특집

[빅데이터 보안] “SIEM으로는 부족하다”…트래픽 분석의 필요성 대두

이민형 기자

- [딜라이트창간4주년/분석의시대] 빅데이터 분석을 활용한 지능형 보안 강화③

 

 

네트워크, 보안 장비들과 보안정보이벤트관리(SIEM) 솔루션만으로 모든 보안 위협에 대응할 수 있을까?
일반적으로 보안정보이벤트관리(SIEM)는 보안 솔루션들이 내놓는 정보를 취합해 유의미한 데이터를 뽑아내는 것에 주력한다.

방화벽, 침입방지시스템(IPS)와 같은 네트워크 보안 어플라이언스에서부터 네트워크접근관리(NAC), 백신(AV) 등이 탑지한 위협요소를 분석해 대응하는 역할을 담당한다.

하지만 보안 장비들이 걸러내지 못하는 위협은 분명 있다. 지능형지속가능위협(APT) 공격이나 제로데이 공격 등은 일반적으로 알려지지 않은 공격이기 때문에 보안 솔루션들이 탐지하기가 어려운 것이 사실이다.

이러한 이유 때문에 최근에는 SIEM과 트래픽 분석을 결합하는 움직임이 나타나고 있다. 이는 SIEM 솔루션을 기보유한 업체들로부터 시작되고 있는데 한국EMC 보안사업본부인 RSA와 이글루시큐리티가 시장에 선수를 쳤다.

트래픽 분석 솔루션은 빅데이터와도 연관이 있다. 매초 수천건이 쏟아져나오는 패킷을 모두 수집해 빠른 시간내에 분석하기 위해서는 빅데이터 처리 능력이 필요하기 때문이다.

한국EMC 보안사업본부 RSA는 네트워크 트래픽 전수조사 솔루션인 넷위트니스를 보유하고 있다. 넷위트니스는 국내에서 APT 대응솔루션으로 널리 알려졌는데 이는 내부로 들어오는 모든 트래픽을 분석해 알려지지 않은 위협에 대응할 수 있었기 때문이다.

RSA는 넷위트니스에 SIEM과 빅데이터 플랫폼을 결합한 제품을 출시했다. ‘시큐리티 애널리틱스’라고 불리는 이 솔루션은 로그와 트래픽을 한번에 처리할 수 있다.

조남용 한국EMC 보안사업본부 차장은 “SIEM은 룰(Rule) 기반으로 동작하기 때문에 룰이 만들어놓은 시나리오에서 조금만 벗어나더라도 이를 탐지할 수 없다. 그러나 최근 해킹사고를 보면 알 수 있을테지만 예측이 불가능한 공격이 감행되고 있다”고 말했다.

시나리오에 없는 공격을 탐지하기 위해서는 트래픽과 로그를 전수조사하는 수 밖에 없다. 하지만 전수조사는 말처럼 쉽지 않다. 수천, 수만건의 로그와 트래픽을 수초내에 분석해서 적용해야만 유의미하기 때문이다.

조 차장은 “전수조사에는 빅데이터를 활용해야 한다. 수 초 이내에 쿼리를 내놓고 판단할 수 있어야 하기 때문이다”라며 “테라바이트(TB) 급의 패킷을 수초내에 해결할 수 있는 것은 하둡과 같은 빅데이터 플랫폼이다. 하둡의 분산처리 시스템은 이를 가능케 한다”고 강조했다.

RSA는 보안·네트워크 장비들이 쏟아내는 로그와 패킷을 ‘시큐리티 애널리틱스 웨어하우스’에서 모두 수집해 처리한다.

시큐리티 애널리틱스 웨어하우스는 빅데이터 분석을 통해 유의미한 데이터를 도출해내고 최종적으로 ‘예측모델’을 만들어낸다. 통계적 추론에 의한 결과값으로 보안위협에 선제적인 대응을 하겠다는 취지다.

조 차장은 “모든 SIEM 솔루션 업체들도 조만간 트래픽 분석에 대한 필요성을 인지하고 시장에 진입할 것이며 ‘예측모델’의 발전 가능성 역시 무궁무진하다”고 말했다.

이글루큐리티는 SIEM에 비정상트래픽을 분석할 수 있는 솔루션(IS-ATRA)을 내놨다.

이 제품은 EMC RSA ‘시큐리티 애널리틱스’와 유사한 모델이다. 단 트래픽 전수조사 대신 비정상 트래픽을 탐지하고, 학습을 통한 성능 향상, 그리고 관제에 대한 효율성 향상이 주 목적이다.

임형준 이글루시큐리티 ATRA팀장은 “알려지지 않은 공격 위협을 탐지하기 위해서는 네트워크 흐름(Flow)을 기반으로 한 비정상트래픽을 파악할 필요가 있다. 유입 트래픽에 대한 지속적인 모니터링과 학습을 통하여 유입된 트래픽이 내부 시스템 및 장비에 미치는 영향과 상태에 대해 파악하고 이를 종합해 알려지지 않은 공격 위협, 유입된 비정상트래픽, 내부현황 그리고 그에 따른 대처방안을 알려준다”

RSA 제품과 이글루시큐리티의 트래픽 분석 솔루션은 빅데이터를 기반으로 평상시 네트워크 특성과는 다른 이상징후를 검출해 내는 것에 주력을 하고 있다.

RSA(시큐리티 애널리틱스)는 이를 트래픽, 로그 전수조사를 통해 SIEM과 통합하고, 이글루시큐리티는 이상 트래픽을 탐지해 이를 SIEM과 결합했다.

데이터 처리능력이나 확장성은 RSA가 보다 높지만 이글루시큐리티의 솔루션은 학습 능력을 갖춰 지속적으로 잠재적 위협요소에 대한 판단력을 높인다는 것에 의의를 둘 수 있을 것으로 보인다.

[이민형 기자 블로그=인터넷 일상다반사]
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널