스플렁크 "영역별 최고 솔루션 묶어 위협 대응시간 단축"

시큐리티넥스트컨퍼런스2017 최대수 부장

컴퓨팅입력 :2017/09/12 14:58

"기업은 보안위협에 대응하는 시간을 줄여야 한다. 기업의 인프라엔 다양한 영역별 보안 솔루션이 적용돼 있다. 하나의 솔루션이 모든 위협을 완벽하게 막을 수 없다. 각 영역의 최고 기능을 수행하는 솔루션을 엮어 빠르게 대응해야 한다."

스플렁크 최대수 부장은 12일 열린 지디넷코리아 시큐리티넥스트컨퍼런스 주제강연에서 '머신러닝 기술을 활용한 보안위협 분석 및 대응 방안'을 발표하며 이같이 말했다.

그는 이처럼 각 영역의 최고 기능을 수행하는 분야별 보안 솔루션과 이를 묶는 자사의 솔루션을 활용하는 아이디어를 '적응형 대응 프레임워크'라는 이름으로 소개했다. 발표를 통해 머신러닝을 적용하는 보안분석 방법론과 적응형 대응 프레임워크의 소개하고 미라이 봇넷, 워너크라이 랜섬웨어, 2가지 적용 사례를 제시했다.

최 부장은 "위협인텔리전스 초점은 대부분 현재에 맞춰져, 실시간위협, 알려진위협을 찾는 것이고, 스플렁크같은 데이터플랫폼은 현재뿐아니라 과거 장기간 로그를 분석해 추이를 볼 수 있다"며 "오늘 초점을 맞춘 머신러닝은 예측에 활용하는 기술로, 과거 데이터 위협을 학습해 모델을 만들고 변종 위협을 모델기반으로 찾는 것"이라고 설명했다.

스플렁크 최대수 부장

그에 따르면 머신러닝은 사례를 일반화하기 위한 프로세스로 요약된다. 사례는 데이터, 일반화는 상관관계를 탐지하기 위한 통계모델 생성 절차를 의미한다. 이 작업은 지속적으로 검증되고 모델을 개정하게 하기때문에 완료되지 않는 프로세스로 표현된다. 머신러닝 워크플로는 데이터 탐색, 모델 생성, 프로덕션 환경에 모델 적용, 모델 유효성 검사 순으로 단순화된다.

그는 지도학습과 비지도학습 등 머신러닝의 기본개념을 짚은 다음 보안분석 분야에 머신러닝을 적용하는 일반 과정 5단계를 제시했다. 1단계로 관련된 모든 데이터를 수집 범위로 지정한다. 2단계로 요구사항 수집 및 연관 데이터 검증을 한다. 3단계로 탐색적 데이터 분석을 수행한다. 4단계로 도메인 전문가와 협력해 가설을 수립한다. 5단계로 가설에 답을 찾을 때까지 필요에 따라 테스트하고 이 단계를 반복한다.

최 부장은 "최근 소개되고 있는 UBA는 주로 비지도학습 머신러닝 기반으로 만들어지는 솔루션이라 도입 초기 위협을 탐지하는 정확성 측면에서 정탐(정확한 탐지)율이 떨어질 수 있다"고 언급했다. 이어 "데이터를 저장하는 것은 2단계까지 수행하는 것이고, 어떤 데이터 필드가 분석에 적합한지 이해하는 3단계 탐색적데이터분석(EDA) 과정이 전체 머신러닝 기반 분석 소요기간의 80~90%를 차지한다"고 말했다.

스플렁크는 운영인텔리전스 플랫폼에 이런 머신러닝 방법론을 적용한 기술을 탑재했다. 그중 무료로 제공되는 '커스텀 머신러닝' 툴킷에 대한 설명이 이어졌다. 이를 사용하면 20여개 표준 알고리즘을 적용한 모델을 생성한다. 인터넷에 개방된 파이썬 머신러닝 분석 코드를 임포트해 300여개 알고리즘을 활용할 수 있다. 이 샘플을 쉽게 활용할 수 있도록 돕는 쇼케이스가 27가지 제공된다.

최 부장은 이어 적응형 대응 프레임워크를 소개했다. 적응형 대응이란 이는 최근 IT분석업체 가트너가 꼽은 업계 유행의 하나로 소개됐다.

적응형 대응은 왜 필요할까. 기업이 보안사고를 처리를 마치기까지 드는 시간의 72%가량을 '결정 및 대응'에 쓸만큼 이 단계의 비중이 크다. 기업의 보안업무에서 이 단계 소요시간을 줄이면 다른 예방 활동에 집중할 수 있다. 그런데 줄이기 어렵다. 기업이 운영하는 보안시스템이 굉장히 많아서다. 로그를 분석하려면 수집되지 않는 각 기기에 접속해 일일이 확인해야 한다.

스플렁크는 탐지, 조사, 대응 가속화를 위한 해법을 제시한다. 적응형 대응이다. 스플렁크 솔루션으로 웹 프록시, 방화벽, 네트워크, 위협인텔리전스, 서버, 엔드포인트, 신원정보, 내부 네트워크 보안, 앱 등 복잡한 도메인을 엮어 엔드투엔드 컨텍스트 기반의 데이터 수집, 분석, 공유, 대응 작업을 실행한다.

적응형 대응 프레임워크는 '상관관계 검색 빌더'를 사용해 구성 및 자동화, '사고 리뷰'에서 보안환경 전반의 대응 및 쿼리 구성과 실행, 실행한 대응 작업과 해당 결과를 '액션 대시보드'에서 검색 및 검토하는 시나리오를 포함한다. 스플렁크는 이런 시나리오를 위해 자사 솔루션을 중심으로 여러 보안업체 기술을 결합해 지능형 공격을 방어한다는 '적응형 대응 이니셔티브'를 제안하고 있다.

최 부장은 "아이디어는 간단하지만, 실제 문제 발생시 불분명한 책임소재 때문에 현업에서 실현되기 어려운 것이었다"며 "스플렁크 시스템은 특정 벤더 방화벽이나 장비를 연동하기 위해 앱을 설치하는 방식으로 간편하게 통합하고, 감사로그로 대응이력을 확인할 수 있다"고 말했다.

이어 스플렁크 방법론을 적용한 미라이 봇넷, 워너크라이 랜섬웨어 분석 사례가 제시됐다.

미라이봇넷은 지난해 10월 등장해 사물인터넷(IoT) 기기를 감염시킨 악성코드로, 감염 기기가 도메인네임서비스(DNS) 업체에 대규모 분산서비스거부(DDoS) 공격에 동원되면서 악명을 떨쳤다. 당시 트위터, 넷플릭스, 뉴욕타임스 등 76개 사이트가 마비되거나 접속이 지연되는 피해를 입었다. IP카메라, NAS, 인터넷공유기 등 계정관리가 취약한 임베디드 기기를 포함 164개국 100만대 이상 IoT기기가 감염됐다.

스플렁크로 미라이봇넷의 봇넷 플로우 데이터를 분석한 선형회귀분석결과 63.9% 공격을 정탐으로 탐지했다. 랜덤포레스트 분석결과 90.2%를 정탐으로 탐지했다.

워너크라이 랜섬웨어는 윈도 PC 및 서버 컴퓨터 파일을 암호화하는 악성코드다. SMBv1 프로토콜 원격코드실행 취약점을 악용했다. MS17-010 패치를 적용하지 않은 컴퓨터에 감염돼 173종 확장자 파일을 암호화한다. 세계 74개국 의료기관, 통신사, 철도 등 기간시설 전산시스템에 피해를 입혔다.

관련기사

최 부장은 스플렁크로 직접 워너크라이 랜섬웨어 변종 분석을 수행해 봤다. 행위기반 동작 특성 정보를 검색 및 시각화해 머신러닝 툴킷을 사용, 엔터프라이즈 시큐리티 툴에 적용했다. 위협을 예측시 경고를 띄우고 적응형 대응을 하도록 연결했다. 워너크라이 변종 80종 이상과 정상파일 100종 이상을 대상으로 분석이 진행됐다. 400여개 로그필드 중 어떤 API를 호출하느냐 등 45가지 특성을 선택했다. 머신러닝 알고리즘별 탐지정확도를 비교 후 알고리즘 선택, 모델 생성 작업이 이뤄졌다. 생성 모델을 적용해 탐지룰 생성이 이뤄졌다.

탐지룰 기반 워너크라이의 주요 행위분석 결과 네트워크 관점에선 DNS쿼리 특정 사이트 접속 시도, C&C서버 접속 시도, 네트워크 전파를 파악했다. 프로세스 실행 관점에선 파일생성, 윈도스크립트 실행, 폴더와 파일 생성 및 권한 변경, 숨김속석 변경, 기존 설치내용 확인, 프로세스 시작 등이 파악됐다. 암호화 관점에서 파일 암호화, 삭제를 반복하고 볼륨섀도 백업을 삭제하는 동작이 파악됐다.