2024-03-29 00:45 (금)
[K-ISI 2018] 마이크로포커스 "사이버 위협을 조직의 시공간에 집어 넣어라"
상태바
[K-ISI 2018] 마이크로포커스 "사이버 위협을 조직의 시공간에 집어 넣어라"
  • 길민권 기자
  • 승인 2018.09.18 23:04
이 기사를 공유합니다

황원섭 차장 "TI와 SIEM, 통합할 것...기업 스스로가 사이버 위협 대응 주체가 되길"

▲ K-ISI 2018에서 마이크로포커스(Micro Focus) 황원섭 차장이 '글로벌 사이버위협 인텔리전스 활용 및 구현 방안'에 대해 강연을 진행하고 있다.
▲ K-ISI 2018에서 마이크로포커스(Micro Focus) 황원섭 차장이 '글로벌 사이버위협 인텔리전스 활용 및 구현 방안'에 대해 강연을 진행하고 있다.
데일리시큐 주최 대한민국 정보보호 인텔리전스 컨퍼런스 K-ISI 2018에 250여 명의 정보보안 실무자들이 참석한 가운데 마이크로포커스(Micro Focus) 황원섭 차장은 '글로벌 사이버위협 인텔리전스 활용 및 구현 방안'에 대해 강연을 진행했다.

황원섭 차장은 이날 사이버 위협, 위협 인텔리전스, 위협 인텔리전스 활용 및 구현 방을 중심으로 강연을 이어갔다.

그는 "세계경제포럼에서 발행한 2018 글로벌 리스크 보고서에서 사이버 공격이 3위를 차지 했다. 과거 보안적용은 그리 어렵지 않았다. 위협의 유형도 단순했으며 지능화되지도 않았고 보호할 자산도 한곳에 모여 있었다. 하지만 오늘날 보안의 위협은 점점 진화하고 자산 또한 분산화되어 보호하기 어렵다. 위협도 내외부 위협으로 다양화되었고 분석해야 할 데이터도 증가했다. 컴플라이언스와 개인정보보호도 고려해야 하고 인프라도 복잡해져 보안을 적용하기 어려워졌다"며 "이런 상황에 인텔리전스는 신/변종 악성코드나 APT 공격과 같은 알려지지 않은 위협을 찾는데 아주 좋은 단서를 제공할 것"이라고 말했다.

공격을 잘 방어하려면 우선 공격자가 어떻게 생각하고 행동하는지 이해해야 한다. 이를 위해서는 외부 공격에 대한 신속한 탐지가 제일 중요하며 탐지-분석-대응 단계별 필수기능이 필요하다고 그는 강조한다.

올해 7월 눈에 띄는 하나의 사건이 있었다. 바로 세계 최대 통신사인 AT&T가 위협 인텔리전스 기업인 'AlienVault'를 인수한 것이다. 이를 통해 신변종 악성코드 탐지, 비정상적인 행위 탐지, APT 공격탐지, 정보유출 행위 탐지, 시각화 분석, 시그니처 기반 탐지시스템의 한계를 보완하기 위해서였다.

하지만 많은 기업에서는 TI 데이터를 오너쉽(Ownership)을 갖고 체계를 만들고 운영하기보다는 특정 벤더에서 제공하는 서비스를 받는 경우가 더 많다. 그래서 실제 조직 내부의 데이터와 온전히 원하는 모양대로 활용하기엔 어려움이 많은 것이 사실이다. 바로 이 부분을 기업들이 어려워하고 고민하고 있는 것이다.

좀더 구체적으로 살펴보면, 현재 대부분 TI서비스는 클라우드 기반이다. TI 자체 데이터를 가공하고 관리하는 것은 클라우드가 적합하다. 그러나 조직 내부 데이터 전체와 실시간 매핑해 탐지하고 분석하는 것은 어떻게 해야 할까.

황 차장은 "요즘 인공지능(AI), 머신러닝(ML) 돌리기엔 데이터가 부족하다는 얘기가 나오고 있다. 클라우드 AI에 들어오는 데이터가 점점 줄어든다고 한다. 클라우드 방식은 좋지만 아직은 국내 환경에서 조직내 빅데이터를 처리하기엔 시기상조라고 생각한다"며 "과거에 DW처럼 내부에서 분석할 보안운영용 데이터를 위한 시큐리티 DW가 필요한 시점이다"라고 말했다.

이어 그는 "현재 시중에 나와있는 빅데이터 처리 솔루션은 대부분은 검색엔진 기반으로 파일DB 방식이다. 그런데 검색엔진은 사실, 사후에 어떤 조건에 해당되는 데이터를 찾고 분석하는 용도에 적합하고 빅데이터 처리에는 처음부터 한계가 있었다고 생각한다"며 ".실제로 마이크로포커스 글로벌 보안관제센터에서 SIEM으로 실시간 룰 탐지 및 대응을 하면서 대용량 데이터 분석에 'Vertica'라는 DW용 DBMS를 활용했는데, 이것이 SOC 운영시 좋은 성과를 내서 상품화한 사례가 있다. 사용자가 자율적으로 DB에 접근해 정확도를 높일 수 있는 분석 작업이 가능 해야 한다"고 덧붙였다.

▲ 황원섭 차장의 K-ISI 2018 발표자료 이미지.
▲ 황원섭 차장의 K-ISI 2018 발표자료 이미지.
마지막으로 황원섭 차장은 차세대 SIEM 아키텍처 사례를 들고 TI 활용 및 구현 방안에 대해 상세히 설명하며 "TI를 200% 활용할 수 있는 방안으로 SIEM(Security Information & Event Management)과 통합할 것을 제안한다"며 "SIEM을 통해 TI가 존재하는 공간에서 미래(빅데이터 기반 헌팅분석)와 현재(실시간 위협 탐지) 그리고 과거(대응 및 업무 자동화)의 시간을 통합해 기업들이 사이버 위협을 대응하는 주체가 되길 바란다. 사이버 위협을 조직의 시공간에 집어 넣어라"라고 강조했다.

▲ K-ISI 2018 황원섭 차장 발표현장.
▲ K-ISI 2018 황원섭 차장 발표현장.
한편 마이크로포커스(Micro Focus)는 'Visual COBOL'과 'Serena' 등의 DevOps 제품을 제작하며 40여 년의 소프트웨어 역사를 가진 기업이다. 지난해 9월 HPE의 소프트웨어 사업 부서를 인수 완료했다. HPE Software의 보안 제품으로 아크사이트(ArcSight SIEM), 포티파이(Fortify) 등이 있으며, 두 회사의 합병으로 현재 글로벌 7위 규모의 순수한 소프트웨어 업체로 발돋음했다.

마이크로포커스 황원섭 차장의 K-ISI 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★