사용자 중심의 탈 경계 보안 및 지능형 탐지 필요

[보안뉴스 김태형] 점점 다양해지고 고도화된 사이버 보안위협이 전 세계적으로 확산되고 있다. 이에 각 기업이나 기관에서는 좀더 효율적인 보안체계를 위해 고심하고 있다.

이제 보안은 공격자들을 직접 찾아내서 막아야 하는 새로운 접근 방법이 요구되고 있다. 그러나 현재의 보안 플랫폼은 IT 통제 및 경계 보안, 즉 시그니처 기반의 예방 위주가 대부분이다.



 ▲ 이제 보안은 공격자들을 직접 찾아내서 막아야 하는 새로운 접근 방법이 요구되고 있다.
하지만 최근 보안 플랫폼은 이러한 경계가 모호해지면서 사용자 중심의 탈 경계 보안, 인텔리전트 기반의 탐지 보안의 필요성이 대두되고 있다. 이러한 가운데 글로벌 보안기업들을 중심으로 인텔리전스 보안관제를 위한 플랫폼 및 서비스를 강조하는 경우가 증가하고 있다.

우선 시만텍은 자사의 인텔리전스 네트워크 정보를 국내 보안관제 서비스에 활용하는 형태로 지능형 지속위협 보안관제 서비스를 제공한다고 출사표를 던졌다. 시만텍 인텔리전스 네트워크는 157개국에 설치된 4150만대 네트워크 센서와 1억 5천만 대가 넘는 시스템에서 인터넷 보안위협에 대한 데이터를 수집·분석해 이를 활용하는 것이 특징이다.

이에 대해 지난 6월 한국을 방문한 시만텍의 피터 스팍스 아시아태평양·일본 지역 보안관제 서비스 총괄 이사는 “최근의 사이버 위협 양상이 전 세계로 확산되고 있다. 이에 대응하기 위해서는 글로벌 인텔리전스를 갖춘 보안관제 서비스가 필요하다”고 말했다.

이어서 그는 “정보를 수집·분석하는 것도 중요하지만 이를 보안관제 서비스에 적용하는 것이 더욱 중요하다. 시만텍은 인텔리전스 네트워크의 정보를 보안관제 서비스에서 활용할 수 있는 기술을 보유하고 있고, 이를 통해 보다 고도화된 위협관리가 가능하다”고 덧붙였다.

또한, 최근 EMC RSA는 최신 보안기술을 통합해 다양한 지능형 위협을 실시간으로 탐지, 차단할 수 있는 솔루션 ‘EMC RSA Advanced SOC’을 발표했다. 이 솔루션은 ‘보안정보이벤트관리(SIEM)’, ‘풀 패킷 저장 네트워크 포렌식’, ‘엔드포인트 위협 탐지’ 등의 다양한 보안기능이 통합 제공되는 형태로 전통적인 경계 기반 보안 솔루션과 비교해 한층 체계적이고 선진화된 통합보안 플랫폼 구축방안을 제시한다.  

이로써 보안관리자들은 400개 이상의 네트워크와 로그 분석 파서(Parser) 및 275개 이상의 연관성 분석 룰을 통해 기업 전반의 보안위협 요인을 실시간으로 인지하고 업무의 우선순위를 정함으로써 가장 위험한 위협요인을 빠르게 탐지, 대응하는 동시에 업무의 효율성을 한층 향상시킬 수 있게 된다.

이와 관련 EMC RSA 보안사업본부 신호철 상무는 “보안은 비즈니스 손실을 최소화할 수 있는 조치가 되어야 한다. 이를 위해서 보안 위협이 있는 이상행위를 탐지하고 사건에 대한 데이터를 수집·분석해야 한다”면서 “이를 위해서 RSA는 △지능화된 위협 탐지 및 조치 △사용자, 사람과 정보간 상호관계 보안 △조직 내 위험 인지 및 관리 △온라인 사기 사이버범죄 방지 등의 4가지 분야에 초점을 맞추고 있다”라고 덧붙였다.

이와 함께 엔시큐어 김정수 팀장은 “기존 경계망(방화벽) 보안 장비는 단순 서비스 접속 로그만을 감시하므로 초당 수백에서 수천 건 발생하는 로그를 감시하기에는 한계가 있다. 또 IDS/IPS 장비의 수많은 탐지 경고 중에서 유효한 탐지 내역 확인 어렵다”면서 “단순 상관관계 분석으로는 점차 발전해가는 공격 유형에 대한 대응이 어렵고 로그 수집 분석을 위해 SIEM(Security Information and Event Management;보안정보 이벤트 관리) 구축을 활용한 미래지향적 SOC(Security Operations Center: 보안운영관제센터)의 구현이 필요하다”고 말했다.

이어서 그는 “최근 보안관제 센터를 구축할 때 기술적인 측면만을 중요시 하는 경향이 많다. 하지만 인력관리 프로세스 등과 같은 전체적인 관리 프로세스도 고려해야 한다”면서 “엔시큐어가 공급하는 HP ArcSight를 활용해 SIEM을 구축한다면 다양한 상관관계 분석과 분석 방법의 지속적인 개선 적용이 용이한 플랫폼 구축, 빅데이터 기반 분석 플랫폼 구축, 자동화·단순화된 분석이 용이하도록 구현이 가능하다”고 덧붙였다.

HP ArcSight는 모든 이벤트 소스로부터 정보를 수집하고 데이터 숲으로부터 의미 있는 정보를 도출하는 지능적인 연관분석을 제공한다. 또한 즉각적인 상황인식이 가능한 사용자 요구사항별 맞춤 상황판을 제공해 침해에 대한 빠른 대응으로 위험을 최소화할 수 있다.

그리고 빠른 조사와 조치를 위한 효과적인 정보의 저장과 검색, 보안이슈의 근본원인에 대한 빠른 조사와 결정, 기업 내 모든 보안과 컴플라이언스 관계자를 위한 유연하고 자동적인 보고서 생성, 미션 민감한 업무에 맞는 확장성 있는 아키텍처로 높은 가용성 보장, 높은 성능을 유지하기 위한 효율적인 관리와 커스터마이징을 제공한다.

이처럼 미래지향적인 인텔리전스 보안관제센터는 모든 소스 및 데이터의 수집을 통한 연관분석과 이상행위의 지능적인 탐지, 그리고 비즈니스 손실을 최소화 할 수 있는 조치와 업무 효율성 향상을 위한 자동화 기능 등을 제공한다. 이를 통해 각 기업들은 보안을 강화하고 비즈니스 리스크를 줄일 수 있다. 

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>