“FDS·BI에 차세대 ESM 적용으로 비즈니스 성장 지원”
상태바
“FDS·BI에 차세대 ESM 적용으로 비즈니스 성장 지원”
  • 김선애 기자
  • 승인 2015.04.13 10:10
  • 댓글 0
이 기사를 공유합니다

남현우 이글루 연구소장 “엔드포인트 모니터링으로 진정한 통합관제”

통합보안관제(ESM) 솔루션은 보안 시스템에서 발생하는 정보를 분석해 다양하게 진행되는 보안위협을 통제하기 위해 도입됐다. 보안관제 시스템 구축이 유행하던 10여년전 수많은 기업들이 이 시장에 뛰어들면서 뜨겁게 달궈졌지만, ‘저가경쟁’의 고질적인 병폐를 넘지 못하고 소수의 솔루션만이 시장에 공급된 상황이다.

ESM 시장의 리더인 이글루시큐리티는 차세대 ESM ‘스파이더 TM 5.0’ 솔루션을 새롭게 출시하면서 보안관제 시장의 불을 다시 당기기 시작했다. 기존의 ESM 구축 고객의 시스템 교체 시기가 도래했으며, 지능화되는 보안위협에 대응하기 위해 차세대 보안관제 시스템 구축을 검토하는 고객이 크게 늘어났다고 판단해 시장이 다시 성장할 기회가 왔다고 판단한 것이다.

남현우 이글루시큐리티 R&D본부 인터넷보안연구소장은 “최근 보안위협은 기존 보안 시스템을 우회하며 다각적으로 진행되기 때문에 차세대 통합보안관리 기술에 대한 수요가 크게 늘고 있다. 특히 차세대 ESM에서는 복잡한 보안위협 정보에 대한 통찰력을 가질 수 있어야 한다. 빅데이터 분석 기술을 접목한 ESM이 필수적인 시점”이라고 말했다.

풀 패킷 분석·NI 기술 적용해 정밀한 방어 제공
최근 화두가 되고 있는 APT는 IT 시스템의 취약점뿐만 아니라 업무 프로세스, 임직원의 습관 등에서 취약점을 찾아 공격하며, 기존 보안 시스템이 탐지하는 임계치 이하로 조용하고 은밀하게 진행하기 때문에 한두개의 보안장비에서 생성되는 로그만을 분석해 탐지할 수 없다.

따라서 모든 IT 시스템에서 생성되는 정보를 분석하는 SIEM이나 통합로그관리 시스템이 각광을 받고 있지만, SIEM과 로그관리 시스템은 로그만을 분석하기 때문에 실시간 탐지가 어렵고, 관리가 까다로워 전문성이 낮은 IT 조직이 운영하는데 어려움을 겪는다.

이글루시큐리티는 풀 패킷 수집·분석 기술과 네트워크 통합 기술을 적용한 ‘차세대 ESM’을 다시 강조하고 나섰다. 빅데이터 분석엔진을 적용해 다양한 형태의 대규모 데이터를 정밀하게 분석해 정교한 공격도 찾아낼 수 있다고 주장한다.

더불어 이글루시큐리티가 갖고 있는 3D 관제기술까지 접목시켜 관리자들이 직관적으로 보안위협을 탐지할 수 있다고 역설했다.

남 소장은 “차세대 ESM에 적용된 빅데이터 분석 기술을 더욱 발전시키면 비즈니스 인텔리전스(BI), 데이터웨어하우스(DW) 등 비즈니스 데이터에 대한 인텔리전스를 제공할 수 있는 솔루션으로 제공할 수도 있다”며 “이글루시큐리티가 그동안 축적해 온 데이터 분석 기술을 이용해 보안 뿐만 아니라 비즈니스에도 활용할 수 있는 방법을 제공할 것”이라고 말했다.

그는 “한편으로 차세대 ESM은 사기거래탐지시스템(FDS)에도 활용될 수 있을 것으로 기대한. ESM은 다차원 분석 알고리즘을 통해 이상행위를 찾아내기 때문에 이상거래에 대한 정황도 탐지할 수 있을 것”이라고 덧붙였다.

엔드포인트 보안위협 탐지해 APT 효과적으로 방어
이글루시큐리티는 지난해 엔드포인트 보안위협을 탐지할 수 있는 ‘IS-KIMO’를 출시하면서 엔드포인트 보안 시장까지 진출했다.

엔드포인트는 거의 모든 형태의 공격이 시작되는 지점이며, 수많은 공격이 상시적으로 진행된다. 이 공격을 막기 위해 안티바이러스, DLP, DRM, NAC 등 보안 솔루션이 탑재된다. 포렌식·샌드박스 등 APT 방어 기술이 엔드포인트에 통합되거나 연계되면서 엔드포인트에서 시작되는 공격을 탐지하기 위한 노력도 진행되고 있다.

그러나 엔드포인트에 너무 많은 보안 제품을 설치하면 단말 성능에 영향을 미쳐 업무 생산성을 크게 저하시킨다. IT 관리조직의 업무를 과다하게 증가시키며, BYOD와 스마트워크 환경 구현을 방해하는 요인으로 지목된다.

이글루시큐리티의 IS-KIMO는 단말의 커널에서 행위기반 분석기술을 적용해 이상행위를 분석하기 때문에 단말 리소스 사용을 최소화하고, 시그니처 업데이트 없이 공격을 탐지하며, 다른 보안모듈과의 충돌을 막을 수 있다.

이글루시큐리티는 이 제품을 안티바이러스 제품과 병행사용할 것을 제않나다. 알려진 공격은 안티바이러스로, 알려지지 않은 공격은 IS-KIMO로 방어하면 보안위협을 크게 낮출 수 있다는 설명이다.

남 소장은 “진정한 통합보안관제를 위해서는 IT 인프라와 네트워크, 엔드포인트를 모두 살펴볼 수 있어야 한다. ESM으로 IT인프라·네트워크를 모니터링할 수 있으며, IS-KIMO로 엔드포인트에 대한 공격을 탐지해 전사적인 보안위협 정보 공유를 통한 방어가 가능하게 된다”고 설명했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.