방화벽, 인터넷침입방지시스템(IPS), 분산서비스거부(DDoS) 방지 솔루션 등 네트워크 분야를 다루는 보안 솔루션과 백신, 디지털저작권관리(DRM), 데이터유출방지(DLP), 매체 제어 등 엔드포인트 솔루션에서 발생하는 로그기록을 통합해서 수집, 저장, 관리하는 기술이 새롭게 주목받고 있습니다.
빅데이터가 화두로 등장하면서 기존에 하루에만 수백 기가바이트(GB)씩 쌓이는 보안 로그를 처리할 수 있는 기술에 대한 관심이 깊어지고 있다.
19일 서울 잠실 롯데호텔 크리스탈볼룸에서 개최된 '제10회 어드밴스드컴퓨팅컨퍼런스(ACC)'에서 백민경 KT넥스알 기술컨설팅팀 차장은 자사 빅데이터 통합보안분석 솔루션 '엔답(NDAP)'을 적용한 사례를 발표하며 이 같이 설명했다.
기존에 보안장비에서 발생하는 로그들을 통합분석하는 기술은 이전에도 있었다. 엔터프라이즈 시큐리티 매니지먼트(ESM), 보안정보이벤트관리(SIEM) 등은 방화벽, IPS, 가상사설망(VPN) 등에서 발생하는 로그를 분석해 이상징후를 종합적으로 판단하는 역할을 해왔다.
그러나 최근 들어 보안 관련 로그도 처리할 수 있는 용량이 기존보다 훨씬 커지기 시작하면서 장기간 보관하고 처리해야할 필요성이 높아졌다. 기존 보안 장비를 우회하는 지능형지속가능위협(APT) 공격이 늘어나고 있는 것도 보다 많은 데이터를 두고 분석해야한다는 필요성이 나오는 이유 중 하나다.
백 차장은 일반적인 방화벽에 쌓이는 로그만 하루 50GB가 넘는다며 웹방화벽, IPS 등을 포함하면 처리해야 하는 양은 폭발적으로 증가한다고 말했다.
처리해야 할 보안 관련 데이터가 늘어나고 있는 상황에서 기존 보안 솔루션은 어떤 임계치를 기준으로 하거나 시그니처를 기반으로 하는 경우가 대부분이다. 특정 임계치 이상 트래픽이 올라가면 해당 트래픽을 차단하거나, 기존에 발생한 보안관련 징후 관련 데이터베이스인 시그니처에 관련 내용이 탐지되면 필요한 조치를 취하는 식이다.
백 차장은 알려지지 않은 위협에 대응하고, 기존에 수집한 보안 로그에 대한 장기간 기록을 분석하기 위해 빅데이터 기술이 활용되고 있다고 말했다.
관련기사
- [제10회ACC]SAS, 빅데이터와 통계분석의 차이2013.11.19
- [제10회 ACC]맵알 "빅데이터, 단순함이 경쟁력이다"2013.11.19
- [제10회 ACC] 빅데이터 노리는 델, 스토리지 계층화 전진배치2013.11.19
- [제10회 ACC]고객 빅데이터 활용 사례 A to Z2013.11.19
그는 최근 KT넥스알 엔답 솔루션을 적용한 고객 사례를 발표했다. A사는 하루 2만명 직원이 220GB 분량의 내부 서버 접속 로그를 남긴다. 이 회사는 장기적으로 더 많은 로그가 쌓인다는 점을 고려해 빅데이터 기반 통합보안솔루션을 도입하게 됐다. 주로 외부 공격보다는 내부자 유출에 초점을 맞췄다. 최소 1년치 이상 로그를 한번에 분석할 수 있는 시스템을 구축한 것이다.
30테라바이트(TB)를 기준으로 데이터를 장기간 보관하면서 언제든 실시간으로 뽑아 쓸 수 있는 시스템을 구축했다는 설명이다. 백 차장은 이를 통해 정보가시성이 50% 높아졌으며, 내외부 감사 관련 대응 시간은 65% 단축되고, 퇴직자 관련 회사 정보 접속 기록 등을 확인하는 처리시간을 80%나 줄였다고 말했다.
