코마스 이글루시큐리티
04.26
뉴스홈 > 리뷰
[솔루션 리뷰] 머신러닝 적용으로 더욱 빨라진 탐지 능력 제공코마스 RSA SA

   
 
[컴퓨터월드] 모바일, 클라우드, 빅데이터, 소셜 네트워크 등 제3의 플랫폼 시대에 돌입하면서 기업 보안이 새로운 도전 과제에 직면하고 있다. 모바일 기기는 사내외 네트워크를 넘나들며 움직이고, 클라우드 활용이 늘어남에 따라 회사의 중요 정보가 기업 외부에도 저장되고 있다. 빅데이터, 소셜 네트워크는 조직 내부와 외부가 소통할 수 있는 접점을 더욱 늘려가고 있다. 이에 기존에는 공격자가 외부에 있다는 가정 하에 보안을 생각했다면, 이제는 기업 내부에 이미 공격자가 들어와 있다고 보고, 얼마나 빨리 공격을 찾아낼 수 있는가가 관건이 됐다. 포렌직과 머신러닝을 통해 더욱 빠른 공격 탐지 기능을 제공하는 RSA SA 솔루션에 대해 알아본다.

전체적인 보안 가시성과 빠른 탐지능력 제공

RSA 시큐리티 애널리틱스(RSA Security Analytics, 이하 RSA SA)는 네트워크 패킷, 로그, 넷플로우, 호스트 메모리 포렌직 정보, 엔드포인트 데이터 등 모든 보안 관련 데이터를 수집 및 연계 분석하는 빅데이터 보안 플랫폼이다. 보안 운영 고도화를 위해 최적화된 보안 인프라를 제공함으로써 전체적인 보안 가시성을 제공하고, 모든 비정상 활동 분석을 통해 공격자들의 공격전술이나 방법, 절차를 빠르게 이해하고 찾아내도록 지원한다.

   
▲ RSA SA 구성도

RSA SA는 크게 3가지 기능으로 구성된다. 주요 구성은 ▲수집 ▲분석 ▲관리 등 크게 3가지로, 확장 모델을 통해 고객사가 필요로 하는 분석대상 트래픽에 따른 구성 및 저장 공간을 제공한다. 또한, 기능별 모듈로 구성돼 있어 대상에 따른 맞춤형 구성이 가능하다.

   
▲ RSA 모듈과 기능

최근에 발표된 RSA SA 10.6 버전에서 더욱 기능이 강화된 ESA는 네트워크, 로그, 넷플로우, 메모리 포렌직에서 발생하는 모든 데이터를 기반으로 실시간 상관분석을 통해 위험 경보를 생성한다. 위험 분석에 있어 정해진 패턴에 의한 탐지뿐 아니라 머신러닝(Machine-learning: 인공 지능의 한 분야로, 축적된 데이터를 토대로 상관관계, 특성을 찾아내 여기에 나타낸 패턴을 통해 결론을 내리는 기술)을 이용, 자기 학습을 통해 위협을 분석할 수 있는 기능도 추가됐다.

머신러닝을 통한 실시간 패턴 분석 엔진이 추가된 RSA SA는 특별한 사전 정보나 데이터 분석 전문가 없이도 변칙 활동이나 행동들을 스스로 탐지하고 규정함으로써 기존에 알려지지 않은 종류의 진화된 공격을 빠르게 탐지하고 대응할 수 있게 한다.

의심스러운 프로세스를 파악하고 분석 결과를 실시간으로 네트워크, 엔드포인트, 로그에 적용할 수 있으므로, 보안 위협과 공격 행위를 기업 내 모든 영역에서 감시할 수도 있다. 공격이 가해진 시스템이나 비밀 커뮤니케이션과 같은 깊숙한 트래픽 수준의 위협 또한 신속하게 탐지 가능하다.

또한, 네트워크 통신 분석을 통해 악성코드가 외부와 통신하는 C&C 통신을 탐지하고, 로그 분석을 통해서는 내부에서 시스템 이동 상황을 자동으로 분석해 위험을 평가한다. 만약, 공격자가 내부에 침투해 주기적인 C&C 통신을 한다면, RSA ESA 모듈은 IP별 통신 행위, 연결 시 사용하는 헤더정보, URL의 속성 등의 정보를 학습하고 지속적 모니터링을 통해 행위에 대한 위험도를 평가한다.

장시간에 걸쳐 발생하는 이상행위의 경우, 기본 상관분석에서는 탐지하기가 어렵기 때문에 학습 기반의 분석방안이 필요하다. RSA SA는 이처럼 장기간에 걸쳐 서서히 발생하는 이상행위에 대한 대응 방안을 제공한다. 더불어 실시간 사건과 엔드포인트 분석 결과를 조사과정에 융합함으로써 빠른 조사와 피해 범위 파악이 가능하도록 설계됐다.

   
▲ RSA SA를 이용한 C&C통신 탐지/분석/조사 및 대응 과정

RSA SA는 이미 전 세계 1,600개 이상의 고객들이 사용하는 공인된 시스템으로 국내에서는 대형 제조사, 금융권, 대형 포털, 공공 등 전 분야에 걸쳐 새로운 공격을 찾아 대응하려는 고객들이 사용하고 있다.

국내 한 대형 제조사의 경우, RSA SA가 제공하는 확장성을 이용해 전 세계 지점에서 발생하는 모든 위협을 탐지·대응하고 있다. 기존 악성코드를 탐지하기 위해 구축했던 시스템에서도 확인하지 못하는 공격까지 찾아내 분석하고 있다.

RSA SA는 기존에는 보지 못했던 공격을 탐지 할 수 있도록 도와주고, 실제 공격이 어떻게 발생했는지, 어떠한 과정으로 진행되는지를 모두 확인하고 분석할 수 있도록 지원한다. 이를 통해, 고객 네트워크 전반에 대한 가시성이 확대돼 위협을 빨리 분석하고 대응할 수 있다.

인기기사 순위
153-023) 서울시 금천구 가산동 327-32 대륭테크노타운 12차 13층 1314호 (주)ITMG
TEL:02-2029-7200  FAX:02-2029-7220  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:윤현기  등록번호:서울 아 00418  등록일자:2006.10  발행인:김용석  편집인:김선오