[컴퓨터월드] 알려지지 않은(Unknown) 공격으로 여겨지던 지능형 지속 위협(Advanced Persistent Threat, APT)도 이제는 많은 사람들이 인지하고 위험성을 느끼게 됐다. 하지만 공격 수법이 갈수록 지능화되고 고도화됨에 따라 APT 공격을 탐지하는 것 역시 점점 더 어려워지고 있다. 이에 보안 업계는 빅데이터 분석을 통해 그 동안 활용하지 않던 데이터나 할 수 없었던 데이터들을 분석함으로써, APT 공격의 사전 징후를 찾아내고자 노력하고 있다. 보안 분야에서 빅데이터 분석을 어떻게 활용하고 있는지 알아본다.

빅데이터 분석으로 이상 징후 찾아내
최근 몇 년 간 IT업계 화두는 단연 빅데이터다. 빅데이터란 데이터의 생성이나 주기, 양, 형식 등이 매우 방대해져서 기존 방식으로는 수집이나 저장, 검색, 분석 등이 어려운 데이터를 의미한다. 특히 이전까지는 데이터로 취급하지 않았던 것들도 이제는 엄연한 데이터로 인정받게 되며 그 규모는 더더욱 커지고 있다. 무선 네트워크와 모바일 기기의 발달로 인해 SNS 등 개인들이 생성하는 데이터의 양도 급속도로 증가하면서 빅데이터는 더욱 빅(Big)해지고 있다.

빅데이터가 주목받고 있는 이유는 단순하다. 데이터 속에 필요한 것이 있기 때문이다. 많은 데이터를 모으고 분석을 통해 그 속에서 어떤 사회현상에 대한 어떤 법칙 등을 발견하고 통찰력(Insight)을 찾아서 그에 대응하는 조치를 취한다. 기업 입장에서는 문제를 해결하고 수익을 추구하는 쪽으로 이용하고 있다.

보안 업계도 빅데이터에 주목하고 있다. 지난해 발생한 소니 픽쳐스 해킹사고나 한수원 해킹사고처럼 APT 공격을 당할 경우 그 피해가 막대한 만큼, 사전에 APT 공격을 탐지하고 차단하고자 빅데이터 분석을 보안에 접목시키고 있기 때문이다.

보안 시장에는 보안 정보 이력 관리(Security Information Event Management, SIEM)나 기업보안관리(Enterprise Security Management, ESM) 등 각종 보안 솔루션들이 쏟아내는 정보들을 취합해 한 눈에 파악할 수 있도록 보여주는 제품들이 존재한다. 여기에 과거 데이터들과 실시간으로 취합되는 데이터들을 상관분석하게 되면 새로운 유의미한 결과가 나타나면서 미처 파악하지 못했던 이상 징후들도 감지할 수 있게 되는 것이다.

데이터 연관성 파악이 핵심
각종 보안 솔루션들이 쏟아내는 데이터는 이루 헤아릴 수 없을 정도다. 이 데이터들 하나하나가 갖는 의미도 중요하지만, 각 데이터들의 연관성을 파악하는 것이 특히 중요하다.

하나의 예를 들어보자. 어떤 기업의 관리자 아이디가 오후 1시에 서울에서 접속한 기록이 발생했다. 현재 이 정보만으로는 알 수 있는 내용이 한정돼 있다. 뒤이어 오후 1시 15분에 해당 관리자 아이디가 부산에서 접속한 기록이 발생했다. 역시 이 정보 하나만으로는 알 수 있는 내용이 한정돼 있지만, 앞선 정보와 조합하면 이상 징후를 발견할 수 있다. 오후 1시에 관리자 아이디가 서울에서 접속을 했는데, 불과 15분 만에 부산에서 같은 아이디로 접속한 기록이 남는 것을 확인할 수 있기 때문이다. 만약 서울에서 접속한 아이디가 정상적이라면 부산에서 접속한 아이디는 다른 누군가가 도용했다는 의미가 되므로, 보안 담당자는 즉시 해당 IP의 접속을 차단하는 조치를 취할 수 있다.

이처럼 복잡하지 않고 단순한 정보를 조합한 것만으로도 실제로 보안상 문제가 발생하는지 여부를 확인할 수 있다. 그러나 이는 수많은 데이터들 중 한 가지 사례에 불과한 것이므로, 실제 환경에서는 이보다 더 복잡하다. 때문에 사람이 수작업으로 모든 것을 할 수는 없다. 이 때 빅데이터 분석이 빛을 발하게 되는 것이다.

기존 보안 솔루션들은 대부분 알려진 패턴을 감지해내는 정적인 분석에 머물러 있다. 그러나 동적이고 다이내믹한 패턴의 감지와 분석을 위해서는 빠른 시간 내 대용량의 데이터를 수집하고 저장하는 기술이 필요하다. 일정한 데이터에 알려진 패턴이 있는지 여부만을 판단하는 것이 아니라, 다양한 데이터를 통합해 수집·분석을 해야 한다는 측면에서 빅데이터의 대용량(Volume)과 속도(Velocity) 성향이 환영 받고 있다.

업계에서는 향후 사물인터넷(Internet of Things, IoT) 시장이 확대되면 앞선 사례와 같은 현상들이 더 많이 등장할 것으로 예상하고 있다. 더 많은 데이터들이 생겨나면서 이에 대한 처리 요구 수요도 늘어날 것이며, 실제로 IoT 시대에 가장 중요하다고 여겨지는 것 중 하나가 보안이기 때문이다.

보안 업무 효율성 증대
각종 보안 솔루션들은 실시간으로 단일 경보를 발생한다. 각 보안 솔루션마다 각각의 경보를 발생하기 때문에, 그 경보들의 양도 상당수에 이른다. 그러나 실시간으로 발생되는 경보와 과거치 데이터의 통계, 그리고 과거 데이터들을 엮어서 다차원적으로 상관분석을 처리하게 되면 실제로 보지 않아도 되는 경보들을 줄여주고, 보안 관제 인력이 우선적으로 처리해야 하는 업무 순서도 제시해줄 수 있다.

가령 취약점 점검을 통해 이미 패치가 완료된 곳에 들어오는 공격이 있다면 각 보안 솔루션들은 그에 대한 경보를 발생시킬 것이지만, 상관분석이 이뤄지면 경보를 발생시키지 않을 것이다. 설령 경보가 발생하더라도 이미 대처가 된 사항이기에 급하게 처리할 문제는 아니게 된다. 그렇게 되면 보안 관제 인력은 해당 사안보다 다른 사안을 우선적으로 처리할 수 있다.

이는 결과적으로 보안 관제 인력의 수도 줄일 수 있게 된다는 것을 의미한다. 이전에는 각각 발생하는 경보를 처리하기 위해 10명이 필요했다고 한다면, 경보의 양도 줄어들었을 뿐만 아니라 일의 우선순위까지 배정해주기에 그보다 적은 인력으로도 운영이 가능하기 때문이다.
 

“보안 인력의 역량을 개발하라” 보안 영역은 솔루션을 너무 맹신하고 있는 것이 아닌가 하는 생각이 든다. 또 실제로 그런 경향이 보안 사고를 만들어가는 것 같다. 보안 사고에 대비하기 솔루션을 도입하지만 그것도 한계가 있다. 홀(취약점)은 계속 생기기 때문이다. 따라서 전반에 대해 점검해보고 왜 누수가 일어나는지 관리자가 알아야 한다. 빅데이터를 접목한 보안 솔루션들이 발전하고 있지만, 이를 얼마나 잘 활용하느냐는 결국 사람의 문제다. 솔루션들이 해주는 것은 한계가 있다. 솔루션들은 어디까지나 보완재일 뿐이며, 사람이 가진 경험이나 운용 능력까지 대체하기는 어렵다. 머신러닝이 아무리 잘 돌아간다 하더라도 인간이 개입할 수 있는 부분이 생길 수밖에 없는 것이다. 최종 판단은 결국 사람이 해야 하며, 이로 인해 적절한 판단을 내릴 수 있는 역량을 키워야 한다. 그렇게 역량을 키운 인력이 다른 보안 솔루션도 도입을 할 수 있다. 만약 잘 모르는데 도입한다면 툴에 종속될 수밖에 없다. 100% 완벽한 툴은 없다. 사람이 판단을 내려야 하는 부분이 왔을 때 대처할 수 있는 부분이 없다. 사람이 하는 단순 반복 작업들과 추론들은 솔루션이 대신하고, 사람이 가진 고유한 판단력과 추론능력은 것은 키워야 한다. 현재 국내 시장 자체가 기술 투자에 많은 비중을 두고 있는데, 기술이 발전하더라도 그 기술을 따라갈 수 있는 인간의 역량이 함께 개발되지 않으면 안 된다. 이것이 빅데이터 보안에 있어 선결 과제라고 본다. 기업들도 단순히 솔루션만 도입하기보다는 그것을 운용할 인력의 역량 개발을 어떻게 해나가야 할지 고민해야 한다.

국산 솔루션, 아직 갈 길 바빠
빅데이터 분석을 결합한 보안 시장 규모는 점차 커질 것으로 예상되고 있다. 전체적인 통합 관점에서 분석할 수 있는 부분들이 늘어나고 있기 때문이다. 고객들이 기존에 보유하고 있던 방화벽 등 보안 솔루션들이 만들어내는 로그들을 분석해 보안에 활용하려는 것도 그 중 일부로 볼 수 있다.

그러나 정작 시장이 넓어지는 만큼 국내 보안 기업들의 입지는 좁아지는 듯하다. 글로벌 기업들이 생태계를 갖춰 국내 시장에 진입하고 있기 때문이다. 이들은 이미 전 세계에 갖춰진 인프라를 통해 다양한 정보를 수집하고 있으며, 이들을 토대로 한 보안 솔루션을 경쟁력으로 내세우고 있다.

실제로 블루코트의 보안 분석 플랫폼(Security Analytics Platform, SAP)은 IBM, HP, 스플렁크(Splunk) 등의 SIEM 솔루션을 지원하면서 파이어아이(Fireeye)와 샌드박싱 기술 제휴를, 프리럿(Prelert)과 머신러닝 및 데이터분석을 위한 협력체계를 구축해 고객들에게 서비스를 제공하고 있다.

이를 통해 블루코트의 솔루션은 SIEM이나 통합로그와 연동돼 로그와 글로벌 DB분석, 네트워크 포렌식을 수행한다. 또한 시스템을 도입해 정보를 모아놨지만 분석을 할 수 없는 고객들을 위해 머신러닝 솔루션을 지원, 네트워크 포렌식을 통해 나타나는 다양한 징후들을 자동적으로 처리할 수 있도록 한다.

한 보안 업계 관계자는 “이런 글로벌 기업들과 경쟁하려면 충분한 인프라를 갖춰야 한다. 그러려면 기존 정부 규제 중심의 보안 환경을 넘어서 다양한 제휴나 협력 모델을 갖출 필요가 있다”고 조언했다. 아직까지는 글로벌 기업들이 좀 더 넓은 마켓과 경함을 갖고 있기 때문에 유리하지만, 그들과 협력 또는 상생하면서 기술력을 쌓을 수도 있기 때문이다.

“머신러닝으로 탐지능력 높일 수 있어” APT 공격이 이슈가 됐던 것은 검출이 쉽지 않기 때문이다. 말 그대로 공격이 더 쉽다. 방어하는 입장에서는 시나리오를 연구하는 TF팀이 있다. 사이트에서 이슈가 발생하면 모여서 공격이 어떻게 들어오는지 등에 대한 시나리오를 짠다. 공격은 사이버 킬체인이라 불리는 과정을 통해서 이뤄진다. 각 단계 중 하나의 채널만 끊으면 공격을 막거나 피해를 최소화 시키는 것이 가능하다. 이를 위해 TF팀은 서버 로그나 네트워크 로그 등을 다 들여다보게 되는데, 이 때 머신러닝을 이용하면 보다 효율적으로 공격 징후를 탐지할 수 있다. 머신러닝은 정기적인 트래픽 양이 있다. 예를 들면 직원들이 아침에 출근하면 인터넷 트래픽이 늘어났다가 근무시간에 접어들면 줄어들고, 또 점심시간이 늘고 하는 것과 마찬가지다. 머신러닝의 트래픽도 전체적인 양은 늘어날 수 있지만 일정한 패턴들이 그려진다. 공격이 일어나는 시점을 보면 디도스(DDoS)와 같은 것은 눈에 띄지만, APT는 아주 조금씩 은밀하게 일어나다보니 일상의 정해진 패턴에서 빗나가는 것을 탐지할 수 있다. 실제 사람의 눈으로 보기에는 쉽지 않은 작은 징후들을 이처럼 머신러닝을 이용하면 찾아낼 수 있다.

솔루션 도입 시 ‘분석’ 능력 우선해야
최근 많은 기업과 관공서 등에서 적극적으로 빅데이터 기술을 도입하거나 검토하는 등 활발한 노력을 기울이고 있다. 초기에는 빅데이터 기술이 스몰데이터(Small Data) 시대의 기술과 어떤 차별성이 있느냐를 검토하다보니, 빅데이터의 핵심인 분석기술보다는 데이터의 수집, 저장, 검색에 따른 기능, 성능 및 비용측면에서만 접근했던 것이 사실이다.

업계 관계자는 “이제는 빅데이터의 본질인 데이터 안에 숨어있는 가치와 패턴을 발견해 내는 기술 그 자체에 좀 더 집중할 시기가 왔다. 수집성능, 저장성능 등은 솔루션별로 크게 차이가 없이 일반화 됐다고 해도 과언이 아니다. 어떤 솔루션이 더 분석을 잘하는지, 시각화를 통해 어떻게 다양한 분석의 토대를 갖추었는지 등이 중요하다. 더불어 우리조직의 상황에 맞게 구현될 수 있는가를 고심해야 한다”고 강조했다.

실제로 외국에 많은 레퍼런스가 있다고 하더라도, 단지 다른 조직에서 사용하던 패턴 룰을 전달해주는 경우도 있기 때문에, 분석에 초점을 맞춰 업무가 진행될 수 있도록 하는 솔루션을 고려해야 한다고 당부했다.
 

강력한 분석 기능이 돋보이는 이글루시큐리티 ‘스파이더 TM 5.0’ 이글루시큐리티의 ‘스파이더 TM 5.0(SPiDER TM 5.0)’은 다년간의 관제업무 수행 및 고도화된 빅데이터 활용 경험에 기반해 관리자의 편의성과 솔루션 성능을 높인 통합보안관리 솔루션이다. 최초 탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제 환경 구성을 통해 관제 업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있도록 한다. 또한 모든 로그 및 네트워크 패킷 데이터를 실시간으로 수집, 저장하고 이를 유해 IP, 악성 URL 등의 최신 외부 위협정보와 연계 분석함으로써 각종 위협요소들을 보다 빠르고 효과적으로 탐지, 차단하고 예방할 수 있다. 스파이더 TM 5.0은 ▲공격 대상 정보 수집 ▲취약 시스템 공격 시도 ▲시스템 탈취 ▲내부자원 정보 수집 ▲내부 정보 유출 등 각 공격 단계별 위협상황을 다양한 관점에서 파악할 수 있는 시나리오 기반의 다차원 상관분석 기능을 제공한다. 또한 이글루시큐리티 보안위협연구센터의 악성코드 유포지 자동수집 시스템인 ‘애플도어 시스템’과 한국인터넷진흥원에서 제공하는 최신 보안위협정보를 방대한 내부 보안 데이터와 통합해 분석함으로써 이상 징후와 침입증거를 빠르고 정확하게 탐지, 예방하는 상호연관성 분석 기능도 제공한다.