기업에서의 작업 환경이 이전의 페이퍼워크에서 전자서류 방식으로 대부분 다 넘어오면서 PC나 노트북, 혹은 다른 모바일 디바이스 등 스마트 디바이스를 이용해서 작업하는 것이 일반화된지는 꽤 오래되었다. 그리고 네트워크 환경이 발전하면서 대부분의 작업들이 네트워크 환경 안에서 이뤄지고 있으며 내외적으로 데이터들을 송수신하면서 작업하는 것이 당연시 되는 세상이 되었다. 메일을 통한 작업이나 자료 공유, 공동 작업 등이 활발히 일어나면서 네트워크에 연결된 상태에서 이른바 커넥티드 워크가 일반화 되었다고 봐도 좋을 것이다. 또한 기업들 입장에서 여러 기업들이 서로 연계해서 작업하는 경우도 많기 때문에 이러한 네트워크 기반에서의 작업은 더 활발해지는 상황이라고 할 수 있다.

이런 상황에서 네트워크를 통한 다양한 문제들이 생겨나고 있다. 이른바 보안 사고들이 터지고 있는데 APT 공격을 통해서 기업 내부의 기밀 자료들을 탈취하고 DDoS 공격을 통해서 기업의 작업 서버나 서비스 서버를 망가뜨리기도 한다. 그 외에 다양한 네트워크 보안 위협을 통해 범죄 행위들이 벌어지고 있으며 기업 입장에서 이런 문제들을 사전에 탐지하여 대비해야 하는 일이 기업의 생존에 직결될 정도로 중요한 일이 되었다. 보안 관제가 점점 더 중요하게 다가오고 있다는 얘기다.


미국 펜타곤의 관제 시스템

보안 관제 시스템은 수년전부터 다양한 서비스, 혹은 솔루션들이 시장에서 선보이고 있고 또 기업에 맞춰서 커스터마이징되어 제공되어 왔다. 수많은 기업들이 크고 작은 보안 관제 솔루션을 이용하여 자사의 시스템들을 모니터링하고 위협에 대비하고 있으며 IDC와 같은 데이터센터들은 이런 보안 관제가 업무의 핵심이 될만큼 중요한 사안으로 작용하고 있다. 보안 관제 시장은 생각보다 나름 역사가 있는 시장으로 그 나름대로의 기술적 난이도와 수준이 상당히 높은 수준이라고 할 수 있다.

하지만 최근들어 기업 안에서 업무를 보는데 사용되는 디바이스들의 종료도 많아지고 어플리케이션들의 수도 많아지면서 지금까지의 방식으로 진행되어왔던 보안 관제 솔루션에 한계들이 보이면서 지금보다 더 진보적인 보안 관제 솔루션이 필요로 하게 된 것이 사실이다. 지금까지의 보안 관제 솔루션의 방식은 보안 관제 솔루션들의 관제 대상들이 만들어내는 메시지(로그)들을 취합하여 보여주는 방식이다. NMS(네트워크 관리 시스템)와 EMS(장비 관리 시스템), TMS(위협 관리 시스템) 등의 관리 시스템들이 만들어내는 메시지들과 함께 방화벽, IDS(침입 탐지 시스템), IPS(침입 방지 시스템) 등의 보안 시스템들이 만들어내는 메시지들을 수집하여 분류별로 보여주고 미리 설정한 보안 정책에 따라서 정책에 위반되는 사항에 대해 경고(Alert)를 관리자에게 보냄으로 관리자가 경고 받은 위협 상황에 대해 대응할 수 있게 하는 것이 지금까지의 보안 관제 시스템의 역할이었다. 즉, 보안 관제 시스템은 관제 대상 시스템들이 제공하는 메시지들을 수집하여 정책에 맞게 분류, 분석하여 상황을 보여주고 정책 위반 여부를 판가름하는 수준이었다는 얘기다.

하지만 앞서 언급했던 것처럼 네트워크 환경이 다양해지고 접속하는 디바이스의 종류도 다양해지면서 보안 위협의 수준도 높아지고 그 방식도 다양해졌다. 더 많은 데이터들을 더 빨리 수집해야 하고 분석 역시 더 빨리 해야 하며 분석 기법 역시 더 다양해져야 했다. 또한 각 메시지들의 상관 관계 분석 역시 중요해졌다. 하지만 아직까지 많은 보안 관제 시스템들이 이런 사용자들의 요구사항을 다 수용하거나 만족시키지 못하는 것이 사실이다. 물론 최근 하둡을 기반으로 하는 빅데이터 시스템을 도입하면서 이런 보안 관제 시스템들도 더 많은 데이터들을 빨리 수집하고 처리하는 기술을 만들어내면서 성능이 향상되어가고 있는 것은 사실이지만 이제는 단순히 관제 대상 시스템들이 내놓는 메시지만으로 처리하기에는 보안 위협들이 더 다양해지고 막강해진 것이 사실이다.

일반적으로 통합 보안 관제 시스템은 ESM(엔터프라이즈 보안 관리)과 TMS(위협 관리 시스템)에서 나오는 데이터들을 보여주는데 ESM은 NMS나 방화벽, IPS, IDS 등의 보안 시스템들이 내놓는 메시지들을 수집하여 분석하는 역할을 맡고 TMS는 네트워크 패킷을 분석하여 위협 상황을 체크하는 역할을 맡는다. 그런데 ESM은 말 그대로 전적으로 각 시스템이 만들어내는 메시지만을 수집하며 TMS는 미리 정해진 정책에 위반되는 상황에 대해서만 분석하는 경우가 많다. 그러다보니 위협 상황을 놓치는 경우도 있고 ESM과 TMS의 연계도 잘 안이뤄지고 서로 따로 노는 경우가 많다. 통합 보안 관제라고 해도 이 두개의 시스템을 서로 따로 보여주는 경우도 허다하다. 그러다보니 관제 요원들은 각기 보여지는 내용을 보고 알아서 판단해야 하는 경우가 많다. 그러다보니 불편하다는 불만이 자꾸 쌓이게 된다.

최근에 이글루시큐리티가 내놓은 차세대 보안관제 프레임워크 4.0이 탑재된 SPiDER TM 5.0의 경우 앞서 얘기했던 기존 보안 관제 시스템들의 불편함들을 어느정도 많이 해소했다고 보여져서 소개해볼까 한다. 이글루시큐리티는 보안 관제 시장에서 상당히 오랫동안 ESM을 비롯하여 다양한 보안 관제 시스템을 만들어왔던 경험이 있기에 그동안에 사용자들로부터 받은 피드백을 통해 위에서 언급했던 문제점들을 어느정도 해결하는 시스템을 만들지 않았을까 하는 생각이 든다.

일단 기존의 로그 수집 및 분석 만으로는 더 이상의 보안 관제는 한계에 봉착했다고 해도 과언은 아니다. 이 로그 수집을 통해서 분석된 결과가 과연 어떤 위협을 갖고 있는지에 대한 최신 위협 분석 데이터베이스와의 연동을 통한 빠른 판단이 필요한 것이 사실이다. 그리고 앞서 TSM을 통한 위협 분석을 하는데 TSM은 정책에 위반된 경우의 패킷 데이터만을 저장하기 때문에 그 이전의 사전 위협 단계에 대해서는 놓치는 경우가 많다. 즉, 네트워크의 모든 패킷 데이터들을 저장해서 분석해야 한다. 즉, 각 장비에서 나오는 로그와 그 로그가 생성될 때 수집된 패킷 데이터들을 연계해서 분석하는 시스템이 필요한데 워낙 많은 데이터들이 저장되고 분석되어야 하다보니 기존의 RDBMS 기반의 방식으로는 한계가 있어서 빅데이터 시스템을 이용해서 이 부분을 처리해야 하는데 이번에 이글루시큐리티가 발표한 SPiDER TM 5.0은 앞서 얘기한 이런 부분들이 다 적용이 된 제품이라고 알려져 있다.

또한 기존의 보안 관제 시스템들이 대부분 실시간 분석을 통해서 보안 관제를 진행하는데 APT 공격 등을 보면 실시간 데이터만으로 위협을 탐지하는데에는 한계가 있는만큼 과거 데이터들까지 함께 연계해서 분석하는 방식이 필요하고 또한 수많은 보안 위협 시나리오를 적용하여 문제가 될 수 있는 상황을 모두 탐지하는 방법도 필요한 것이 사실이다. 이런 부분이 모두 지원된다면 보안 담당자는 따로 분석툴이나 별도의 보안 시스템을 사용하지 않더라도 보안 관제 시스템만으로도 어느정도 위협을 탐지하고 대응할 수 있게 되는데 이글루시큐리티의 SPiDER TM 5.0이 이런 역할까지 제공한다고 한다.


이제는 빅데이터 시스템의 활용없이 보안 관제는 어렵다

이런 방식은 비단 SPiDER TM 5.0 뿐만이 아니라 앞으로 다른 보안 관제 시스템들도 도입해야 할 방식이라고 본다. 앞으로의 보안 관제는 단순히 로그 수집과 별도의 분석만으로는 어렵다는 얘기다. 그래도 확실히 오랫동안 ESM, SIEM 등의 분야에서 노하우를 갖고 있는 이글루시큐리티의 SPiDER TM 5.0이 얼마나 시장에서의 요구사항을 잘 적용하고 버무리고 있는지를 먼저 맛보는 것도, 또 지켜보는 것도 나쁘지 않은 선택이라는 생각이 든다.


"이 포스팅은 이글루시큐리티의 의뢰로 원고료(현금)를 받고 작성되었습니다"

저작자 표시 비영리 변경 금지
신고
블로그 이미지

스마트하려고 노력하는 학주니

학주니의 시선으로 본 IT 이슈와 사회 전반적인 이슈에 대한 블로그

댓글을 달아 주세요