기술지원센터 분석기술팀 황견

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보합니다.   

1. 개요

데이터가 폭발적으로 증가하는 빅데이터 시대를 맞이하여 단지 데이터로만 존재하며 활용되지 못했던 데이터들이 가치를 가지고 활용될 수 있도록 분석하는 기술환경이 발달되고 있다. 

알파고가 기계 불침의 영역이라고 생각했던 바둑에서 최정상의 자리를 차지하고, 구글번역이나 네이버의 파파고의 번역 정확도는 나날이 높아지고 있다..

이들의 공통점은 무엇일까? 바로 빅데이터를 활용한다는 것에 있다.

수많은 분야에서 빅데이터를 활용하여 가시적인 성과를 거두고 있지만 보안 분야에서 빅데이터를 활용하는 것이 쉽지 않다고 말한다.

보안 분야에서 어떻게 하면 빅데이터를 잘 활용할 수 있을까?

2. 보안에서 빅데이터 적용이 어려운 이유

1) 목표의 모호성

보안 분야에서 빅데이터의 활용이 어려운 이유 중 하나는 바로 목표를 정확하게 설정하기 어렵다는 것이다.

바둑의 경우는 최대한 자신의 구역을 넓게 만드는 목표가 있다.

번역은 한글을 영어로 또는 영어를 일본어로 변환하는 목표가 있다.

보안에서의 목표는 해커의 공격을 차단하고 자료를 보호하고 유출을 막는 것에 있다.

문제는 해커의 공격이 성공했는지의 판단 기준을 세우기가 어렵고 자료가 유출 되었는지 알기가 어려우며 자료의 유출 경로 또한 다양하다는 것이다.

2) 이벤트 정형화의 어려움

알파고는 16만개의 기보를 가지고 분석을 시도했다.

이는 단순히 실제 공격사례 16만개를 수집하는 것 보다 대단한 수치이다.

바둑에 비교 해서 표현한다면,

사례 별로 바둑판이 다르다  – 공격 사례마다 망 구성도가 다르다

바둑 한 경기당 기보가 다수 존재 - 방화벽, ips, ids, waf, access_log, server의 각종 로그가 존재

바둑의 승리 조건이 다르다  - 공격 유형이 다르다.

더욱이 이 로그를 모두 수집해야 하는데, 해킹 사건이 일어났을 때 로그의 관리가 매우 보수적으로 진행되기 때문에 수집의 어려움이 있다.

3) 검색 엔진의 약점

구글을 비롯한 많은 검색엔진 회사들은 자연어 검색 알고리즘 개발에 많은 투자를 하고 있다.

하지만 보안 로그들은 자연어라고 보기 어렵고 보안에서 활용하는 검색 엔진도 많은 개선이 필요하다.

그래서 SIEM 솔루션 벤더들은 검색 엔진을 직접 개발하는 것 보다는 서로 다른 많은 보안 장비들의 로그들을 정형화하는데 힘을 쏟고 있다.

얼마나 많은 다양한 로그를 세밀하게, 그리고 동일한 이름(필드)으로 구분하는가가 기술의 차이라고 볼 수 있다.

그래도 여전히 검색 엔진의 성능이 중요하다.

로그 소스의 선택, 내가 모르는 필드의 검색 기능 등 개선해야 할 부분이 있다.

그렇다면 수많은 데이터가 홍수처럼 범람하는 SIEM에서 빅데이터의 활용을 하려면 어떻게 해야 할까?

3. 통계를 활용한 단일 경보, 빅데이터의 활용

SIEM의 강점은 많은 보안장비들의 로그를 정형화했다는 것에 있다. 정형화된 IPS, IDS의 로그에 통계를 활용하여 경보를 만드는 방법을 공유한다. 이러한 빅데이터의 활용의 기본은 통계화에 있고 통계는 데이터를 수치화 하는 것이고 수치화를 위해서는 로그의 정규화, 특징(유사성) 도출, 기준 key값의 정의가 필요하다. IPS, IDS 이벤트의 특징은 탐지된 이벤트이며 마지막으로 가장 중요한 key값은 경보에서 동일조건, 발생주기 이다. 여기에 추가적으로 발생건수, 조건정의, 포함조건, 제외 조건으로 상세분류 할 수 있다.

4. 통계에 기반한 경보 사례

■ 웹해킹 탐지 설정

웹해킹은 결국 오픈된 웹서비스 포트로 공격이 이루어지기 때문에 탐지장비에서 웹포트로 탐지되는 이벤트는 웹해킹이 의심된다고 볼 수 있다.

동일조건을 출발지IP 또는 목적지IP 또는 로그소스IP로 하는 것을 추천한다.

오탐을 최소화 하기 위해서는 DDoS 장비가 있다면 IPS,IDS에서 DoS 계열 탐지를 제외하고 DDoS 장비가 없다면 임계치를 상향 조정해야 한다.

하책으로는 경보에서 DoS계열 탐지를 제외하는 방법이 있다.

1) 단일경보 생성

관리 -> 설정관리 -> 단일경보 관리

우측의 여러 그룹 중 원하는 그룹명의 왼쪽 화살표모양을 클릭하면 경보 그룹이 펼쳐진다. 이후 우측 하단의 룰 등록을 클릭

룰이름, 발생주기, 발생건수, 로그소스, 조건정의, 동일조건이 필수 조건이며 경우에 따라 포함, 제외조건을 추가한다.

내부 웹서버 리스트를 오프젝트로 생성하여 등록하거나 ‘에이전트등록_내부아이피’ 오브젝트를 사용하면 SIEM에 등록된 에이전트 리스트를 타겟으로 하는 공격들을 탐지할 수 있다.

룰이름 : [S6_IPS] 웹해킹의심

발생주기 : 10 min

로그소스 : 로그유형(IPS, IDS, TMS)  [그림 2]

조건정의 : 웹_접속포트, 에이전트등록_내부아이피 [그림 3]

동일조건 : 목적지_IP

[그림 2] 로그소스 선택

[그림 3] 조건정의 설정

[그림 4] 등록 완료 화면

2) 경보 발생 확인

보안관제 -> 상관분석을 클릭하면 발생경보를 확인 할 수 있다.

발생한 경보를 우클릭하여 상세분석 클릭하면 경보를 상세하게 볼 수 있다. [그림 3-5]

동일 조건을 목적지 IP로 설정하였기 때문에 아래 그림 3-6, 3-7과 같이 우리 내부의 자산 IP를 기준으로 공격자와 공격명을 한 눈에 볼 수 있게 된다.

반대로 동일 조건을 출발지 IP로 설정한다면 공격자 IP별로 여러 자산을 공격하는 것을 볼 수 있다.

[그림 6] 실제 탐지 화면 1​

[그림 7] 실제 탐지 화면 2

■ 해외 IP 공격자 관리

국외에서 발생하는 탐지 이벤트는 악의적인 공격일 확률이 높다는 점에서 착안하여 국외에서 발생하는 공격 이벤트를 한 눈에 볼 수 있게 만들면 다량의 이벤트를 발생시키는 IP를 한눈에 볼 수 있다.

다만, 해외에서 웹해킹 공격을 시도하는 경우 웹해킹의심 경보와 중복으로 경보가 발생한다는 점을 유념해야 한다.

1) 단일경보 생성

관리 -> 설정관리 -> 단일경보 관리

우측의 여러 그룹 중 원하는 그룹명의 왼쪽 화살표모양을 클릭하면 경보 그룹이 펼쳐진다. 이후 우측 하단의 룰 등록을 클릭

[그림 8] 경보 그룹이 펼쳐진 모습

룰이름, 발생주기, 발생건수, 로그소스, 조건정의이 필수 조건이며 경우에 따라 포함, 제외조건을 추가한다.

‘출발지_해외’ 오브젝트를 사용하면 된다. 해당 오브젝트는 출발지 IP가 KR 또는 –를 제외하는 오브젝트이다.

동일조건을 지정하지 않음으로써 하나의 경보로 볼 수 있게 된다.

해외에서 공격이 많이 발생하는 경우 발생주기를 짧게 설정하고 공격이 적게 발생하는 경우 발생 주기는 길게 설정한다.

룰이름 : [S0_IPS] 해외 공격자 IP 탐지

발생주기 : 1 min

로그소스 : 로그유형(IPS, IDS, TMS)  [그림 9]

조건정의 : 출발지_해외 [그림 10]

[그림 3-9] 로그소스 선택

[그림 3-11] 등록 완료 화면

2) 경보 발생 확인

보안관제 -> 상관분석을 클릭하면 발생경보를 확인 할 수 있다.

발생한 경보를 우클릭하여 상세분석 클릭하면 경보를 상세하게 볼 수 있다. [그림 3-12]

동일조건을 지정하지 않았기 때문에 출발지 IP 다수에 목적지 IP가 다수가 될 수 있다.

경보의 정확성을 높이기 위해 웹해킹처럼 ‘에이전트등록_내부아이피’ 오브젝트를 추가하는 방법도 있다.

 [그림 12] 경보 상세 분석

[그림 13] 실제 탐지 화면 

5. 맺음말

보안에서 빅데이터 적용이 어려운 이유로 꼽았던 세가지 중에서 목표의 모호성을 해결하기 위해서는 더 연구가 필요하지만 SIEM의 통계에 기반한 경보는 검색엔진의 약점과 이벤트 정형화의 어려움을 해결할 수 있는 방법 중 하나이다. 

가장 많이 공격받은 웹서버를 확인해서 취약점을 확인하거나 가장 많이 공격하는 해외 IP가 내부에 침투했는지, 추가적인 검색 시도를 하거나 또는 가장 많이 발생하는 탐지명을 확인해서 오탐을 최소화 하는 방법도 있다.

더욱 신뢰도 높은 탐지를 위해서는 탐지 장비에서 오탐을 최소화 하려는 노력이 선행되어야 한다.

같은 트래픽을 받아도 제조사와 버전별로 탐지장비들의 탐지횟수가 다르기 때문에 여러 종류의 보안장비를 사용하는 경우는 더욱더 오탐에 신경써야 통계의 정확성을 높일 수 있다.