이 자리에서 한현희 책임은 “글로벌 사이버범죄 시장은 452조원으로 추정된다. 전세계 GDP의 약 0.8%의 사회적 비용을 유발하고 있다. 특히 블랙마켓에서 희소성과 활용성이 높은 의료정보는 카드사 개인정보보다 50배 높은 50~1,000달러에 거래되고 있다. 또 2012년 이후 의료분야 보안사고는 기업보다 더 많은 증가세를 보이고 있다”고 우려했다.
이에 삼성SDS는 현장에서 자사가 투자 및 총판을 하고 있는 “다크트레이스(Darktrace)’의 ‘엔터프라이즈 면역 시스템(Enterprise Immune System, 이하 EIS)’을 소개했다.
또 고도화된 수학적 기법을 솔루션에 내재해 네트워크와 시스템 상의 모든 행위를 인지하고 모니터링해 정상행위에서 벗어나는 이상행위를 감지해낸다. 기존의 탐지장비들은룰이나 시그니처에 기반해 알려져 있는 공격만을 탐지해 낼 수 있는 반면, EIS의 고도화된 수학적 접근방식의 머신러닝 기능은 룰셋이나 시그니처를 사용하지 않기 때문에 지금까지 알려져 있지 않았던 새로운 공격 형태도 탐지해 낼 수 있다고 설명했다.
그리고 어플라이언스 장비 형태로 실시간 네트워크 흐름을 복제해 연결할 수 있다. 네트워크에 연결이 되면 머신러닝 기능을 통해 개인 사용자뿐만 아니라 네트워크 상의 모든 시스템을 대상으로 사용 패턴을 스스로 학습(non-supervisory machine learning)하게 되고, 이렇게 솔루션 스스로 터득한 정상 패턴을 기반으로 네트워크 상의 이상행위를 탐지하게 된다. EIS는 설치된 이후부터 지속적으로 학습을 수행하기 때문에 조직에 변화가 생겨도 이에 따른 네트워크 및 시스템 사용 패턴을 자동으로 업데이트 한다.
한편 정상 패턴을 기반으로 사용 패턴의 작은 변화도 감지해 낼 수 있다. 따라서 외부 침입에 의한 정보 탈취나 악성코드 감염은 물론, 불만을 품은 직원이나 근무 태만으로 발생할 수 있는 내부위협 까지도 감지해 낼 수 있다.
EIS를 통해 탐지해 낼 수 있는 대표적인 예시로, 평소 접속하지 않던 인터넷 도메인에서 다운로드, 인트라넷 또는 파일 시스템 복제, 등록되지 않은 장치 또는 위치에서 데이터에 접근, 비정상적인 응용 프로그램 또는 프로토콜의 실행, 업로드 패턴의 변화 등이 있으며, 이러한 현상들은 정상적인 행동과는 확연한 차이가 있기 때문에 탐지 후 즉시 조사 및 조치를 취해야 한다고 설명했다.
한현희 삼성SDS 책임의 MPIS 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★