.gif)
풀패킷 캡쳐 및 수집-> 탐지-> 헌팅-> 포렌식-> 대응 단계 거쳐 방어해야
[보안뉴스 김경애 기자] 러시아-우크라이나 사이버전, 북한 해커조직의 사이버 공격 등 국가간 사이버전을 비롯해 핵티비즘과 같은 조직화된 대규모 공격이 갈수록 진화하고 있다. 또한 최신 기술을 접목한 AI-Driven 공격의 확산, 사이버 공격의 서비스화 및 자동화로 공격기술은 고도화되고 있다. 그러나 기업에서 이러한 위협에 효과적으로 대응하기는 쉽지 않다. 기업에서는 한정된 인력 대비 효율적인 보안 운영을 위해 SIEM, SOAR 등과 같은 보안 플랫폼을 도입하고 있지만 이마저도 한계가 있다. 이에 따라 좀더 첨단화된 대응과 효율적인 전략이 필요하다는 지적이 제기된다.
▲쿼드마이너 김용호 CTO가 ISEC 2024의 키노트 세션에서 강연하고 있다[사진=보안뉴스]
이러한 가운데 아시아 최대 규모 보안 콘퍼런스 ISEC 2024의 키노트 세션에서 쿼드마이너 김용호 CTO는 SIEM, SOAR 등을 좀더 전략적으로 활용해 자동화를 지향하는 방향으로 대응해야 한다는 전략을 제시하며 이목을 끌었다.
SIEM과 SOAR의 제약사항과 한계에 대해 김 CTO는 “SIEM의 경우 높은 오탐율, 사건 수동 조사 필요, 확장성 문제, 경보 피로 등은 아직 풀어야 할 과제”이며 “SOAR는 복잡한 통합 과정, 벤더 종속 및 유지 비용, 지속적인 튜닝 필요, 유지관리를 위한 전문적 스킬이 필요하다는 점이 한계로 지적된다”고 설명했다.
그렇다고 SIEM과 SOAR의 역할을 부정하는 건 아니라는 게 김 CTO의 설명이다. 어떻게 기획하고 디자인하는지 등 전체 라이프사이클을 어떻게 구성하고 어떤 전략을 수립하느냐에 따라 달라질 수 있다는 얘기다. 이에 대해 김 CTO는 SIEM+SOAR를 활용해 풀패킷 캡쳐 및 수집-> 탐지-> 헌팅-> 포렌식-> 대응 순의 단계를 거쳐 방어해야 한다고 강조했다.
풀패킷 캡쳐 및 수집 정보와 관련해 김 CTO는 “IP 플로우, 애플리케이션, 메타데이터, 디바이스, 이메일, 게시판, SNS, 거래내역, 번역 콘텐츠, HTML 화면복원, 파일 추출, 세션 기록 등에 대해 풀패킷 캡처 기반의 트래픽 전수검사를 통해 보안운영 자동화를 지원해야 한다”고 설명했다.
탐지 단계에서는 비정상 콘텐츠, 비정상 세션, 위협·공격, 이상 트래픽, 정책 위반 등을 효과적으로 탐지해야 하고, 헌팅 단계에서는 선제적 위협 헌팅, 알려지지 않은 위협 식별, 잠재된 위협 식별을 통해 언제, 어디서, 누가, 무엇을, 왜 어떻게 하는지에 대한 확정적인 증적이 마련돼야 한다고 제시했다.
포렌식 단계에서는 다양한 위협에 대해 심층적인 조사가 자동으로 구현돼야 한다는 설명이다. 이와 관련 김용호 CTO는 “센서 역할을 하는 네트워크 블랙박스(Network Blackbox)에서 수집된 빅데이터를 기반으로 LLM과 RAG 기술을 이용한 AI 어시스턴트를 통해 보안 운영상에서 발생될 수 있는 다양한 위협을 분석하고, 조사 과정의 자동화 구현을 통해 위협에 대응할 수 있는 방향으로 발전돼야 한다”고 말했다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] 러시아-우크라이나 사이버전, 북한 해커조직의 사이버 공격 등 국가간 사이버전을 비롯해 핵티비즘과 같은 조직화된 대규모 공격이 갈수록 진화하고 있다. 또한 최신 기술을 접목한 AI-Driven 공격의 확산, 사이버 공격의 서비스화 및 자동화로 공격기술은 고도화되고 있다. 그러나 기업에서 이러한 위협에 효과적으로 대응하기는 쉽지 않다. 기업에서는 한정된 인력 대비 효율적인 보안 운영을 위해 SIEM, SOAR 등과 같은 보안 플랫폼을 도입하고 있지만 이마저도 한계가 있다. 이에 따라 좀더 첨단화된 대응과 효율적인 전략이 필요하다는 지적이 제기된다.
▲쿼드마이너 김용호 CTO가 ISEC 2024의 키노트 세션에서 강연하고 있다[사진=보안뉴스]
이러한 가운데 아시아 최대 규모 보안 콘퍼런스 ISEC 2024의 키노트 세션에서 쿼드마이너 김용호 CTO는 SIEM, SOAR 등을 좀더 전략적으로 활용해 자동화를 지향하는 방향으로 대응해야 한다는 전략을 제시하며 이목을 끌었다.
SIEM과 SOAR의 제약사항과 한계에 대해 김 CTO는 “SIEM의 경우 높은 오탐율, 사건 수동 조사 필요, 확장성 문제, 경보 피로 등은 아직 풀어야 할 과제”이며 “SOAR는 복잡한 통합 과정, 벤더 종속 및 유지 비용, 지속적인 튜닝 필요, 유지관리를 위한 전문적 스킬이 필요하다는 점이 한계로 지적된다”고 설명했다.
그렇다고 SIEM과 SOAR의 역할을 부정하는 건 아니라는 게 김 CTO의 설명이다. 어떻게 기획하고 디자인하는지 등 전체 라이프사이클을 어떻게 구성하고 어떤 전략을 수립하느냐에 따라 달라질 수 있다는 얘기다. 이에 대해 김 CTO는 SIEM+SOAR를 활용해 풀패킷 캡쳐 및 수집-> 탐지-> 헌팅-> 포렌식-> 대응 순의 단계를 거쳐 방어해야 한다고 강조했다.
풀패킷 캡쳐 및 수집 정보와 관련해 김 CTO는 “IP 플로우, 애플리케이션, 메타데이터, 디바이스, 이메일, 게시판, SNS, 거래내역, 번역 콘텐츠, HTML 화면복원, 파일 추출, 세션 기록 등에 대해 풀패킷 캡처 기반의 트래픽 전수검사를 통해 보안운영 자동화를 지원해야 한다”고 설명했다.
탐지 단계에서는 비정상 콘텐츠, 비정상 세션, 위협·공격, 이상 트래픽, 정책 위반 등을 효과적으로 탐지해야 하고, 헌팅 단계에서는 선제적 위협 헌팅, 알려지지 않은 위협 식별, 잠재된 위협 식별을 통해 언제, 어디서, 누가, 무엇을, 왜 어떻게 하는지에 대한 확정적인 증적이 마련돼야 한다고 제시했다.
포렌식 단계에서는 다양한 위협에 대해 심층적인 조사가 자동으로 구현돼야 한다는 설명이다. 이와 관련 김용호 CTO는 “센서 역할을 하는 네트워크 블랙박스(Network Blackbox)에서 수집된 빅데이터를 기반으로 LLM과 RAG 기술을 이용한 AI 어시스턴트를 통해 보안 운영상에서 발생될 수 있는 다양한 위협을 분석하고, 조사 과정의 자동화 구현을 통해 위협에 대응할 수 있는 방향으로 발전돼야 한다”고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
