<4D F736F F D203033B1E8C1BEC7F65FC6AFC1FD5F2DC3D6C1BEBABB2E646F6378>

Size: px

Start display at page:

Download "<4D F736F F D203033B1E8C1BEC7F65FC6AFC1FD5F2DC3D6C1BEBABB2E646F6378>"

동기 해
5 years ago
Views:

1 빅데이터를활용한사이버보안기술동향 김종현 (J.H. Kim) 임선희 (S.H. Lim) 김익균 (I.K. Kim) 조현숙 (H.S. Cho) 노병규 (B.K. No) 네트워크보안연구실선임연구원 네트워크보안연구실선임연구원 네트워크보안연구실실장 사이버보안연구단단장 한국방송통신전파진흥원정보보호 PM 사이버보안기술특집 Ⅰ. 서론 Ⅱ. 지능화된사이버공격과보안기술 Ⅲ. 빅데이터분석기술의활용 Ⅳ. 지능형보안기술및제품동향 Ⅴ. 결론 최근외부해킹으로대량의개인정보유출, 대규모시스템장애등사고가빈번히발생하고있다. 특히, 보안체계를잘갖추고있던조직들도 APT(Advanced Persistent Threat) 공격과같이지속적으로특정표적을목표로하는공격앞에무력하게당하는사건들을접하면서많은기업및조직들이대응방안마련에고심하고있다. 본고에서는사이버테러, 사이버전 ( 戰 ), 핵티비즘등의공격방법으로활용되고있는사이버표적공격위협에대한방어기술로서최근관심을받고있는빅데이터처리기술을기반으로다중소스데이터수집 분석을통한지능형보안기술에대한개념과관련기술및제품의동향에대하여살펴본다 한국전자통신연구원 19

2 Ⅰ. 서론최근국내주요금융권및방송사를타깃으로사이버테러가발생하여총 3만 2,000대의 PC가감염되어정상적인서비스제공이어려워졌으며이로인한금전적피해도매우큰것으로보고되었다. 이런유형의공격은특정조직을대상으로장기간에걸쳐조직적으로중요정보를탈취하기때문에공격노출시피해규모가매우크며, 악성코드뿐만아니라사회공학적해킹 (social engineering hacking) 등활용가능한모든수단을동원하기때문에사전탐지가어려운것이특징이다. 최근몇년에걸쳐국내 외에서많은사례가발견되고있으며, 2010년 7월이란원자력발전시설을해킹한스턱스넷 (Stuxnet) 의경우원자력발전시설의원심분리기중 20% 가가동중단되었으며, 2011년 4월국내농협전산망자료손상, 같은해 7월네이트 3,500만명개인정보유출등의공격은피해규모가클뿐만아니라공격탐지가짧게는 2개월, 길게는몇년이소요된다. 이와같이사이버테러의위험성은우리가생각하는것보다훨씬더심각하며, 최근에는조직적인해커그룹이특정표적을치밀하게계획적으로해킹함으로써주요정보유출, 제어시스템공격, 사이버무기화등을통해사회적혼란을야기하고, 나아가서는국가안보를위협하는수준에까지이르고있다. 이에대한대응을위해서는지능형보안기술로써빅데이터분석기술의통합을시도하고있다. IT 기술의진화로빅데이터와같은대용량데이터를처리할수있는컴퓨팅파워등이마련되어공격로그이벤트및내부상황정보등을수집하고상관관계를분석함으로써공격자의의도를파악해공격의최종목표달성을막아내는기술로발전하고있다. 또한, 보안이벤트또는네트워크트래픽특성인자뿐만이아니라, 시스템 / 네트워크 / 응용프로그램의구성정보, 상태정보등을포함한다중소스데이터의특징인자까지포함함으로써알려지 지않은침해사고증상에대한사전예측이가능한사전대응을위한보안기술이요구되고있다. 특히, 공격침투과정으로볼때제로데이 (zero-day) 취약점과사회공학적인방법을이용하고일련의정상행위를가장하는사이버표적공격의특성상, 기존시그니처데이터베이스기반의탐지기술의한계를극복하기위한새로운개념의사이버공격특성인자추출및모델링정립이필요하다. 빅데이터와관련된기본분석기술의활용과더불어보안분야에특화된연관성분석방법론이필요하며, 이를지원할수있는대용량누적데이터저장및처리를위한저장공간효율화메커니즘및고속처리알고리즘개발등도필요할것으로본다. 본고에서는지능화되고있는사이버위협과방어기술의변화에대해알아보고, 최근부각되고있는빅데이터처리기술을활용한보안분석기술및관련제품의동향을살펴보도록하겠다. Ⅱ. 지능화된사이버공격과보안기술 1. 사이버위협과대응기술의변화사이버표적공격위협이심화되어사회적국가적위험으로야기될것으로예상되고있으며, 사이버테러, 사이버전 ( 戰 ), 핵티비즘등의공격방법으로활용되고있는 APT(Advanced Persistent Threat) 공격은목표대상이명확한조직적공격으로써주로정부나기업을대상으로산업기밀이나군사기밀, 고객정보등의정보탈취를목적으로하고있다. 또한, 주요정보유출, 제어시스템공격, 사이버무기로활용하는사례가전세계적으로확산되고있고, 주요정보시설을겨냥한사이버표적공격위협이심화되어더욱큰사회적위험을야기할것으로예상된다. 특히, ( 그림 1) 에서보듯이전세계사이버표적공격 20 전자통신동향분석제 28 권제 3 호 2013 년 6 월

OTP(One Time Password) 제품인시큐어 ID의기밀정보가유출되는사건이발생되기도하였다.

3 ( 그림 1) 사이버표적공격의증가추이 의빈도는월평균 80회이상으로보고되고있고, 개인정보유출피해규모만을보더라도 462억달러규모로추정되고있을정도로글로벌기업의주요정보유출이심각한수준에이르렀다. 최근해외기업들을대상으로발생된공격사례를보면, 2011년에미국의글로벌에너지기업 5곳 ( 쉘, 엑슨모빌, 마라톤오일, 코노코필립스, 베이커휴즈등 ) 의공격으로가스와석유분야의생산시스템, 석유탐사관련제정문서, 산업통제시스템의정보유출사고 ( 일명 : Night Dragon) 가발생하였으며, 대표적인보안업체중하나인 EMC RSA가사회공학적기법에의한사이버테러로 OTP(One Time Password) 제품인시큐어 ID의기밀정보가유출되는사건이발생되기도하였다. 또한, 같은해 7월네이트의데이터베이스에저장된 3,500만명의개인정보유출사고가발생하였으며, 미국방위산업업체인록히드마틴 (Lockheed Martin) 을공격한사건을분석중에국내통신업체를포함한총 760여개의세계적으로유명한기업들을대상으로공격이진행되었으며이러한공격들은내부개발자의 PC를장기간집중적으로공격하여내부자를활용한공격으로확인되었 다. 핵티비즘을표방한정치적목적의공격사례를보면, 어노니머스 (Anonymous), 룰즈섹 (LulzSec) 등핵티비즘을표방한공격자에의한침해사고가발생후 CEO가사임한미국보안회사인 HBGary를비롯하여 FBI, CIA 등의정부기관, 소니그룹의다양한계열사등이공격을당했고, 특히소니 PSN(Play Station Network) 의경우 1억명의고객정보가유출되고, 2개월간서비스를제공하지못하는등의큰손해가발생하였다. 또한, 사이버공격무기로발전되어전쟁행위로서사이버공격이주요이슈로등장하고있으며, 스턱스넷, 듀크 (Duqu) 공격이후, 2012년플레임 (Flame) 이라는악성프로그램의출현으로새로운국면을맞이하게되었다. 이러한사이버무기는쉽게한국가를위험에빠뜨릴수있기때문에 IT 측면에서의침해및데이터유출문제뿐만아니라사회적인혼란과물리적 인적피해로까지연계가가능하다고여겨진다. 관련사례로서, 미국국방부가국가기간망을위협하는중대한사이버공격에대하여전쟁행위로간주하고무력대응할방침이며, 송전망차단과같은사이버공격은국가주도하의 김종현외 / 빅데이터를활용한사이버보안기술동향 21

4 공격으로간주하며, 사실상선전포고로서전쟁의구성요건에해당된다고발표하였다. 이러한사이버위협의새로운방어기술로서보안인텔리전스 (security intelligence) 기술이최대이슈로등장하고있다. 현재까지의사이버위협방어기술은방화벽, IDS(Intrusion Detection System)/IPS(Intrusion Prevention System) 와같은경계영역보안제품을비롯해안티바이러스, 데이터베이스암호화, 내부정보유출방지기술이주류를이루고있으며, 이기종보안제품의로그를관리하는통합보안관리기술이적용되어왔다. 특히, 방화벽, 침입탐지 / 방지시스템및안티바이러스기술은시그니처와블랙리스트기반탐지방법을 10Gbps급의고성능네트워크에적용하기위한 highend 플랫폼기술개발에역점을두고있다. 예로서, 2008년도부터 10G급고성능 IPS 솔루션들이국내네트워크보안시장에도입되면서고성능처리가가능한보안장비가분산서비스거부 (Distributed Denial of Service: DDoS) 등의대용량트래픽공격을차단하고, 대용량인터넷인프라의확산에따라인터넷서비스사업자 (Internet Service Provider: ISP), 학내망등을중심으로적용되었다. 하지만, 가트너등의관련분야예측에서도보듯이 IDS/IPS와같은플랫폼기반분석기술로는 APT 공격 기법에대응하기는역부족이기때문에다양한소스의대용량데이터를분석할수있는전용보안분석기술이필요하며, 이는 ( 그림 2) 에나와있듯이 SIEM(Security Information & Event Management) 제품발전방향과일치하고있다. 또한, IDC의 Security Software Forecast[2] 에따르면, 사이버위협방어기술의변화는통합되고중앙집중화된보안관리기술을바탕으로잠재적위협을예측할수있는예측형보안기술이요구되고있으며, 보안인텔리전스서비스가최대의이슈로등장할것으로예측하고있다. 더상세히설명하면, 핵티비스트들에의한제로데이공격, 폴리모픽바이러스, APT 공격과같이보안위협은빠르게다변화하고있으며특정목표를타깃으로함에따라, 별개로운영되어오던기업의보안인프라들을유기적으로연계하여통합관리함으로써보안위협에대한인텔리전스를확보하고향후발생될수있는잠재적위협을예측하는지능형보안기술로발전할것이며, 기존의네트워크행위분석이나 SIEM 외에도휴먼인텔리전스 (human intelligence), 보안인텔리전스전문업체가제공하는위협데이터, 휴릭스틱엔진등다양한소스로부터발생하는정보를분석하여, APT 와같이알려지지않은보안위협을사전에예측하고방어하는데초점을두고있다. Volume and Variety of Data 비가공데이터 정규화된데이터 플랫폼기반데이터 SIEM ( 보안정보 / 이벤트관리기술 ) 플랫폼기반기술 (e.g., IPS and IDS) msec. In-line, real time Sec. Near real time 전용보안상황인지기술 Min. Hours After-the- Fact analysis ( 그림 2) 사이버보안에서 SIEM 의역할 [1] Speed of Analysis 2. 지능형보안의개념지능형보안의개념은 APT 공격과같은알려지지않은치명적인공격에대응하기위해주요 IT 기반주요시설의네트워크, 시스템, 응용서비스등으로부터발생하는데이터및보안이벤트간의연관성을분석하여보안지능을향상시키는차세대보안정보분석기술로해석되고있다. 이는 ( 그림 3) 의응용보안기술하이프사이클에서도나와있다. IT 환경이급변하고있는상황에서더욱은밀하고정 22 전자통신동향분석제 28 권제 3 호 2013 년 6 월

5 ( 그림 3) 응용보안분야의기술하이프사이클 [3] 교한사이버공격이이루어지고있어기존보안방식이한계를보이므로단순히하나의위협요소를차단하는것이아닌상관관계를파악하여은밀하게진행되는공격을탐지하는것이중요하다. 가트너그룹이정의하는지능형보안은다양한보안기술의상호작용을가능하게하는개념과방법론으로써다양한소스로부터정보를통합하고상호연관성을갖는콘텍스트기반의분석기술로해석하고있으며 ( 그림 4 참조 ), 단기적으로는 context aware security 형태로표현되어향후 5년에서 10년간지속될보안기술로평가하고있다 [1]. 따라서, 기존의보안제품들이활용하고있는패턴기반의공격제어기법의한계를넘어서내부네트워크의다양한특성인자들 ( 시스템프로세스, 활동성, 네트워크트랜잭션등 ) 의연관성분석을통하여알려지지않은새로운공격을탐지하는기술로발전할것으로예측하고있다. 표적공격방어를위해네트워크및시스템보안제품 군을통합한보안이벤트정보관리기술을제공하고있으며, 이를바탕으로빅데이터처리기술을활용한지능형보안기술에대한연구가본격화되고있다. Community Patterns, meaningful anomalies Dependencies, relationships Context-Aware Intelligence Model, Simulate, Act Knowledge Analyze Information Collect, Correlate Big Data Context Data Data Data Data Logs, Events, Costs, Usage, Attacks, Breaches < 자료 >: Gartner, Mar ( 그림 4) 콘텍스트기반지능형보안을위한빅데이터의활용 [1] 김종현외 / 빅데이터를활용한사이버보안기술동향 23

6 Ⅲ. 빅데이터분석기술의활용본장에서는빅데이터를활용한보안기술의동향을소개한다. 1. 빅데이터분석기술다양한응용분야로활용되는빅데이터분석기술이 IT 분야최대이슈로등장하였으며, 빅데이터를데이터용량에따른분류가아니라기존의데이터베이스처리방식으로해결할수없는데이터의세트로정의하고, 이러한데이터를처리할수있는기술이나역량을보유한기업이나국가가미래에경쟁력을갖게될것으로예측하고있다. IDC의빅데이터관점은데이터베이스가아니라업무수행에초점을맞춘것으로다양한종류의대규모데이터로부터저렴한비용으로가치를추출하고데이터의초고속수집, 발굴, 분석을지원하도록고안된차세대기술및아키텍처로정의하고있다. 가트너그룹의빅테이터관점은데이터볼륨의증가, 데이터입출력속도의증가, 데이터의다양성의증가등의 3가지특징을빅데이터의문제로정의하고있다 [4]. 빅데이터와관련된각국의활동과공공데이터활용사례를보면, 일본의정보폭발프로젝트경우에는정보폭발이진행되면대량의정보를다루어야하는저장, 검색의문제가대두되므로새로운검색엔진개발을위한정보관리, 융합, 활용을위한인프라스트럭처와휴먼커뮤니케이션인프라스트럭처연구를목표로하고있다. 미국국토안보부의비주얼애널리틱스경우는기존의정보시각화분석이론을결합한것으로전반적인사건의진행상황을바로파악할수있고새로운대처에따라결과가어떻게변하는지를봄으로써기존의파악하지못하던안보의위협이나감시대상의변화를쉽게인지하도록하여새롭게발생할가능성이있는보안문제들을해결하는연구에목표를두고있다 [5]. 웹의창시자라고할수있는팀버너스리는 Raw Data Now 라는연설을통하여기존의인터넷을문서의연결뿐아니라데이터의연결을가능하게하자는링크드데이터보급을강조하였고, 빅데이터를고속으로수집, 분석하는것으로 forecast 보다가까운미래를예측하는 nowcast 가가능하다고보고있다 [4]. 다양한응용분야에서데이터분석의기반기술로써활용이가능한빅데이터분석의핵심기술들은다음과같다. - 연관성규칙학습 (association rule learning): 대용량데이터베이스내의다양한변수로부터흥미있는주제의관련성즉, 연관성규칙을찾기위한기술로써잠재적규칙을만들어내고테스트하는일련의알고리즘으로구성됨. - 분류 (classification): 이미분별된데이터를포함하는학습데이터세트를기반으로새로운데이터가속해있는카테고리를식별할수있는데이터마이닝의방법중한기술 - 군집화 (cluster analysis): 유사성에대한특성등이사전에알려져있지않은상태에서유사한개체들의작은그룹으로분할하기위한통계적방법으로써예를들면, 타깃마켓팅을위해자기유사성 (self-similarity) 을가진그룹으로고객을그룹핑하는데사용됨. - 데이터융합및통합 (fusion & integration): 단일소스에서분석한결과보다더정확하고효율적인통찰력을얻기위하여다중소스로부터데이터를통합하고분석하는기술 - 데이터마이닝 (data mining): 데이터베이스관리와통계및기계학습방법을결합하여대용량데이터세트에서특정패턴을추출하는기술 - 앙상블학습 (ensemble learning): 기계학습의분류방법을통해여러개의분류기 (classifier) 를생성하고그것들의예측을결합함으로써새로운 24 전자통신동향분석제 28 권제 3 호 2013 년 6 월

7 가설 (hypothesis) 을학습하는방법 - 유전알고리즘 (genetic algorithm): 자연세계의진화과정에기초한계산모델로서최적화문제를해결하는기법 - 시각화 (visualization): 데이터분석의결과를표현하고이해의수준을향상하기위하여이미지, 다이어그램, 애니메이션등에사용되는기술 2. 빅데이터를활용한보안분석기술빅데이터를활용한보안분석 (big data security analytics) 은데이터분석기술의고도화측면에서기존에해결하지못한공격위협분석을가능하게할것으로예측되고있다. 네트워크경계망보안을우회하는사이버공격능력이향상됨에따라지능형보안시스템을통한보안상관관계분석을위해서는빅데이터를활용한 Application Contents Authentication & IAM Events from Security devices Device & Application Log Files User Identity Malware Viruses Trojans Advanced Threats Exploits Database transactions OS events VA Scan Data Location 네트워크 / 호스트트래픽 웹트랜잭션인프라스트럭처인포메이션아이덴티티 프로토콜, 암호화세션, 이상목적지등에관하여서버로부터비정상트래픽존재유무 민감한응용이나주요자산에대한의심스러운접근이나액티비티 서버조작구성정보변경정책준수 시스템에서전송, 저장, 가공되는정보의종류 로그인된사용자권한상승로그인한장소사용자가접근한정보자산의종류 잠정소스 : - 네트워크모니터링 - 응용모니터링 잠정소스 : - 접근권한데이터 - 트랜잭션모니터링 - 응용로그 - SQL 서버로그 - 네트워크세션데이터 잠정소스 : - 정보자산 - GRC 시스템 - 구성정보관리 - 취약점정보관리 잠정소스 : - DLP - 데이터 Classification - GRC 시스템 잠정소스 : - 인증데이터 - MS 액티브디렉토리 - 서버로그 - 자산관리 - 네트워크모니터링 ( 그림 5) 빅데이터에기반한보안분석기술 [6] 김종현외 / 빅데이터를활용한사이버보안기술동향 25

8 보안분석기술개발이선행적으로필요하다고여겨지고있다. 현재 100% 완벽한보안은없으며과거의기술과사고의연장선상에서대응해서는안되고, 보다창의적인보안대응방법이필요하며이를위해서는빅데이터분석을중심으로한지능형보안시스템구축이필요하다. 가트너그룹에서는빅데이터분석을활용한보안분석을통하여예전에보이지않았던사고패턴을발견하고, 정보보안을포함한기업경영에대한선명한통찰력을제공함으로써기업의비즈니스가치를높일수있다고예측하고있다 [5]. 과거사이버위협방어기술의핵심기술은알려진공격에대한공격시그니처데이터베이스를확보하고고성능패턴매칭알고리즘을구현하여얼마나빨리비교할수있느냐에달려있었지만, 복합데이터처리기술의발달로내부망에서발생하는다중소스의누적데이터에대한특성인자를정의하고연관성분석을할수있는보안기술로서빅데이터를활용한보안분석기술이부각되고있다. 앞에서언급한빅데이터를활용한보안분석기술은다음과같다 (( 그림 5) 참조 ). - 실시간모니터링 (real-time monitoring): 시스템구성요소에대한공격상황을추적하고분석하거나응용프로그램상에서사용자의활동성을모니터링하기위하여다양한소스로부터데이터를수집관리하는기술 - 위협에대한지능 (threat intelligence): 비정상적인활동을보다정확히인식할수있게하는다양한위협과공격패턴에대한최신정보체계이다. 예로서, 외부 IP에대한소량의 outbound 트래픽이정상트래픽으로위장되어간과될수있는경우에이를공격제어와관련된위협정보로인지하는기술 - 행위프로파일링 (behavior profiling): 비정상에대한조건들이잘정의되어있을경우에일련의 특정조건들을찾기위한연관규칙을정의하는것이가능하며, 규칙기반방법론으로는모든비정상행위를탐지하기힘들기때문에행위프로파일링기반의이상징후 (anomaly) 탐지분석은주요기술중하나임. - 데이터및사용자모니터링 (data & user monitoring): 사용자및데이터의콘텍스트를포함한데이터 / 사용자의활동성을모니터링하는것은침투탐지및오용탐지에필수기술이며, 특권사용자와민감한데이터접근을모니터링하는데기본적으로요구 - 응용모니터링 (application monitoring): 응용프로그램의취약점은표적공격의주요타깃이므로비정상응용프로그램의활동성모니터링기술 - 분석 (analytics): 빅데이터분석의전통적인방법론인머신러닝, 데이터마이닝, 네트워크마이닝기법등을활용하여다양한소스정보의특성을분석하고이상유무를판단하는빅데이터보안분석의핵심기술 Ⅳ. 지능형보안기술및제품동향 1. 관련기술동향최근지능형사이버보안기술은다양한소스의대용량데이터를활용하여네트워크및시스템이벤트를하나의연동된보안인프라로구성하는통합보안관리기술을목표로하고있다. 빅데이터분석기술을활용한내부자행위분석기술에대한연구와제품개발이본격화되었으며, 보안인텔리전스를위한빅데이터분석기술도입은 Splunk를비롯한 SIEM 선두주자들이새로운공격위협에대응하기위한새로운기술로활용되고있다 [7]. 특히, SIEM 기술이대표적인통합보안관리기술로써내부망에대한위협상황감시기능을제공하 26 전자통신동향분석제 28 권제 3 호 2013 년 6 월

9 Event Data Event Data Log Collector Server Database Application Real-Time Management Correlation Directory Log Collector Network Firewall Application Firewall Analysis Endpoint Protection Data Loss Prevention File Integrity Monitor Log Collector Reports Query ( 그림 6) SIEM 의전형적인구조도 [8] 고내부행위감시기술로써연구가활성화되고있으며, 내부다중영역트랜잭션의정보흐름분석을통한프로파일링기반이상행위감시기술은국외에서도연구개발초기단계이다 [8]. 또한, ( 그림 6) 에서보듯이, SIEM은방화벽, IDS/IPS, 안티바이러스등의보안장비와서버, 네트워크장비등으로부터통계정보, 보안이벤트정보를함께가져와서이들정보들간의연관성분석을통해보안상황인지, 신속한사건대응과로그관리를수행하는기능을제공한다.IT 및보안환경이복잡해지면서보안정보및이벤트관리솔루션은조직내의보안인프라에서필수요소로부상하고있고 SIEM은효율적인통합로그관리, 위험탐지, 사고대응, 포렌식 (forensic) 및보안관련컴플라이언스에중요한역할을담당할것이다. 이와관련된해외프로젝트는사이버표적공격심화와기존보안기술의문제해결을위해 2010년부터미국 DARPA 에서는내부자행위분석을위한 CINDER (Cyber-INsiDER) 프로그램을진행하고있으며, 혁신적인사이버방어및사고검출기술을개발하기위한사이버보안기반기술로써사이버게놈 (cyber genome) 을정의하고응용소프트웨어, 데이터의흐름, 사용자들간의상관관계와그속성을식별및표현하는기술에대한연구를진행하고있다 [9],[10]. 또한, 사이버보안의중요성이강조되면서국가적프 로젝트로서 2010년사이버보안강화법수정안 (Cyber Security Enhancement Act of 2010) 을발표하고최근에는실전투입용사이버무기개발을위한대규모프로젝트 플랜 X 를추진중에있다. 미국정부가 플랜 X 에돌입하게된것은미국군부의심장부라불리는록히드마틴이해킹공격을받아군사기밀이대량유출되어자국국방기밀에대한위협이있다고판단되었기때문이다. 이프로젝트는대규모사이버전력증강계획으로서 2017년까지많은예산을투입하여추진할계획이다. 2. 관련제품동향 SIEM의전문기업들은글로벌대표기업에인수합병되어보안토털솔루션을제공하는형태의글로벌트렌드로진화하고있으며, ArcSight 를인수한 HP, Q1 Labs를인수한 IBM, NitroSecurity를인수한 McAfee 등이대표기업으로서관련제품을출시중이며특히, Splunk와같은신생기업이빅데이터분석기술을이용한지능형보안솔루션을통해시장점유율을높여가고있다. 가. IBM의 QRadar 강력한 SIEM 기술을제공하는 Q1 Labs를인수한 IBM은 QRadar를 all-in-one 솔루션으로적용하여다양한소스의수집과네트워크및응용계층의행위분석을제공하며, NetFlow 데이터처리와소스로부터수집된모든이벤트를포함하는정밀분석까지가능하다. 또한, 기업내부시스템에대한신종바이러스의침투, 정보유출및위변조등과같은보안사고에대한해결책을제시하고있다 [11]. 나. McAfee 의 ESM McAfee는 NitroSecurity 를인수하여 SIEM 시장에진출하였고 McAfee ESM(Enterprise Security Management) 은 in-line 네트워크모니터링을수행하는 김종현외 / 빅데이터를활용한사이버보안기술동향 27

10 SIM(Security Information Management) 과 SEM (Security Event Management) 기능을통합한어플라이언스제품으로, 데이터및보안이벤트에대한응용프로그램콘텍스트및콘텐츠를얻기위해 DPI(Deep Packet Inspection) 기능을수행하며, 이벤트정보와보안정보를수집하고연관성분석을할수있는통합보안관리기능을제공하고있다 [12]. 다. HP의 ArcSight SIEM HP ArcSight SIEM 플랫폼은보안및위험정보를수집, 분석및평가하기위한통합보안관제제품이다. 또한, 부분적으로상관관계분석최적화, 저장및검색엔진으로오라클데이터베이스를대체하여자사의중소고객을위해단순화된 DB 엔진을제공한다. ArcSight SIEM 플랫폼은기업이벤트정보를수집, 분석, 관리하기위한통합시스템으로써각종센서로부터수집한이벤트정보를효율적인검색, 상호연관성분석, 통계보고를위해하나의구조체형식으로정규화하는기능을제공한다 [13]. 라. Splunk Splunk 는대부분가용성중심의로그관리와분석을제공하기위해 IT 운영과응용프로그램지원분야등에적용되고있지만, 기업보안모니터링과분석, 사용케이스 (use case) 를지원하도록미리정의된함수를제공하기위해 Splunk 실시간상호관계, 그리고 Splunk 애플리케이션등을제공하고있다. Splunk 는 SIEM 제품과의통합을통하여엔터프라이즈인프라의완벽한모니터링기능을제공하고심층적인연관성분석을위해정보의일부를 SIEM과연동하여처리하는구조를제시하고있다 [14]. V. 결론 최근의사이버테러는과거처럼몇몇해킹집단의과시용행위가아닌사회적혼란을야기하고국가안보를위협하며개인에게금전적으로피해를주는등다양한목적으로자행되고있다. 따라서우리는보안문제점및사고대응방법에대한인식을새로이해야한다. 앞으로, 다양한사이버테러기법분석과연구등을통해피해를줄이거나이를원천봉쇄할수있는지능형보안기술로써빅데이터분석기술의통합을시도하고, 공격로그이벤트및내부상황정보등을수집하여상관관계를분석함으로써공격자의의도를사전에인지하고차단할수있는보안기술이요구되어야한다. 또한, APT 공격에대한대응을위해서는조직내부구성원들의체계적인대응이무엇보다중요하다. 이를위해조직에서운영하는보안솔루션도각각의기능을갖는개별보안솔루션들의운영조합이아닌조직내보안체계분석을통한보다체계적이고고도화된개념의지능형보안솔루션을구성하고, APT 공격을막기위한예방및대응이필요하다. 국내외주요기업및제품특성을분석한결과, 해외주요제품의지능형보안분석기술에비하여국내기술의경쟁력이현저히낮은상태이므로국내에서도지능형보안분석기술에대한연구개발이조속히필요한시점으로판단된다. 용어해설 APT 공격특수한목적을가진조직이하나의표적에대해다양한 IT 기술을이용하여지속적으로정보를수집하고취약점을파악하여이를바탕으로피해를끼치는공격핵티비즘 (hacktivism) 정치 사회적목적으로이루기위해해킹하거나목표물인서버컴퓨터를무력화하고이런기술을만드는운동. 해커 (hacker) 와정치행동주의를뜻하는액티비즘 (activism) 의합성어로단순히컴퓨터보안장치를풀고침입하는해커와는차이가있음. 핵티비즘의특징은항상정치적동기를포함한다는것, 정부정책의급속한변화를강력히요구한다는것, 심각하지않은탈법을지향한다는것, 비폭력주의로제 3자를위협에노출시키지않는다는것등이있음. 28 전자통신동향분석제 28 권제 3 호 2013 년 6 월

11 약어정리 APT CINDER DARPA DDoS DPI ESM IDS IPS ISP OTP PSN SEM SIEM SIM SVM Advanced Persistent Threat Cyber-INsiDER Defense Advanced Research Projects Agency Distributed Denial of Service Deep Packet Inspection Enterprise Security Management Intrusion Detection System Intrusion Prevention System Internet Service Provider One Time Password Play Station Network Security Event Management Security Information & Event Management Security Information Management Security & Vulnerability Management 참고문헌 [1] M. Nicolett and K.M. Kavanagh, Magic Quadrant for Security Information and Event Management, Gartner Group, May [2] IDC, Korea Security Software Forecast Update 2011 Review, May [3] J. Feiman, Hype Cycle for Application Security, 2012, Gartner Group, July [4] J. Manyika et al., Big Data: The Next Frontier for Innovation, Competition, and Productivity, Mckinsey Global Institute, May [5] N. MacDonald, Information Security Is Becoming a Big Data Analytics Problem, Gartner Group, Mar [6] S. Curry et al., Big Data Fuels Intelligence-driven Security, RSA Security Brief, Jan [7] M. Nicolett and K.M. Kavanagh, Critical Capabilities for Security Information and Event Management, Gartner Group, May [8] M. Nicolett and J. Feiman, SIEM Enables Enterprise Security Intelligence, Gartner Group, Jan [9] R&D Support of DARPA Cyber Genome Program, General Dynamics, Mar e.net/hbgary-general-dynamics-darpa-cyber-geno me-program-proposal/ [10] Wikipidia, Cyber Genome Project. org/wiki/cyber_genome_project [11] IBM, ts/security-operations-mgr/ [12] McAfee, [13] HP, [14] Splunk, 김종현외 / 빅데이터를활용한사이버보안기술동향 29

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는