보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
고도화된 위협에 대응하기 위한 차세대 통합보안관리 전략을 제시하다
2015.08.25
17,035
이글루시큐리티 인터넷보안연구소 남현우소장
hwnahm@igloosec.com
오늘날 보안 환경은 전례 없이 빠른 속도로 변화하고 있다. 3.20 사태나 최근 한수원 사고 등에서 확인했듯이 국가 또는 범죄집단으로부터 막대한 자금 지원을 받으며 활동하는 공격자들이 인프라와 조직의 약점을 파고드는 지속적인 공격을 감행하고 있다. 또한, 클라우드, 빅데이터, 사물인터넷 도래에 따라 차세대 인프라 도입이 증가하며 IT 환경이 점점 복잡해지는 만큼, 새로운 취약점도 속속히 생성되고 있으며, 관리자가 준수해야 하는 규제들은 한층 까다로워지고 엄격해지고 있다.
이러한 변화는 보안 위협이 장기간의 공격을 통해 더 많은 정보를 빼내고, 더 많은 금전적 손실을 입히며, 더 많은 해를 가하는 방향으로 진화하고 있다는 데서 기인한다. 과거에는 공격자가 타깃으로 삼은 기업 관계자의 단말에 악성코드를 설치하고 가치 있어 보이는 정보를 빼내가는 데 공격이 그쳤다. 그러나, 현재의 공격자는 ▷개별 시스템, 사용자를 표적으로 삼아 수개월 간 정찰(Reconnaissance)을 하고 ▷스팸메일 등 기존의 자동적 공격과 차별화되는 수동적 방식 (Manual Operations)으로 제로데이 취약점(Zero-day Vulnerabilities)을 파고드는 공격을 감행하며, ▷심지어 비기술적인 사회공학적 공격 기법까지 동원하여 공격 성공률을 높이고 있다. 즉, 지능적인 공격 기법을 활용하여 표적으로 삼은 대상에게 은밀하게 침투하고(Advanced), ▷지속적으로 천천히 시간을 들여 회사와 관련된 모든 정보를 살펴보며 (Persistent) ▷목표로 삼은 특정 정보를 유출시키거나 회사 시스템, 보안 서비스를 무력화하는 (Targeted) 지능적인 방식으로 자동화 된 탐지를 교묘하게 우회하며 활동하고 있는 것이다.
이러한 공격 방식의 변화는 기업의 공격 방어 및 관리 방식까지 함께 진화해야 한다는 것을 의미한다. 방화벽, 백신, 침입탐지/차단 시스템 등 경계기반에 집중된 전통적인 보안 관리 방식으로는 고객 데이터, 사회기반 시설 및 서비스 인프라 제어시스템 등 중요한 정보와 인프라를 보호하기에는 역부족이다. 공격자들이 기업 내부 시스템들을 교묘히 옮겨 다니며 공격하는 만큼, 보안 시스템 로그의 관리, 분석만으로는 공격자의 행위를 정확하고 빠르게 탐지하는 것은 물론 어떤 정보가 얼마나 많이 유출되었는지 파악하기 어렵기 때문이다. 이것이 바로 간과하고 있는 기업의 취약점을 파악할 수 있는 새로운 접근 방식, 즉 보안과 관련된 모든 정보를 수집하고 기업 전반에 걸쳐 가시성을 확보할 수 있는 지능형 보안 체계 구축이 요구되는 이유이다.
이에 따라, 이기종의 정보보호시스템에서 수집되는 방대한 보안 데이터를 저장, 검색 및 분석하는 통합보안관리 기술에 대한 시장의 수요가 점점 증가하고 있다. 한층 복잡해진 IT 환경 속에서 모든 로그와 패킷 데이터를 통합 관리하고 분석함으로써 기업 전반에 걸친 가시성을 확보하고 보안 관리의 복잡성을 해소하며, 위협에 맞서 보다 정확하고 빠른 의사결정을 내릴 수 있기 때문이다.
▷ 고도화된 위협에는 고도화된 통합보안관리가 요구된다
보안 환경 변화에 따라, 보안 관리자의 업무도 한층 과중해지고 있다. 고도화된 위협에 대한 예측을 하고, 공격에 빠르게 탐지, 대응하기 위해서는 이기종의 보안 인프라, 솔루션에서 발생하는 모든 로그, 트래픽 데이터의 취합 및 분석이 요구되는 까닭이다. 실제로, 2012년 EMA에서 발표한 ‘데이터 기반 보안의 대두(The Rise of Data-Driven Security)’ 보고서에 따르면, 1000명 이상 기업 내 정보보안조직 담당자 200명의 응답자 중 40%는 보호해야 할 정보의 양이 너무 많아 보안 대책 마련에 어려움을 겪고 있으며, 35%는 보안 대책 마련에 필요한 충분한 시간과 전문 지식의 부족을 이유로 어려움을 겪고 있는 것으로 나타났다.
이러한 어려움을 극복하고 날로 고도화되는 위협에 선제적으로 대응하기 위해 기업이 가장 우선적으로 고려해야 할 요소는 무엇일까? 대용량의 보안 데이터를 효율적으로 수집, 분석하는 보안 관리자의 역량과 더불어 내부 인프라 전반에 걸친 가시성을 확보하고 정확하고 빠른 분석을 가능하게 하는 선진화된 솔루션의 도입이 필수적이다. 기업은 통합보안관리 솔루션 도입에 앞서, 해당 솔루션이 다음과 같은 요건을 갖추고 있는 지 검토해 볼 필요가 있다.
첫째, 오늘날 보안 관리자들이 담당해야 하는 업무가 점차 복잡 및 방대해지는 만큼, 단일한 환경에서 모든 보안 데이터를 통합 관리하고 업무를 수행하는 통합적 관제 환경 구성이 이루어져야 한다. 즉, 최초 탐지부터 로그/네트워크 패킷까지 모든 정보의 흐름을 즉각적으로 파악하고 모니터링, 탐지, 조사, 관리 등 다양한 보안 업무를 처리할 수 있어야 한다.
둘째, 네트워크의 모든 패킷을 저장하고 분석할 수 있어야 한다. 사용자 중심의 공격이 많이 발생함에 따라 기존 로그 중심 분석으로는 기업 인프라 내에서 어떤 이슈가 발생하고 있는 지 확인하는 데 한계가 있다. 모든 로그, 네트워크 데이터를 수집하고, 이를 연계 분석할 수 있는 솔루션을 통해 내부 인프라에 대한 가시성을 높여야 한다. 또한, 공격 탐지에서 더 나아가 이 공격이 성공했는지, 기업의 어떤 인프라, 정보를 겨냥한 것인지, 어떤 경로로 들어왔는지 등 공격 행위를 완벽하게 재구성할 수 있는 모든 자료가 제공되어야 한다.
셋째, 보안 조사에 걸리는 시간을 수 일에서 수 분 단위로 감소시켜 업무의 효율성을 획기적으로 높일 수 있는 선진화된 분석 기법이 적용되어야 한다. 관리자는 집중적으로 조사할 필요가 있는 공격, 행위들을 효율적으로 선별함으로써 공격자가 활동할 수 있는 시간을 크게 단축시키고 더 큰 피해가 발생하는 것을 방지해야 한다.
넷째, 내부 데이터를 최신의 공격 기법, 경향 등 외부 위협정보와 연관 분석함으로써 중요 보안 정보에 대한 통합적 가시성을 확보할 수 있어야 한다. 최근 개최된 ‘RSA 2015’ 컨퍼런스에서도 여러 번 강조된 것처럼, 지능형 공격의 침투 경로, 방법 분석을 통해 피해를 최소화하기 위해서는 전 세계의 다양한 기업, 기관으로부터 수집, 분석된 위협요소 정보 확보, 즉 위협 인텔리전스(Security intelligence)’가 기본적으로 밑바탕에 깔려있어야 한다.
방화벽과 안티바이러스 제품이 보안의 전부로 여겨지던 초창기 정보보호 시장에서 국내 통합보안관리 시장을 개척하고 이끌어온 이글루시큐리티는 날로 진화하는 공격에 선제적으로 대응하기 위해서는 예측 못한 공격에 대한 빠른 탐지에서 더 나아가 IT 인프라가 보안 위협에 노출되지 않도록 24시간 365일 지켜보고, 위험요소 발견 시에는 명확한 의사결정으로 보다 기민하게 대응할 수 있는 통합보안 관리 혁신이 필요하다고 믿고 이를 구현하기 위한 구체적인 방법론을 제시하고 있다.
▷ 이글루시큐리티의 보안관제 수행 경험 및 빅데이터 활용 역량이 집약된 통합보안관리 솔루션, SPiDER TM 5.0
■ 보안관제 업무에 최적화된 기능 구현
이글루시큐리티는 15년간의 보안관제 수행 경험 및 방대한 보안 데이터 활용 역량이 집약된 통합보안관리 솔루션 SPiDER TM 5.0을 지난 3월 새롭게 선보였다. SPiDER TM 5.0은 보안 관리자들이 좀더 효율적으로 공격을 차단하고 올바른 의사결정을 내릴 수 있도록 전사적 관점에서 보안 관련 데이터를 상세 분석할 수 있는 일원화 된 형태의 관제 환경을 지원하는 것이 특징이다.
<이미지1, 2. 최초 탐지부터 로그/패킷 분석까지 일원화 된 관제 환경 구성으로 업무의 효율성편의성 향상>
보안 관리자들은 최초 탐지부터 로그/네트워크 패킷까지 모든 정보의 흐름을 즉각적으로 파악하고, 자동화된 분석 플랫폼을 통해 ‘매우 빈번히 일어난’ 또는 ‘매우 드물게 발생한’ 행위들을 쉽게 확인함으로써 집중적으로 조사할 필요가 있는 공격들을 효율적으로 선별할 수 있게 된다. 이를 통해 보안 업무의 우선순위를 정해 보다 효율적으로 업무를 진행할 수 있게 되는 한편, 공격자가 활동할 수 있는 시간을 크게 단축 시켜 더 큰 피해가 발생하는 것을 방지할 수 있게 된다.
<이미지3. 체계적 프로세스로 신속한 침해사고 처리 및 이력 관리 수행>
또한, SPiDER TM 5.0은 침해사고에 보다 기민하게 대응할 수 있도록 발생한 위협 건수와 이에 대한 처리 현황을 한눈에 확인할 수 있는 직관적인 관제 화면 구성으로 관리자의 업무 편의성도 대폭 높였다.
<이미지4. 현재 발생된 위협의 건수와 처리 현황을 한눈에 확인할 수 있는 관제 화면 구성>
<이미지5. 장애 상황을 직관적으로 인지할 수 있는 3D Network Topology Map 제공>
■ 고도화 상관분석 및 성능 향상
SPiDER TM 5.0은 대용량의 원본 로그 및 풀 패킷 데이터를 빠르게 분석해 낼 수 있는 빅데이터 분석 체계에 기반하고 있다. 실시간 상황판단 및 실행을 할 수 있는 복합 이벤트 처리 기술인 CEP(Complex Event Processing) 적용으로 데이터베이스 저장 없이 인메모리 기반에서 실시간으로 이벤트를 분석하는 동시에 과거 데이터와 실시간 데이터를 연동해 ▷공격 대상 정보 수집 ▷취약 시스템 공격 시도 ▷시스템 탈취 ▷내부자원 정보 수집▷내부 정보 유출 등 각 공격 단계 별 위협상황을 다양한 관점에서 파악할 수 있는 시나리오 기반의 다차원 상관분석 기능을 제공한다.
관리자들은 몇 번의 클릭만으로 방대한 양의 로그 및 네트워크 트래픽 데이터를 수집, 분석 해 공격 행위를 완벽하게 재구성함으로써 공격의 유효성을 보다 정확하게 검증하고 보안 조사에 걸리는 시간을 수 일에서 수 분 단위로 감소시켜 업무의 효율성을 획기적으로 높일 수 있게 된다. 즉, 악성코드를 발견하는 것에서 더 나아가, 이 악성코드가 어떤 데이터를 송수신하고 있는지, 이 악성코드에 감염된 다른 시스템은 없는지 등 해당 행위의 중요성을 쉽게 판별할 수 있는 가치 있는 정보를 제공받게 됨으로써 공격 탐지에서 더 나아가 공격의 연결고리를 끊는 보다 능동적인 보안 대책을 수립할 수 있게 된다.
구분 | 기존 제품 | SPiDER TM 5.0 |
분석 방식 | SQL 방식 (데이터베이스 저장 분석) | 인메모리 + 빅데이터 방식 |
분석 시간 | 1분 내외 | 시간에 상관 없음 (긴 시간 동안 설정 가능) |
분석 데이터 | 저장 데이터 | 실시간 데이터 + 과거 데이터 |
분석 방법 | 정해진 필드에 대한 단순 패턴 매칭(특정 시그니처, 임계치 등) | 모든 필드에 대한 다양한 분석 (패턴, 임계치, 연산자 등 복합 분석) |
시나리오 분석 | 미지원 | 단계 별 시나리오 분석 지원 |
<표1. 대용량의 원본 로그 및 풀 패킷 데이터를 빠르게 분석해 낼 수 있는 향상된 기능 지원>
<이미지 6. 빅데이터 기반의 고속파일 데이터베이스를 통한 로그 분석의 효율성 제공>
<이미지 7. 모든 패킷 데이터에 대한 분석 지원>
■ 최신보안위협에 대한 정보 제공
<이미지8. 최신 위협 정보 및 공격 기법에 대한 실시간 정보 제공>
보다 정확하고 빠른 공격 탐지를 위해서는 외부 기관에서 제공하는 최신 위협정보도 연계하여 분석할 수 있어야 한다. SPiDER TM 5.0은 보안 관리자가 기업의 보안 취약점 및 위협 요인을 보다 빠르게 탐지할 수 있도록 최신 위협 정보 및 공격 기법에 대한 정보를 실시간으로 제공한다. 이글루시큐리티 보안위협연구센터의 악성코드 유포지 자동수집 시스템인 ‘애플도어 시스템’은 유해 IP/URL 등 정보를 수집하고, 최신 공격 시나리오에 기반한 탐지 상관분석 정책을 제시한다. 또한, 한국인터넷진흥원 등 외부 기관들이 수집하는 최신 보안 위협 정보도 제공한다. 이와 같이 기업 내외부에서 취합, 수집되는 정보가 연계되어 모든 고객사에 전달되기 때문에 보안 관리자들은 분석에 필요한 정보를 일일이 취합할 필요 없이 중요 보안 정보에 대한 통합적 가시성을 확보할 수 있게 된다.
▷결론
초기 단순한 바이러스로 시작되었던 사이버 공격이 점차 다양해지고 정교해지는 가운데, 오늘날 많은 기업들은 고도화된 공격에 민첩하게 대응하기 위한 방어 체계 구축에 매진하고 있다. 그러나, 방화벽, 백신, 침입 탐지/차단 시스템 등의 전통적인 보안관리로는 고도화된 위협에 맞설 수 없다. 기업이 견고한 방패막을 세우기 위해서는 IT 인프라 전반에 걸쳐 정보를 수집해 공격징후를 파악할 수 있는 보다 명확하고 체계적인 통합보안관리 전략이 필요하다.
기업은 기존의 보안 정책, 운영 인력 및 프로세스, 조직의 취약점을 면밀히 검토하는 것부터 시작해, 내외부위협에 대한 폭넓은 가시성을 확보하고 신속히 대응할 수 있는 선제적인 보안 체계를 마련하기 위해 매진해야 할 것이다.