빅데이터 보안, "SNS 보안분석은 안돼"

일반입력 :2013/02/19 08:20    수정: 2013/02/19 09:24

손경호 기자

빅데이터 기술을 보안영역에 적용한다는 의미를 두고 현업IT부서 담당자들이 혼란을 겪고 있다.

현 시점에서 두 분야의 결합은 보안장비를 통해 발생하는 대용량 로그데이터들을 빅데이터 기술을 이용해 빠르게 분석해낸다는 의미를 담고 있다. 그러나 보안업계관계자들에 따르면, 현업 IT부서 담당자들은 빅데이터 기술을 활용하면 트위터나 페이스북 등에 올라오는 모든 데이터까지 분석해 보안위협을 감지할 수 있는 것처럼 오해하고 있는 경우가 상당수다. '빅데이터 보안'에 대한 오해에서 비롯된 일이다.

현재 논의되고 있는 빅데이터 보안은 대용량 데이터 처리기술을 이용해 더 빠르게 로그데이터를 수집·저장·분석하겠다는 의미를 갖는다. 소셜네트워크서비스(SNS)까지 보안분석에 활용하는 기술은 아니라는 설명이다.

국내 회사 중 유넷시스템은 지난해 빅데이터 보안 솔루션 '애니몬 플러스3.0'을 출시했다. 이상준 유넷시스템 연구소장은 자사 솔루션에 대해 기존 침임탐지시스템(IPS), 방화벽 등 보안장비에서 발생하는 데이터들이 대용량화되면서 이를 더 신속하게 처리하기 위해 고안된 제품이라며 엄밀히는 빅데이터 기술 기반 로그분석시스템이라고 표현하는 것이 맞다고 밝혔다. SNS분석을 통해 새로운 보안위협을 감지해내는 기술은 아니라는 설명이다.박진성 한국HP ESP 사업부 이사 역시 비슷한 방식에 대해 고객들이 오해를 하고 있는 경우가 많다고 말했다. 박 이사는 고객사들 중 IT예산을 빅데이터쪽에 배분하려는 담당자들이 HP의 아크사이트 솔루션을 찾는 경우가 더러 있다고 말했다. 아크사이트는 IBM 큐레이더, 인텔 맥아피ESM와 함께 대표적인 보안정보이벤트관리(SIEM) 솔루션이다.

이들은 기존 보안장비를 통해 발생하는 로그분석 기능에 더해 IT이벤트에 대한 분석기능을 가졌다. 빅데이터 기술을 활용한 것과는 거리가 있는 셈이다. 그럼에도 불구하고 마치 빅데이터를 통해 SNS 등을 분석해 보안분야에 활용할 수 있는 것처럼 착각해 박 이사를 입찰에 참여하도록 권한 고객들이 있었다고 설명했다.

한국EMC가 최근에 출시한 빅데이터 보안 솔루션 'EMC RSA 시큐리티 애널리틱스' 역시 보안관련 데이터를 빅데이터 기술로 빠르게 처리하겠다는 의미를 담고 있다.

SNS와 같은 비정형 데이터를 보안위협 분석에 활용하겠다는 움직임이 전혀 없는 것은 아니다. 미국 실리콘밸리에서 가장 주목받는 회사로 선정된 빅데이터 솔루션 회사 스플렁크는 본지와 이메일 인터뷰를 통해 SNS에 대한 데이터를 보안위협 분석에 활용할 수 있다고 밝혔다. 로버트 리우 스플렁크 아태지역 및 일본 총괄 부사장은 SNS데이터를 분석하기 위해 별도의 에이전트 등을 설치할 필요없이 실시간으로 SNS데이터를 모아 분석할 수 있다고 밝혔다.

그러나 스플렁크 역시 보안영역에 빅데이터의 SNS분석을 도입한 사례는 없다. 국내외 보안전문가들은 빅데이터 분야에서 스플렁크가 가장 주목받고 있는 회사인 것은 분명하나 기존 SIEM을 뛰어넘어 SNS와 같은 새로운 플랫폼에서 보안적인 의미를 도출하지는 못한 것으로 보인다는 의견을 밝혔다.

관련기사

이에 대해 박 이사는 기존 SNS분석에 활용되는 빅데이터 개념은 소비자들의 취향에 대한 감성적인 분석이 바탕이 된 일종의 '소셜로그'를 분석하는 것이라면 보안영역에서는 보안장비에서 나온 기계적인 데이터를 분석하는 '인프라로그'에 해당한다며 이 둘은 말만 비슷해 보일 뿐 전혀 의미를 갖는다고 봐야한다고 주장했다.

빅데이터 영역에서 소셜로그와 인프라로그 모두를 분석대상으로 삼아 지능형지속가능위협(APT)과 같은 새로운 유형의 보안위협을 감지해내는 접근법이 언젠가는 등장할 수 있을지 모른다. 그러나 현재로서는 '빅데이터 보안'은 빅데이터 기술을 응용한 보안 로그분석으로 봐야한다는 것이 업계관계자들의 공통된 지적이다.