앞으로 보안관제는 기존에 보지 못했던 영역까지 보고, 공격 가능성에 대해서도 예측할 수 있어야 합니다.
전통적인 보안관제는 방화벽, 침입방지시스템(IPS), 웹방화벽 등에서 발생한 로그를 확인하는 방식이었다. 그러나 이러한 식으로는 알려지지 않은 공격을 막아내기 힘들다는 점은 이미 여러 지능형 공격에서 증명됐다.
이보다 발전한 방식으로는 '보안정보이벤트분석(SIEM)'이라는 솔루션이 등장해 여러 장비에서 발견된 보안위협 이슈들을 연관 분석하기 시작했으나 이 역시 대규모 공격에 대해서는 실시간으로 효율적인 분석이 어려운 실정이다.
27일 지디넷코리아가 잠실 롯데호텔에서 개최한 '시큐리티 넥스트 컨퍼런스(SNC) 2015'에서 발표를 맡은 안랩 곽희선 수석은 이 회사가 지난달 출시한 '차세대 보안관제서비스(NG-MSS)' 활용사례를 소개했다.
그는 보안위협에 대해 더 넓고, 깊게 보면서도 앞으로 위협에 대해 예측가능해야 한다는 점을 강조했다.
곽 수석에 따르면 NG-MSS는 기존 IPS 등에 적용됐던 알려진 공격을 막는 시그니처 방식 외에 시스템에서 확인할 수 있는 이상행위, 시스템에서 활용한 IP, 취약점, 악성코드 등에 대한 평판 정보, 수학적인 통계기법, 보안전문가들의 침해사례분석 정보 등을 종합적으로 판단해 위협에 대응할 수 있도록 한다.
이를 통해 여러 위협을 단계별로 나눠 가장 위험하다고 생각되는 부분들부터 순서대로 필요한 조치를 취할 수 있도록 대시보드에 일목요연하게 정리한다.
관련기사
- 효율적 보안 위해 네트워크 포렌식 주목해야2014.11.27
- "지키기 힘든 보안 정책, 아직도 많다"2014.11.27
- 차세대 보안, 솔루션 넘어 플랫폼으로 진화2014.11.27
- "금융보안, IT조직과 현업간 협업이 핵심"2014.11.27
곽 수석은 보안관제가 앞으로는 이벤트 두 세개나 혹은 10개씩 묶어서 정상탐지냐 아니냐를 파악하는 수준에 그치는 것이 아니라 공격에 대해 정확히 방향을 예측한다면 선제적인 대응이 가능할 것이라고 밝혔다.
그는 맥가이버칼처럼 하나의 장비가 모든 보안문제를 해결해 줄 수 있는 것처럼 말하는 경우가 있는데 앞으로는 여러 개별적인 장비로부터 최고 성능을 뽑아내서 종합적인 분석이 필요하다고 덧붙였다.