보안 위협은 갈수록 다양화되고 있다. 이러한 다양한 보안 위협을 하나의 보안 솔루션으로 대응하는 데에는 한계가 존재하며, 복잡한 퍼즐의 단편같은 다양한 위협들을 통합적으로 모니터링하고 분석 및 대응하는 기술이 요구되고 있다.
안랩은 지난 5월 이러한 요구 사항을 반영한 차세대 위협 관리 시스템(Threat Management System, 이하 TMS)을 출시하여 다양한 보안 솔루션의 연동을 통해 통합 관리의 범위를 확대하고, 자체 빅 데이터 처리 엔진을 기반으로 머신 러닝과 상관 분석을 통한 심도 있는 분석기법으로 최근의 보안 이슈에 대응하고자 한다.
IT 환경 속 보안 위협의 다양화
현대의 IT 환경은 다양한 IoT 디바이스와 플랫폼이 끊임없이 등장하고 있다. 이러한 환경 속에서 수 많은 이벤트들이 생성되고 대용량 트래픽의 규모는 나날이 증가하고 있으며, 아마존 웹 서비스로 대표되는 클라우드 환경으로 자산 및 서비스가 이동하면서 IT 환경의 변화가 글로벌하게 진행되고 있다. 또한 2년전 전세계 이목을 모았던 이세돌 기사와 알파고의 바둑 대결에서 시작한 인공지능 기술이 우리 생활에 보다 밀접하게 다가오고 있다. 이와 같은 사물 인터넷, 클라우드, 인공지능, 빅 데이터는 4차 산업의 주요 기술 키워드로 대두되면서, 보안 기술 역시 이러한 변화에 대응해야 하는 필요성이 점점 더 커지고 있다.
뿐만 아니라 2017년 상반기 발생한 워너크라이(WannaCry) 랜섬웨어, 이보다 앞선 2014년 소니픽처스 해킹 사건의 APT 공격, 7.7 DDoS 대란, 내부 데이터베이스 해킹으로 개인정보 유출 사건과 같이 오늘날 보안 위협은 네트워크와 엔드포인트 환경, 데이터 영역까지 복합적으로 발생하고 있다.
최근 10년을 되돌아 보면 다양한 보안 사고가 있었고, 이러한 굵직한 사건이 있을 때마다 새로운 종류의 보안 솔루션이 등장하고 기존의 보안 솔루션은 지속적으로 차세대 기능을 추가하며 진화해 왔다. 그러나 보안 솔루션만으로 궁극적인 보안 문제를 해결할 순 없었다.
이는 다양한 보안 제품을 사용하더라도 개별 제품 관점에서 시큐리티 홀(Security Hole)이 존재할 수 밖에 없으며, 각각의 보안 솔루션을 전반적으로 모니터링하며 관리하는 통합 관리 제품이 필요하기 때문이다.
기존의 TMS와 안랩 TMS는 무엇이 다른가?
기존의 TMS 솔루션은 다수의 IDS 센서들과 연동하여 탐지된 위협 정보들을 통합적으로 모니터링하고 분석해왔다. 그러나 그동안 발생한 수 많은 보안 사고와 다양한 보안 솔루션의 등장으로 이제는 단순하게 탐지를 목적으로 하는 IDS 제품 중심의 위협 관리에 국한되기보다는 다양한 보안 솔루션들을 센서로 활용하는 통합 측면에서의 위협 관리가 요구되고 있다.
안랩은 지난 5월 기존 TMS와 다른 차세대를 표방하며 신제품 ‘안랩 TMS(AhnLab TMS)’를 출시했다. 안랩TMS를 통해 최근 IT 환경 확장과 복잡다단해진 보안문제에 대한 효과적인 해결 솔루션을 제시한다.
안랩 TMS는 국내 최고의 통합 보안 기업인 안랩의 기술력이 집약된 제품으로 기존 TMS들이 가진 한계를 극복하고, 시장에서 요구하는 차세대 기능을 적용하여 TMS 솔루션의 위협 관리와 통합 관리의 새로운 표준을 제시하고자 한다.
안랩 TMS는 자체적인 빅데이터 처리 엔진 프레임 기반의 통합 이벤트 관리(Complete Total Event Management)를 통한 통합 로그 관리, 심층적인 위협 분석, 유연한 통계 및 모니터링, 그리고 연동 솔루션의 효율적인 통합 정책 및 설정 관리를 제공한다.
기존의 통합 관리 제품들은 연동 제품에 대해서 제품별, 탐지 유형별 구분된 정보 조회와 제한된 분석 및 통계 정보를 제공하는데 그쳤다. 즉, 방화벽ㆍIPSㆍDDoSㆍAPT 제품을 연동하지만, 각 제품의 로그들을 하나의 화면에서 조회할 수 없었고 연관된 분석 및 통 계 정보를 제공하지 않았다. 하나의 매니저를 사용하지만, 진정한 의미의 통합 관리가 아니었다.
그러나 안랩 TMS는 자사의 차세대 방화벽(AhnLab TrusGuard), IPS(AhnLab TrusGuard IPX), DDoS 대응 솔루션(AhnLab TrusGuard DPX) 및 지능형 위협 대응 솔루션(AhnLab MDS)과 연동하며 하나의 화면에서 제품과 유형에 대한 구분없이 모든 제품의 로그와 이벤트를 통합하여 조회하고 관리할 수 있다. 뿐만 아니라 연동된 제품들로부터 수집된 각종 이벤트들을 조합하여 통합 분석 및 모니터링으로 활용할 수 있다. 따라서, 안랩 TMS가 연동하는 제품이 늘어나고 다양해질수록 더욱 풍부한 위협 관리가 가능해지며 통합을 통한 진정한 시너지 효과를 기대할 수 있다.
[그림 1] 안랩 TMS의 연동 구성
강력한 빅데이터 처리 엔진으로 더욱 간편해진 통합 로그
안랩 TMS는 안랩의 소프트웨어 기술력이 적용된 빅데이터 처리 엔진(MPEC)을 기반으로 하고 있다. 빅데이터 처리 엔진을 통해 다양한 보안 솔루션에서 발생되는 대용량 보안 이벤트들을 빠르게 수집하고 정규화한다. 특히 머신러닝 기반 이상 행위 탐지와 시나리오 기반 상관 분석의 제공으로 심층적이면서 고도화된 분석을 통해 보안 위협을 보다 신속하고 편리하게 대응할 수 있다는 것이 안랩 TMS의 차별점이다. 또한 시스템 리소스의 효율성을 개선하여 하드웨어 사양 대비 높은 가성비를 제공할 수 있다는 점도 다른 TMS 대비 강점으로 꼽힌다.
안랩 TMS의 또 다른 강점은 통합 로그 기능이다. ‘통합 로그’ 하나의 메뉴에서 제품별, 유형별 구분 없는 통합 로그를 제공하여, 관리자는 IP주소 또는 공격명과 같은 키워드에 대해서 한번의 검색으로 원하는 로그를 편리하게 검색할 수 있다. 또한 로그 검색에 대한 다양한 편의 기능으로 정보의 가시성을 극대화 하는 효과를 제공한다. 히스토그램의 그래프를 통해 시간별 탐지 이벤트의 추이를 확인할 수 있으며, 상세 로그 조회 기능으로 연동 장비로부터 수신한 원본 로그의 조회와 각 항목에 대해서 손쉽게 모니터링 할 수 있다.
[그림 2] 안랩 TMS의 통합 로그 기능
또한 신속한 추가 검색과 대응을 위해서 로그의 각 항목과 연관되는 다양한 컨텍스트 메뉴를 제공한다. 컨텍스트 메뉴의 연관 검색 및 연관 통계 기능을 통해 1차 검색 결과 내에서 추가 검색을 진행할 수 있으며, 검색 결과 내의 TOP 통계 및 추이 통계를 제공하여 추가적인 분석이 가능하다. 그리고 위협 IP 차단 기능과 추적기능을 통해 위협 이벤트가 발생한 특정 IP를 로그 검색 결과에서 즉각적으로 실시간 임시 차단 명령을 전달함으로써, 보안 사건에 대한 신속한 대응이 가능하다.
안랩 TMS의 분석, 통계 및 리포팅의 모든 기능은 로그검색에서 시작된다. 관리자는 안랩 TMS에서 제공하는 다양한 논리 조건 검색을 사용하여 로그 검색을 다양하게 할 수 있고, 해당 검색 조건을 각종 통계 및 분석 조건으로 추가하여 사용자 중심의 유연한 통계와 분석 규칙으로 생성할 수 있다. 또한 [그림 3]과 같이 주요 검색 조건에 대한 목록 관리 및 즐겨찾기 기능도 제공하여 로그 검색을 보다 편리하게 사용할 수 있다.
[그림 3] 안랩 TMS의 검색 조건 목록 관리
사용자 중심의 다양하고 유연한 이벤트 통계
기존의 보안 솔루션들은 사전 정의된(Predefined) TOP 통계와 추이 통계만 제공하다 보니 관리자들이 실질적으로 필요한 특정 이벤트에 대한 심층적인 분석과 통계 정보를 제공받기 어려웠다. 그러나 안랩 TMS는 빅데이터 처리 엔진을 통한 유연한 로그 검색을 기반으로 통계 대상과 이벤트에 대한 제한 없이 원하는 통계 규칙을 적용하여 사용자 정의(Full Custom) 통계를 생성할 수 있다.
안랩 TMS의 통계 기능은 크게 두 가지로 구분된다. 로그 검색과 같이 실시간으로 통계를 검색하는 기능과 사전 설정된 규칙을 바탕으로 주기적으로 통계를 분석하는 기능이다. 먼저, 통계 검색 기능은 기존의 보안 제품들이 사전 정의된 통계 정보만 보여주는 것에 그쳤지만, 안랩 TMS의 관리자가 원하는 조건의 TOP 통계, 추이 통계 및 기준별 비교 추이 통계를 실시간으로 다양하게 검색할 수 있도록 제공하고 있어서 차별점을 가진다. 예를 들어, IP 주소, 포트 번호, 공격명의 통계를 사용자가 원하는 검색 조건으로 수시로 변경하면서 TOP통계, 추이 통계 및 기준별 비교 추이 통계를 역동적으로(Dynamic) 확인할 수 있다. 이러한 유연하고 다양한 통계 검색 기능은 ‘안랩 TMS’의 빅데이터 처리 엔진 기반이기에 가능한 기능이다.
또한 통계 검색 기능은 끊김 없는 드릴다운(Drilldown)으로 연관 통계와 로그 검색이 가능해 특정 이벤트에 대한 정밀한 분석과 추적이 가능하다. [그림 4]
는 안랩 TMS의 기준별 추이 통계 기능을 보여주고 있다. 이 기능을 통해 통계 기간 중 TOP 5의 출발지 IP에 대한 차단 트래픽 비교 추이를 확인할 수 있으며, 관리자는 추가적인 검색 조건에 대한 연관 분석을 수행할 수 있다. 또한 각 항목에 대한 개수, 합계, 평균 등의 다양한 수치들을 확인할 수 있어서, 이벤트의 분석뿐만 아니라 보고서 용도로 활용할 수 있는 편의성을 제공한다.
[그림 4] 안랩 TMS의 기준별 비교 추이 통계 검색
그리고, 통계 규칙 기반 분석은 설정된 통계 조건과 기간에 따라서 주기적으로 통계 데이터를 생성하는 것으로서, TOP 분석과 추이 분석의 두 가지 유형으로 구분된다. 또한 제품에서 제공하는 사전 정의된 기본 규칙과 사용자가 원하는 조건으로 설정하는 사용자 정의 규칙 기능을 제공한다.
통계 규칙 기반 분석은 주기적으로 모니터링과 리포팅을 유연하게 제공할 수 있도록 대시보드와 보고서로 추가하여 사용자 중심의 모니터링 및 리포팅을 가능하도록 한다. [그림 5]에서는 안랩 TMS의 기존 TOP 통계 분석 규칙 목록을 보여준다. 통계 분석 규칙에 대한 간단한 설명과 통계 기준 및 주기를 확인할 수 있으며, 결과 보기를 통해 규칙별 통계 분석 결과를 조회할 수 있다. 또한 현재 해당 통계 분석이 제공되고 있는 보고서와 대시보드 위젯도 확인할 수 있다. 이렇게 유연한 통계 분석 기능을 통해 사용자 중심의 분석과 데이터 가시성을 제공하는 점도 안랩 TMS의 장점이다.
[그림 5] 안랩 TMS의 TOP 통계 분석 규칙 목록
사용자 중심의 데이터 가시성을 제공하는 실시간 모니터링과 리포팅
앞서 사용자가 추가 생성한 통계 분석 규칙을 대시보드와 보고서에서도 확인할 수 있듯이 안랩 TMS는 사용자 중심의 커스텀(Custom) 대시보드와 리포팅을 제공한다. [그림 6]과 같이 대시보드는 제품에서 기본 제공되는 사전 정의(Predefined) 패널과 사용자 정의(Custom) 패널에 추가적으로 사용자 정의 위젯을 생성할 수 있다. 관리자는 관제 및 모니터링을 위해 사용자 정의 패널과 모니터링 대상에 대한 사용자 정의 위젯을 자유롭게 구성할 수 있기 때문에 사용자 중심의 실시간 모니터링으로 편리하게 사용할 수 있다.
또한, 보고서 기능도 대시보드와 같이 통계 분석 규칙을 바탕으로 사용자 정의 보고서를 구성하고, 기관 이미지, 목차 및 코멘트 등을 자유롭게 추가 생성할 수 있는 사용자 정의 템플릿을 활용하여 사용자가 원하는 보고서 형태로 커스터마이징이 가능하도록 제공한다.
[그림 6] 대시보드의 사용자 정의 위젯 생성
머신 러닝과 시나리오 기반 상관 분석을 적용한 심층 위협 분석
안랩 TMS는 차세대 TMS의 중점 항목인 위협 분석에 초점을 두고 개발됐다. 앞서 설명한 유연한 통계와 분석 기능 외에도 추가적으로 머신러닝 기반의 이상 행위 탐지와 시나리오 기반 상관 분석 기능을 제공하고 있다. 머신러닝 기반의 이상 행위 탐지와 상관 분석 기능은 일반적으로 이벤트 수집과 분석 전용 제품인 SIEM에서 제공하는 기능이지만, 안랩 TMS는 빅데이터 처리 엔진의 성능과 효율성을 기반으로 하였기에 고도화된 분석 기능을 접목할 수 있었다.
최근 IT 기술에서 가장 주목 받는 인공 지능 기술은 사이버 보안 솔루션에도 폭넓게 적용되고 있다. 대용량 이벤트와 다양한 보안 위협이 발생하는 환경에서도 보안 관리자의 모니터링 맹점(Blind Spot)을 찾아주는 역할을 한다. 이에 대해서 [그림 7]의 “Needle in a haystack(건초 더미에서 바늘 찾기)”과 같이 표현된다.
머신러닝 기반의 분석은 자동화를 통해 관리자의 불필요한 리소스 소모를 막고, 정확한 판단을 위한 도움을 주기 때문에 최근 여러 제품에서 참고 되고 있다. 머신러닝 기법은 크게 2가지 방식으로 구분되는데, 이벤트의 정상과 비정상 패턴을 자동 학습을 통하여 판단하는 ‘비지도 학습 방식’과 정상 패턴에 대한 사전 정의를 가진 상태에서 이벤트의 정상/비정상을 판단하는 ‘지도 학습 방식’으로 구분된다.
[그림 7] Needle in a haystack(*출처:http://hightechforum.org)
[그림 8]에서는 안랩 TMS의 머신러닝 기반 이상 행위 탐지 분석에 대한 간단한 샘플을 확인할 수 있다. 먼저 대시보드에서 네트워크 트래픽에 대한 이상 행위가 탐지 되면 발생 지점에 경보 표시가 생성되고, 탐지 이벤트에 대한 추가 분석을 위해서 드릴다운을 통해 추이 통계 분석에서 탐지 이벤트의 발생 시간 대의 통계 정보를 확인한다. 상세 추이 통계에서 해당 구간의 통계 정보를 확인할 수 있고, 추가적인 로그 확인을 위해 해당 이벤트 로그로 드릴다운하여 추가적인 분석을 진행한다.
이와 같이 안랩 TMS는 관리자가 사용자 정의 설정을 통해서 머신 러닝 기반의 이상 행위 탐지 대상을 자유롭게 설정할 수 있고, 대시보드로 포트(Import) 하여 실시간 모니터링과 대응할 수 있도록 한다.
[그림 8] 머신러닝을 이용한 비정상 트래픽 탐지와 분석을 위한 드릴다운
안랩 TMS는 시나리오 기반의 상관 분석을 제공한다. 안랩 TMS의 다양한 연동 제품인 방화벽, IPS, DDoS 및 APT 대응 솔루션의 위협 탐지 이벤트를 조합하여 다양한 공격 시나리오에 대응한다. 기존 솔루션들이 동일 제품군에 대한 단일 이벤트의 임계치 기반 분석만 제한적으로 지원하므로 모든 연동 제품의 위협 분석에 대한 시너지 효과가 부족했다. 하지만, 안랩 TMS는 연동하는 모든 제품에 대해서 네트워크 탐지이벤트부터 알려지지 않은 악성코드 이벤트까지 통합하여 공격자의 다양한 침투 시나리오의 전반적인 분석과 대응을 유연하게 제공할 수 있기 때문에 연동 제품간의 시너지 효과를 기대할 수 있다.
시나리오 기반 상관 분석은 미국의 글로벌 방위산업업체인 록히드마틴(Lockheed Martin)이 2011년 발표한 사이버 위협 킬체인(Cyber Threat Kill Chain)
을 참고하여 공격 단계별 침투 시나리오를 생성할 수 있다. 예를 들어, [표 1]과 같은 침투 시나리오에 대해서 연동 제품의 탐지 이벤트들을 조합하여 시나리오 기반 상관 분석을 활용할 수 있다.
[표 1] 공격자의 침투 시나리오와 보안 제품의 이벤트
설정한 상관 분석 규칙에 따라 이벤트가 발생하는 경우, 관리자가 설정한 경보 방법에 따라 위협 상황을 관리자에게 전달하여 신속하게 대응할 수 있도록 지원한다.
지속적인 모니터링과 분석
지금까지 갈수록 확장되는 IT 환경과 다양화 되는 보안 위협에 대한 대응 방안으로 차세대 네트워크 보안 관리 솔루션 안랩 TMS에 대해서 소개했다. 다양하고 빠르게 변하는 보안의 환경 속에서 보안에 대한 모델링은 환경에 맞게 능동적으로 변해야 한다. [그림 9]와 같이 가트너는 고도화되는 현대의 보안 위협에 실효적으로 대응하기 위한 차세대 보안 프로세스에 대해서 침해의 징후를 지속적으로 모니터링하고 분석하고, 변경된 모델링에 대해서 역동적으로 모니터링과 분석을 반복하는 적응력이 뛰어난 보안 구조의 방법론이 필요하다고 강조하고 있다.
[그림 9] Adaptive Security Architecture(*출처: Gartner)
즉, 다양한 보안 솔루션에서 수집된 대량의 데이터는 통계적 분석, 이상 행위 탐지 등의 다양한 기술을 활용할 수 있는 기반이 되며, 적절한 분석과 모니터링을 통해 고객의 보안 환경을 효과적으로 보호하는데 사용될 수 있다.
보안 관리자는 현대의 보안 문제를 효과적으로 대응하기 위해서 보다 능동적인 자세로 지속적인 모니터링과 분석을 수행해야 한다. 또한, 안랩은 이러한 환경의 변화에 능동적으로 대응할 수 있도록 끊임없는 연구 개발로 고도화된 기술과 사용자 중심의 안전한 보안 환경을 제공하기 위해 더욱 정진해 나아갈 것이다.