Copyright IBM Corporation 2015 한국아이비엠주식회사 ( ) 서울시영등포구국제금융로 10 서울국제금융센터 (Three IFC) TEL : (02) IBM 보안인텔리전스 QRadar 솔루션 20

Copyright IBM Corporation 2015 한국아이비엠주식회사 (150-945) 서울시영등포구국제금융로 10 서울국제금융센터 (Three IFC) TEL : (02) 3781-7800 www.ibm.com/kr QRadar 솔루션 2015 년 7 월 Printed in Korea All Rights Reserved IBM, IBM 로고, ibm.com 은미국및 / 또는다른국가에서 IBM Corporation 의상표또는등록상표입니다. 상기및기타 IBM 상표로등록된용어가본문서에처음나올때상표기호 ( 또는 ) 와함께표시되었을경우, 이러한기호는본문서가출판된시점에 IBM 이소유한미국등록상표이거나관습법에의해인정되는상표임을나타냅니다. 해당상표는미국외의다른국가에서도등록상표이거나관습법적인상표일수있습니다. IBM 의최신상표목록은 ibm.com/legal/ copytrade.shtml 웹페이지의 저작권및상표정보 부분에서확인할수있습니다. 기타다른회사, 제품및서비스이름은다른회사의상표또는서비스표시일수있습니다. 이문서에는 IBM 제품과서비스를참조한경우에도 IBM 이비즈니스를수행하고있는모든국가에서해당제품과서비스를제공함을의미하는것은아닙니다. QRadar 솔루션

Contents QRadar 솔루션 1 오늘날기업이직면한보안환경 04 2 핵심가치 06 5 QRadar 솔루션아키텍처 12 13 6 고객의니즈를기반으로진화하는 7 IBM 통합보안의중심에있는 QRadar 14 8 QRadar 솔루션실제적용사례 - 금융 / KB 국민은행 - 금융 / 하나캐피탈 - 에너지 / E1 - 온라인게임 / Gravity 16 3 QRadar 솔루션구현구도 08 4 QRadar 플랫폼주요기능 10 2 QRadar 솔루션 3

01 오늘날기업이직면한보안환경 최근기업들이직면한보안환경은크게 3 가지정도로함축될수있습니다. 첫째, 외부에서기업내지적재산이나비즈니스전략, 기업기밀에대한정교한공격이증가하고있기때문에이러한행위를감지하고선제적으로방어할수있어야합니다. 둘째, IT 인프라가고도화되고더욱복잡하게구성되어있으며, 상황에따라여러보안업체들로부터각기상이한제품 / 솔루션을도입하여복잡성증가및관리상어려움에직면해있습니다. 셋째, 기업의보안전문가및그에대한기술적, 재정적지원등이충분하게이루어지지않기때문에, 필요한인력이나툴을충원할수있는자금이확보되어있다하더라도해당전문운영자를찾지못할수도있는현실에처해있습니다. / IT 인프라 / 모바일디바이스통합으로엔드포인트의복잡성증대 진화하는네트워킹및연결성 / 웹응용프로그램의빠른성장 컴플라이언스가충분치않음 비즈니스자산보호를위해지속적인모니터링필요 네트워크보호를위해전방위를아우르는툴필요 / 위협환경 / 하루 12 회의속도로증가하는취약성 선택한공격대상의약점을지속적으로검색 / 공격 공격의고도화복잡성의증가리소스제한 다자인된멜웨어 그림 1. 기업환경의보안이슈 스피어피싱 지속성 백도어 ITSecurityJobs.com Sorry, no applicants found! 정교한공격기법의증가 경계선의증발 보안침해의가속화 지속적인인프라변경 복수벤더로부터의너무많은제품들로인한구성과유지보수비용증가 적절하지못하고비효율적인툴들 전체조직하부의보안팀 진짜위협을발견하기에는데이터오버로드, 제한된리소스와기술이발목을잡음 컴플라이언스로인한관리와모니터링요청증가 4 QRadar 솔루션 5

02 핵심가치 이러한보안환경하에서, 가기업에전하는 3 가지핵심가치는인텔리전스, 자동화그리고통합입니다. 그림 2 에서와같이, 첫째, IBM 인텔리전스의기반은룰기반의상관관계엔진으로서수백, 수십억개의로그이벤트, 넷플로우, 응용프로그램세부정보, 사용자 ID 정보등을간단한 목록으로요약합니다. 이러한목록에는 IT 보안직원의즉각적인주의가필요한, 발생가능성이높은 보안사고또는공격방법이포함됩니다. 많은기업이사전정의된인텔리전스또는즉시사용할수있도록 포함된룰을통해좋은결과를얻고있는데, 이는 솔루션인 QRadar 제품고객이직면한 상황과문제를반영한, 9 년간의현장경험을토대로한것입니다. 그런다음룰을고객에맞게맞춤화하여예외적인 상황이나알려진공격패턴에대해세부적으로조정합니다. 둘째, 이는자동화하기위해노력하고있습니다. 자동으로 SYSLOG 디바이스를감지하고수동으로넷플로우를모니터링하여네트워크자산을식별함으로써쉽게배포할수있습니다. 완전히구성된후에네트워크에새로운항목이추가되면보안팀에조치를취하도록경고합니다. QVM(QRadar Vulnerability Manager) 이설치된경우취약성스캔을시작하여실시간으로최근보고서를업데이트함으로써사각지대를제거할수있습니다. 셋째, 플랫폼은동일한웹기반콘솔사용자인터페이스를공유하는모든솔루션모듈및하위데이터리소스와실질적으로통합됩니다. 동일한사람이로그이벤트, 네트워크플로우, QRadar 공격방법레코드를검토하고관련제품탭을클릭하여쉽게위험평가를수행하거나기존취약성을검토하는기능으로전환할수있습니다. 인텔리전트 상관관계, 분석, 대량의데이터의축소 그림 2. 의핵심가치 자동화 시간의가치를가속화시켜주는간결함을제공 IBM QRadar Security Intelligence Platform 통합 단일화 / 통합된아키텍처단일화된콘솔제공 6 QRadar 솔루션 7

03 QRadar 솔루션구현구도 특히, IBM QRadar SIEM(Security Information and Event Management) 은방대한양의전사적보안데이터를수용하고고급인텔리전스및분석에이를사용하여즉각주의가필요한인시던트의우선순위목록을작성하는데탁월합니다. 보안팀이 Offenses 탭에서이대시보드의아무항목이나마우스오른쪽을클릭하면하위이벤트및플로우데이터를확인하여수정계획을결정하거나해당결과가위양성 (False Positive: 위반행위가없는데위반행위가있는것으로오진하는경우 ) 인지알아낼수있습니다. 3-2 포렌식 (Forensic) 을통한지속대응 QRadar 솔루션은해커나외부의공격이후인시던트포렌식을통해, 풀패킷네트워크데이터를기반으로재구성한후공격기법과정황을분석하여발생경위에대한조사시간을단축시킵니다. 또한 XGS 연계를통한실시간공격격리및유연한룰커스터마이제이션을적용하여, 보안적용범위의신속한확대를통한추가적인침해방지를구현합니다. 3-1 QRadar 솔루션구현구도 QRadar 솔루션은기업전사차원에서보안과관련된정보를통제 / 관리합니다. 이는그림 의심스러운인시던트 3과같이, 전사적으로로그, 네트워크트래픽, 서버, 애플리케이션등에대한사용자활동을수집하여, 글로벌보안연구소의풍부한사례 DB 와상관관계분석 DB 를이용한상관분석, 예외감지등을통해구현합니다. 여기에사용된노하우는표준화되어공급됩니다. 즉, 위협에대해더빠른대응과취약성진단, 리스크우선순위설정등을제공하기위해빅데이터분석을실시간으로활용하며, 핵심위협을선별하여로그수를줄입니다. 그림 4. Forensic 구현 자동화된위반행위식별 대규모의데이터축소 자동화된데이터수집, 자산발견과프로파일링 실시간의자동화된통합 Analytics 활동기준선설정과비정상탐지 Out-of-the box 규칙 ( 룰 ) 과템플릿 내재된인텔리전스 우선순위별인시던트 인시던트포렌식조사 발생경위에대한조사시간단축 - 풀패킷네트워크데이터를기반으로재구성하여공격기법과정황을분석 보안적용범위의신속한확대를통한추가적인침해방지 - XGS 연계를통한실시간공격격리, 유연한룰커스터마이제이션적용 확장된데이터소스 QRadar 인시던트포렌식은인터넷검색엔진기술을사용하여자유형식텍스트및논리연산자를수용한 간소화된사용자인터페이스를제공합니다. 검색조건으로문서, 이메일, 채팅세션등에포함되는모든패킷캡처 서버와메인프레임 메타데이터, 재구성된파일메타데이터또는키워드를사용할수있습니다. 결과는통상초단위또는분단위로 보안디바이스 도출됩니다. QRadar 인시던트포렌식은 QRadar SIEM 이이벤트및플로우데이터에수행하던전체패킷캡처를 그림 3. IBM QRadar 구현구도 네트워크및가상화활동데이터활동애플리케이션활동구성정보 자동화된위반행위식별 대규모의데이터축소 자동화된데이터수집, 자산발견과프로파일링 실시간의자동화된통합 Analytics 활동기준선설정과비정상탐지 우선순위별인시던트 의심스러운인시던트 수행하므로, 악의적이거나비정상적인상태를신속하게발견하는데도움이됩니다. QRadar 솔루션은단계별관제모니터링에필요한필수기능을제공합니다. 사전예방단계에서부터사후대응단계까지효과적인위협대응과관리에필요한정보를제공합니다. 1 단계 - 사전예방단계 2 단계 - 실시간대응단계 3 단계 - 사후대응단계 취약성과위협사용자와 Identity 글로벌위협인텔리전스 Out-of-the box 규칙 ( 룰 ) 과템플릿 내재된인텔리전스 정기점검 / 정책관리 - QVM/QRM 자산및구성정보식별 / 관리 주기적인취약점스캔수행및업데이트취약점관리 - QVM 자산별취약점패치 자산별취약점조치이력관리 실시간위협모니터 - Console 다량의보안데이터에대한상관분석 ( 플로우분석 ) 로그, 이벤트, 네트워크플로우, 자산, 사용자행동, 위치, 취약성, 외부위협분석실시간위협대응 & 보고 - Console 내부보고체계수립및 R&R 정의 침해대응 - QRIF 피해대상식별 유출정보식별 재발방지및피해복구 - QRIF 공격경로추적 재발방지방안수립 8 QRadar 솔루션 9

04 QRadar 플랫폼주요기능 동일한아키텍처와사용자인터페이스를공유하는상호보완적인테크놀로지를추가하여수십개의포인트솔루션들을대체하며대응시간및보안관리자의업무효율을향상시킵니다. 이는대규모환경에서데이터의수집, 저장, 분석, 통보를자동화하며, IBM X-Force 로부터분석에필요한각종 DB 및기초데이터를자동으로업데이트합니다. 그림 5. IBM QRadar 플랫폼주요기능 특장점 임베디드데이터베이스와일원화된데이터아키텍처를이용한대규모확장성지원 앞선 in-memory 기술및확장된데이터집합에기반한실시간액티비티상관관계분석제공 원본로그페이로드수집및저장, 검색을통한포렌식 (Forensic) 기능제공 플로우캡처후 Layer 7의콘텐츠가시성을공급하는분석을통해심화된포렌식을지원 네트워크데이터의 Full Capture 를통한 Contents 재구성및위협에대한증거자료확보 잘못된해석또는수동작업을감소시키는지능화된인시던트분석기능제공 이벤트 Lifecycle 에대한관리기능제공 ( 이벤트 Follow-up, add note, email, close 등의실행기능을제공하며, 이에대한이력조회및리포트기능제공 ) 고성능의 free-text 검색과정규화된데이터분석에대한고유한결합기능제공 자체고가용성 (HA) 을제공하는 Clustering 기능제공 170 억개이상의페이지정보를기초로한 IBM X-Force IP Reputation DB 제공 (Optional) 컴플라이언스향상 로그관리 네트워크액티비티모니터링 위험관리 기대효과 더욱신속한위협감지및해소 내부의사기, 절취및데이터누출감소 악용방지로위험최소화 간편한운영및필요자원최소화 취약점관리 네트워크포렌식 10 QRadar 솔루션 11

05 QRadar 솔루션아키텍처 06 고객의니즈를기반으로 진화하는 IBM QRadar Log Manager 는분산된네트워크전반에서이벤트를수집, 보관, 분석및보고하며규정및정책컴플라이언스보고활동의자동화를돕습니다. 풀 SIEM 은위협, 사기, 네트워크및를사용하여완벽한로그관리통합을제공합니다. 네트워크액티비티데이터, 취약성평가및외부위협데이터가정교한상관관계및행동분석과함께데이터소스로추가됩니다. 어떤기업은풀 SIEM 규모가단일어플라이언스로충족될수있지만, 더큰규모이거나원격수집또는저장요구사항을가진다른기업은 QRadar 프로세서를사용하여대량배포할수있습니다. 이와같은수평적, 스택가능확장은대규모및지리적분산을지원하는동시에완전히동일한사용자경험을유지합니다. 는이미 10 년간개발되어왔으며가까운미래에도계속이어질것입니다. 네트워크데이터의검토로시작하여여기에로그소스정보를추가했고그다음에는자산및디바이스구성데이터, 취약성데이터, 현재는포렌식데이터가추가되었습니다. 플랫폼에추가된각각의확장기능은 BYOD 모바일및소셜컴퓨팅과함께전통적인네트워크의경계가사라지면서변화하는사이버범죄공격의특성을해결합니다. 응용프로그램계층가시성및포렌식콘텐츠캡처의경우 QFlow 및 VFlow 라고하는 Flow collector 를고객의물리적또는가상인프라에배포할수있습니다. 이러한모니터는주요위치에서모든활동에대해광범위한응용프로그램수준의감시를제공합니다. 궁극적인콘텐츠캡처를위해 QRadar Packet Capture 디바이스는네트워크를통과하는모든항목을일시적으로수집하기위해전략적으로네트워크에설치할수있습니다. 그림 6. IBM QRadar 솔루션아키텍처 분산된어플라이언스를이용하여적용이쉽고확장이가능한모델 외부 DB 나스토리지가필요하지않음 IBM QRadar 플랫폼 확장가능한어플라이언스아키텍처 쉐어드모듈러인프라스트럭처 자동화된장애복구및재해복구제공 클라우드환경에적합한가상배치 그림 7. 고객니즈에기반한 전략의진화 고객니즈변화에따른플랫폼진화 Flow Visualization and NBAD 예외탐지및위협해소 SIEM SIM & VA 통합 Log Management 아이덴터티관리, 모든로그관리, 컴플라이언스리포팅 Risk Management 형태분석, 정책모니터링, 리스크진단 Vulnerability Management 실시간취약성진단및취약성우선순위설정 Network Forensics 인시던트포렌식및패킷캡쳐 Security Intelligence 2002 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 그이후 12 QRadar 솔루션 13

07 IBM 통합보안의중심에있는 QRadar 기업에서는아래의 IBM 보안솔루션을개별적으로도입 / 적용할수있으나, QRadar 의엔터프라이즈콘솔기능을보유하면그영향력을확대하고문제해결을가속화할수있습니다. 이통합은 IBM 솔루션에만국한되지않으며, 협력사및심지어경쟁사에서출시한 450 여개의디바이스와솔루션을지원합니다. 그림 8. IBM QRadar 의엔터프라이즈콘솔기능 People IBM Security Access Manager People IBM zsecure Data IBM InfoSphere Guardium Applications IBM Security AppScan People IBM Security Privileged Identity Manager People IBM Security Identity Manager IBM QRadar Security Intelligence Platform Infrastructure IBM Security Network Protection XGS Infrastructure IBM Endpoint Manager People IBM Security Directory Server and Integrator Advanced Fraud Protection IBM Trusteer Apex 14 QRadar 솔루션 15

08-1 금융 / KB 국민은행 QRadar 솔루션실제적용사례 / 도입배경 / 기존보안시스템의한계및보안강화의필요성대두 KB 국민은행은최근들어대용량의이기종장비에서발생하는보안이벤트로그들이폭증하고, 이에따라보안 위협의가능성이높아져보안강화의필요성이대두되는상황이었습니다. 기존의 1 세대통합보안관리시스템은 DBMS 를이용하면서대용량로그검색성능이보장되지않았고, 다양한 시나리오에대한분석템플릿이부족하여한정된시간내에공격유무를분석하고대응하는데한계를보였습니다. 특히위협관리측면에서는빅데이터기술을활용하여위협에대해선제적으로대응할수있는기술이절실한 상태였습니다. / 직면과제 / 새로운보안시스템에빅데이터기술전략적적용 대용량로그및트래픽처리에빅데이터기술을적용하여, 보안위협관리에적극적으로활용하고선제적으로대응하라는전략적요청사항이있었습니다. 이에따라대용량의로그도실시간분석이가능하고포괄적인상관분석도가능한보안정보및이벤트관리 (SIEM) 솔루션을검토하게되었습니다. 빅데이터분석요구임직원및협력사직원들의인터넷사용시발생하는대용량로그및트래픽정보에대한원활한분석을위해빅데이터기반기술사용요청 컴플라이언스관리및리포팅시스템교체필요감독기관의주기적 / 비주기적인검사요청에따른대용량데이터검색및사전대비 / 솔루션 / 기업요구사항과특성에꼭맞는솔루션제공 KB 국민은행은기존보안관리솔루션의한계를넘어로그처리성능, 상관분석및룰셋, 선제적대응등의 다양한부분을만족시킬수있는솔루션을찾은끝에 IBM QRadar 를만날수있었습니다. IBM QRadar 는다년간의보안관제경험을기반으로다양한기본룰셋을포함한유연한룰적용엔진을제공하고 있어 KB 국민은행특성에맞는보안관제상관분석룰셋개발을매우용이하게해주었습니다. 빅데이터를활용하여학습에기반한이상징후패턴감지가가능한분석엔진은잠재적인보안위협에효과적인 선제적대응이가능하도록해주었습니다. / 도입효과 / 보안리스크및관리비용감소, 두마리토끼를잡은효과 KB 국민은행은 IBM QRadar 를통해대용량이기종의 IT 보안로그들을통합적으로수집및분석할수있는로그 상관분석시스템을구축할수있었습니다. 이로써방화벽, 침입탐지 / 방지시스템, 웹로그등의로그를정규화하고, 수천만건이상의대용량로그에대한 상관분석을수행하여보다빠른대응및안전한로그관리가가능해졌습니다. 또한감독기관의컴플라이언스요청에신속하게대응할수있는체계적이고효율적인통합보안관리체계를수립할 수있었습니다. 실제 KB 국민은행은 IBM QRadar 구축을통해대응시간및노동력절감을통해리스크비용의감소, 컴플라이언스비용감소등여러가치를구현했고그혜택을톡톡히얻고있습니다. 이제 KB 국민은행은 잠재적인보안위협에효과적으로대응하는새로운통합보안관리체계구축을통해은행권최초로선제적위협 관리를수행하는시스템을갖추게되었습니다. 16 QRadar 솔루션 17

08-2 금융 / 하나캐피탈 QRadar 솔루션실제적용사례 / 도입배경 / 컴플라이언스충족을위한통합보안시스템의필요성대두 하나캐피탈은전사보안시스템, 네트워크장비, 서버, 애플리케이션, DB 등상호연동된다양한 IT 장비와 시스템에서발생하는엄청난양의로그관리에어려움을겪었습니다. 전자금융감독규정, 정보통신망법, 개인정보보호법등법률적요구에따라하나캐피탈은컴플라이언스요건을 만족시키기위해방대한로그를체계적으로수집, 저장, 관리하고모니터링할수있는통합로그관리 및모니터링시스템이필요했습니다. / 솔루션 / 자동화, 맞춤화, 정밀화로보안능력업그레이드 새로운보안환경에대한요구를충족시키기위해하나캐피탈은 IBM QRadar 를도입해서버, 네트워크, DB, 보안장비, 백업및배치스케줄러로그를포함한다양한애플리케이션로그를실시간으로편리하게수집, 저장, 정규화해주는 Auto Discovery 및로그소스확장기능을적극활용하였습니다. 관리자및개발자들이다양한로그를목적에맞게검색하는데불편함이없도록각사용목적에맞추어검색용서치 템플릿을등록한 Quick Search 및 개인화대시보드 기능도추가하였습니다. / 직면과제 / 효율적인로그분석과효과적인모니터링환경요구 기존시스템을통해로그를취합, 관리하고있었지만대규모시스템에서상시적으로발생하는방대한로그를 종합적으로관리, 분석하는것은불가능에가까울정도로까다롭고어려운일이라고판단되었습니다. 또한단순패턴중심의모니터링으로는유사한외부보안사고에대한탐지정책수립과모니터링표준화에어려움을겪을수밖에없었습니다. 덧붙여보안사고예방을위해각관리자및개발자들에게효과적인로그모니터링환경을제공하기도쉽지않은상황이었습니다. 또한일련의이벤트가순차적으로발생할때손쉽게위협사실들을파악할수있도록하는 Sequence 룰셋 과 offense 기능으로보안사고를예방하고적극적으로대응할수있게되었습니다. / 도입효과 / QRadar 를통해기대이상의보안능력확보 하나캐피탈은 IBM QRadar 를통해수십여종의다양한이기종로그를통합하여, 로그컴플라이언스에 따른법적요건을단기간에갖출수있었습니다. 뿐만아니라, 개발자들의직접적인서버접근없이 로그를조회함으로써, 전산개발환경에대한보안수준을강화할수있었습니다. 또한대시보드를통해다양한이기종로그들을직관적으로확인할수있게됨에따라시스템운영 상황을보다손쉽게파악할수있게되었습니다. 로그를비롯한네트워크로부터 Layer 7 가시성을확보한 QFlow 를수집하고로그와함께포괄적인상관분석을수행함으로써다양한보안위협상황에대한명확한 분석과지속적인추적또한가능해졌습니다. 18 QRadar 솔루션 19

08-3 에너지 / E1 QRadar 솔루션실제적용사례 / 도입배경 / 개인정보보호법시행에따른법적컴플라이언스대응 E1 은 LAN, WAN 에대한사전점검결과를바탕으로, 날로증가하는지속적이고정교화된보안위협에대응하기 위해서실시간위협탐지를기반으로한새로운보안시스템을구축하기로결정하였습니다. 특히실시간상관관계분석및이상행동탐지, 리스크높은보안위협식별, 네트워크 / 애플리케이션 / 사용자활동에 대한모니터링및보고기능등선제적보안기능에초점을맞춘 가장고도화된시스템구축 이최우선과제로 떠올랐습니다. / 솔루션 / IBM QRadar, 벤치마크테스트결과가장우수한솔루션증명 E1 이가장적합한 SIEM 솔루션을찾기위해고려한사항은다양한벤더의보안로그와네트워크트래픽을 함께수집, 처리분석할수있는기능이었으며, 무엇보다이런다양한이벤트들을실시간으로분석하여 즉시위협을감지할수있는기능에중점을두었습니다. 1 개월간진행된벤치마크테스트를통해여러벤더솔루션의장단점을비교분석하였으며, 가장적합한 솔루션으로 IBM QRadar 를선정하게되었습니다. IBM QRadar 는벤치마크테스트시작과함께 E1 이직면한 다양한보안위협을탐지함으로써가장우수한솔루션으로선정되었습니다. / 직면과제 / 수동적방어가아닌, 선제적대응이가능한솔루션요구 E1 은 고객 을최우선가치로두고, 다양한보안위협에적극적으로대응하기로결정하였습니다. 이에따라내부 사용자 PC 가스팸발송서버로악용되거나, 악성코드에감염되어 C&C 서버와통신하여웜바이러스에감염되는 경우이상트래픽발생으로내부네트워크서비스가마비될수있으므로이를방지하는것이무엇보다중요했습니다. 이를위해서는단순로그관리수준을넘어서, 실시간 / 선제적보안위협대응을위한 보안정보및이벤트 관리 (SIEM) 솔루션도입 만이해결책이될수밖에없었습니다. / 도입효과 / 눈에보이는위협도, 잠재적인위협도모두방어하는시스템구축 IBM QRadar 는다양한벤더의시스템에대한로그분석을지원하였을뿐만아니라, 행위기반분석, 비정상이벤트 / 트래픽탐지등의분석엔진기능을제공하였습니다. 이를통해문제가있는스팸발송 PC, C&C 서버접속 PC, 웜감염 PC 등을실시간으로탐지하여사전조치할수있도록함으로써보다신속한대응을 가능하게하였습니다. E1 은 IBM QRadar 도입을통해기존솔루션에서취약했던잠재적인보안위협에대응하고, 이에대해보안 담당자가실시간으로대응할수있다는자신감을갖게해주었습니다. 또한직원들의보안정책위반사례나남용에 대한모니터링을통해사전조치할수있는체계를수립하여서비스안정화에기여했습니다. 20 QRadar 솔루션 21

08-4 온라인게임 / Gravity QRadar 솔루션실제적용사례 / 도입배경 / 개인정보보호법강화및내외부보안위협행위증가 다수의불특정사용자를대상으로하는온라인게임특성상게임머니탈취, 고객서비스망을통한고객정보유출 시도등내부통신망에대한불법해킹시도가끊임없이이어지고있었습니다. 또한정부의개인정보보호법강화로이를준수하기위한로그의통합관리에대한요구가나날이증가하고 있었습니다. 무엇보다다수의개발자를포함한내부직원들의불법행동 (P2P 사용, 정보유출가능성 ) 등에대한 지속적인모니터링을할필요가있었습니다. / 솔루션 / 전문가의도움없이도손쉽게관리할수있는솔루션제시 다양한솔루션을검토하던중 Gravity 는 IBM QRadar 가모든요구사항을충족시키는유일한솔루션임을알게 되었습니다. IBM QRadar 는보안장비에서발생하는로그들을통하여경계선에대한모니터링뿐만아니라, Layer 7 영역에대한플로우정보를제공하여네트워크망으로부터다양한애플리케이션의식별정보및사용 패턴을파악할수있는가시성을확보할수있게해주었습니다. 다양한분야의 Default 룰셋을제공하였고, 관리자가비즈니스목적에적절한룰셋을손쉽게만들수있도록룰셋 마법사를제공하여관리편의성을높여주었습니다. / 직면과제 / 애플리케이션위주의모니터링을위한솔루션필요 이러한목적을이루기위해서 Gravity 는로그수집에기반한애플리케이션위주의모니터링체계를구축하는데 초점을맞추었습니다. 그러나로그수집만으로는충분한가시성을확보하기어려웠으며, 나아가애플리케이션 모니터링체계구축이라는목적을달성하려면대규모추가투자가요구되는상황이었습니다. 또한내부사용자망에대한가시성확보에도미흡함이있었습니다. 따라서이러한모든요건들을만족시키는솔루션을찾기위해다각적인검토가이루어졌습니다. / 도입효과 / 상관관계분석, 패턴분석을통해보안운영효율성향상 Gravity 는 IBM QRadar 의로그, 플로우정보의상호상관관계분석및주기적으로업데이트되는보안 DB 정보를통해 PC 의악성코드감염여부등을빠르게파악할수있게되었습니다. 애플리케이션에대한직접적인식별및자동화된패턴분석을통하여회사정책에맞지않는불법프로그램사용 여부, 회사네트워크를과도하게점유하는헤비유저등을손쉽게파악할수있었습니다. 이를통해애플리케이션 Payload 에대한가시성을확보하여회사보안정책의유효성 ( 암호화된채널사용을통한인증등 ) 을직접적으로 검증함으로써보안운영의효율성을제고할수있었습니다. 22 QRadar 솔루션 23