- 자동화된 분석체계로 대규모 로그·위협 처리, 수준높은 보안전문가 역량 보유

[디지털데일리 이유지기자] “보안위협은 신속한 탐지와 대응이 아주 중요하다. 시만텍 SOC는 지능화된 최첨단 빅데이터 분석 플랫폼과 보안 전문인력을 기반으로 평균 4분, 3~5분 이내에 발생하는 보안위협을 탐지한다.”

시만텍이 새로운 보안운영센터(SOC, 보안관제센터)를 싱가포르에 개설했다.

전세계에서 발생하는 보안위협을 신속하게 탐지·분석해 고객들에게 정교한 사이버보안서비스를 제공하기 위해 시만텍은 세계 곳곳에 SOC를 구축해 운영하고 있다.

이번에 개소한 싱가포르 SOC는 시만텍의 여섯번째 SOC이다. 시만텍은 그동안 도쿄(일본), 리딩(영국), 버지니아(미국), 시드니(호주), 첸나이(인도)에 SOC를 구축해 24시간 365일 운영해 왔다. 내년에는 유럽에 SOC를 추가 설립하는 등 전세계 8개 SOC를 갖추게 된다.

이들 SOC에는 고도로 훈련돼 있는 사이버보안분석가를 비롯해 전세계 1000여명의 전문 보안운영인력이 근무하고 있다. 이 가운데 높은 수준의 역량을 보유해야만 획득할 수 있는 GIAC(Global Information Assurance Cerification) 자격증을 지닌 사이버보안전문가만도 500명이 넘게 포진돼 있다.

아태지역에 있는 네 곳의 SOC 가운데 가장 큰 규모인 시드니 SOC에만도 100여명의 전문가들이 교대 근무하고 있으며, 싱가포르 SOC에는 25명의 보안분석가를 비롯한 전문가들이 위협 모니터링과 분석, 대응 활동을 수행하게 된다.

사미르 카푸리아(Samir Kapuria) 수석부사장은 싱가포르에 SOC를 개설한 배경으로 “아태지역은 다양한 문화가 공존하는 지역이다. 따라서 여러 산업분야와 글로벌 보안 조직에서 전문성과 경험을 갖고 있고 보안 환경에 능통하며 고학력의 다양한 언어를 구사하는 다국적 보안 전문인력을 확보할 수 있는 이점이 있다”고 설명했다.

시만텍 최신 싱가포르 SOC는 다른 지역의 SOC와 마찬가지로 광범위한 빅데이터 분석 플랫폼을 바탕으로 쏟아지는 수많은 보안위협을 자동화된 방식으로 분석하고 있다.

SOC의 로그 및 위협 수집·분석 아키텍처는 로그 수집 플랫폼을 통해 수집된 정보를 데이터웨어하우스로 보낸 후 글로벌 위협 인텔리전스와 연관해 상관관계 분석을 수행한다. SOC 테크놀로지 플랫폼에서 걸러진 위협은 보안분석가들이 직접 위협여부를 판단해 고객들에게 제공되는 포털에 반영, 위협 상황을 공유하는 절차로 운영된다.

보안 로그·이벤트 수집과 모니터링은 기본적으로 방화벽, 네트워크 침입탐지·방지시스템(IDS/IPS), 웹프록시, 엔드포인트 등을 다양한 기기를 기반으로 수행하고 있다. 여기에 다양한 인텔리전스를 추가해 분석함으로써 결과에 대한 신뢰성을 높인다.

SOC의 핵심은 빅데이터 분석 플랫폼이다. 시만텍은 이 플랫폼을 기반으로 총 1520억개의 노드, 138억개 이상의 파일, 213억개 이상의 URL, 실시간 수십억개의 메타데이터를 추적·분석하고 있다. 현재 데이터베이스엔진에서 로드되는 양은 150테라바이트 규모이며, 월 2조1000억개의 로우데이터(row data)가 처리되고 있다.

초 단위로 추가되는 로우데이터 양만 해도 5만5000건이며, 매일 3만건의 보안 인시던스가 처리되고 있다.

시만텍은 보다 지능화된 분석체계를 운영하기 위해 SOC 테크놀로지 플랫폼에 10여개의 인텔리전스 모듈을 탑재했다. 스캔, 악성 URL, 악성코드, 브루트포스(Brute Force), 의심 트래픽, DNA(Domain Name Linguistic Analysis and URL matching), 스모크 디텍션(SMOKE DETECTOR) 등이 현재 운영되고 있다.

피터 스팍스(Peter Sparkes) 시만텍 아시아태평양·일본 지역 사이버 보안 서비스 수석이사는 “최근 고객들로부터 수집되는 로그파일의 양이 급증하면서 2년 전에는 로그파일 수가 6000만개 수준에서 이제는 10억개로 급증했다. 방대한 로그파일을 짧은 시간 내에 분석하기 위해 보다 고도화된, 확장성 있는 빅데이터 분석 플랫폼을 구축해 운영하고 있다”면서 “시만텍은 플랫폼상에 현재 운영하는 분석 모듈 외에도 새로운 모듈을 추가할 수 있도록 만들어 한층 지능화된 최첨단 위협 분석 역량을 갖췄다”고 강조했다.

SOC는 시만텍이 자랑하는 광범위한 글로벌 위협 인텔리전스 네트워크도 통합돼 있다. 글로벌 위협 인텔리전스 네트워크는 200개국에 설치된 5760만대의 센서를 기반으로 보안위협 데이터를 수집, 분석한다.

한편 시만텍은 사이버 보안 서비스를 더욱 강화하기 위해 SOC 추가 신설, 확장하는 등 지속적인 투자를 벌일 계획이다. 인도 첸나이와 일본 도쿄에 있는 기존 SOC 규모를 확대하고 유럽에 새로운 SOC도 설립할 예정이다.

<싱가포르=이유지 기자>yjlee@ddaily.co.kr