[차세대 보안관제④] 비즈니스 맥락 위협 가시성 제공
상태바
[차세대 보안관제④] 비즈니스 맥락 위협 가시성 제공
  • 김선애 기자
  • 승인 2019.06.05 08:31
  • 댓글 0
이 기사를 공유합니다

로그·패킷·엔드포인트·클라우드 전수조사로 위협 탐지…허니팟·SW DNA 매핑으로 공격 탐지

[데이터넷] 보안관제의 핵심 기능을 하는 시스템은 SIEM이다. 기존 SIEM은 보안 장비의 로그를 수집해 분석하는데 그쳤지만, 차세대 SIEM은 모든 IT 인프라 전반의 데이터를 분석하고 비즈니스 맥락의 위협 가시성을 제공한다.

차세대 SIEM 시장을 견인하고 있는 RSA 넷위트니스는 로그, 패킷, 엔드포인트, 클라우드까지 단일 플랫폼으로 통합했으며, 머신러닝 기반 사용자 계정 행위 분석(UEBA) 기능을 지원해 보다 정밀한 관제를 지원한다. 지난해 로그에 대한 UEBA 기술을 발표했으며, 올해 초 EDR UEBA, 하반기 네트워크 UEBA를 출시하고 완벽한 통합을 이뤄낸다는 계획이다.

조남용 RSA코리아 이사는 “보안관제에 필요한 기술 요소를 완벽하게 하나의 플랫폼으로 통합했다는 것은 매우 중대한 혁신이다. 특히 RSA는 머신러닝에 대한 다차원 분석이 가능해 모든 이벤트를 연계분석하고 가시화 할 수 있다”고 말했다.

▲RSA ‘넷위트니스’ 플랫폼 아키텍처

네트워크 패킷·행위 분석으로 보안 관리 업무 효율화

네트워크 위협 분석(NTA) 역시 보안관제 필수 솔루션으로 주목받는다. 다크트레이스, 벡트라 등이 대표적이며, 네트워크 패킷을 머신러닝으로 분석해 위협을 탐지한다.

국내 기업 중 시야인사이트가 NTA 솔루션을 출시하고 글로벌 기업들이 장악한 시장에 뛰어들었다. 시야인사이트 ‘알토(ALTO)’는 네트워크 패킷을 가시화하고 행위를 분석해 이상한 행위가 발생하면 관제조직에 알린다. DPI 솔루션과 함께 적용되면서 패킷 분석과 행위분석을 제공하고 있으며, 오탐·과탐이 적어 보안 관리자의 업무를 줄인다.

임형준 시야인사이트 대표는 “‘알토’는 ‘모니터링 및 대응’ 솔루션으로, 사용자 행위 분석 기술을 접목해 기존 NTA 솔루션보다 가볍고 빠르고 정확하게 위협을 찾아낼 수 있다. 알토는 또한 컴플라이언스를 지원해 규제준수 리스크도 줄일 수 있다”며 “알토는 국가정보자원관리원을 비롯한 공공기관에서 특히 호평 받고 있다”고 설명했다.

나루씨큐리티는 네트워크 트래픽 분석을 데이터 사이언스 관점으로 끌어올린 관제 시스템 ‘커넥텀(ConnecTome)’을 제안하며 차세대 보안관제 시장에 새로운 시각을 제안한다. 커넥텀은 현장의 위협 인텔리전스를 접목한 내부망 분석 시스템이다.

김혁준 나루씨큐리티 대표는 “현장과 비즈니스 특성을 이해하지 못한 상태에서는 진행되는 위협의 목적과 피해 범위 등을 파악하지 못한다. 데이터 사이언티스트 수준의 보안 전문가가 현장의 정보를 분석해 이벤트에 대한 통찰력을 가져야 정확한 탐지와 대응이 가능하다”며 “나루씨큐리티는 보안 데이터 전문성을 기반으로 내부망 변화를 탐지하고 위협 통찰력을 높일 수 있는 전문가 서비스를 제공하고 있다”고 설명했다.

진화하는 위협 탐지 기술

위협 탐지 기술이 고도화되는 것도 관제 분야에서 주목하는 흐름이다. 시그니처, 샌드박스로 알려진/알려지지 않은 위협을 제거할 수 있지만, 모든 위협을 차단하는 것은 아니다. 공격자가 사용하는 도구와 전략·전술을 알고 있으면 위협 대응 능력을 높이고 미탐을 줄일 수 있다.

공격을 파악하는 방법으로 ‘허니팟’이 있다. 정상 서비스로 위장한 시스템으로 공격자를 유인한 후, 공격당한 것처럼 대응하면서 공격 행위를 파악하는 방식이다.

KISA ‘2019년 1분기 사이버 위협 동향 보고서’에 게재된 ‘제 15회 해킹방어대회HDCON’ 대상 수상작 ‘내부망 침투 방어를 위한 허니팟 대응 전략’ 기고에서는 ▲샌드박스 허니팟 ▲호스트 허니팟 ▲서비스 허니팟으로 구성된 올가미 생태계와 올가미를 통해 수집한 공격 정보를 분석하는 침해위협 조사 시스템을 제안했다.

샌드박스 허니팟은 실제 사용자 환경과 동일하게 구성된 단말에서 오랜 기간 의심 파일을 모니터링하는 방식이다. 샌드박스에서 의심스럽지만 아무런 활동이 일어나지 않아 악성 여부를 판단하지 못한 파일을 샌드박스 허니팟으로 보내 프로세스 단위로 분석한다. 호스트 허니팟은 시스템에 공격자가 탐낼만한 파일을 저장하고 이를 탈취하려는 공격자를 추적하는 방식이다. 미끼 파일은 고객 리스트, 개인정보, 기밀문서 등으로 위장한다.

OT 보안까지 확장된 허니팟

IT 보안은 물론이고 OT 시스템까지 보호하는 기술도 등장했다. 쿤텍이 국내에 공급하는 트랩엑스(TrapX)의 ‘디셉션그리드(DeceptionGRID)’는 자격 증명, 데이터베이스 연결, 네트워크 공유 등 수십만 개의 공격자 기만 요소를 제공한다. 공격의 대상이 될 수 있는 모든 것을 모방하고 위장해 공격자를 속일 수 있는 완벽한 가짜 인터페이스를 만든다.

공격자가 트랩을 만지는 경우 거의 100% 공격을 인지하며, 99% 정확한 경고로 오탐에 대한 피로를 줄인다. 공격자의 네트워크 침입을 실시간으로 감시해 공격자가 하는 모든 행위를 정찰하고, 공격 경로와 악용 프로토콜을 심층적으로 모니터링해 공격자 포렌식에 필요한 데이터를 확보한다.

디셉션그리드는 자동 네트워크 스캔이 가능한 오토 파일럿 기능을 통해 금융, 의료, 산업제어시스템, IoT 장치, 서버, 데스크톱의 혼합 장비 등으로 구성된 대규모 네트워크의 생성과 전체 배포를 단 몇 시간 안에 가능하게 한다. 또한 네트워크의 추가 확장이 쉽고, 중앙집중식으로 관리 및 배포하기 때문에 기업의 보안 자산을 다양하게 모방할 수 있다.

방혁준 쿤텍 대표는 “기존의 허니팟 기술은 대규모 투자가 필요하고, 고급 보안 분석가가 투입돼야 해 운영이 쉽지 않았다. 디셉션그리드는 특허 기술을 이용해 보안 전문가 없이 운영할 수 있으며, 모든 환경에 쉽게 적용할 수 있어 ICS, IoT, 금융, 의료 등 다양한 분야에서 보안 수준을 한층 향상시킬 수 있다”고 말했다.

SW DNA 매핑으로 악성코드 분석

새로운 방식의 악성코드 탐지·분석 기술도 속속 소개되고 있다. 인섹시큐리티가 국내에 공급하는 인터제르의 ‘인터제르 애널라이즈(Intezer Analyze)’는 소프트웨어 DNA 매핑 분석 기술을 기반으로 코드 유사성과 코드 재사용, 스트링 재사용을 검사하고 파일 유사성을 비교해 악성코드를 판별한다. 파일이나 바이너리를 수천개의 조각으로 분리한 후 다시 수십억개의 코드 조각으로 나눠 인터제르 게놈 데이터베이스와 비요하는 방법으로 신·변종 악성코드를 탐지한다.

김종광 인섹시큐리티 대표는 “악성행위를 위해 제작된 소스코드는 일정부분 유사성을 갖게 된다. 의심스러운 코드를 잘게 쪼개 공격에 사용했던 악성코드의 DNA 정보와 비교함으로써 정탐률을 크게 높일 수 있다”며 “인섹시큐리티가 국내에 공급하는 조샌드박스와 함께 사용하면 패킹·암호화된 악성코드까지 정확하게 탐지할 수 있다”고 설명했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.