빅데이터 기술 얹은 보안관리, IT 시스템 안전성 확보
상태바
빅데이터 기술 얹은 보안관리, IT 시스템 안전성 확보
  • 김선애 기자
  • 승인 2013.02.05 06:30
  • 댓글 0
이 기사를 공유합니다

전체 IT 시스템 로그 통합분석해 위협 예측 … 전통적 로그관리·ESM 지속 성장

IT 복잡성이 높아지면서 ‘옥상옥’으로 전락한 보안관리가 빅데이터 기술을 받아들이면서 IT 시스템 전반에 대한 안전성을 확보할 수 있는 플랫폼으로 진화하고 있다. 모든 IT 시스템에서 발생하는 로그와 이벤트를 통합관리해 외부 위험을 사전에 예측하고, 내부정보 유출을 방지할 수 있도록 한 보안정보이벤트관리(SIEM)가 급속도로 발전하고 있는 것이다. 전통적인 로그관리와 전사보안관리, 위험관리도 지속적인 성장을 기록하고 있다.

서버, 스토리지, 네트워크로 구성된 IT 인프라는 사용하다보면, 특정한 업무를 위해 장비를 추가도입하면서 확장되고, 기존에 사용하던 장비는 중요도가 떨어지는 다른 업무로 사용되거나 폐기된다. 이 과정에서 인프라 구성이 복잡해지고, 제대로 관리되지 않는 장비가 발생하며, 업무간 연계가 잘 이뤄지지 않아 사일로 형태로 남는 장비도 생겨난다. 하드웨어와 소프트웨어는 각각 관리 솔루션이 별도로 존재해 관리자들은 모든 제품별로 따로따로 관리해야 하며, 이를 관리하는 또 다른 관리 솔루션이 있어 관리를 위한 관리가 되는 일도 비일비재하다.

이와같은 과정은 보안 시스템에서 특히 더 심하게 나타난다. 새로운 위험이 나타나면 이를 방어하기 위한 포인트 솔루션을 구입하고, 새로운 규제가 제정되면 이를 지키기 위한 통합 솔루션을 도입하면서 시스템이 복잡해진다. 확장되는 IT 시스템에 대한 보안 솔루션도 필요하다.

너무 많은 포인트에 보안 솔루션이 구축돼 각각의 보안 솔루션이 보내는 수많은 경고 속에서 실제 위협이 무엇인지, 상대적으로 더 중요한 경고와 덜 중요한 경고가 무엇인지 파악할 수 없다. 이 때문에 성능 좋은 고가의 보안 솔루션을 도입하고도 공격에 속수무책으로 당하는 상황이 발생하게 된다.

복잡한 IT 관리를 위한 시스템이 따로 있듯, 보안 시스템에도 관리를 위한 시스템이 별도로 발달해왔으며, 보안관리 시스템을 위한 관리 솔루션이 필요한 상황에 이르게 됐다. 관리 솔루션은 보안 솔루션에서 생성되는 로그를 수집해 위험정보를 관리자에게 알려주지만, 보안 경고뿐 아니라 다른 IT 시스템에서 생성되는 로그 정보를 한꺼번에 받는 관리자들은 수많은 경고와 정보를 일일이 다 확인하기도 어려운 현실이다.

보안 시스템도 IT 시스템의 일부로 작용하고 있으므로, 시스템 전반에 대한 위협이나 성능관리, 장애관리가 이뤄져야 하는데, 보안관리만 독립적으로 수행되면서 시스템 전체적인 거버넌스를 수립하기 어렵다는 문제도 있다.

이러한 문제를 해결하기 위해 다양한 관리 시스템이 제안된다. 보안 관점에서 보면 보안 장비가 생성하는 로그를 분석하는 전사적 보안관리(ESM)와 국내외 각종 위협정보를 분석하는 위협관리(TMS) 시스템이 있으며, 보유하고 있는 자산과 연계성을 고려해 취약점을 관리하는 리스크관리 시스템(RMS), 그리고 모든 IT 시스템이 생성하는 로그를 분석해 보안위협을 탐지하는 보안정보이벤트관리(SIEM)로 나뉜다.

IT 시스템 경계 허물어지며 ESM 한계
초기 보안관리 시장은 ESM이 주를 이뤘으며, 보안솔루션의 로그를 수집해 상호 연관성을 파악하는 기능을 제공해 보안관제 시스템에 적용됐다. 보안관제 서비스 업체와 대기업에서 ESM을 도입했으며, 전자정부 사이버침해사고 대응센터가 각 시도단위로 확대되면서 ESM이 큰 폭의 성장을 기록하기도 했다.

그러나 융·복합 기술이 발전하면서 IT 시스템간 장벽이 허물어지고, EMS만으로는 보안위협을 파악하기 어렵게 됐다. 다른 시스템에도 보안기능이 탑재되는 한편, 클라우드 환경이 확산되면서 기업내 시스템 뿐 아니라 외부 서비스를 받는 퍼블릭 클라우드에 대해서도 보안위협을 탐지해야 하는 과제가 생겼기 때문이다.
지능형 공격은 취약점을 찾아 교묘하게 우회공격을 시도하기 때문에 IT 시스템 전반에 대한 보안을 강화해야 한다는 요구가 높아져 ‘보안’에 갇힌 보안관리는 실효성을 잃게 됐다. SIEM은 모든 시스템에서 생성되는 로그를 분석해 잠재적인 보안위협을 찾아내는 솔루션으로, 보안사고를 사전에 예방하고, 사고 발생시 신속하게 대응할 수 있어 이러한 문제를 해결한다.

HP ‘아크사이트(ArcSight)’가 SIEM의 대표적인 솔루션으로, 로그 자료를 체계적으로 관리해 사고가 발생했을 때 신속하게 원인을 밝히고, 재발을 방지할 수 있도록 한다. 삼성SDS, 하나금융그룹, 코스콤, NHN 등에 공급된 아크사이트는 중요정보의 유출을 예측하고, IT 자원에 대한 보안 위험요소를 사전에 제거하며, 단위 시스템별로 로그관리를 통합해 비용을 줄인다.

아크사이트 제품군 중 로그의 중앙수집과 관리 기능을 제공하는 ‘아크사이트 로거’는 수작업으로 실시하던 로그관리를 중앙에서 자동화하며, 빅데이터 환경에서 빠르고 효율적인 검색기능을 제공해 개인정보보호법 등 컴플라이언스에 대비할 수 있도록 한다.

중소규모 기업에 적합한 ‘아크사이트 익스프레스’는 로그관리와 수집, 실시간 협업, 업무 진행상황 모니터링, 사용자 모니터링 등 모든 기능을 통합해 관리 편의성과 비용절감 효과를 높인다. 대규모 환경에는 ‘아크사이트 ESM’이 제안되며, 확장성이 높아 향상된 보안위협을 실시간으로 탐지하고, 중앙통합관제를 제공해 전체적인 상관관계와 의존성을 통합분석한다.

HP의 디지털백신보안연구소(DVLabs), 시큐어코딩 솔루션 ‘포티파이’와 긴밀하게 연결돼 있으며, 사용자 기반 상관관계 분석으로 보다 정확하고 광범위한 보안위협 관리가 가능하다.

SIEM은 모든 IT 시스템에서 생성되는 로그를 통합분석하는 것이 핵심으로, 방대한 양의 로그분석을 위해서는 빅데이터 분석 기술이 필요하다. SIEM이 본격적으로 확산될 수 있었던 이유 중 하나가, 기술 부족으로 관리하지 못했던 모든 로그를 관리할 수 있게 된 것이다. 대용량 데이터를 분석하는 빅데이터 분석기술이 발달하면서 로그 데이터와 같이 반정형 데이터 분석이 용이해 졌다.

빅데이터 기술 확산을 이끌어온 IBM이 가장 적극적으로 빅데이터 기술을 이용한 보안관리를 강조한다. IT 시스템에서 발생되는 모든 데이터를 분석해 위협을 사전에 방어하는 ‘지능형 보안’이 가능하다는 것이다.
또한 IBM은 SIEM 전문기업 큐원랩스를 인수하고 ‘큐레이더(QRadar)’를 출시했다. 이 제품은 SIEM과 위험관리, 로그 관리, 네트워크 행동 분석, 보안 이벤트 관리 등 서로 다른 기능을 하나의 보안 인텔리전스 솔루션으로 통합했다. 한국IBM은 큐레이더 제품군을 필두로 한 보안 인텔리전스 솔루션을 현대하이카다이렉트의 통합보안시스템 구축작업에 적용하고 있다.

그린플럼 제품군으로 빅데이터 전략을 적극 드라이브하는 EMC 역시 빅데이터 기술과 연동될 수 있는 RSA 보안관리 플랫폼이 강력한 경쟁력을 갖는다고 자부한다. SIEM 솔루션 ‘인비전(enVision)’ 제품군은 단일 플랫폼으로 엔터프라이즈 로그 관리, 컴플라이언스, 보안을 지원한다. RSA 제품군인 거버넌스, 리스크 및 컴플라이언스(GRC)를 위한 ‘아처(Archer)’, 네트워크 모니터링 플랫폼 ‘넷위트니스(NetWitness)’, 데이터유출방지(DLP) 스위트와 연계돼 전사 관점의 보안 관리가 가능하다.

로그분석, 토종 솔루션 강점
로그분석에만 방점을 찍는다면 오랫동안 국내 로그관리 시장을 지켜온 토종 솔루션이 보다 경쟁력을 갖는다고 볼 수 있다. 디에스앤텍, 이너버스, 나일소프트 등 로그관리 솔루션 공급기업들은 국내 기업문화에 적합한 로그관리 기술을 제공할 수 있다는 점을 강조한다. 특히 우리나라 기업들은 시스템 성능에 영향을 미치지 않으면서 실시간 모니터링 할 수 있는 솔루션을 선호하기 때문에 외산 솔루션보다 가볍고 가격경쟁력이 높으며, 유연한 커스터마이징이 가능한 토종 솔루션이 강점을 갖는다.

이너버스의 ‘로그센터 HXC’는 원본로그 수집 전용 애플리케이션으로, 대용량 로그를 고속으로 검색하고 상관분석을 지원한다. 정보의 라이프사이클을 기반으로 정보유출 모니터링 시스템을 제공하며, 시나리오 기반의 핵심정보 유출 모니터링을 제공한다. 국세청, SK텔레콤, 연세대학교 등 공공·금융·통신·엔터프라이즈 전 분야의 고객을 확보하고 있다. 이기종 시스템의 통합 로그 라이프 사이클을 관리하며, 개인정보보호법 등 보안 규제를 준수할 수 있도록 지원한다.

로그센터HXC가 공급된 대표적인 사례로 삼성카드를 들 수 있는데, 삼성카드는 분산된 로그를 통합관리해 컴플라이언스와 각종 보안장비의 로그의 상관분석으로 모니터링을 진행해 보안사고를 미연에 방지하기 위해 로그통합관리 시스템을 구축했다.

통합로그분석 솔루션은 2011년 농협전산장애로 크게 주목을 받으면서 도입사례가 늘어나게 됐다. 농협전산장애는 아웃소싱 직원의 노트북에서 시스템 삭제 명령을 잘못 내리면서 일어난 것으로 알려지고 있으며, 몇 주 동안이나 장애가 계속되고, 이후로도 수 차례 장애가 반복되면서 총체적으로 시스템에 문제가 있다는 사실이 드러났다.

일부 중요 서버나 보안 장비에 국한됐던 로그관리 시스템이 전체 IT 시스템의 로그를 관리하는 분야로 확산됐다. 또한 개인정보보호법 등 보안규제가 강화되면서 시스템에 접근하는 사용자의 활동내역을 체계적으로 관리해야 할 필요성이 높아졌으며, 금융권 뿐 아니라 일반 기업에서도 로그관리에 많은 관심을 갖게 됐다.

이러한 변화 속에서 기존의 보안관리 솔루션 기업들도 로그관리 솔루션을 앞세우면서 치열한 경쟁을 벌이고 있다. 이글루시큐리티가 지난해 출시한 통합로그관리 솔루션 ‘아이에스로거(IS-Logger)’는 주요시스템에서 발생하는 대용량 로그를 저장·상관분석하며, 실시간으로 모니터링 결과를 조회할 수 있다. 이 제품은 대용량 로그 저장DB를 이중화하며, 분산파일 시스템(MDFS)을 통한 로그데이터 처리가 가능하고, 통합보안관리시스템(ESM)과 연동될 수 있다.

관제 기술 기반 보안관리 ‘탁월’
이글루시큐리티는 보안관제서비스 전문기업으로 시작해 ESM 강자의 자리를 오랫동안 지켜왔다. 지난해부터 보안관리 전 영역과 컨설팅, 개인정보보호법 관련 컨설팅 및 솔루션 분야 확장을 시도하는 등 사업 다각화를 진행하고 있다. 대표 제품인 ‘아이에스 센터(IS CENTER)’는 대용량 로그 처리와 원본 로그 저장, 빠른 검색 속도와 지능적인 분석, 개인정보·내부 정보 유출 탐지 등 다양한 이슈에 대응할 수 있는 차세대 보안관리 플랫폼이다.

ESM 솔루션 ‘아이에스 이에스엠(IS ESM)’은 ‘스파이더 TM(SPiDER TM)’의 새로운 브랜드로, 멀티노드간 프로세스 분산처리와 대용량 DBMS 분산고속처리, 메모리-디스크 기반 DB 처리의 장점을 결합한 하이브리드형 구조로 속도를 향상시켰다. 이외에도 네트워크 트래픽을 분석해 이상행위를 탐지하는 ‘아이에스 아트라(IS-ATRA)’, 방화벽정책관리시스템 ‘아이에스 에프엠(IS-FM)’ 등을 통해 폭넓은 보안관리 환경을 제공한다.

유무선 인증 전문기업 유넷시스템도 보안관제 역량을 기반으로 지난해 로그분석 솔루션 ‘애니몬 플러스’를 출시해 주목된다. 실시간으로 다양한 이 기종 장비의 로그와 보안 이벤트를 수집해 기밀성과 무결성을 보장하면서 안전하게 로그를 저장한 후 독자적인 빅데이터 분석 프레임워크를 통해 강력한 통합 분석을 수행 한다.

유넷시스템은 독자적으로 개발한 빅데이터 기술을 탑재했으며, 분석서버-DB서버-수집서버를 단일 어플라이언스로 통합해 성능을 높이고 비용을 줄여 ROI를 극대화 할 수 있다. 이 제품은 대전통합전산센터, 삼성그룹 등에 공급됐다.

로그분석을 위해서는 기존의 DBMS 시스템과 다른 DB관리 기술이 필요하다. 로그는 관계형데이터베이스(RDBMS)로 관리되는 정형데이터처럼 정제되고 체계화된 데이터는 아니지만, 파일 데이터처럼 완전한 비정형 데이터도 아닌, 일정한 형식과 조직을 갖춘 ‘반정형 데이터’로 분류된다.

로그 데이터는 비정형 데이터보다 정제·분류·체계화하기 쉽지만, 대량의 데이터를 처리해야 하기 때문에 전통적인 RDBMS로는 처리하기 어렵다. RDBMS는 가격이 비쌀 뿐 아니라 속도가 느리기 때문에 실시간으로 데이터를 수집하고 분석해 결과값을 보여줘야 하는 로그관리 시스템에는 적합하지 않다.

MySQL, NoSQL 등 오픈소스 기반 DBMS가 대안으로 제시되지만 MySQL은 RDBMS의 문제를 동일하게 갖고 있으며, 오라클 인수 후 높고 대용량 데이터 분석에는 적합하지 않다. NoSQL은 기술의 안정성이 떨어지고, 전문지식이 필요하기 때문에 많이 활용되지 않는다.

로그관리 솔루션을 제공하는 기업들은 자체적으로 DBMS를 개발해 사용하는데, 인메모리 기술을 이용해 속도를 빠르게 하기도 하고, 오픈소스 하둡을 응용하는 기술을 사용하기도 한다. IBM, EMC는 로그관리용 DBMS를 보유하고 있지만, 최근에는 하둡 플랫폼의 비정형 데이터 분석 기술을 활용하는 방법을 적극 드라이브한다.

맥아피는 2011년 인수한 나이트로시큐리티의 ‘EDB’를 소개한다. SIEM 전문기업 나이트로시큐리티는 미국 아이다호 주변 발전소 운영을 위한 센서 정보를 분석하면서 로그관리 전문기업으로 성장했으며, 자체적으로 로그관리에 최적화된 DBMS인 EDB를 개발했다. EDB는 오라클보다 데이터 접근속도 1000배, 데이터 쓰기속도 100배 이상 빠르다. 맥아피의 SIEM 제품은 하드웨어 일체형 어플라이언스로, 콘텐츠 인지기술과 애플리케이션 가시성 확보로 네트워크 콘텐츠와 사용량에 대해 검사·분석이 가능하다.

ESM·SRM 여전히 강세
최근 보안관리 솔루션들은 SIEM으로 통합되는 트렌드를 보이고 있으나, 윈스테크넷은 위협관리 솔루션 ‘스나이퍼 iTMS’와 통합보안관제시스템 ‘스나이퍼 TSMA’를 적극 드라이브하며 사이버 위협에 특화된 기술을 선보인다.

iTMS는 국내외 최신 취약성 정보와 트랜드, 정밀 분석된 네트워크 트래픽 및 공격형태를 기반으로 사이버 공격에 대한 전사적 대응체제를 구축해 네트워크 인프라에 대한 위협에 능동적으로 대처할 수 있다. 이 제품은 국내외 사이버 위협정보를 통합해 조회기준 시점부터 24시간 동안 발생된 위협정보를 요약해 보여주며, 비정상 탐지 설정조건에 따라 임계치를 벗어난 이벤트를 파악해 보여준다.

위노블이 국내에 공급하는 ‘스카이박스뷰(Skybox View)’는 위험관리(SRM) 소프트웨어로 공군, 코스콤 등에 공급됐으며, 운영중인 네트워크를 가상공간으로 옮겨 가상 네트워크 상에서 모의해킹과 위험진단·평가를 시행한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.