개발했다.

박 이사는 “HP 아크사이트·하둡 통합 유틸리티는 HP 아크사이트의 리포팅, 검색, 상관관계를 분석하는 성능과 하둡의 거대한 중앙 스토리지와의 연계를 통해 기업이 페타바이트(Petabytes) 데이터를 처리하는데 필요한 스토리지 역량을 제공할 수 있다. 이러한 오픈소스 기반의 기계 학습 알고리즘(machine-learning algorithms), 통계 분석, 이상 감지, 예측 분석은 수집된 데이터와 접목돼 보안 이슈에 대한 더욱 넓은 통찰력과 해결방안을 지원할 수 있을 것”이라고 설명했다.

IBM과 HP는 빅데이터를 처리하는 방식은 다르지만(자체-하둡), 수많은 데이터(로그)에서 유의미한 데이터를 추출, 분석하는 것은 크게 다르지 않다는 것을 알 수 있다.