[컴퓨터월드] 최근 사물인터넷(IoT)과 클라우드, 빅데이터 등의 확산으로 인해 IT환경이 복잡해지면서, 기업 보안 담당자들의 고민이 높아지고 있다. 보안 위협이 점차 정교해지고 지능화되면서 기업 내부정보를 안전하게 지키기가 쉽지 않기 때문이다. 지난달 3일 개최된 ‘스마트 시큐리티 세미나’는 기업 보안 담당자들의 이 같은 고민을 해결해주기 위해 마련된 자리였다. ‘내부보안 위협 대응 전략’을 주제로 개최된 이번 행사는 공동 주최사인 오픈베이스와 스콥정보통신, 그리고 후원사인 한국HPE 보안사업부의 보안 전문가들이 최신 정보보안 이슈를 소개하고, 이에 대응하기 위한 각사의 전략을 소개하면서 참가자들로부터 많은 호응을 얻었다.

내부보안 위협, 사전 차단 필요성 증대

영화 ‘미션 임파서블’을 보면 주인공 톰 크루즈가 로프 하나에 매달려 컴퓨터에 있는 파일을 복사해가는 장면이 나온다. 엄격하게 통제되고 관리되는 내부정보를 유출하기까지 어려운 과정을 잘 보여주고 있지만, 실제 우리들 모습에서는 그런 모습보다 훨씬 쉽고 간편하게(?) 내부정보가 유출되는 사례들을 볼 수 있다.

내부정보가 유출되는 사례는 크게 두 가지로 나눌 수 있다. ‘미션 임파서블’에서 톰 크루즈가 했던 것처럼 ‘외부 침입으로 인한 유출’과 ‘내부 사용자에 의한 유출’이 그것이다.

외부 침입으로 인한 유출은 해킹이나 지능형지속위협(APT) 등 말 그대로 외부에서부터 내부로 침입하는 행위에 의해 발생하며, 내부 사용자에 의한 유출은 중요 정보가 포함된 USB, 외장하드, 스마트 기기 등을 분실함으로 인한 것과 잘못된 이메일 발송, 출력된 중요 문서의 분실, 계획된 의도로 인한 범죄형 유출 등 방식도 다양하다.

초기 정보유출 사고는 외부침입에 의한 사고가 많았다. 그러나 IT환경이 복잡해지고 보안 사고의 유형이 지능화됨에 따라 이제는 내부자에 의한 정보유출이 전체 정보유출의 80% 이상을 차지할 정도로 높아졌다.

특히, 지난 2014년 카드사 고객정보 유출사고와 같은 내부자에 의한 사고 빈도가 높아지자 기업 정보보안의 포커스는 내부정보 유출방지로 맞춰지고 있다. 내부자로 인한 정보유출 피해를 방지하기 위해서는 내부에서 외부로 정보가 유출되기 이전에 미리 감시하고 차단하는 사전 보안시스템 구축 필요성이 높아지며, 이에 대한 시장 수요도 커지고 있다.

‘SIEM’으로 다양한 보안 장비 운영과 로그 상관관계 분석까지 한 번에

클라우드, 빅데이터, 모바일 등 새로운 IT트렌드들의 등장은 기업 IT담당자들로 하여금 더 많은 관리·운영상의 부담을 갖게 한다. 빅데이터는 더 많은 데이터를 저장하고 처리·분석해야 하는 어려움이, 클라우드는 기업 내부 데이터를 외부에 맡겨야 한다는 위험성이, 모바일은 기업 외부에서도 내부망으로의 접속을 허용해야 한다는 문제점들이 발생하기 때문이다. 이는 과거와 달리 기업 내부 데이터가 더 이상 기업 내부에만 있지 않게 되는 것을 의미하며, 결과적으로 보안 전략을 수립하기에도 어렵게 한다.

이에 대응하기 위해 기업에서는 다양한 보안 장비와 솔루션을 도입해 운영하고 있다. 디도스(DDoS) 대응 장비부터 침입방지시스템(IPS), 방화벽, DB보안 솔루션 등 일일이 열거하기에도 힘든 많은 보안 장비들이 있지만, 이들을 한 곳에서 운영·관리하기란 쉽지 않다.

장대욱 HPE 보안사업부 부장은 이 같은 문제를 해결하기 위해 ‘보안 정보 이벤트 관리(Security Information Event Management, 이하 SIEM)’ 플랫폼을 이용할 것을 제안했다. SIEM은 각각의 보안 장비들이 만들어내는 로그(Log)를 수집·저장하고 분석함으로써 IT담당자가 보안전략을 수립하는데 도움이 되는 유의미한 결과를 제공하는 역할을 한다.

HPE의 SIEM 플랫폼 ‘아크사이트(Arcsight)’는 전처리 기능을 보유하고 있어 각각의 보안 장비들이 만들어내는 다양한 로그들을 수집·저장한다. 시스로그(syslog), DB, 파일 등 로그 형태와 관계없이 자동적으로 파싱(parsing)하고 저장하며, 개인정보 등이 포함된 로그는 암호화까지 진행한다.

아크사이트는 이처럼 수집·저장된 로그들을 이용해 상관관계 분석을 한다. 상관관계 분석은 로그에 포함된 맥락(Context)까지 고려해 진행되는 것으로 해당 로그가 중요한지 아닌지를 파악한다. 예를 들어 A라는 사람이 오전 9시 10분에 사내에서 VPN에 로그인을 하고 10분 뒤 로그아웃한 로그가 발생했다. 비록 로그만 보면 정상이지만, 한국에서 로그아웃 한 지 10분 만에 중국에서 로그인하는 것은 불가능하다. 사람은 이를 보고 A의 계정이 탈취됐다고 유추할 수 있지만, 기계는 이를 알아차리지 못한다. 그러나 상관관계 분석을 하면 이상 여부를 파악할 수 있게 되는 것이다.

아크사이트는 장대욱 부장은 “아크사이트는 설명을 잘 해주는 의사 같은 역할을 한다”며, “타 시스템과의 연동을 통해 보안성을 높일 수 있다. 로그를 연동해서 준비하면 생각보다 많은 것에 대해 유연한 대응이 가능하다”고 강조했다.

계층적 융합보안으로 관리 효율 높여

이날 두 번째 발표자로 나선 곽기호 스콥정보통신 연구소장은 플랫폼과 네트워크 솔루션을 활용한 융합보안 전략에 대해 발표했다. 곽 소장은 “현재 많은 기업 및 기관들은 내부자에 대한 보안 관리를 철저하게 못 하고 있는 곳들이 많다. 또한, 보안 장비에 대해서는 중복투자가 이뤄질 정도로 인프라 역시 복잡하다”며 이에 대한 대응으로 계층적 융합보안을 제시했다. 최근 들어 APT와 같이 기존 보안 장비로는 쉽게 탐지하기 어려운 보안 위협의 존재와 보안 장비에 대한 관리방법의 부실 등의 문제로 인해 계층적 융합보안이 꼭 필요하다는 설명이다.

우선 곽 소장은 플랫폼의 조건으로 ▲실시간 위협의 가시성 제공 ▲보안 운영 효율성 제공 ▲컴플라이언스 대응 가능 등을 조건으로 꼽았으며, HPE의 아크사이트가 해당 조건들을 잘 충족하는 플랫폼이라고 설명했다. 스콥정보통신은 자사 IP관리 솔루션 ‘IP스캔 XE’를 HPE 아크사이트와 연동해 사용할 경우 각종 장비들로부터 생성되는 로그 정보를 실시간 모니터링하고, 상관관계 분석을 통해 사용자를 인증하고 제어하는 차별화된 접근통제까지 가능하다고 강조했다. 이를 통해 기대할 수 있는 것은 지능적으로 탐지해서 빠른 대응이 가능하다는 점이다. 이를 좀 더 세분화하면 수집, 탐지, 대응 측면에서의 기대효과가 있다.

수집 측면에서 보면 모든 장비로부터 실시간 로그와 이벤트를 수집해야 하며, 이를 분석한 데이터가 자산으로 인식돼야 한다는 것이 포인트다. 자산이 위협 판단 기준만 되는 것이 아니라, 유기적으로 대응이 가능해야 한다는 점도 필요하다. 아크사이트와 IP스캔 XE의 융합은 비정형데이터를 정형화하고 카테고리화해서 의미 있는 데이터를 만들어낸 다음, 보안 관리자나 담당자들에게 전달됨으로써 도움이 되도록 하는 것이 가능하다.

IT환경이 복잡해지고 데이터의 복잡성 역시 높아지면서 많은 기업들이 실시간으로 위협을 탐지하고 정책을 수립하는데 어려움을 겪고 있다. 현장에서 실시간으로 탐지하는 정책을 갖고 있는 기업도 드물뿐더러, 이를 실행하고 있는 기업들도 정책이 제한적이거나 허점이 있는 경우가 많다. 그러나 HPE와 스콥정보통신의 융합보안은 빠른 탐지와 더불어 실시간 상관분석을 통해 담당자가 의사결정을 하고 보안정책을 수립하는데 기여할 수 있다.

대응 차원에서도 효과를 볼 수 있다. 글로벌 기업들의 커뮤니티를 보면 보안 사례들이 모아져 공유되는 것이 필요하다. 특정 기업만이 가진 정보를 토대로 보안정책을 수립하는 것은 제한적일 수밖에 없으며, 다양한 사례들이 모였을 때 지능화된 위협에 대해 효과적인 대응이 가능하다. HPE의 아크사이트는 다양한 글로벌 사례를 수집해 공유함으로써 이 같은 협업 대응 체계를 구축할 수 있도록 한다.

사용자 이상행위 분석으로 내부 사용자 보안 위협도 찾아내

세 번째 발표자인 채현주 오픈베이스 부장은 사용자 이상행위 분석시스템인 ‘HPE 아크사이트 UBA(User Behavior Analytics)’에 대해 소개하며, 정상적인 사용자들로부터 발생하는 보안 위협에 대한 빠른 탐지가 가능하다고 밝혔다. UBA는 APT를 비롯한 타깃 공격이 기존 네트워크 경계보안 솔루션(방화벽, IPS, 샌드박스 등)들의 행위를 무너뜨리는 것에 대응하고자 등장했다. 가트너(Gartner)에서는 이를 UEBA(User Entity Behavior Analytics)라 하며, 단순히 사용자뿐만 아니라 사용자가 사용하는 장비, 소프트웨어(SW), 애플리케이션 등을 모두 포함한 광의의 의미를 부여하고 있다.

UBA의 목적은 기본적으로 정상적인 사용자에 의한 보안 위협을 찾는 것이다. 만약 사용자의 계정정보가 유출됐다면, 이를 어떻게 인지하고 그에 대한 피해를 찾을지에 대한 고민에서부터 출발한다. 이에 UBA는 맥락정보, 즉 사용자의 행위를 상관분석 하면서 정상행위인지 비정상행위인지를 판별하고, 이를 UI 등을 통해 가시성 있게 보여주는 역할을 한다.

UBA는 기본적으로 인풋(Input)이 있어야 결과물을 얻을 수 있다. 신원정보(Identity), 접근정보(Access), 이벤트, 애플리케이션 등 사용자가 하는 활동과 접근권한 등을 토대로 통합분석을 시행해야 한다. 이 절차를 통해 맥락정보와 아크사이트가 가진 위협 인텔리전스를 이용해서 비정상행위를 탐지하는 알고리즘을 적용한다. 이 때 가장 핵심이 되는 기술이 행위 프로파일과 동료분석(주위 사람들과의 행동 비교)이다. 평상시에는 나타나지 않는데 갑자기 이상한 이벤트가 뜨는 희귀 이벤트 분석들과 어우러져서 비정상행위를 탐지해낸다.

UBA가 동작을 시작하면 학습을 통한 사용자 프로파일링을 진행한다. 각각 개별 사용자의 행동을 학습해 베이스라인을 설정하며, 동료 그룹에서 발생하는 행동 패턴으로도 베이스라인을 설정한다. 이후 이벤트 로그가 들어오면 트랜잭션의 양, 빈도수, IP 로그인 시도 등의 이벤트들을 함께 분석한다.

동료 그룹의 분석은 아크사이트 UBA가 가진 여러 분석엔진 중 집단응집력지수(Cohesiveness)를 적용한다. 이는 대상자의 동료 집단 또는 소속 멤버의 행동패턴을 지수로 나타낸 것으로 수치가 100에 가까울 경우 동료들과 비슷한 행동패턴을, 수치가 0에 가까울 경우 동료들과 전혀 다른 행동패턴을 보이는 것을 의미한다. 대상자의 기여도에 따라 UBA 알고리즘이 적용되며, 100이라는 수치가 나오면 굉장히 집단 응집력이 높은 집단이라고 볼 수 있다.

한 예로 특정 인물이 비정상행위로 탐지가 됐다고 가정하자. UBA는 그 이유를 상세히 나눈다. 왜 위협이 발생했는지, 해당 인물이 어디어디에 액세스를 했는지 등을 트리 구조로 보여준다. 해당 이벤트를 선택하면 그와 관련된 상관분석을 보여주는 드릴-다운 기반 UI가 제공된다.

특히, 타깃 공격은 타임라인을 상세히 살펴봐야지, 개별 이벤트에만 너무 집착하면 안 된다. 그 이벤트가 계속 반복적으로 나타나면 비로소 의미 있는 데이터가 된다. UBA를 포함한 분석 제품들은 타임라인을 기반으로 해야지, 그렇지 않으면 타깃 공격에 취약할 수밖에 없다.

결국 UBA는 민감한 데이터들을 보유하고 있다. 이를 보안 모니터링 요원이 전부 보게 된다면 그것 또한 문제다. 비밀번호도 알 수 있고 사용자 계정정보가 유출돼 UBA 솔루션을 도입하는데 이에 대한 계정정보가 유출될 수도 있다. 이에 대한 보안 장치로 프라이버시 및 암호화 기능이 포함돼 기본적으로 데이터 일부를 가리는 데이터 마스킹 기능, 사용자 감사 로그, 역할 기반 사용자 계정 및 예외처리 등도 가능하다.