2019.11.22 (금)

  • 흐림속초6.1℃
  • 구름많음-1.7℃
  • 구름조금철원-1.5℃
  • 구름많음동두천1.2℃
  • 구름많음파주2.2℃
  • 흐림대관령-0.2℃
  • 구름많음백령도8.5℃
  • 흐림북강릉6.9℃
  • 흐림강릉7.0℃
  • 흐림동해6.0℃
  • 구름많음서울6.2℃
  • 구름많음인천7.2℃
  • 흐림원주2.7℃
  • 흐림울릉도8.8℃
  • 흐림수원8.1℃
  • 흐림영월0.4℃
  • 흐림충주2.0℃
  • 흐림서산5.2℃
  • 구름많음울진8.8℃
  • 흐림청주5.0℃
  • 구름많음대전5.7℃
  • 흐림추풍령4.1℃
  • 구름많음안동2.5℃
  • 흐림상주2.4℃
  • 구름많음포항7.1℃
  • 흐림군산8.0℃
  • 구름많음대구5.3℃
  • 흐림전주6.9℃
  • 구름조금울산8.8℃
  • 흐림창원8.0℃
  • 구름많음광주8.9℃
  • 구름많음부산10.8℃
  • 구름많음통영11.1℃
  • 흐림목포9.6℃
  • 구름많음여수11.4℃
  • 흐림흑산도12.6℃
  • 구름많음완도9.7℃
  • 흐림고창6.6℃
  • 흐림순천3.0℃
  • 흐림홍성(예)5.0℃
  • 맑음제주15.0℃
  • 구름많음고산13.6℃
  • 구름많음성산16.8℃
  • 구름많음서귀포15.2℃
  • 구름많음진주3.0℃
  • 구름많음강화3.1℃
  • 구름많음양평2.9℃
  • 흐림이천2.6℃
  • 구름많음인제-0.6℃
  • 흐림홍천1.3℃
  • 맑음태백-0.4℃
  • 흐림정선군-0.1℃
  • 흐림제천-0.5℃
  • 흐림보은2.7℃
  • 구름많음천안3.5℃
  • 흐림보령9.1℃
  • 흐림부여6.4℃
  • 구름많음금산2.3℃
  • 흐림부안5.8℃
  • 흐림임실2.3℃
  • 흐림정읍6.6℃
  • 구름많음남원5.2℃
  • 구름많음장수1.5℃
  • 흐림고창군7.9℃
  • 흐림영광군6.5℃
  • 구름많음김해시8.4℃
  • 구름많음순창군3.8℃
  • 구름많음북창원5.3℃
  • 구름많음양산시8.1℃
  • 구름많음보성군6.2℃
  • 구름많음강진군7.0℃
  • 구름많음장흥7.3℃
  • 구름많음해남10.6℃
  • 구름많음고흥9.4℃
  • 구름많음의령군2.5℃
  • 흐림함양군1.3℃
  • 구름많음광양시11.4℃
  • 흐림진도군11.3℃
  • 맑음봉화-0.7℃
  • 맑음영주0.8℃
  • 구름많음문경0.9℃
  • 구름많음청송군0.9℃
  • 구름많음영덕5.6℃
  • 구름많음의성2.0℃
  • 흐림구미4.2℃
  • 구름조금영천2.7℃
  • 구름많음경주시3.6℃
  • 흐림거창1.9℃
  • 흐림합천3.3℃
  • 구름많음밀양4.3℃
  • 흐림산청2.8℃
  • 구름많음거제9.8℃
  • 구름많음남해8.0℃
기상청 제공
[기술동향 : SIEM] 지능적 로그 관리 플렛폼으로 진화하다
  • 해당된 기사를 공유합니다

[기술동향 : SIEM] 지능적 로그 관리 플렛폼으로 진화하다

빅데이터 분석기술과 통합해, 올 시장 상승세 전망

 

[기술동향 : SIEM] 지능적 로그 관리 플렛폼으로 진화하다

빅데이터 분석기술과 통합해, 올 시장 상승세 전망

 

SIEM(Security Information & Event Management)이 빅데이터 분석기술과 통합하며, 지능적으로 진화하고 있다. 종전의 시그니처 기반 탐색으로는 신종 APT탐지에 한계가 있기 때문에, 기업 IT 인프라 전반의 빅데이터를 실시간으로 분석해 잠재적 위협을 식별한다는 방향이다SIEM 솔루션이 APT 방어에 초기 대안 중 하나로 떠오르면서 관련 시장은 2014년부터 매년 성장해왔다. 올해도 기업 및 기관에서는 SIEM에 대한 관심과 도입이 높을 것으로 예상된다. SIEM 분야에서 활약 중인 국내외 솔루션들의 특징과 장점, 그리고 도입할 때 고려해야할 점들을 정리했다.

SIEM, 보안사고를 분석하고 예방하기 위해선 필수

기업은 거대한 테라바이트 급의 다양한 정형/비정형데이터와 로그데이터 속에서 침입자 공격을 빠른 속도로 분석하고 예측해야 하는 상황이다. SIEM의 시스템은 조직의 보안 사고를 분석하고 예방하기 위해서는 필수적이라고 볼 수 있다. SIEM은 네트워크 디바이스, 방화벽과 안티바이러스 소프트웨어, 서버 등의 다양한 로그와 이벤트 데이터를 자동으로 수집해서 이상행동을 알려준다. 방화벽, IDS/IPS, 안티바이러스 솔루션과, 네트워크 장비, 어플리케이션, 디바이스. 서버 등으로부터 정보를 받아 상관관계를 분석해 사고 여부를 경고로 알려준다.

올해 시장 성장세로 전망

SIEM이 등장하기 전까지 국내에서는 컴플라이언스 확보를 위한 ESM(Enterprise Security Management)과 통합로그 시장이 있었다. ESM은 보안솔루션의 로그를 받아 상호연관관계를 파악하는 것. 그러나 기업은 외부침입과 내부 유출 방지를 위한 IT인프라의 모든 서버와 어플리케이션 로그를 취합하고 분석하는 로그 관리가 필요했다. 이러한 요구로 등장한 것이 통합로그관리 플랫폼, SIEM 이다. 업계는 올해도 ESM과 로그통합 시장의 성장세를 업고 SIEM 시장이 성장할 것으로 전망하고 있다.

SIEM 강점

 

누가 언제 어디서 무엇을 어떤 중요활동을 했는지에 대한 디바이스의 행동들을 보고해준다.

이벤트 정보의 상관관계를 분석해 조직 네트워크에서 디바이스와 애플리케이션에 의해 침입으로 의심되는 상황을 알려준다.

중앙 수집방식으로 로그 데이터를 검토할 수 있도록 해주며, 컴플라이언스와 장기적으로는 포렌식을 위해 데이터를 보고하고 저장해준다.

보안데이터를 위한 통합적 저장소가 생성된다. 정부 및 기업 규정 준수여부를 확인할 수 있는 보고서를 제공할 수 있다.

사고 관리 및 컨플라이언스 보고를 간소화하기 위해 보안 관련 데이터를 한 곳에 수집하고 저장한다.

 

 

SIEM은 도입 초기에 오탐 수가 도입 전보다 많아진다. 심화되고 정교한 룰이 적용되기 때문이다. 그러다 6개월~12개월이 지나면 차츰 개수가 줄어 도입 전보다 경고 수가 줄어든다. 이에 보안담당자들은 공격자에 대한 좀 더 전문적인 연구를 통한 정책마련을 할 수 있어 공격자보다 전략적 우위에 설 수 있는 배경이 마련된다.

기술 동향

표적공격을 방어하기 위해 네크워크 및 시스템의 보안 제품군을 통합했다. SIEM을 바탕으로 지능형 보안 기술이 출현하고 있다
공격자들의 장기간 침해 방어를 위해 보안시스템, 직원, 프로세스를 통합해 취약한 부분을 진단, 보안하고 있다.상관관계 분석력이 점차 정밀해져 사용자행위분석(UBA: User Behavior Analytics)이 적용 되어, 오탐 수를 점차 줄이고 있다.

- 일부 전문가들은 최근 외부와 내부의 지능형 보안이 최대 이슈로 등장하면서, SIEM은 패턴 기반의 공격 제어 기법의 한계를 넘어 내부 네트워크의 시스템 프로세스, 활동성, 트랜잭션의 연관성 분석을 통해 새로운 공격을 탐지하는 기술로 발전한 것으로 전망했다.

향후 빅데이터 규모의 보안정보를 수집하기 위한 분산 데이터 아키텍처를 제공할 것으로 보며, 다양한 IT환경으로부터 보안 데이터를 수집하기 위한 통합 플렛폼 구축할 것으로 예상하고 있다. 더불어 인증을 남기지 않은 위협 식별 및 조사에 필요한 사고분석가가 더 필요하고 지적했다.

SIEM을 통해 방어적인 탐지기능에서 예방적인 감사기능과 모델링 툴 분석 등을 이용해 적극적으로 보안 이슈에 대응하고 있는 것으로 정의하고 있다.

업체별 SIEM 솔루션의 특징

업체명

기술적 특징

2015년 주요성과

2016년 마켓팅 목표

IBM

-분석 기반  인텔리전스 활용 

-통합 모니터링 및 자동화

국내 산업 분야에서 
전체 보안 관리를 아우르는 솔루션 제공

다양한 산업별use case(금융,제조,통신,항공,에너지,온라인...)를 소개하여 분석기반 인텔리전스, 통합 모니터링 및 자동화의 장점을 실질적으로 소개

스플렁크

-빅데이터 기반의 
유연한 상관 분석

-위협인텔리전스 연계 및 APT 대응

금융권 차세대 관제 프로젝트를 포함한 다수 major 고객 확보로 
국내 사용자 층을 넓게 확보

머신러닝 기반의 사용자 행동 분석(UBA) 기법으로 기존의 static rule 기반 관제의 한계 극복

이너버스

-UX를 기반으로 하는 원스톱 모니터링

-국내환경에 다수 적용한 knowhow 보유

3년 연속 조달청 시장점유율 1(201571% 점유)와 다수 금융권 고객사 확보

SIEM 시장에서 인정받은 안정적인 플랫폼 기반으로 IoT의 다양한 데이터 처리 시장으로 확대

넷크루즈

-외부침해탐지와 내부정보통제를 단일한 플랫폼에서 구현 가능

단일서버로 120,000 EPS 대용량 처리
개인정보통합모니터링시장의 성공적인 개척

내외부 통합보안분석시스템, 증적감사부터 종합분석까지 고객의 선택폭 확대

HPE

-OS,서버,네트워크장비 등 350종 이상의 디바이스로부터 로그 및 이벤트 무손실 수집

-비정형 이벤트를 직관적 GUI로 정형화

-빅데이터 분석기법으로 모든 로그의 연결고리를 꿰뚫어 선제 대응

-크라우드소싱 위협 인텔리전스 공유

첨단 제조산업, 금융, 공공, 의료기관 등

다양한 고객군에서 통합보안관제시스템으로 도입 확대

다수의 그룹사 통합 보안운영센터(SOC) 메인시스템으로 안착

일일 최대사용량 기준으로 과금하는 종량제 매니지드 서비스 방식 도입

사용자 이상행위 분석(UBA)으로 이벤트 상관관계 분석 고도화

EMC

-모든 트래픽 저장 및 고속 검색을 통한 네트워크 포렌식 제공

-비정상 트래픽 분류 및 트래픽 원본 조회를 통한 고도화된 공격 조기 탐지 및 대응 능력 제공

제공/금융/공공/엔터테인먼트 전 분야 리딩 기업에 대부분 도입

기존 고객의 적용범위 확대를 위한 추가 도입 및 EDR 제품(ECAT) 추가 구매 사례 확보

/소기업 고객 확대

시나리오 기반 트래픽 연관성 분석을 통한 공격 자동탐지 능력향상으로 보다 손쉬운 활용 방법 제공

 

   
▲ IBM 큐레이더(QRadar)

 

IBM 큐레이더(QRadar)

나병준 차장은 “IBM의 큐레이더는 취약점 관리를 통한 보안 방향에 중점을 두고 있다. 통합적 가시성을 확보했고, 인텔리전스, 자동화 등이 특징이다고 했다
큐레이더는 2014년 포렌식 기능을 추가해 네트워크에서의 활동 기록 정보를 실시간으로 확보해 플랫폼 상에서 의심스러운 행위를 추적하고, 세심한 주의가 필요한 사안에 대해 실시간으로 경고를 보낸다

큐레이더는 보안관리자의 요구에 맞춰 우선순위를 식별하는 오펜스 기능으로 오탐을 줄이고 이상 행위를 차단하기 위한 자동액션 기능이 있다. 이 기능을 이용해 바로 차단 명령을 내릴 수 있다. 170억개 이상의 페이지 정보를 기초로 한 글로벌 보안 정보 실시간 업데이트를 통한 대응력이 있다. 300명 이하의 중견기업에서도 동등한 서비스를 받을 수 있다는 장점을 보유했다.

스플렁크 SIEM

스플렁크 장경운 이사는 “APT신종 공격을 100% 막을 수 없으나 유출 전에는 100% 막을 수 있다. 스플렁크는 먼저 회사에서 보호해야할 것의 우선순위와 정상적 행위를 정의한다. 서버, 디바이스별, 어플리케이션의 정상적 행위 통계를 기반으로 그 정의에 위배되는 모든 행동을 자동화로 탐색한다고 했다.

스플렁크의 SIEM은 서버, 인트라넷까지도 보안관제로 가져온다. 침입자들이 권한자인 것처럼 시스템에 들어오기 때문에 데이터 암호화가 최선은 아니다. 장기적으로 조금씩 침입해 오는 경우, 알려지지 않은 공격들, 내부자 통제, FDS까지 대용량의 빅데이터를 통해 찾아낸다. 스플렁크 SIEM은 빅데이터 기반으로 한 유연함이 가장 큰 장점으로, 타사 대비 대용량을 머신러닝 기법으로 다 볼 수 있다는 것이 차이점이다. 이로 인한 오탐 줄이기를 위해 UBA를 통해 보안담당자들이 액션 할 것들만 보여준다.

넷크루즈 nSIEM + nPIS

홍성각 대표는 다수의 외산 제품들은 기업에서 이미 도입하여 사용 중인 국산 보안솔루션들과 연동이 어렵거나 지연이 과다하게 발생한다. 따라서 모든 정보를 종합적으로 분석하지 못하기 때문에 보안 분석의 한계를 가질 수 밖에 없다외산 제품들은 내부 정보유출 감시/감사, 통제시스템 측면에서는 상당히 취약하다고 했다.

국내 보안 시장에서는 법적 요건이나 규정의 준수, 편이성이나 서비스 측면에서 국산 솔루션의 점유율이 훨씬 높은 상황이다. 최근 보안 이슈는 외부 침해 탐지보다는 내부 사고에 대한 통제와 분석이 더 강조되고 있다. 이러한 내부보안 통제에서 가장 중요한 데이터의 하나가 기업의 어플리케이션 로그들이다. 하지만, 이러한 기업의 자체 개발 어플리케이션의 로그 데이터는 상당히 비정형화되어 있어 다수의 외산 제품들은 일일이 분석하여 정형화시켜줄 의지가 부족한 편이다. 내부보안 통제는 국산 빅데이터 솔루션이 더 강할 수밖에 없는 이유라고 볼 수 있다.

넷크루즈는 이 장점을 극대화하기 위해 지능형 개인정보 통합모니터링 시스템인 nPIS 솔루션을 출시했다. 하나의 빅데이터 로그분석플렛폼 위에 nSIEMnPIS를 통합하면 외부 침해탐지와 내부 정보통제, 양쪽을 종합적으로 분석할 수 있는 종합적인 보안분석시스템을 확보할 수 있다.


   
▲ 이너버스 로그센터(LogCenter)


이너버스 로그센터(LogCenter)

한준철 부장은 지난해 공공기관 SIEM 시장의 63%를 점유했다. 이너버스의 SIEM 로그센터는 대용량 로그 처리의 원천기술을 보유하고 있다는 장점이 있다. 국내 보안 환경에 최적화 되어 어떤 상황에서도 유연하게 적용할 수 있다고 했다. 이너버스는 통합로그관리 어플라이언스로 로그의 수집, 저장, 검색, 분석, 모니터링, 폐기에 이르는 로그의 라이프사이클을 한 번에 관리한다. 이렇게 저장된 로그를 분석해 내부정보유출, 외부 보안위협, 금융이상거래탐지 모니터링 기능을 수행한다.

이너버스의 로그센터는 고객의 다양한 요구사항들을 위해 형상관리가 잘되는 장점이 있다. 형상관리란 한 제품으로 모든 고객에게 동일하게 서비스한다는 것. 고객사에게 모두 한 제품으로 관리하여 패치가 나올 때마다 모든 고객에게 제공할 수 있다.

이너버스는 2013년도에 로그 컴플라이언스 연구센터를 설립하여 로그의 계속적인 분석과 활용을 위해 지속적으로 연구개발 분야에 투자하고 있다.


   
▲ HPE 포티파이(Fortify)

HPE 아크사이트(ArcSight)

박진성 상무는 아크사이트가 지난해까지 국내 시장의 절반이상을 차지하게 됐다. 지난해만 두 자리 수로 성장했다공격자 중 80% 이상 기업 어플리케이션의 보안 취약점을 찾아 들어온다. hpSIEM, 아크사이트는 애플리케이션의 보안 취약점을 찾아내고 내외부에서 일어나는 로그와 이벤트를 애널리틱스 분석한다고 했다. 아크사이트는 로그 이벤트 수집에서 그치지 않고 애널리틱스 기능으로 상관관계를 정밀하게 분석해내는 것이 장점이다.

포티파이(Fortify)는 기업 어플리케이션을 통해 침입하는 공격자의 행위를 진단하고 찾아낸다. 클라우드 상에서도 실시간으로 어플리케이션에 대한 보안 위협을 탐지할 수 있다. 보안의 사각지대라고 할 수 있는 어플리케이션 보안의 가시성을 제공하는 것이 가장 큰 강점이다홍상수 기자의 전체기사 보기