아이티스테이션이 개발한 사용자 니즈 대응하는 연동형 이벤트 분석 시스템 집중 분석
[보안뉴스= 황정규 아이티스테이션 기술지원본부 이사] 코로나19로 인해 비대면 업무시스템의 운용이 증가하고 있는 요즘, 이를 노린 다양한 형태의 보안위협도 새롭게 발견되고 있다. 이러한 보안위협들은 보안담당자들이 기존의 정보보호 시스템으로 대응하는 데 매우 어려운 상황에 직면하고 있다.
특히, 기존의 네트워크 기반 보안장비와 에이전트 기반의 보안 솔루션들이 탐지한, 수없이 많은 이벤트들을 종합하고 이해하기 위해 SIEM(Security Information & Event Management)과 AI 기반의 ESM(Enterprise Security Management)을 도입해 보안 이벤트를 분석하고 있다. 하지만 실제로 보안 이벤트를 발생시킨 사용자 단말에 대한 분석은 많은 시간과 분석인원의 부족으로 대부분 이뤄지지 않거나 보류되고 있다.
이러한 업무처리의 근본원인은 지나치게 많은 보안 이벤트의 발생으로 인한 측면도 있다. 하지만 보안장비들이 파악하는 사용자 단말정보가 IP에 국한되기 때문에 이벤트를 발생시킨 실체적 원인을 분석하고 대응하는 데 많은 전문성과 시간적 노력이 필요하며, 이는 실질적으로 보안관제 시스템을 운영하고 이벤트를 추적·분석하는 업무의 가장 큰 현실적 어려움이 되고 있다.
이를 해결하기 위해 다양한 ‘보안장비·네트워크장비·통합 보안관리 솔루션’과 ‘사용자 단말 간에 발생되는 이벤트’를 상관관계 분석기술을 바탕으로 ‘비정상 행위를 판별하는 솔루션’의 필요성이 대두되고 있다. 최근에는 EDR이 중요한 대응 솔루션으로서 평가되고 있는데, EDR은 자체 분석엔진을 통해 비정상행위를 탐지하고 분석해 대응하는 최종적인 보안 솔루션으로 매우 높은 수준의 보안위협 대응 솔루션으로 발전하고 있다.
한편으로는 이미 도입한 보안솔루션들의 연동을 통해 보안관제를 수행하고, 위협에 대응하는 대규모 조직에서 보안장비들이 추적한 정보를 기본으로 한 발 더 들어간 구체적인 분석과 대응을 자동으로 수행하는 한편, 위협에 대한 실질적인 원인분석을 신속하게 할 수 있는 솔루션에 대한 니즈도 사용자 사이에서 등장했다. 이에 아이티스테이션은 이러한 요구에 적합한 기능을 제공하는 연동형 솔루션을 개발했다.
수없이 등장하는 보안 이벤트 관리를 위한 연동형 이벤트 분석 시스템
보안 이벤트 발생시 일반적인 절차에 따라 대응하는 데 수 시간에서 수 일이 소요되며, 하루에 200건 이상의 경보를 처리하는 환경을 고려하면, 현재의 사이버 보안관제 프로세스의 개선이 절실히 필요한 상황이다. 이런 보안관제 단위 분석 프로세스를 수 시간이 아닌 수 분 안에 수행할 수 있는 솔루션으로 연동형 이벤트 분석 시스템이 적절한 해결책이 되고 있다.
연동형 이벤트 분석 시스템은 어떠한 주요 기능을 갖추고 있어야 하는지 살펴보도록 하자. 주요 기능은 크게 네 가지로 첫 번째는 보안 이벤트 자동 분석 기능이다. 각종 보안장비에서 발생하는 이벤트를 실시간으로 수집하고 이벤트에 해당되는 사용자 PC의 비정상 행위를 수분 이내 분석한 다음, 위험 레벨에 따라 대응 절차를 수행함으로써 위협에 대한 분석과 대응시간을 100배 이상 단축할 수 있다.
두 번째, Hash 기반 분석 기능이다. 기존의 모든 보안장비는 IP를 기준으로 이벤트를 발생하고, 이를 바탕으로 경보도 IP를 기준으로 생성한다. 기존 IP기반 정보는 비정상행위의 발생 원인이 IP가 아닌 파일이기 때문에, 위협을 탐지하고 분석하는데 분명한 한계점을 가지고 있다. 취약점이 있는 PC와 취약점이 없는 PC, 관리자와 비관리자 PC의 멀웨어 활동이 다르기 때문에 다양한 PC 환경에서 파일의 Hash 값을 기준으로 분석·대응해 보안위협에 대한 탐지 및 대응을 보안관제 시스템과 함께 고도화할 수 있는 기능을 제공한다.
세 번째, 반응형 에이전트다. 사용자가 보안상의 이유로 PC 사용에 답답함을 느낀다면 보안 솔루션 운영에 저항을 일으킬 수 있으며, 보안준수 의도의 저하 원인이 될 수 있으므로, 보안이벤트 관련 정보를 수집하는 반응형 에이전트는 사용자 PC의 리소스(CPU, Memory, I/O)를 최소로 사용함으로써 최적의 업무 수행환경을 보장할 수 있다.
네 번째, NAT IP 추적 기능이다. 보안위협을 추적하는 과정에서 보안장비들이 제시하는 공격 IP를 추적하다 보면, 공격자 IP가 공유기 또는 NAT 기능을 제공하는 보안장비로 판별되는 경우가 발생한다. 또한, NAT 환경 안에 존재하는 사용자 중에서 실 공격자 IP를 추적 및 확인해야 하는 경우, 비인가 공유기는 NAT 로그를 남기지 않기 때문에 실 공격자를 추적하기가 실제로 매우 어렵다. 하지만 이런 상황에서도 연동형 이벤트 분석 시스템은 실 공격자를 자동으로 추적하고 분석 대응할 수 있도록 관련 기능을 제공한다.
이러한 4가지 기능이 포함된 연동형 이벤트 분석 시스템은 기존에 도입한 보안장비 및 사이버 관제시스템과 유기적으로 연동되며, 종합적인 보안이벤트를 기초로 다양하고 복잡한 공격 행위를 네트워크 격리 후, 몇 시간이 아닌 수분 안에 추적할 수 있게 된다. 이로 인해 이벤트를 발생시킨 프로세스와 파일의 Hash를 특정함으로써 조직 내에서 가장 근본적이고 완벽하게 보안위협 대응을 지원하는 환경을 제공할 수 있다.
연동형 이벤트 분석 솔루션인 아이티스테이션의 ‘TA-STR(Top Aegis Security event Trace & Response system)’은 다양한 보안장비를 운영 중이거나 각종 보안관제 시스템을 운영하는 조직에서 사이버 침해대응은 물론, 전사적인 정보보호 수준을 획기적으로 끌어올릴 것으로 기대되는 제품이다. 또한, TA-STR은 GS 1등급과 각종 특허, 조달 3자단가계약 완료로 품질을 보증 받았다.
[글_ 황정규 아이티스테이션 기술지원본부 이사]
[보안뉴스= 황정규 아이티스테이션 기술지원본부 이사] 코로나19로 인해 비대면 업무시스템의 운용이 증가하고 있는 요즘, 이를 노린 다양한 형태의 보안위협도 새롭게 발견되고 있다. 이러한 보안위협들은 보안담당자들이 기존의 정보보호 시스템으로 대응하는 데 매우 어려운 상황에 직면하고 있다.
[이미지=utoimage]
특히, 기존의 네트워크 기반 보안장비와 에이전트 기반의 보안 솔루션들이 탐지한, 수없이 많은 이벤트들을 종합하고 이해하기 위해 SIEM(Security Information & Event Management)과 AI 기반의 ESM(Enterprise Security Management)을 도입해 보안 이벤트를 분석하고 있다. 하지만 실제로 보안 이벤트를 발생시킨 사용자 단말에 대한 분석은 많은 시간과 분석인원의 부족으로 대부분 이뤄지지 않거나 보류되고 있다.
이러한 업무처리의 근본원인은 지나치게 많은 보안 이벤트의 발생으로 인한 측면도 있다. 하지만 보안장비들이 파악하는 사용자 단말정보가 IP에 국한되기 때문에 이벤트를 발생시킨 실체적 원인을 분석하고 대응하는 데 많은 전문성과 시간적 노력이 필요하며, 이는 실질적으로 보안관제 시스템을 운영하고 이벤트를 추적·분석하는 업무의 가장 큰 현실적 어려움이 되고 있다.
▲보안이벤트 발생과 수동 분석[자료=아이티스테이션]
이를 해결하기 위해 다양한 ‘보안장비·네트워크장비·통합 보안관리 솔루션’과 ‘사용자 단말 간에 발생되는 이벤트’를 상관관계 분석기술을 바탕으로 ‘비정상 행위를 판별하는 솔루션’의 필요성이 대두되고 있다. 최근에는 EDR이 중요한 대응 솔루션으로서 평가되고 있는데, EDR은 자체 분석엔진을 통해 비정상행위를 탐지하고 분석해 대응하는 최종적인 보안 솔루션으로 매우 높은 수준의 보안위협 대응 솔루션으로 발전하고 있다.
한편으로는 이미 도입한 보안솔루션들의 연동을 통해 보안관제를 수행하고, 위협에 대응하는 대규모 조직에서 보안장비들이 추적한 정보를 기본으로 한 발 더 들어간 구체적인 분석과 대응을 자동으로 수행하는 한편, 위협에 대한 실질적인 원인분석을 신속하게 할 수 있는 솔루션에 대한 니즈도 사용자 사이에서 등장했다. 이에 아이티스테이션은 이러한 요구에 적합한 기능을 제공하는 연동형 솔루션을 개발했다.
수없이 등장하는 보안 이벤트 관리를 위한 연동형 이벤트 분석 시스템
보안 이벤트 발생시 일반적인 절차에 따라 대응하는 데 수 시간에서 수 일이 소요되며, 하루에 200건 이상의 경보를 처리하는 환경을 고려하면, 현재의 사이버 보안관제 프로세스의 개선이 절실히 필요한 상황이다. 이런 보안관제 단위 분석 프로세스를 수 시간이 아닌 수 분 안에 수행할 수 있는 솔루션으로 연동형 이벤트 분석 시스템이 적절한 해결책이 되고 있다.
▲보안 이벤트 관리를 위한 연동형 이벤트 분석 시스템[자료=아이티스테이션]
연동형 이벤트 분석 시스템은 어떠한 주요 기능을 갖추고 있어야 하는지 살펴보도록 하자. 주요 기능은 크게 네 가지로 첫 번째는 보안 이벤트 자동 분석 기능이다. 각종 보안장비에서 발생하는 이벤트를 실시간으로 수집하고 이벤트에 해당되는 사용자 PC의 비정상 행위를 수분 이내 분석한 다음, 위험 레벨에 따라 대응 절차를 수행함으로써 위협에 대한 분석과 대응시간을 100배 이상 단축할 수 있다.
두 번째, Hash 기반 분석 기능이다. 기존의 모든 보안장비는 IP를 기준으로 이벤트를 발생하고, 이를 바탕으로 경보도 IP를 기준으로 생성한다. 기존 IP기반 정보는 비정상행위의 발생 원인이 IP가 아닌 파일이기 때문에, 위협을 탐지하고 분석하는데 분명한 한계점을 가지고 있다. 취약점이 있는 PC와 취약점이 없는 PC, 관리자와 비관리자 PC의 멀웨어 활동이 다르기 때문에 다양한 PC 환경에서 파일의 Hash 값을 기준으로 분석·대응해 보안위협에 대한 탐지 및 대응을 보안관제 시스템과 함께 고도화할 수 있는 기능을 제공한다.
세 번째, 반응형 에이전트다. 사용자가 보안상의 이유로 PC 사용에 답답함을 느낀다면 보안 솔루션 운영에 저항을 일으킬 수 있으며, 보안준수 의도의 저하 원인이 될 수 있으므로, 보안이벤트 관련 정보를 수집하는 반응형 에이전트는 사용자 PC의 리소스(CPU, Memory, I/O)를 최소로 사용함으로써 최적의 업무 수행환경을 보장할 수 있다.
네 번째, NAT IP 추적 기능이다. 보안위협을 추적하는 과정에서 보안장비들이 제시하는 공격 IP를 추적하다 보면, 공격자 IP가 공유기 또는 NAT 기능을 제공하는 보안장비로 판별되는 경우가 발생한다. 또한, NAT 환경 안에 존재하는 사용자 중에서 실 공격자 IP를 추적 및 확인해야 하는 경우, 비인가 공유기는 NAT 로그를 남기지 않기 때문에 실 공격자를 추적하기가 실제로 매우 어렵다. 하지만 이런 상황에서도 연동형 이벤트 분석 시스템은 실 공격자를 자동으로 추적하고 분석 대응할 수 있도록 관련 기능을 제공한다.
이러한 4가지 기능이 포함된 연동형 이벤트 분석 시스템은 기존에 도입한 보안장비 및 사이버 관제시스템과 유기적으로 연동되며, 종합적인 보안이벤트를 기초로 다양하고 복잡한 공격 행위를 네트워크 격리 후, 몇 시간이 아닌 수분 안에 추적할 수 있게 된다. 이로 인해 이벤트를 발생시킨 프로세스와 파일의 Hash를 특정함으로써 조직 내에서 가장 근본적이고 완벽하게 보안위협 대응을 지원하는 환경을 제공할 수 있다.
연동형 이벤트 분석 솔루션인 아이티스테이션의 ‘TA-STR(Top Aegis Security event Trace & Response system)’은 다양한 보안장비를 운영 중이거나 각종 보안관제 시스템을 운영하는 조직에서 사이버 침해대응은 물론, 전사적인 정보보호 수준을 획기적으로 끌어올릴 것으로 기대되는 제품이다. 또한, TA-STR은 GS 1등급과 각종 특허, 조달 3자단가계약 완료로 품질을 보증 받았다.
[글_ 황정규 아이티스테이션 기술지원본부 이사]
아이티스테이션, 차세대 패치관리시스템 업그레이드 및 CC인증 획득
아이티스테이션, 대용량 파일배포시스템 TA-FDM 공개
