[디지털데일리 이민형기자]최근 보안시장에서는 지능형지속가능위협(APT)와 같은 고도화된 위협이 증가함에 따라 빅데이터를 활용한 보안 분석을 하고자 하는 수요가 증가하고 있다.

이는 데이터 분석 기술의 고도화 측면에서 빅데이터가 기존에 해결하지 못한 공격방법과 동향 등을 분석할 수 있기 때문이다.

기업들은 지능적인 공격에 대한 선제적인 방어와 공격과 위험을 예상하고 감지하기 위해 방대한 양의 데이터를 빠른 속도로 처리하고 모든 정형·비정형 데이터를 분석할 수 있는 솔루션에 관심을 갖기 시작했다.

이러한 측면에서 보안정보이벤트관리(SIEM)와 빅데이터 분석의 결합이 화두로 떠오르기 시작했다. 보안 어플라이언스들이 쏟아내는 수많은 데이터를 분석해 가장 적합한 조치를 취할 수 있는 것이 목표다.

가트너의 빅데이터 분석 보고서(2012년)에 따르면 빅데이터 분석을 활용한 보안 분석을 통해 과거 발견되지 않았던 사고패턴을 발견하고, 정보보안을 포함한 기업경영에 대한 통찰력을 제공해줄 수 있다고 예견한 바 있다.

IBM, HP, EMC 등 글로벌 업체들은 일찍부터 자사의 SIEM에 빅데이터 분석 기능을 탑재하기 위해 힘써왔으며, 현재는 구현 방식은 조금씩 다르나 ‘실시간분석’, ‘예측분석’이라는 목표 달성을 위해 솔루션을 고도화하고 있다.

최근 급성장하고 있는 스플렁크는 빅데이터 플랫폼을 기본으로 기업전사시스템, 로그분석, 보안 등 다양한 기능을 수행할 수 있도록 개발을 진행하고 있다.

◆IBM, 빅데이터로 ‘시큐리티 인텔리전스’ 전략 펼쳐=‘시큐리티 인텔리전스’는 IBM의 보안 솔루션과 예측할 수 있는 방법을 통해 외부 위협에 적절히 대응하는 전략이자 시스템을 의미한다.

박형근 한국IBM 보안사업부장은 “시큐리티 인텔리전스에서 무엇보다 중요한 것은 바로 실시간으로 다양한 정보간의 상관 관계를 파악할 수 있다는 점”이라며 “IBM의 시큐리티 인텔리전스는 기업에서 일어나는 모든 IT활동을 수집하고 실시간 이벤트 및 히스토리컬 이벤트에 대해 종합적인 상관관계 분석을 수행함으로써 가장 정확한 인시던트(Offence)를 찾아낸다”고 설명한다.

예를 들어 네트워크 커뮤니케이션이 제대로 적절히 이뤄지고 있는지 확인할 수 있으며, 혹시라도 정상적이지 않은 서비스가 있는지, 이상한 프로그램은 없는지, 예상치 않았던 로그인이나 실패 사례, 그리고 예상치 못한 변화는 없는지, 그리고 새로운 서비스가 IT관리자들도 알지 못하는 사이에 설치됐는지 등에 대한 인사이트를 갖게 되는 것이다.

또 한가지 시큐리티 인텔리전스에서 중요한 것은 바로 예방과 감지이다. 시큐리티 인텔리전스를 적용하면 다양한 공격과 사고가 발생하기 전에 예방이 가능하다. 실제 보안사고가 발생할 경우 얼마나 발 빠르게 대응할 수 있는가 하는 것이 가장 중요하고, 현재의 기업들이 시큐리티 인텔리전스 적용이 필요한 이유다.

IBM은 큐레이더(IBM QRadar Security Intelligence Platform)로 APT와 같은 보안위협에 대응한다.

큐레이더는 단순한 로그 수집, 분석에 그치지 않고, 네트워크 트래픽 정보, 취약점 스캔 결과 등을 수집한다. 또 네트워크, 데이터 센터, 어플라이언스 등에 어떤 일이 벌어지고 있는지를 파악할 수 있도록 사용자에게 가시성을 제공한다.

◆하둡을 품은 HP=지난해 HP는 자사의 SIEM 솔루션 아크사이트에 의미기반 분석엔진을 탑재하고, 대용량데이터 분석을 강화하기 위해 하둡을 지원하기 시작했다.

박진성 한국HP 엔터프라이즈 시큐리티 프로덕트(ESP) 이사는 아크사이트와 의미기반 분석엔진을 통합한 것에 대해 “콘텐츠 분석과 실시간 데이터 분석의 통합”이라는 문장으로 표현했다.

‘아크사이트 클라우드 커넥터 프레임워크(HP ArcSight Cloud Connector Framework)’라고 불리는 이 프레임워크는 아크사이트와 의미기반 분석 엔진인 HP 오토노미 아이돌(HP Autonomy IDOL)을 통합해 유저로부터 발생하는 모든 데이터에 대한 내용, 콘셉트, 의견, 사용 패턴을 자동적으로 인식한다.

이는 가공되지 않은 보안관련 데이터(raw security data)의 분석을 지원한다. 또한 행동패턴을 포함한 유저의 감성과 관련된 데이터의 자동적 인식 및 분석을 통해 더욱 신속하게 정보 보안 위협을 실시간으로 감지해 대응할 수 있다.

로우데이터는 기본적으로 크기가 크다. 가공되지 않은 데이터이기 때문이다. 이를 처리하기 위해 HP는 아크사이트와 하둡을 연계시켜주는 플러그인을 개발했다.

박 이사는 “HP 아크사이트·하둡 통합 유틸리티는 HP 아크사이트의 리포팅, 검색, 상관관계를 분석하는 성능과 하둡의 거대한 중앙 스토리지와의 연계를 통해 기업이 페타바이트(Petabytes) 데이터를 처리하는데 필요한 스토리지 역량을 제공할 수 있다. 이러한 오픈소스 기반의 기계 학습 알고리즘(machine-learning algorithms), 통계 분석, 이상 감지, 예측 분석은 수집된 데이터와 접목돼 보안 이슈에 대한 더욱 넓은 통찰력과 해결방안을 지원할 수 있을 것”이라고 설명했다.

IBM과 HP는 빅데이터를 처리하는 방식은 다르지만(자체-하둡), 수많은 데이터(로그)에서 유의미한 데이터를 추출, 분석하는 것은 크게 다르지 않다는 것을 알 수 있다.

◆스플렁크, 신속하고 정확한 인프라 구축에 초점=스플렁크는 보안업체라고 보기는 힘들다. 그러나 빅데이터 플랫폼을 활용해 IT보안이라는 카테고리를 만들어 적극적인 움직임을 보이고 있다.

스플렁크의 보안 인텔리전스 솔루션은 미리 정해진 형식의 보고서와 대시보드를 제공하고 알려진 위협을 모니터링하는 전통적인 방식의 SIEM 사용 사례를 뛰어넘어 빅데이터 내에 존재하는 비정상적인 활동 패턴을 찾아내는 기능을 갖추고 있다. 이는 인텔리전스 분석가라는 기능으로 구현돼 있다.

특히 발생하는 이벤트의 중요도에 대한 태그를 지정하거나 사용자 이름과 같은 필드 추출·명명, 로그인 성공과 같은 이벤트 식별·명명을 통해 이종 데이터 형식을 즉석에서 정규화해 원시 데이터의 활용도를 높일 수 있는 것도 장점이다.

또 알려진 악성 이벤트를 자동으로 모니터링하고 검색을 통해 상관관계를 정교하게 지정해 무차별 암호 대입 공격(brute force attacks), 정보 유출과 앱 부정 행위와 같은 알려진 보안 패턴을 찾아낼 수 있다.

이 회사 관계자는 “관리자의 레벨에서 모든 유형의 패턴을 모니터링할 수 있을 뿐만 아니라 모든 사건을 더 빠르게 조사하여 수정할 수 있는 기능으로 위험 수준을 큰 폭으로 줄일 수 있다”며 “생산성을 더욱 높이고 공격을 효율적으로 식별하여 대응할 수 있는 솔루션을 보안팀에 제공할 수 있다”고 강조했다.

<이민형 기자>kiku@ddaily.co.kr