2019.09.17 (화)

  • 맑음속초21.4℃
  • 맑음18.2℃
  • 구름조금철원18.4℃
  • 맑음동두천19.7℃
  • 맑음파주19.2℃
  • 구름조금대관령15.4℃
  • 구름많음백령도21.3℃
  • 맑음북강릉20.7℃
  • 맑음강릉21.0℃
  • 구름조금동해20.9℃
  • 맑음서울22.2℃
  • 맑음인천24.0℃
  • 맑음원주18.5℃
  • 맑음울릉도22.0℃
  • 맑음수원22.4℃
  • 맑음영월17.6℃
  • 맑음충주20.7℃
  • 맑음서산22.3℃
  • 구름조금울진22.1℃
  • 맑음청주21.3℃
  • 맑음대전21.5℃
  • 맑음추풍령20.2℃
  • 맑음안동18.3℃
  • 맑음상주18.2℃
  • 구름많음포항23.1℃
  • 맑음군산22.2℃
  • 맑음대구21.3℃
  • 맑음전주21.7℃
  • 구름많음울산22.8℃
  • 맑음창원23.3℃
  • 맑음광주22.7℃
  • 구름조금부산23.0℃
  • 맑음통영22.9℃
  • 맑음목포23.7℃
  • 맑음여수22.6℃
  • 맑음흑산도22.8℃
  • 구름조금완도22.7℃
  • 맑음고창22.3℃
  • 맑음순천19.3℃
  • 맑음홍성(예)19.7℃
  • 맑음제주24.5℃
  • 맑음고산24.1℃
  • 구름조금성산23.8℃
  • 맑음서귀포24.2℃
  • 맑음진주22.6℃
  • 맑음강화22.1℃
  • 맑음양평18.9℃
  • 맑음이천19.1℃
  • 맑음인제16.1℃
  • 맑음홍천18.1℃
  • 구름조금태백16.6℃
  • 맑음정선군16.7℃
  • 맑음제천19.9℃
  • 맑음보은20.0℃
  • 맑음천안20.1℃
  • 맑음보령24.6℃
  • 맑음부여21.0℃
  • 맑음금산18.7℃
  • 맑음부안21.9℃
  • 맑음임실21.8℃
  • 맑음정읍21.2℃
  • 맑음남원23.0℃
  • 맑음장수19.4℃
  • 맑음고창군22.1℃
  • 맑음영광군21.8℃
  • 구름조금김해시25.1℃
  • 맑음순창군21.7℃
  • 구름많음북창원22.2℃
  • 구름많음양산시23.4℃
  • 맑음보성군22.5℃
  • 맑음강진군21.9℃
  • 맑음장흥21.3℃
  • 맑음해남21.0℃
  • 맑음고흥22.7℃
  • 맑음의령군22.5℃
  • 맑음함양군19.4℃
  • 맑음광양시23.3℃
  • 맑음진도군23.0℃
  • 맑음봉화21.9℃
  • 맑음영주19.7℃
  • 맑음문경20.8℃
  • 맑음청송군17.8℃
  • 맑음영덕23.2℃
  • 맑음의성19.4℃
  • 맑음구미20.5℃
  • 구름많음영천21.7℃
  • 구름많음경주시22.9℃
  • 맑음거창17.8℃
  • 맑음합천18.9℃
  • 구름조금밀양23.5℃
  • 맑음산청18.8℃
  • 구름조금거제24.0℃
  • 구름조금남해22.0℃
기상청 제공
[기술동향 : SIEM] 지능적 로그 관리 플렛폼으로 진화하다
  • 해당된 기사를 공유합니다

[기술동향 : SIEM] 지능적 로그 관리 플렛폼으로 진화하다

빅데이터 분석기술과 통합해, 올 시장 상승세 전망

 

[기술동향 : SIEM] 지능적 로그 관리 플렛폼으로 진화하다

빅데이터 분석기술과 통합해, 올 시장 상승세 전망

 

SIEM(Security Information & Event Management)이 빅데이터 분석기술과 통합하며, 지능적으로 진화하고 있다. 종전의 시그니처 기반 탐색으로는 신종 APT탐지에 한계가 있기 때문에, 기업 IT 인프라 전반의 빅데이터를 실시간으로 분석해 잠재적 위협을 식별한다는 방향이다SIEM 솔루션이 APT 방어에 초기 대안 중 하나로 떠오르면서 관련 시장은 2014년부터 매년 성장해왔다. 올해도 기업 및 기관에서는 SIEM에 대한 관심과 도입이 높을 것으로 예상된다. SIEM 분야에서 활약 중인 국내외 솔루션들의 특징과 장점, 그리고 도입할 때 고려해야할 점들을 정리했다.

SIEM, 보안사고를 분석하고 예방하기 위해선 필수

기업은 거대한 테라바이트 급의 다양한 정형/비정형데이터와 로그데이터 속에서 침입자 공격을 빠른 속도로 분석하고 예측해야 하는 상황이다. SIEM의 시스템은 조직의 보안 사고를 분석하고 예방하기 위해서는 필수적이라고 볼 수 있다. SIEM은 네트워크 디바이스, 방화벽과 안티바이러스 소프트웨어, 서버 등의 다양한 로그와 이벤트 데이터를 자동으로 수집해서 이상행동을 알려준다. 방화벽, IDS/IPS, 안티바이러스 솔루션과, 네트워크 장비, 어플리케이션, 디바이스. 서버 등으로부터 정보를 받아 상관관계를 분석해 사고 여부를 경고로 알려준다.

올해 시장 성장세로 전망

SIEM이 등장하기 전까지 국내에서는 컴플라이언스 확보를 위한 ESM(Enterprise Security Management)과 통합로그 시장이 있었다. ESM은 보안솔루션의 로그를 받아 상호연관관계를 파악하는 것. 그러나 기업은 외부침입과 내부 유출 방지를 위한 IT인프라의 모든 서버와 어플리케이션 로그를 취합하고 분석하는 로그 관리가 필요했다. 이러한 요구로 등장한 것이 통합로그관리 플랫폼, SIEM 이다. 업계는 올해도 ESM과 로그통합 시장의 성장세를 업고 SIEM 시장이 성장할 것으로 전망하고 있다.

SIEM 강점

 

누가 언제 어디서 무엇을 어떤 중요활동을 했는지에 대한 디바이스의 행동들을 보고해준다.

이벤트 정보의 상관관계를 분석해 조직 네트워크에서 디바이스와 애플리케이션에 의해 침입으로 의심되는 상황을 알려준다.

중앙 수집방식으로 로그 데이터를 검토할 수 있도록 해주며, 컴플라이언스와 장기적으로는 포렌식을 위해 데이터를 보고하고 저장해준다.

보안데이터를 위한 통합적 저장소가 생성된다. 정부 및 기업 규정 준수여부를 확인할 수 있는 보고서를 제공할 수 있다.

사고 관리 및 컨플라이언스 보고를 간소화하기 위해 보안 관련 데이터를 한 곳에 수집하고 저장한다.

 

 

SIEM은 도입 초기에 오탐 수가 도입 전보다 많아진다. 심화되고 정교한 룰이 적용되기 때문이다. 그러다 6개월~12개월이 지나면 차츰 개수가 줄어 도입 전보다 경고 수가 줄어든다. 이에 보안담당자들은 공격자에 대한 좀 더 전문적인 연구를 통한 정책마련을 할 수 있어 공격자보다 전략적 우위에 설 수 있는 배경이 마련된다.

기술 동향

표적공격을 방어하기 위해 네크워크 및 시스템의 보안 제품군을 통합했다. SIEM을 바탕으로 지능형 보안 기술이 출현하고 있다
공격자들의 장기간 침해 방어를 위해 보안시스템, 직원, 프로세스를 통합해 취약한 부분을 진단, 보안하고 있다.상관관계 분석력이 점차 정밀해져 사용자행위분석(UBA: User Behavior Analytics)이 적용 되어, 오탐 수를 점차 줄이고 있다.

- 일부 전문가들은 최근 외부와 내부의 지능형 보안이 최대 이슈로 등장하면서, SIEM은 패턴 기반의 공격 제어 기법의 한계를 넘어 내부 네트워크의 시스템 프로세스, 활동성, 트랜잭션의 연관성 분석을 통해 새로운 공격을 탐지하는 기술로 발전한 것으로 전망했다.

향후 빅데이터 규모의 보안정보를 수집하기 위한 분산 데이터 아키텍처를 제공할 것으로 보며, 다양한 IT환경으로부터 보안 데이터를 수집하기 위한 통합 플렛폼 구축할 것으로 예상하고 있다. 더불어 인증을 남기지 않은 위협 식별 및 조사에 필요한 사고분석가가 더 필요하고 지적했다.

SIEM을 통해 방어적인 탐지기능에서 예방적인 감사기능과 모델링 툴 분석 등을 이용해 적극적으로 보안 이슈에 대응하고 있는 것으로 정의하고 있다.

업체별 SIEM 솔루션의 특징

업체명

기술적 특징

2015년 주요성과

2016년 마켓팅 목표

IBM

-분석 기반  인텔리전스 활용 

-통합 모니터링 및 자동화

국내 산업 분야에서 
전체 보안 관리를 아우르는 솔루션 제공

다양한 산업별use case(금융,제조,통신,항공,에너지,온라인...)를 소개하여 분석기반 인텔리전스, 통합 모니터링 및 자동화의 장점을 실질적으로 소개

스플렁크

-빅데이터 기반의 
유연한 상관 분석

-위협인텔리전스 연계 및 APT 대응

금융권 차세대 관제 프로젝트를 포함한 다수 major 고객 확보로 
국내 사용자 층을 넓게 확보

머신러닝 기반의 사용자 행동 분석(UBA) 기법으로 기존의 static rule 기반 관제의 한계 극복

이너버스

-UX를 기반으로 하는 원스톱 모니터링

-국내환경에 다수 적용한 knowhow 보유

3년 연속 조달청 시장점유율 1(201571% 점유)와 다수 금융권 고객사 확보

SIEM 시장에서 인정받은 안정적인 플랫폼 기반으로 IoT의 다양한 데이터 처리 시장으로 확대

넷크루즈

-외부침해탐지와 내부정보통제를 단일한 플랫폼에서 구현 가능

단일서버로 120,000 EPS 대용량 처리
개인정보통합모니터링시장의 성공적인 개척

내외부 통합보안분석시스템, 증적감사부터 종합분석까지 고객의 선택폭 확대

HPE

-OS,서버,네트워크장비 등 350종 이상의 디바이스로부터 로그 및 이벤트 무손실 수집

-비정형 이벤트를 직관적 GUI로 정형화

-빅데이터 분석기법으로 모든 로그의 연결고리를 꿰뚫어 선제 대응

-크라우드소싱 위협 인텔리전스 공유

첨단 제조산업, 금융, 공공, 의료기관 등

다양한 고객군에서 통합보안관제시스템으로 도입 확대

다수의 그룹사 통합 보안운영센터(SOC) 메인시스템으로 안착

일일 최대사용량 기준으로 과금하는 종량제 매니지드 서비스 방식 도입

사용자 이상행위 분석(UBA)으로 이벤트 상관관계 분석 고도화

EMC

-모든 트래픽 저장 및 고속 검색을 통한 네트워크 포렌식 제공

-비정상 트래픽 분류 및 트래픽 원본 조회를 통한 고도화된 공격 조기 탐지 및 대응 능력 제공

제공/금융/공공/엔터테인먼트 전 분야 리딩 기업에 대부분 도입

기존 고객의 적용범위 확대를 위한 추가 도입 및 EDR 제품(ECAT) 추가 구매 사례 확보

/소기업 고객 확대

시나리오 기반 트래픽 연관성 분석을 통한 공격 자동탐지 능력향상으로 보다 손쉬운 활용 방법 제공

 

   
▲ IBM 큐레이더(QRadar)

 

IBM 큐레이더(QRadar)

나병준 차장은 “IBM의 큐레이더는 취약점 관리를 통한 보안 방향에 중점을 두고 있다. 통합적 가시성을 확보했고, 인텔리전스, 자동화 등이 특징이다고 했다
큐레이더는 2014년 포렌식 기능을 추가해 네트워크에서의 활동 기록 정보를 실시간으로 확보해 플랫폼 상에서 의심스러운 행위를 추적하고, 세심한 주의가 필요한 사안에 대해 실시간으로 경고를 보낸다

큐레이더는 보안관리자의 요구에 맞춰 우선순위를 식별하는 오펜스 기능으로 오탐을 줄이고 이상 행위를 차단하기 위한 자동액션 기능이 있다. 이 기능을 이용해 바로 차단 명령을 내릴 수 있다. 170억개 이상의 페이지 정보를 기초로 한 글로벌 보안 정보 실시간 업데이트를 통한 대응력이 있다. 300명 이하의 중견기업에서도 동등한 서비스를 받을 수 있다는 장점을 보유했다.

스플렁크 SIEM

스플렁크 장경운 이사는 “APT신종 공격을 100% 막을 수 없으나 유출 전에는 100% 막을 수 있다. 스플렁크는 먼저 회사에서 보호해야할 것의 우선순위와 정상적 행위를 정의한다. 서버, 디바이스별, 어플리케이션의 정상적 행위 통계를 기반으로 그 정의에 위배되는 모든 행동을 자동화로 탐색한다고 했다.

스플렁크의 SIEM은 서버, 인트라넷까지도 보안관제로 가져온다. 침입자들이 권한자인 것처럼 시스템에 들어오기 때문에 데이터 암호화가 최선은 아니다. 장기적으로 조금씩 침입해 오는 경우, 알려지지 않은 공격들, 내부자 통제, FDS까지 대용량의 빅데이터를 통해 찾아낸다. 스플렁크 SIEM은 빅데이터 기반으로 한 유연함이 가장 큰 장점으로, 타사 대비 대용량을 머신러닝 기법으로 다 볼 수 있다는 것이 차이점이다. 이로 인한 오탐 줄이기를 위해 UBA를 통해 보안담당자들이 액션 할 것들만 보여준다.

넷크루즈 nSIEM + nPIS

홍성각 대표는 다수의 외산 제품들은 기업에서 이미 도입하여 사용 중인 국산 보안솔루션들과 연동이 어렵거나 지연이 과다하게 발생한다. 따라서 모든 정보를 종합적으로 분석하지 못하기 때문에 보안 분석의 한계를 가질 수 밖에 없다외산 제품들은 내부 정보유출 감시/감사, 통제시스템 측면에서는 상당히 취약하다고 했다.

국내 보안 시장에서는 법적 요건이나 규정의 준수, 편이성이나 서비스 측면에서 국산 솔루션의 점유율이 훨씬 높은 상황이다. 최근 보안 이슈는 외부 침해 탐지보다는 내부 사고에 대한 통제와 분석이 더 강조되고 있다. 이러한 내부보안 통제에서 가장 중요한 데이터의 하나가 기업의 어플리케이션 로그들이다. 하지만, 이러한 기업의 자체 개발 어플리케이션의 로그 데이터는 상당히 비정형화되어 있어 다수의 외산 제품들은 일일이 분석하여 정형화시켜줄 의지가 부족한 편이다. 내부보안 통제는 국산 빅데이터 솔루션이 더 강할 수밖에 없는 이유라고 볼 수 있다.

넷크루즈는 이 장점을 극대화하기 위해 지능형 개인정보 통합모니터링 시스템인 nPIS 솔루션을 출시했다. 하나의 빅데이터 로그분석플렛폼 위에 nSIEMnPIS를 통합하면 외부 침해탐지와 내부 정보통제, 양쪽을 종합적으로 분석할 수 있는 종합적인 보안분석시스템을 확보할 수 있다.


   
▲ 이너버스 로그센터(LogCenter)


이너버스 로그센터(LogCenter)

한준철 부장은 지난해 공공기관 SIEM 시장의 63%를 점유했다. 이너버스의 SIEM 로그센터는 대용량 로그 처리의 원천기술을 보유하고 있다는 장점이 있다. 국내 보안 환경에 최적화 되어 어떤 상황에서도 유연하게 적용할 수 있다고 했다. 이너버스는 통합로그관리 어플라이언스로 로그의 수집, 저장, 검색, 분석, 모니터링, 폐기에 이르는 로그의 라이프사이클을 한 번에 관리한다. 이렇게 저장된 로그를 분석해 내부정보유출, 외부 보안위협, 금융이상거래탐지 모니터링 기능을 수행한다.

이너버스의 로그센터는 고객의 다양한 요구사항들을 위해 형상관리가 잘되는 장점이 있다. 형상관리란 한 제품으로 모든 고객에게 동일하게 서비스한다는 것. 고객사에게 모두 한 제품으로 관리하여 패치가 나올 때마다 모든 고객에게 제공할 수 있다.

이너버스는 2013년도에 로그 컴플라이언스 연구센터를 설립하여 로그의 계속적인 분석과 활용을 위해 지속적으로 연구개발 분야에 투자하고 있다.


   
▲ HPE 포티파이(Fortify)

HPE 아크사이트(ArcSight)

박진성 상무는 아크사이트가 지난해까지 국내 시장의 절반이상을 차지하게 됐다. 지난해만 두 자리 수로 성장했다공격자 중 80% 이상 기업 어플리케이션의 보안 취약점을 찾아 들어온다. hpSIEM, 아크사이트는 애플리케이션의 보안 취약점을 찾아내고 내외부에서 일어나는 로그와 이벤트를 애널리틱스 분석한다고 했다. 아크사이트는 로그 이벤트 수집에서 그치지 않고 애널리틱스 기능으로 상관관계를 정밀하게 분석해내는 것이 장점이다.

포티파이(Fortify)는 기업 어플리케이션을 통해 침입하는 공격자의 행위를 진단하고 찾아낸다. 클라우드 상에서도 실시간으로 어플리케이션에 대한 보안 위협을 탐지할 수 있다. 보안의 사각지대라고 할 수 있는 어플리케이션 보안의 가시성을 제공하는 것이 가장 큰 강점이다홍상수 기자의 전체기사 보기