‘디지털 트랜스포메이션’이 성장의 필수 조건이 되면서 현재는 물론 미래까지 포괄할 수 있는 차세대 기술 선택이 중요한 요소가 됐다. 이에 따라 소프트웨어 정의, 클라우드, 가상화, IoT의 실제 성공사례가 입증되고 있으며, IT 인프라의 체질 개선도 본격화 되고 있다. 본지는 디지털 트랜스포메이션을 가속화하고 4차 산업혁명 시대를 앞당기고 있는 ICT 기술을 평가하고 전망해본다.<편집자>
침해 탐지·대응으로 이동하며 ‘차세대 관제’ 주목
클라우드·IoT 확대로 공격에 노출되는 지점(Attack Surface)이 늘어나고 있다. 그래서 내부 시스템에서 침해 흔적을 찾아 분석해 피해 확산을 막고 유사한 공격을 차단하는 탐지·대응 방안이 다양하게 제시되고 있다. 나아가 머신러닝 기술을 적용해 시스템이 스스로 학습하고 정상 상태와 다른 정황을 탐지하면서 고도화되고 있다.
보안의 무게추가 차단에서 탐지·대응으로 옮겨가면서 보안관제 시스템이 다시 주목받고 있다. 최근의 차세대 보안관제는 인공지능 기술과 위협 인텔리전스를 결합시켜 진화하는 공격에 대응한다.
SK인포섹의 경우, 인텔리전스를 강화한 보안관제 시스템 ‘시큐디움’에 글로벌 위협 인텔리전스를 더해 보안관제 서비스 수준을 한 단계 끌어올렸다. 글로벌 위협 정보 공유 커뮤니티인 CTA에 가입하면서 방대한 글로벌 위협을 공유하게 돼 보다 정확한 위협 탐지를 제공할 수 있게 됐다.
이글루시큐리티는 AI를 접목한 지능형 차세대 보안관제 시스템을 대구시 보안관제체계 구축에 적용하고 있으며, 보안관제 시스템 ‘스파이더 티엠 V5.0’과 연동되는 IT 자산, 취약점 관리 자동화 솔루션 ‘스마트가드’를 출시하고 보안관제 역량을 넓혀가고 있다. 2018년에는 AI, 위협 인텔리전스. 네트워크 포렌식, IT 자산 취약점 분석 등의 핵심 기능을 포함시킨 차세대 SIEM을 출시, 보안관제 수준을 한 층 더 높일 계획이다.
퍼블릭 클라우드로 확대되는 보안관제
안랩은 퍼블릭 엔터프라이즈 클라우드 사용 고객을 위한 원격보안관제 서비스로 영역을 확장하고 있다. AWS, IBM 클라우드, MS 애저 등의 고객에게 보안관제 서비스를 제공하고 있으며, 웹방화벽, 랜섬웨어 대응 등을 클라우드 서비스로 제공하고 있다.
정부가 2017년 7월 공공분야 보안관제 전문업체 지정 제도를 시작한 후 전문업체로 선정된 파이오링크는 NHN엔터테인먼트와 관계사 등 대형 사이트에 관제 서비스를 제공해 온 역량을 기반으로 관제시장의 약진을 자신하고 있다. 파이오링크는 빅데이터 기반 로그 분석 기법과 지능형 악성코드 수집·대응 기법을 적용해 신속·정확한 위협 탐지·대응력을 확보했다. 2018년에는 AI, 클라우드로 영역을 확대하며 다양하고 전문화된 통합 보안 관제 서비스를 제공한다는 계획이다.
모든 패킷·로그 통합분석하는 관제 시스템
현재 보안관제 시스템은 로그관리에 초점을 맞추고 있지만, 네트워크 패킷 분석과 엔드포인트 침해 정보까지 연관분석해야 정확한 위협 탐지와 대응이 가능하다는 요구가 높다. 델EMC RSA ‘넷위트니스’는 네트워크 포렌식, SIEM, EDR을 통합한 플랫폼으로, 모든 패킷과 로그, 엔드포인트 침해 정보를 하나의 UI에서 통합 분석한다. 보안·비즈니스 상황을 바탕으로 신속하게 위협 순위를 지정하며, 다양한 환경과 조건에서 위협 인텔리전스를 수집해 신종 공격 대응 속도를 향상시킨다.
쉽고 간편한 UI와 관리도구를 이용해 보안 분석가와 침해대응 담당자의 역량을 배가시킨다. 2018년 상반기 UEBA 기술을 추가한 신제품을 출시하고 패턴기반 탐지로 발견하기 어려운 고도화된 공격에 대응할 수 있게 지원할 계획이다.
델EMC RSA는 거버넌스, 리스크 관리, 컴플라이언스(GRC) 솔루션 ‘아처’도 적극적으로 시장에 소개하고 있다. 아처는 규제준수 프로세스를 혁신해 자동화된 제어 능력을 보장하고, 알려진 위협 대응과 알려지지 않은 위협 대응 태세를 확립해준다.
네트워크 포렌식 솔루션 중에서는 시만텍의 보안분석 플랫폼(SAP)이 넷위트니스와 경쟁한다. SAP는 풀패킷 검사로 진화하는 공격을 차단하며, 실시간 멀웨어 분석 시스템, 보안 웹 게이트웨이 등 시만텍의 보안 솔루션과 연동해 신종 위협 탐지·차단 능력을 높였다.
AI로 고도화되는 관제 역량
최근 보안관제 시스템은 AI의 하나인 머신러닝을 이용해 관제역량을 고도화한다. 관제시스템이 수집하는 정보를 학습하고 공격 방식, 악성코드 패턴, 지능형 우회공격 등을 찾아내는데 기여하고 있다. 행위분석, 계정행위분석 기능을 더해 내부 직원이나 외부 침입자에 의한 이상행위까지 탐지하는 기술을 제공한다.
머신러닝을 이용하는 관제 솔루션의 대표적인 예가 다크트레이스와 벡트라다. 이 두 솔루션은 네트워크 패킷을 분석해 이상행위를 찾아내는 네트워크 위협 분석(NTA) 기술을 제공한다. 다크트레이스의 사이버 면역 시스템은 네트워크의 건강한 상태를 학습한 후 이상행위에 대해 경고 한다. 관제 시스템에 다크트레이스가 적용되면 사람이 보지 못하는 위협을 찾아낼 수 있어 지능형 공격 방어 효과를 높일 수 있다.
최근 로그관리, SIEM 솔루션에도 머신러닝을 탑재하는 것이 유행하고 있으며, 사용자 행위 분석(UBA), 사용자 계정 행위 분석(UEBA) 솔루션과 연계하는 모델도 채택되고 있다. 스플렁크, 마이크로포커스 아크사이트 등이 이러한 모델을 제안하는 대표적인 곳이다.
토종 솔루션들도 머신러닝을 이용해 지능형 위협 탐지 효과를 높이고 있다. 닉스테크의 사용자 계정 행위분석(UEBA) 솔루션 ‘ADS 플러스’를 공공·금융기관다수에 공급했으며, 시나리오와 머신러닝을 결합해 전사적인 보안관리 수준을 높인다. 닉스테크는 UEBA와 EDR을 결합시켜 엔드포인트부터 네트워크까지 이르는 탐지 전략을 제공할 계획이다.
