[아이티데일리] 복잡해진 사이버 공격에 대응하기 위해서는 전통적인 네트워크 경계 보안을 넘어서야 한다. 이제는 복잡한 네트워크 인프라 곳곳에서 발생하는 수많은 위협 정보들을 실시간으로 빠르게 탐지하고 자동으로 분석해 즉시 격리할 수 있는 차세대 솔루션이 필요하다. 한드림넷의 차세대 통합 보안 위협 분석 시스템 ‘VIPM-USM(Unified Security Analytics Manager)’은 네트워크 트래픽 정보와 보안 위협 정보를 인공지능(AI) 및 머신러닝(ML) 기술로 분석해 고도화된 보안 위협을 실시간으로 탐지하고, 보안 스위치와 연동해 적극적인 액세스 레벨에서의 보안을 수행함으로써 안전한 네트워크 환경을 제공하는 NDR(Network Detection and Response; 네트워크 탐지 및 대응) 솔루션이다. <편집자 주>

최근 비즈니스는 4차 산업혁명과 인더스트리 4.0을 기반으로 디지털 트랜스포메이션이 이뤄지고, IoT 디바이스가 활용되는 등 빠르게 변화하고 있다. 또한 비즈니스 전략을 결정하는 데 빅데이터를 활용하는 비율이 증가하고 있다. 이처럼 비즈니스를 위한 IT에 대해 의존도가 높아지고 IT 자산 규모가 커지면서 IT 인프라에 대한 사이버 위협 또한 증가하고 있다.

또한 IT와 보안 기술의 발전으로 사이버 공격의 방식이 복잡해지면서, 전통적인 네트워크 경계 보안만으로는 대응이 더 이상 충분하지 않다. 여기에 보안 담당자는 긴급한 위협 대처에 대부분의 시간을 할애하고 있으며, 강력한 보안 체계를 만들어 통제함에도 네트워크상에는 여전히 보안 사각지대가 존재한다. 뿐만 아니라 수많은 데이터로 인해 상호 연관 관계 파악과 보안 사고에 대한 추적과 측정이 어려운 실정이다.

적절한 보안 및 제어가 없으면 공격 표면이 증가하고 새로운 보안 취약점이 노출될 수 있다. 데이터 유출과 같은 보안 사고는 비즈니스 중단, 막대한 경제적 손실, 기업 신뢰도 하락으로 이어질 수 있다. 이러한 보안 위협으로부터 기업을 보호하려면 엔드포인트 데이터와 기타 로그가 볼 수 없는 네트워크, 장치, SaaS(서비스형 소프트웨어) 애플리케이션, 사용자 행동 등을 확인하고 대응할 수 있어야 한다. 이를 위해서는 트래픽 정보와 보안 위협 정보를 분석해 가시성을 제공하고, 보안 위협을 탐지해 대응할 수 있는 방안이 필요하다.

한드림넷의 NDR 솔루션 ‘VIPM-USM’은 빅데이터와 AI/ML 엔진을 활용한 상관관계 분석을 통해 실질적인 보안 위협을 파악하고, 위협의 우선순위를 제공한다. 또한, 마이터 어택(MITRE ATT&CK)의 킬체인(Kill Chain)을 기반으로 보안 위협 현황을 단계별로 식별하고, 네트워크 위협의 영향도를 시각화해 분석한다. 더불어 네트워크에서 이동하는 보안 위협을 탐지·구분해 보안스위치와의 연동으로 위협 단말을 즉시 격리하는 등 자동화된 보안 대응을 수행한다.

정형·반정형·비정형 데이터 연관성 자동 분석해 드러나지 않는 위협까지 탐지

VIPM-USM은 네트워크 트래픽 정보와 보안 위협 정보를 고도화된 분석 기술을 활용해 처리함으로써 보안 위협을 탐지한다. 인터플로우(Interflow) 데이터 레코드를 이용, 원본 데이터를 최대 100:1 비율로 경량화 및 보강한 후 빅데이터에 저장하고 AI/ML을 이용해 분석하는 방식을 사용한다.

또한 전체 네트워크의 트래픽을 수집해 이스트-웨스트(East-West), 사우스-노스(South-North) 등 전방위적으로 보안 위협을 파악하고, 지속적인 최신 시그니처 업데이트를 통해 ML-IDS(Intrusion detection System) 탐지를 수행하며, 트래픽 재조립을 통한 악성코드 탐지와 이상행위 검사를 수행한다.

지능형 어그리게이션 탭(Aggregation TAP) 스위치를 통해 패킷 중복 제거를 수행하고, 동일한 액세스 스위치에 연결된 자산 간의 위협 확산도 탐지가 가능해 네트워크 전반의 보안 위협을 VIPM-USM에서 확인할 수 있다.

보안 위협 킬체인화해 전술 및 침해 단계 가시성 제공

VIPM-USM은 마이터 어택 모델링 기반의 최신 위협 분석 모델링을 제공해 악성코드, 위험 파일 등에 의한 실질적인 위협에 즉각적인 대응이 가능하고, 실시간 TI(Threat Intelligence) 정보 연동을 통해 피싱, 위협 사이트 접속을 분석함으로써 실제 위협에 대한 대처 방안을 제공한다.

또한 AI/ML 분석을 통해 실시간 보안 위협에 영향을 받은 내부 자산 현황 및 회사 보안 위협 추이 변화를 지속적 추적하고, 자산별 킬체인 단계의 리스크를 한눈에 파악할 수 있는 파노라마 뷰를 제공한다. VIPM-USM의 네트워크 가시화 기능은 네트워크 서비스 현황을 전체 요약, 네트워크, 서버, 데이터베이스, DNS, 애플리케이션, HTTP, 터널 애플리케이션 등으로 세분화해 보여주므로 네트워크 서비스의 상태 파악이 용이하다.

빅데이터 기반 AI/ML 분석으로 위협 상관관계 자동 탐지

VIPM-USM은 비지도 및 지도 학습 ML 모델링 기반의 AI를 통해 다양한 경보들(Alerts)의 상관관계를 분석함으로써 공격 전체에 대한 흐름을 파악하고 통합된 사건으로 연관 처리한다. 전체 공격 수행 관계에 대한 히스토리 분석과 상관관계 분석을 통해 현재 공격에 노출된 내부 자산과 공격 흐름을 명확하게 파악할 수 있도록 도식화해 제공한다. 특히 관련 있는 각각의 보안 이벤트를 AI를 통해 하나의 사건으로 처리함으로써 효율적인 대응이 가능하다.

VIPM-USM은 네트워크로 전송되는 파일에 대한 머신러닝(File AV) 탐지 및 샌드박스(Sandbox) 기반 행위 분석을 통해 악성코드를 탐지하며, 악성코드로 의심되는 파일을 직접 샌드박스로 업로드해 분석할 수 있다. 또한, 위협 헌팅(Threat Hunting), 자산 분석, 사용자 행위 분석, 파노라마 뷰, 키바나(Kibana) 플러그인 등의 기능을 통해 신속하고 정확한 보안 위협 조사 방법을 제공한다. 빅데이터에 인터플로우로 저장된 데이터 레코드 정보를 기반으로 신속한 조사 수행이 가능하고, 보안 이벤트 인덱스(Index)를 구분해 조사 단계의 용이성을 높이며, 위협의 상관관계 조사 기능 등을 제공해 고도화된 위협 헌팅을 수행할 수 있다.

가시성 및 분석, 자동화 및 통합 위협분석

VIPM-USM은 AI/ML 기반의 상관관계 분석을 통해 보안 위협을 실질적으로 탐지해냄으로써 업무 효율성을 높일 수 있다. 킬 체인을 중심으로 보안 위협을 단계별로 식별하고 경고의 심각성을 실시간으로 제공함으로써 위협의 진행 단계를 한눈에 식별할 수 있도록 한다.

VIPM-USM은 사전 제공되는 200개 이상의 플레이북(PlayBook)을 통해 대응 정책을 쉽게 수립할 수 있도록 하며, 사용자 정의 플레이북을 통해 보다 세밀한 정책 구현도 가능하다. 더불어 한드림넷 ‘VIPM(Visual IP Manager)’과의 연동을 통해 모든 IP 단말을 제어 및 격리 조치할 수 있어 보안 위협의 확산을 완화할 수 있다.