지능형 공격이 등장하기 시작하면서 방화벽, IPS/IDS 등 네트워크보안장비는 물론 내부에서 발생하는 수많은 로그들을 분석해 보안위협에 대응해야한다는 필요성이 제기되고 있다. 글로벌 시장에서도 IBM, HP, 인텔시큐리티(맥아피), 파이어아이 등이 이같은 서비스를 속속 내놓고 있다.
지난해 7월 '차세대 보안관제 서비스(NG-MSS)'를 내놓은 안랩은 지능형 공격에 효과적으로 대응하기 위해서는 모니터링 대상을 넓히는 것과 동시에 정밀함을 갖춰야 한다고 설명한다.
10일 서울 여의도 콘래드호텔에서 개최한 보안전략세미나 'ISF스퀘어2015'에서 발표를 맡은 안랩 서비스 사업부 담당 방인구 상무는 "차세대 보안관제 서비스는 다양한 정보들을 더 정교하게 볼 수 있어야 한다"고 강조했다.
"안랩의 경우 네트워크보안장비로부터 수집되는 로그나 이벤트 외에도 서버, 호스트 정보, 접근제어솔루션 등에서 나오는 로그까지 수집, 분석해 더 정밀하게 공격을 탐지/예방할 수 있게 했다"는 게 그의 설명이다.
방 상무에 따르면 기존 보안이벤트정보관리(SIEM)이라고 불리는 기존 보안관제솔루션은 서버에 올라오는 로그나 사용자 PC, 노트북 등 클라이언트 정보, 접근제어솔루션 등에 대해서까지 모니터링하지는 못했었다.
안랩이 제공하는 차세대 보안관제 서비스가 이러한 부분까지 모아 로그 상관관계 분석과 이를 통한 통계 및 평판데이터를 보여주고, 보안위협 시나리오를 구성해보고 대응할 수 있는 룰셋을 추가하는 등 일련의 서비스를 제공해 줄 수 있다는 것이다.
방 상무는 "별도 장비를 추가로 구축하는 대신 해당 회사에 대한 차세대 보안관제 서비스를 제공하기 위한 프레임워크 혹은 아키텍처를 소프트웨어 방식으로 구축해 원격관제 형태로 서비스를 제공하는 중"이라고 밝혔다.
관련기사
- 성인 웹사이트 방문만 해도 악성코드 감염2015.09.10
- 현업 실무자 "보안 관제, 지능형 위협 모니터링 중요"2015.09.10
- "보안관제, 새로운 패러다임이 필요"2015.09.10
- ‘꼼짝마!’…AI 접목 금융 이상거래 탐지 ‘한 끗’ 차별화2024.05.01
전통적인 보안관제영역에서 벗어나 트래픽/패킷에 대한 분석, 계정/프로세스 등 호스트에서 발생하는 이벤트 분석, 악성코드 배포나 악성파일, C&C서버 등에 대한 평판정보를 종합적으로 분석해 필요한 조치를 취할 수 있는 보안관제 패러다임 변화가 필요하다는 것이다.
현재 안랩이 제공하는 차세대 보안관제 서비스는 홈쇼핑, 방송사 등을 주요고객으로 하고 있으며, 이후 금융권으로까지 확대한다는 계획이다.
