이정원 이글루시큐리티 마케팅팀장

▲ 이정원 이글루시큐리티 마케팅팀장
[컴퓨터월드]

‘1:29:300’

대형사고 1건이 일어나기 전에 그와 관련된 경미한 사고가 29번 발생하고, 이에 앞서 300건 이상의 사소한 징후가 나타난다는 ‘하인리히(Heinrich)의 법칙’을 나타내는 숫자다. 보험사 직원이었던 하인리히는 수많은 산업재해 사례를 분석해 본 결과, 큰 재해가 발생하기 전에는 반드시 이를 암시하는 전조 현상이 일어났다는 사실을 발견했다.

▲ 하인리히 법칙은 정보 보안 분야에도 적용될 수 있다

이 법칙은 정보 보안 분야에도 적용될 수 있다. 사이버 공격이 점차 다양해지면서 정교해지고 있는 만큼, 단 1건의 이상 행위를 놓치는 것만으로도 기업 인프라 전체가 다운되거나 주요 정보가 유출되는 대형 보안 사고가 발생할 수 있기 때문이다. 보안이 취약한 장비나 임직원을 공격의 교두보로 삼고 지속적으로 시간을 들여 악성코드를 잠복, 은닉시키는 방법으로 기업 내 장악력을 확대해 나가는 방식이다.

이와 같은 보안 환경의 변화는 보안 관리자로 하여금 기업에서 일어나는 모든 이상 징후를 낱낱이 살펴보고 대형 보안 사고가 일어날 수 있는 잠재적 가능성을 차단할 수 있는 지능형 보안 체계를 마련할 것을 요구하고 있다. 이와 같은 배경에서, 이기종의 정보보호시스템에서 수집되는 방대한 보안 데이터를 저장, 검색 및 분석하는 통합보안관리 솔루션에 대한 관심이 지속적으로 이어지고 있다.

통합보안관리 솔루션 왜 필요할까

디지털 정보가 폭증하는 빅데이터 시대 도래에 발맞춰, 많은 기업들이 기업의 효율성과 생산성을 높이고자 새로운 IT 시스템과 솔루션을 적극적으로 도입하고 있다. 인터넷에 연결된 수많은 기기와 애플리케이션에서 수집되는 정형, 비정형, 반정형 데이터를 클라우드에 저장해 분석하고, 모바일 기기를 통해 언제 어디서나 원하는 정보에 접속하기 위함이다.

그리고 이러한 IT 환경의 변화는 기업에게 이전에는 경험하지 못했던 새로운 보안과제를 제시하고 있다. 이전에 비해 훨씬 다양한 IT 인프라를 활용하고 더 많은 정보를 수용하게 된 만큼, 공격자가 비집고 들어올 수 있는 틈과 노릴만한 정보가 더 많아졌기 때문이다. 이에 많은 기업들이 기업의 보안성을 높이고자 방화벽, 침입탐지/방지시스템, 웹 애플리케이션 방화벽, 디도스(DDoS) 대응 장비, DB보안 솔루션 등 다양한 보안 시스템을 도입하고 있는 상황이다.

하지만, 단일 보안 솔루션 도입은 지능화된 사이버 위협을 막아내는데 한계가 있을 수 있다. 공격자가 표적으로 삼은 기업과 조직은 물론, 도입된 보안 제품에 대한 사전 정보를 수집하고 공격을 감행할 뿐더러, 침투에 성공한 후에도 원하는 목표를 달성할 때까지 기업 내부 시스템들을 옮겨 다니며 정체를 은닉하기 때문이다. 즉, 단일 보안 솔루션 도입만으로는 공격자의 행위를 정확하고 빠르게 탐지하는 것과 더불어 어떤 정보가 얼마나 많이 유출됐는지 파악하기 어려운 것이 사실이다.

특히, 한정된 시간과 예산 내에서 다양한 보안 장비를 개별적으로 운영 및 관리하고, 디도스(DDoS), APT 공격, 악성코드, 내부정보 유출 등 다양한 형태의 신종 위협에 선제적으로 대응해야 한다는 점 역시 방어자의 어깨를 무겁게 만드는 문제다. 즉, 최대한 많은 이벤트를 자동화해 처리하고, 우선적으로 해결해야 할 이슈 및 위협 요소들을 직관적으로 빠르게 인지할 수 있는 보안 체계가 마련돼야 한다.

이와 같은 배경에서 보안 솔루션들이 생성하는 모든 이벤트를 한 곳에 모아 통합적으로 분석하고, 우선적으로 해결해야 할 이슈 및 위협 요소들을 빠르게 인지할 수 있게 지원하는 통합보안관리 솔루션의 역할이 점점 커지고 있다. 모든 보안 위협 정보를 철저히 조사하고 이를 한 곳에서 모아 분석함으로써 보다 효율적인 대응을 하기 위해서다.

통합보안관리 솔루션의 주요 활용 방안

통합보안관리 솔루션은 개별 보안 장비에서 생성되는 모든 로그를 수집하고, 한 곳에 저장하며 이를 통합적으로 분석하는 기능을 제공하고 있다. 분석 방식은 크게 개별 보안 장비의 이상 징후를 판별하는 ‘룰셋 기반 분석’과 여러 장비에서 생성된 데이터를 통합적으로 분석하는 ‘상관관계 분석’으로 나눌 수 있다.

기존 사례 분석 결과에 기반한 룰셋 분석은 미리 설정된 룰 기반으로 임계치를 넘는 이상행위를 탐지하기 때문에, 임계치 이하의 규모로 진행되는 공격은 막을 수 없다는 한계점을 가지고 있다. 반면, 상관관계 분석은 이기종의 보안 장비에서 실시간으로 수집되는 로그와 이벤트 간의 상관관계를 분석해 각 공격 단계별 위협 상황을 다양한 관점에서 파악하게 함으로써, 룰셋 기반 분석으로는 탐지하지 못하는 위협을 찾아내는데 유용하게 활용될 수 있다.

보다 효율적으로 상관관계 분석을 수행하기 위해서는 시나리오의 완성도를 지속적으로 높이는 노력이 요구된다. 기업의 IT 환경 및 사업 여건이 제각기 다른 만큼, 개개의 사이트에 최적화된 룰을 마련하고 적용할 수 있어야 하기 때문이다.

이에 최신 외부 위협과 기업 내부의 위험 상황, 기존의 사고 사례 및 룰셋을 통합적으로 분석해 기업에 맞춤화된 룰셋을 제공하고자 하는 노력은 계속되고 있다. 이글루시큐리티 역시 위협정보 공유센터인 ‘Knowledge Center’를 통해 다양한 사이트에서 수집한 정보에 기반, 보안 정책 룰을 지속적으로 업데이트해서 고객사에 제공하고 있다.

▲ 위협정보 공유센터 ‘Knowledge Center’ (자료제공: 이글루시큐리티)

통합보안관리 솔루션은 외부 위협은 물론 내부 인가자에 의한 악성 행위를 탐지하는데 유용하게 활용될 수 있다. 로그인, 저장 매체 사용, 메일, 메신저 및 데이터 전송 기록 등의 기업 내부 정보 활용 패턴을 연관적으로 분석해 악의적 의도가 없는 정상 패턴을 설정하고, 이를 벗어나는 오남용 패턴을 찾아내는 식이다. 비인가 단말기로 이용 시간 외 접속을 시도한다거나, 사용자의 업무와 관련이 적어 열람 권한이 없는 자료에 대해 비정상적 열람 시도를 빈번히 반복하는 등의 행위가 이에 포함된다.

▲ 내부정보유출 시나리오 정의 예시 (자료제공: 이글루시큐리티)

또한, 최근에는 컴플라이언스 준수를 위해 통합보안관리 솔루션을 도입하는 사례도 늘고 있다. 개인정보보호법의 하위기준인 ‘개인정보의 안전성 확보조치 기준’에 따르면, 개인정보를 취급하는 모든 사업자들은 사용자의 접속 로그를 안전하게 보관하고, 접속 기록을 6개월마다 한 번 이상 점검해야 하는 의무를 가지고 있다.

통합보안관리 솔루션의 진화

통합보안관리 솔루션은 기업의 보안성과 효율성, 그리고 사용자의 편의성을 높이는 방향으로 발전을 거듭하고 있다. 로그 데이터의 실시간 압축 저장, 빠른 검색 등의 기능을 강조했던 과거와는 달리, 최근에는 사용자가 직접 수행해야 하는 수동적인 업무를 줄이고 보다 신속하게 위협을 탐지하고 대응할 수 있도록 통합보안관리 솔루션의 활용도를 높이는데 큰 비중을 두는 모양새다.

보안성, 효율성, 편의성이라는 세 마리의 토끼를 잡기 위해서는 베스트 프랙티스, 즉 다년간에 걸쳐 축적되고 검증된 운영 방식과 모범 사례 도입이 요구된다. 다만 각각의 산업별로 보안 업무 환경에 차이가 있는 만큼, 통합보안관리 솔루션을 도입하고자 하는 기업은 해당 솔루션이 조직의 업무와 여건에 부합하는 베스트 프랙티스를 제공하는지의 여부를 우선적으로 따져볼 필요가 있다. 일괄적으로 적용되는 베스트 프랙티스가 모든 산업과 조직에 적합하다고 볼 수는 없기 때문이다.

실제로 글로벌 벤더가 제시하는 표준화된 베스트 프랙티스의 경우 한국이 아닌 미국의 보안 환경에 맞춰져 있는 만큼, 국내 실정에 맞지 않는 부분도 적지 않은 것으로 보인다. 이와 같은 배경에서 이글루시큐리티는 10여년 넘게 다양한 기업, 조직의 요구사항을 반영하며 보안관제 서비스를 수행해온 경험과 노하우를 토대로, 기업의 업무와 여건에 맞춤화된 기능과 프로세스를 제공하는데 중점을 두고 있다.

베스트 프랙티스에 기반해, 통합보안관리 솔루션의 활용도를 높이고자 하는 움직임은 계속되고 있다. 우선적으로 눈에 띄는 것은 사용자 인터페이스(UI) 및 경험(UX) 향상에 초점을 둔 환경 구성이다. 보안 장비에 대한 운영 및 관리, 위협 탐지/분석/대응, 사고 발생 예방을 위한 취약점 분석 및 모의훈련 등 보안 관리자가 수행해야 할 업무가 기하급수적으로 증가하고 있는 만큼, 네트워크 전반에 걸친 모든 정보의 흐름을 직관적으로 이해하고 업무에 연관된 핵심 정보를 보다 빠르게 찾아볼 수 있게 지원하는 형태다.

이글루시큐리티의 경우, 다년간 보안관제를 수행해 온 경험에 기반하여 기업 보안에 영향을 미치는 이상 징후 및 이에 대한 처리 상황을 보다 빠르게 확인할 수 있는 모니터링 기능을 제공하고 있다. 실시간 장애 및 위협 요소 상황, 악성 URL/IP, 취약 포트, 지속되는 혹은 종료된 경보 리스트, 로그/네트워크 패킷 상세 분석 진행 상태 등을 쉽게 확인할 수 있게 설계됐다.

▲ 사용자에 최적화 된 UX·UI 구현에 초점을 둔 통합보안관리 솔루션 ‘SPiDER TM’ (자료제공: 이글루시큐리티)

방대한 보안 이벤트에 대한 분석을 가속화하는 자동화된 분석 플랫폼 역시 사용자의 편의성과 업무 효율성, 기업 보안성을 높이는데 중요한 역할을 수행한다. 매일 1만 건에서 최대 10만 건에 달하는 보안 이벤트가 발생하고 있는 만큼, 매우 빈번히 혹은 매우 드물게 발생한 행위들을 쉽게 확인하고, 최대한 많은 이벤트를 자동화 처리하며, 세부적인 분석이 가능하도록 구성될 필요가 있다. 이상 징후 발견 시 해당 이슈와 관련된 데이터를 쉽고 빠르게 확인해 공격에 기민하게 대처할 수 있도록, 연관 정보와 분석 결과를 한 번에 불러오는 기능이 제공되는 식이다.

공격 탐지 사례 학습을 통한 머신 러닝 기반의 자동화 분석 역시 최근 큰 주목을 받고 있는 요소다. 한정된 시간과 자원의 제약으로 공격자의 흔적이 남긴 보안 데이터를 분석하지 못한 채 흘려보내고 있는 경우가 빈번히 발생하고 있는 것이 사실이다. 기업이 살펴봐야 할 보안 데이터가 날로 방대하게 증가하고 있는 만큼, 최대한 많은 이벤트를 자동화해 처리하는 머신 러닝 기반 분석은 24시간 365일 쉴 틈 없이 주의를 기울여야 했던 사용자의 부담을 경감시키는데 큰 도움이 될 것으로 기대되고 있다.

또한, 머신 러닝 기술은 보안 위협 미탐 및 오탐의 한계를 극복하고 이전에 발생한 적 없는 새로운 위협을 탐지하는데도 유용하게 활용될 수 있을 것으로 보인다. 이를 위해서는 능동적 학습에 기반해 데이터를 다양한 행위로 구분 짓고, 보안전문가의 개입 없이도 공격을 예측할 수 있는 ‘예측 모델’을 만드는데 주력해야 한다.

사용자에 최적화된 통합보안관리 솔루션이 요구되는 이유

‘악마는 디테일에 숨어있다(The devil is in the details)’는 말이 있다. 작은 실수와 잘못이 종종 큰 문제를 야기할 수 있다는 의미다. 오늘날의 보안 관리자 역시 기업 곳곳에 숨겨져 있는 디테일을 살펴볼 필요가 있다. 24시간 365일 방대한 보안 데이터를 낱낱이 살펴보고, 실시간으로 이를 분석하며, 공격자가 먼저 찾아내기 전에 기업의 취약점을 찾아냄으로써 기업의 영속성을 좌우하는 대형 보안 사고가 발생하는 것을 막기 위해서다.

작은 이상 징후도 넘기지 않고 잘 살피기 위해서는 무엇보다 보안 관리자의 역할이 중요하다. 그리고 보안 관리자가 역할을 제대로 수행하기 위해서는 모든 보안 위협 정보를 다루고, 이에 숨겨진 의미를 파악할 수 있는 보안관리 업무에 최적화된 기술이 뒷받침돼야 한다. 보안성, 효율성, 편의성이라는 세 마리의 토끼를 모두 잡을 수 있도록 사용자에 맞춤화된 통합보안관리 체계를 마련했으면 하는 바람이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지