[기술동향 : SIEM] 지능적 로그 관리 플렛폼으로 진화하다

빅데이터 분석기술과 통합해, 올 시장 상승세 전망

SIEM(Security Information & Event Management)이 빅데이터 분석기술과 통합하며, 지능적으로 진화하고 있다. 종전의 시그니처 기반 탐색으로는 신종 APT탐지에 한계가 있기 때문에, 기업 IT 인프라 전반의 빅데이터를 실시간으로 분석해 잠재적 위협을 식별한다는 방향이다. SIEM 솔루션이 APT 방어에 초기 대안 중 하나로 떠오르면서 관련 시장은 2014년부터 매년 성장해왔다. 올해도 기업 및 기관에서는 SIEM에 대한 관심과 도입이 높을 것으로 예상된다. SIEM 분야에서 활약 중인 국내외 솔루션들의 특징과 장점, 그리고 도입할 때 고려해야할 점들을 정리했다.

SIEM, 보안사고를 분석하고 예방하기 위해선 필수

기업은 거대한 테라바이트 급의 다양한 정형/비정형데이터와 로그데이터 속에서 침입자 공격을 빠른 속도로 분석하고 예측해야 하는 상황이다. SIEM의 시스템은 조직의 보안 사고를 분석하고 예방하기 위해서는 필수적이라고 볼 수 있다. SIEM은 네트워크 디바이스, 방화벽과 안티바이러스 소프트웨어, 서버 등의 다양한 로그와 이벤트 데이터를 자동으로 수집해서 이상행동을 알려준다. 방화벽, IDS/IPS, 안티바이러스 솔루션과, 네트워크 장비, 어플리케이션, 디바이스. 서버 등으로부터 정보를 받아 상관관계를 분석해 사고 여부를 경고로 알려준다.

올해 시장 성장세로 전망

SIEM이 등장하기 전까지 국내에서는 컴플라이언스 확보를 위한 ESM(Enterprise Security Management)과 통합로그 시장이 있었다. ESM은 보안솔루션의 로그를 받아 상호연관관계를 파악하는 것. 그러나 기업은 외부침입과 내부 유출 방지를 위한 IT인프라의 모든 서버와 어플리케이션 로그를 취합하고 분석하는 로그 관리가 필요했다. 이러한 요구로 등장한 것이 통합로그관리 플랫폼, SIEM 이다. 업계는 올해도 ESM과 로그통합 시장의 성장세를 업고 SIEM 시장이 성장할 것으로 전망하고 있다.

SIEM 강점

SIEM은 도입 초기에 오탐 수가 도입 전보다 많아진다. 심화되고 정교한 룰이 적용되기 때문이다. 그러다 6개월~12개월이 지나면 차츰 개수가 줄어 도입 전보다 경고 수가 줄어든다. 이에 보안담당자들은 공격자에 대한 좀 더 전문적인 연구를 통한 정책마련을 할 수 있어 공격자보다 전략적 우위에 설 수 있는 배경이 마련된다.

기술 동향

① 표적공격을 방어하기 위해 네크워크 및 시스템의 보안 제품군을 통합했다. SIEM을 바탕으로 지능형 보안 기술이 출현하고 있다. 
② 공격자들의 장기간 침해 방어를 위해 보안시스템, 직원, 프로세스를 통합해 취약한 부분을 진단, 보안하고 있다.③ 상관관계 분석력이 점차 정밀해져 사용자행위분석(UBA: User Behavior Analytics)이 적용 되어, 오탐 수를 점차 줄이고 있다.

- 일부 전문가들은 최근 외부와 내부의 지능형 보안이 최대 이슈로 등장하면서, SIEM은 패턴 기반의 공격 제어 기법의 한계를 넘어 내부 네트워크의 시스템 프로세스, 활동성, 트랜잭션의 연관성 분석을 통해 새로운 공격을 탐지하는 기술로 발전한 것으로 전망했다.

향후 빅데이터 규모의 보안정보를 수집하기 위한 분산 데이터 아키텍처를 제공할 것으로 보며, 다양한 IT환경으로부터 보안 데이터를 수집하기 위한 통합 플렛폼 구축할 것으로 예상하고 있다. 더불어 인증을 남기지 않은 위협 식별 및 조사에 필요한 사고분석가가 더 필요하고 지적했다.

즉 SIEM을 통해 방어적인 탐지기능에서 예방적인 감사기능과 모델링 툴 분석 등을 이용해 적극적으로 보안 이슈에 대응하고 있는 것으로 정의하고 있다.

업체별 SIEM 솔루션의 특징

▲ IBM 큐레이더(QRadar)

IBM 큐레이더(QRadar)

나병준 차장은 “IBM의 큐레이더는 취약점 관리를 통한 보안 방향에 중점을 두고 있다. 통합적 가시성을 확보했고, 인텔리전스, 자동화 등이 특징이다”고 했다. 
큐레이더는 2014년 포렌식 기능을 추가해 네트워크에서의 활동 기록 정보를 실시간으로 확보해 플랫폼 상에서 의심스러운 행위를 추적하고, 세심한 주의가 필요한 사안에 대해 실시간으로 경고를 보낸다. 

큐레이더는 보안관리자의 요구에 맞춰 우선순위를 식별하는 오펜스 기능으로 오탐을 줄이고 이상 행위를 차단하기 위한 자동액션 기능이 있다. 이 기능을 이용해 바로 차단 명령을 내릴 수 있다. 170억개 이상의 페이지 정보를 기초로 한 글로벌 보안 정보 실시간 업데이트를 통한 대응력이 있다. 300명 이하의 중견기업에서도 동등한 서비스를 받을 수 있다는 장점을 보유했다.

스플렁크 SIEM

스플렁크 장경운 이사는 “APT신종 공격을 100% 막을 수 없으나 유출 전에는 100% 막을 수 있다. 스플렁크는 먼저 회사에서 보호해야할 것의 우선순위와 정상적 행위를 정의한다. 서버, 디바이스별, 어플리케이션의 정상적 행위 통계를 기반으로 그 정의에 위배되는 모든 행동을 자동화로 탐색한다”고 했다.

스플렁크의 SIEM은 서버, 인트라넷까지도 보안관제로 가져온다. 침입자들이 권한자인 것처럼 시스템에 들어오기 때문에 데이터 암호화가 최선은 아니다. 장기적으로 조금씩 침입해 오는 경우, 알려지지 않은 공격들, 내부자 통제, FDS까지 대용량의 빅데이터를 통해 찾아낸다. 스플렁크 SIEM은 빅데이터 기반으로 한 유연함이 가장 큰 장점으로, 타사 대비 대용량을 머신러닝 기법으로 다 볼 수 있다는 것이 차이점이다. 이로 인한 오탐 줄이기를 위해 UBA를 통해 보안담당자들이 액션 할 것들만 보여준다.

넷크루즈 nSIEM + nPIS

홍성각 대표는 “다수의 외산 제품들은 기업에서 이미 도입하여 사용 중인 국산 보안솔루션들과 연동이 어렵거나 지연이 과다하게 발생한다. 따라서 모든 정보를 종합적으로 분석하지 못하기 때문에 보안 분석의 한계를 가질 수 밖에 없다”며 “외산 제품들은 내부 정보유출 감시/감사, 통제시스템 측면에서는 상당히 취약하다”고 했다.

국내 보안 시장에서는 법적 요건이나 규정의 준수, 편이성이나 서비스 측면에서 국산 솔루션의 점유율이 훨씬 높은 상황이다. 최근 보안 이슈는 외부 침해 탐지보다는 내부 사고에 대한 통제와 분석이 더 강조되고 있다. 이러한 내부보안 통제에서 가장 중요한 데이터의 하나가 기업의 어플리케이션 로그들이다. 하지만, 이러한 기업의 자체 개발 어플리케이션의 로그 데이터는 상당히 비정형화되어 있어 다수의 외산 제품들은 일일이 분석하여 정형화시켜줄 의지가 부족한 편이다. 내부보안 통제는 국산 빅데이터 솔루션이 더 강할 수밖에 없는 이유라고 볼 수 있다.

넷크루즈는 이 장점을 극대화하기 위해 지능형 개인정보 통합모니터링 시스템인 nPIS 솔루션을 출시했다. 하나의 빅데이터 로그분석플렛폼 위에 nSIEM과 nPIS를 통합하면 외부 침해탐지와 내부 정보통제, 양쪽을 종합적으로 분석할 수 있는 종합적인 보안분석시스템을 확보할 수 있다.

▲ 이너버스 로그센터(LogCenter)

이너버스 로그센터(LogCenter)

한준철 부장은 “지난해 공공기관 SIEM 시장의 63%를 점유했다. 이너버스의 SIEM 로그센터는 대용량 로그 처리의 원천기술을 보유하고 있다는 장점이 있다. 국내 보안 환경에 최적화 되어 어떤 상황에서도 유연하게 적용할 수 있다”고 했다. 이너버스는 통합로그관리 어플라이언스로 로그의 수집, 저장, 검색, 분석, 모니터링, 폐기에 이르는 로그의 라이프사이클을 한 번에 관리한다. 이렇게 저장된 로그를 분석해 내부정보유출, 외부 보안위협, 금융이상거래탐지 모니터링 기능을 수행한다.

이너버스의 로그센터는 고객의 다양한 요구사항들을 위해 형상관리가 잘되는 장점이 있다. 형상관리란 한 제품으로 모든 고객에게 동일하게 서비스한다는 것. 고객사에게 모두 한 제품으로 관리하여 패치가 나올 때마다 모든 고객에게 제공할 수 있다.

이너버스는 2013년도에 ‘로그 컴플라이언스 연구센터’를 설립하여 로그의 계속적인 분석과 활용을 위해 지속적으로 연구개발 분야에 투자하고 있다.

▲ HPE 포티파이(Fortify)

HPE 아크사이트(ArcSight)

박진성 상무는 “아크사이트가 지난해까지 국내 시장의 절반이상을 차지하게 됐다. 지난해만 두 자리 수로 성장했다”며 “공격자 중 80% 이상 기업 어플리케이션의 보안 취약점을 찾아 들어온다. hp의 SIEM, 아크사이트는 애플리케이션의 보안 취약점을 찾아내고 내외부에서 일어나는 로그와 이벤트를 애널리틱스 분석한다”고 했다. 아크사이트는 로그 이벤트 수집에서 그치지 않고 애널리틱스 기능으로 상관관계를 정밀하게 분석해내는 것이 장점이다.

포티파이(Fortify)는 기업 어플리케이션을 통해 침입하는 공격자의 행위를 진단하고 찾아낸다. 클라우드 상에서도 실시간으로 어플리케이션에 대한 보안 위협을 탐지할 수 있다. 보안의 사각지대라고 할 수 있는 어플리케이션 보안의 가시성을 제공하는 것이 가장 큰 강점이다홍상수 기자의 전체기사 보기