[디지털데일리 이민형기자] 네트워크, 보안 장비들과 보안정보이벤트관리(SIEM) 솔루션만으로 모든 보안 위협에 대응하기는 힘들다. SIEM 솔루션은 보안 솔루션들이 내놓는 정보를 취합해 유의미한 데이터를 뽑아내는 것에 주력하기 때문이다.

방화벽, 침입방지시스템(IPS)와 같은 네트워크 보안 어플라이언스에서부터 네트워크접근관리(NAC), 백신(AV) 등이 탑지한 위협요소를 분석해 대응하는 역할을 담당한다.

하지만 보안 장비들이 걸러내지 못하는 위협은 분명 있다. 지능형지속가능위협(APT) 공격이나 제로데이 공격, 최근 발생한 내부자 정보유출사고 등은 일반적인 룰(rule)에서 벗어나는 상황이기 때문에 탐지해낼 수 없다.

보안업계에서는 이를 탐지할 수 있는 다양한 방안을 강구하고 있다. APT 대응 전용 솔루션이나 빅데이터 분석 솔루션 등이 여기에 해당한다.

하지만 궁극적으로는 공격이 들어오는 입구를 철저히 감시하고 이에 대한 정보를 한 곳에서 분석해 정책을 수립할 수 있다면 보다 효율적인 대응이 가능할 것이다.

이성권 한국시큐리티랩 대표는 “기존에 사고가 발생했던 DB의 정보를 살펴보면, 해커들이 경유를 했거나 사용했던 URL 등을 모두 확인할 수 있다. 하지만 이를 사람이 일일이 확인한다는 것은 불가능에 가깝다”며 “이와 함께 악의적인 행위를 했던 아이피(IP)와 그 아이피가 어떤 패킷을 주고받았는지(트래픽)를 분석해 이전 데이터와 매핑을 시키면 향후 발생할 다양한 공격들을 예측할 수 있을것”이라고 설명했다.

한국EMC 보안사업본부 RSA는 네트워크 트래픽 전수조사 솔루션인 넷위트니스와 빅데이터 플랫폼을 결합한 제품으로 시장 공략에 나섰다.

SIEM은 룰 기반으로 동작하기 때문에 룰이 만들어놓은 시나리오에서 조금만 벗어나더라도 이를 탐지할 수 없다. RSA는 시나리오에 없는 공격을 탐지하기 위해서는 트래픽과 로그를 전수조사하는 방법을 채택했다.

전수조사에 대한 성능을 확보하기 위해 RSA는 시큐리티 애널리틱스 웨어하우스를 개발했다. 이는 빅데이터 분석을 통해 유의미한 데이터를 도출해내고 최종적으로 ‘예측모델’을 만들어낸다. 통계적 추론에 의한 결과값으로 보안위협에 선제적인 대응이 가능한 제품이다.

이글루큐리티는 SIEM에 비정상트래픽을 분석할 수 있는 솔루션(IS-ATRA)을 내놨다. 이 제품은 트래픽 전수조사 대신 비정상 트래픽을 탐지하고, 학습을 통한 성능 향상, 그리고 관제에 대한 효율성 향상이 주 목적이다.

알려지지 않은 공격 위협을 탐지하기 위해서는 네트워크 흐름(Flow)을 기반으로 한 비정상트래픽을 파악할 필요가 있다.

유입 트래픽에 대한 지속적인 모니터링과 학습을 통하여 유입된 트래픽이 내부 시스템 및 장비에 미치는 영향과 상태에 대해 파악하고 이를 종합해 알려지지 않은 공격 위협, 유입된 비정상트래픽, 내부현황 그리고 그에 따른 대처방안을 제시해준다.

RSA 제품과 이글루시큐리티의 트래픽 분석 솔루션은 빅데이터를 기반으로 평상시 네트워크 특성과는 다른 이상징후를 검출해 내는 것에 주력을 하고 있다.

RSA(시큐리티 애널리틱스)는 이를 트래픽, 로그 전수조사를 통해 SIEM과 통합하고, 이글루시큐리티는 이상 트래픽을 탐지해 이를 SIEM과 결합했다.

데이터 처리능력이나 확장성은 RSA가 보다 높지만 이글루시큐리티의 솔루션은 학습 능력을 갖춰 지속적으로 잠재적 위협요소에 대한 판단력을 높인다는 것에 의의를 둘 수 있을 것으로 보인다.

앞으로도 다양한 출처에서의 데이터를 결합한 ‘예측모델’이 발전할 것으로 기대된다.

<이민형 기자>kiku@ddaily.co.kr