IDG Tech Focus 빅 데이터 가치 찾기의 첫 실험대, 빅 데이터 보안...

Market Trend 빅 데이터 보안 분석의 정의와 요건

빅 데이터 보안 분석, IT 보안의 새로운 물결

Market Issue빅 데이터 접근법을 정보 보안에 활용, 좋긴 하지만 어렵다

Technology Review하둡 기반의 빅 데이터 보안 분석 방법과 통합 보안 시스템 사례

SolutionNDAP for Security - 빅 데이터 기반 통합 보안 관리를 위한 해답

I D G T e c h F o c u s

빅 데이터 가치 찾기의 첫 실험대,

빅 데이터 보안 분석 “구슬이 서 말이라도 꿰어야 보배.” 빅 데이터 또한 가치를 찾지 못하면 쓰레기에 불과하다. 어

디에서든 그 가치를 찾을 수 있을 법한 빅 데이터는 역으로 어디에서도 인사이트를 뽑아내기 힘

들다. 특히 보안 분야는 빅 데이터 가치 찾기의 첫 디딤돌이 될 전망이다. 나날이 발전하는 보안

위협에 대해 빅 데이터 보안 분석은 보안 솔루션의 새로운 지평을 열고 있다. 빅 데이터 보안 분

석이 무엇인지, 또한 그 가치와 효용성에 대해 알아보자.

무단 전재 재배포 금지

본 PDF 문서는 IDG Korea의 프리미엄 회원에게 제공하는 문서로, 저작권법의 보호를 받습니다.

IDG Korea의 허락 없이 PDF 문서를 온라인 사이트 등에 무단 게재, 전재하거나 유포할 수 없습니다.

Sponsored by


IT World ▶▶▶ 1

2012년 말, ESG는 설문조사를 통해 수요 측면에서의 빅 데이터 보

안기법을 연구했다. 그 결과, 시장의 수요는 확고한 것으로 나

타났다. 44%의 대기업에서 자사의 보안기법을 빅 데이터로 간주하고 있다고 응

답했으며, 이와 별개로 또다른 44%는 향후 2년 내에 자사의 보안 데이터 수집,

처리, 스토리지 활동 등 보안기법의 요구사항이 빅 데이터가 될 것이라고 응답

했다.

다시 말해 이는 기업조직에서 빅 데이터 보안기법 솔루션을 필요로 하는 것이

다. 그렇다면 빅 데이터 보안기법 솔루션은 대체 무엇인가? ESG는 시장분석 보

고서를 통해 바로 이 질문에 대한 답변을 내놓았다. 공급적 측면을 위주로, 현존

하는 솔루션을 분석하고 빅 데이터 보안기법의 미래를 전망했다.

빅 데이터 보안기법, 논의 자체가 높은 수준의 보안

빅 데이터 보안기법을 정의하는 것은 높은 수준에서 시작해야 한다. 빅 데이

터 보안기법은 단순히 보안 데이터셋의 집합으로 너무나 크고 복잡해 현재 보유

하고 있는 데이터 관리 툴이나 전통적 보안데이터 프로세싱 애플리케이션으로

는 처리하기가 어렵거나 불가능해진다.

ESG의 보고서가 설명하듯, 많은 기업조직에서 수많은 데이터를 수집하지만

엄청나게 방대한 보안 데이터를 분석하는 것에 있어 어려움을 겪고 있기 때문

에, 이미 문제가 상당한 수준에 이른 것으로 보인다.

빅 데이터 보안 솔루션은 3가지 요소를 갖추고 있어야 한다.

• 규모 : 빅 데이터 보안기법 솔루션은 테라바이트 및 페타바이트 단위의 데이터를 수

집, 처리 및 저장할 능력을 가지고 있어야 한다.

• 분석적 유연성 : 빅 데이터 보안기법 솔루션은 사용자로 하여금 다양한 방법으로 데

이터의 양을 상호작용, 쿼리, 시각화할 수 있게 해야 한다.

• 성능 : 빅 데이터 보안기법 솔루션은 적합한 컴퓨팅 아키텍처로 구축돼야만 데이터 분

석 알고리즘과 복잡한 쿼리를 처리하고, 신속히 결과값을 산출한다.

도입 초기, 빅 데이터 보안기법 솔루션은 지속적으로 소개되고 개발됐다. 여

기에는 실시간 빅 데이터 보안기법 솔루션(Real-time big data security ana-

lytics solutions), 비대칭 빅 데이터 보안기법 솔루션(Asymmetric big data

security analytics solutions) 등 두 가지 종류의 빅 데이터 보안기법 솔루션

빅 데이터 보안 분석의 정의와 요건joltsik | Networkworld

Market Trend


2 ▶▶▶ IT World

이 있다.

실시간 빅 데이터 보안기법 솔루션

실시간 빅 데이터 보안기법 솔루션은 오늘날의

SIEM이나 현대적 규모의 성능 요구사항에 부합

해 설계된 로그 관리 솔루션의 진화형이다. 이런

솔루션은 분산 아키텍처에 걸쳐 설계되며, 로컬

스트리밍 처리와 집합적 병렬 처리를 위해 고안된

하드웨어 장치로 구성된다. 실시간 빅 데이터 보

안기법 솔루션은 전사적으로 로그, 네트워크 플로

우, IP패킷과 같은 오래된 스텐바이(stand-by)

데이터를 수집하고 분석하며 2계층에서 7계층까

지의 데이터를 관찰한다.

비대칭적 빅 데이터 보안기법

비대칭적 빅 데이터 보안기법은 상대적으로 새로운 범주의 솔루션으로, 개별

적 보안 이벤트나, 비정상적인 활동이 시스템, 네트워크, 사용자 활동 등에서 감

지될 때 이를 보안 애널리스트들이 추적할 수 있게끔 도와준다.

비대칭적 빅 데이터 보안기법 솔루션은 독점적 데이터 저장소에 구축될 수

있다. 하지만 모든 제품이 시간이 지날수록 카산드라(Cassandra), 하둡(Ha-

doop), NoSQL과 같은 빅 데이터 기술을 지원하게 될 가능성이 높다. 보안 전

문가들은 이런 배치 업데이트를 통해 오랜 기간 동안 이전의 보안추세를 반영한

솔루션을 제공할 것이다. 비대칭 빅 데이터 보안 솔루션은 머신러닝 알고리즘,

클러스터 분석, 진보된 시각화 기술에 기반을 두게 될 것이다.

빅 데이터 보안 분석, 필요한 게 많다

빅 데이터 보안 분석의 시대는 이미 시작됐다. 시대가 이미 시작되긴 했지만

대부분의 기업의 난제들은 커져만 간다. 한편으로는 무엇이 일어나고, 무엇을

해야 하는지에 대한 정보에 기반한 결정을 내리기 위해 빅 데이터 보안 분석이

필요한데, 다른 한편으로는 빅 데이터 분석의 잠재적 이익을 챙기는 것은 고사

하고 담당할 직원, 기술, 절차들조차 확보하지 못했다.

기업 보안에서도 빅 데이터 분석을 가진 기업과 그렇지 못한 기업의 차이가 벌

어지면서 이는 실제로 문제가 되고 있다. ESG 조사를 보면 17%에서 22%의 대

규모 조직들이 빅 데이터를 충분히 활용할 수 있는 ‘발달된’ 유형에 속했다. 이

는 나머지 80%의 대규모 조직들에 어떤 종류로든 빅 데이터 활용에 도움이 필

요하다는 의미이기도 하다.



빅 데이터 보안 분석 성공에는 알고리즘, 인텔리전스, 자동화, 협업이 필요

이 엄청난 격차를 좁히기 위해, 빅 데이터 보안 분석 솔루션은 다음과 같은 사

안으로 대응해야 한다:

• 준비된 알고리즘 : 엘리트 조직에는 보안 분석가, 프로그래머, 데이터 과학자들이 함

께 일하는 팀들이 있지만, 대부분의 조직은 보안 분석 개발업체에게 의존해 준비된 알

고리즘이 감염된 호스트, 네트워크 정찰, 자격 수확, C&C(Command & Control) 통신

의 지속적인 스트리밍을 제공받는다.

• 심층 인텔리전스 : 이상적으로 대규모 조직들은 네트워크 자산이 무엇에 연결되어 있

고, 어떻게 구성되어 있고, 다른 자산들과 어떻게 통신하는지 등 네트워크 전반에 대

해 알고 있어야 한다. 또한 비정상적이거나 수상한 행동을 감지하기 위해 네트워크 트

래픽 패턴도 완전히 이해해야 한다.

이해의 완성도를 높이기 위해 실제로 어떤 일들이 벌어지고 있는지에 대한 외부 보안

인텔리전스 피드백도 필요하다. 빅 데이터 보안 분석은 내외부 네트워크에서 어떤 일

이 일어나는지에 대한 상황적 의식과 네트워크 자산, 구성, 취약점에 대한 지속적인

모니터링을 연계함으로써 인텔리전스 허브 역할을 수행한다.

• 자동화 : 사람이 대응하기에는 너무나도 많은 위협과 취약점, 사건, 네트워크 패킷들

이 존재한다. 보안 커뮤니티에서는 보안 기기를 차단 모드로 설치하는데 있어서 전전

긍긍하지만, 분석 엔진이 문제를 잡아내고 행동을 취하는 것은 빅 데이터 보안 솔루

션의 일부분이 돼야 한다.

• 사용자 그룹 : 1955년, 미국 LA의 IBM 사용자 701명이 모여 아이디어, 경험, 베스트

프랙티스를 서로 나눴다. 여기에서부터 현재까지 활동하는 메인프레임 사용자 그룹

SHARE가 시작되었다. 이런 유형의 집단 협력은 빅 데이터 보안 분석의 혜택을 보려

는 경험이 부족한 사용자에게는 필수적이다. 업계 내에 이런 모임을 조직하고 육성하

는데 노력을 기울이는 개발업체가 이익을 얻을 수 있을 것이다.

빅 데이터 보안 분석은 기업에 있어서 피할 수 없는 일이겠지만, 대부분의 기

업에 있어서는 너무나도 복잡한 것일 수 있다. 많은 기업이 빅 데이터 보안 분석

에 독자적으로 뛰어들기에는 인력이나 자신감이 부족하기 때문에, 궁극적으로

빅데이터 기술을 제공하는 전문업체들이 부상할 것을 예상한다.

빅 데이터 보안 분석 ‘3대 요소’

일반적으로 현재의 보안 기술과 솔루션이 더 이상 다량의 정교한 표적 위협에

적절한 보호를 해주지 못하기 때문에 실시간으로 무슨 상황이 벌어지는지 이해

하기 위해 더 나은 보안 분석이 필요하다는 공감대가 있다. 향상된 상황적 인식



으로 우리는 사전 감지와 대응을 신속화할 수 있다.

이는 이론적 개념으로써 맞는 말이지만, 빅 데이터 보안 분석 이면의 ‘빅 데이

터’는 정확히 무엇일까. 필자는 빅 데이터 보안 분석 솔루션이 네트워크 행동,

보안 인텔리전스, 네트워크 상태 등 다음과 같은 세 가지의 데이터를 수집, 처

리, 분석, 연관시킬 때 진정한 잠재력을 발휘할 것으로 본다.

네트워크 행동

네트워크 행동 분야를 상당히 많이 다뤘지만 여전히 많은 과제가 남아있다. 네

트워크 행동을 진정으로 이해하기 위해서는 기기, 애플리케이션, 프로토콜, IP

주소, 사용자, 전형적 행동 등에 대해 알아야 한다. 우리는 보안 기기와 네트워

크 로그를 수집해 이를 알아내곤 했다. 현재 우리는 넷플로(NetFlow), IP 패킷

캡처, 애플리케이션 프로파일링을 포함한 계속해서 늘어나는 다른 네트워크 데

이터를 수집하고 있고, 이 영역에서 보안 데이터와 네트워크 운영 데이터의 추

가적 혼합을 보게 될 것으로 판단했다.

여전히 10GB 네트워크 파이프는 대략 초당 1,500만 패킷을 이동시키기 때

문에 네트워크 수준의 보안 분석은 여전히 쉽지 않을 것이다. 필자가 생각하는

핵심 성공 요소는 맥락(context)과 알고리즘이다. (예를 들어 이례적인 네트워

크 행동의 ‘업 앤 다운 더 스택(up and down the stack)’을 실시간으로 정확

한 감지)

보안 인텔리전스

연구원들은 항상 네트워크 허니팟(honeypots)을 설정해두고 ‘황야에서’ 보안

위협을 찾아, 이 데이터를 통해 안티바이러스 시그니처를 만들거나 연구 보고서

를 쓰는데 사용해왔다. 이런 행동 패턴은 지난 몇년간 블루코트(Blue Coat), 카

스퍼스키 랩(kaspersky Lab), 트렌드마이크로(Trend Micro), 웹센스(Web-

sense)와 같은 보안 개발업체들이 온-프레미스 보안 제품을 클라우드 기반의

인텔리전스와 통합해 탐지와 방지 사이의 격차를 좁혀가면서 변화했다.

빅 데이터 보안 분석 플랫폼들도 더 나은 의사 결정을 위해 내부적으로 모아

진 데이터를 연계될 수 있는 실시간 위협 인텔리전스를 소화하며 이런 추세에

동참하고 있다. 이 절차를 최대한 효율적으로 만들려면, 위협 인텔리전스 개

발업체들은 위협 데이터 열거, 신택스(Syntax), 미국 국토안전부(DHS)와 미

트리(Mitre)에 의해 개발된 프로토콜 전송을 위한 STIX(Structured Threat

Information Expression)와 TAXII(Threat Information Exchange) 표준을

지원해야 한다.

네트워크 상태

사실 네트워크 상태를 분석하는 것이 세 가지 가운데 가장 힘들다. 필자가 말

하는 네트워크 상태는 네트워크에 연결된 자산, 이들의 현재 구성, 연혁, 상태



변화 등을 의미한다. 그리고 어떤 사용자가 각각의 기기를 조작하고 있는지도

알 필요가 있다.

이미 이 데이터 대부분을 수집했다는 것을 알고 있지만 이는 수많은 이질적

인 관리 툴을 통해 이뤄진 것이다. 전체적인 관점으로 살펴보면, 많은 조직에서

의 상황은 그야말로 엉망이다. 궁극적으로 개별 기기에 대한 단순 정보 그 이상

을 알아야 한다. IT 전체에 걸친 시스템적인 위협을 이해하기 위해서는 네트워

크 연결에 대한 전체적인 그림을 그릴 필요가 있다.

세 가지 요소를 전체적으로 아우르는 보안

이 세가지 유형의 데이터를 통합해 생각해보자. 네트워크는 최근의 위협 인

텔리전스에 대해 연계된 이례적인 행동을 보인다. 파이어폭스(Firefox) 브라우

저의 특정 버전을 겨냥한 새로운 악성코드 압박으로 인해 윈도우 시스템이 침

입 당한 것처럼 보인다. 침투된 URL과 자바스크립트(JavaScript)가 취약점 공

격에 사용된다.

분석가는 파이어폭스가 설치되어 있는 시스템과 자바스크립트가 활성화되어

있는 시스템, 크롬(Chrome)이나 인터넷 익스플로러(IE)보다 파이어폭스를 사

용할 가능성이 높은 사용자, 이 사용자의 소속과 네트워크 위치 상태 등을 파악

할 수 있다. 이 분석이 자동화 여부를 떠나, 이 모든 데이터에 대해 접속할 수 있

다는 것만으로도 문제를 신속하게 해결하는데 도움이 될 것이다.

이는 단순한 예일 뿐이다. 아마 강력한 보안이 갖춰진 조직은 당장 알아낼 수

있을 것이다. 하지만 얼마나 오랜 시간이 소요되고, 얼마나 많은 인력이 필요하

고, 얼마나 많은 도구가 개입될까? 빅 데이터 보안 분석이 네트워크 행동, 상태,

보안 인텔리전스를 아우를 때, 이 보안 절차는 전체적으로 더욱 효율적이고 효

과적으로 훨씬 쉬워지게 된다.



보안 분석기법(Security Analytics)이 IT 분야의 ‘뜨거운 감자’로 부상하

고 있다.

필자는 SANS 연구소(SANS institute)의 신규 보안 트랜드 부분을 담당하는

존 페스카토르와 의견을 나눌 일이 있었다. 페스카토르는 이전에 가트너 그룹

에서 13년간 수석 보안 애널리스트로 일한 바 있어 IT 보안 분야에서만 도합 35

년의 경력을 갖고 있다.

보안 분야의 경력이 풍부한 페스카토르는 그 세월동안 산전수전을 다 겪었을

것이다. 그래서 필자는 페스카토르에게 IT 보안 산업이 어느 방향으로 나아가고

있는지, 그리고 향후 보안 분야에서 어떤 영역이 부각될 것인지 물어보았다.

보안 분석기법을 주시하라

이에 대해 페스카토르는 보안 분석기법(security analytics)에 대해 예의 주

시해야 한다고 강조했다. 지난 RSA컨퍼런스에서는 APT 공격 등과 같은 문제

에 대한 해결책으로 ‘빅 데이터’가 불필요하게 많은 주목을 받았다. 페스카토르

는 자신이 가트너에서 일하던 시절을 떠올리며, “빅 데이터는 여전히 필요이상

으로 과대평가 받는 단계에 있다”고 말했다. 다시 말해, 빅 데이터에 대해 말하

는 사람들은 많지만 이를 통해 IT 보안을 향상시킬 방법을 알고 있는 사람은 거

의 없는 것이다.

이는 이벤트 데이터가 부족하기 때문이

아니다. SIEM(Security Information and

Event Management) 기술은 네트워크에 연

결된 거의 모든 종류의 장치로부터 많은 정보

를 수집해왔다. SIEM, 즉 보안정보관리는 손

쉽게 리포트를 내놓는다. 하지만 새로운 종류

의 위협을 대처하는 것에 있어서는 여전히 큰

도움이 되지 않으며 사업을 유지하기 위한 보

안 수단의 활용 방안에 대해서도 필요한 정보

를 제공하지 않는다.

페스카토르는 “보안 분석기법은 SIEM이

취득한 많은 정보와 ‘빅 데이터가 모든 문제

빅 데이터 보안 분석, IT 보안의 새로운 물결

Linda Musthaler | Networkworld

Market Trend



를 해결한다’는 반목된 주장 사이에 빠져 있다”고 말했다.

다시 말해 어떤 방법으로 우리가 보안문제와 취약성에 대한 패턴을 파악하고,

현재 사용하는 방화벽이나 침입탐지시스템(Intrusion Prevention System) 등

의 현존하는 보안 툴을 설명하며 현재의 보안위협을 의미하는 것에 대해 어떤

부분을 살펴봐야 하는가? 그리고 기업을 지켜내기 위해 어떠한 정책을 시행해

야 하는가?

보안 분석기법의 세 가지 용도

페스카토르는 보안 분석기법을 세 가지 부분으로 나눠 설명했다.

페스카토르는 “보안 분석기법은 능력있는 애널리스트가 있는 경우 데이터를

세밀히 검토해 볼 수 있는 것을 말한다. 애널리스트 수가 많을수록, 보안상의 허

점을 찾아내고, 보안 위협으로 이어질 수 있는 부분을 잡아 낼 것이다. 이런 지

식을 자동화된 방법으로 구현할 수 있는 툴을 개발하게 되면 많은 양의 데이터

를 손쉽게 훑어 서버, 방화벽, IPS로부터 발생되는 이벤트를 신속히 추려낼 수

있게 된다”고 설명했다.

“두 번째 보안 분석기법은 기업을 보호하기 위해 신속하게 보안 통제를 시행

하는 것이다. 보안 공격에 취약한 상태에거나 보안 공격이 시작됐을 때 어떠한

조치를 취해야 하는지에 대해 정해진 권고안이 필요하다. 침입방지시스템에 대

한 특정한 룰을 실행하거나, DDoS 방지기능을 활성화하거나, 방화벽의 포트

를 차단하거나, 특정한 애플리케이션에 대한 접근을 차단하는 방법 등이 있다”

고 말했다.

페스카토르에 따르면, 보안 분석기법의 세 번째는 이전 실수로부터 배울 점을

얻어 이를 수정한 후, 어떤 이유에서 보안상 취약한 상태로 빠진 것인지, 문제의

원인이 무엇이었는지를 되돌아 보는 것이다. 버그가 있는 소프트웨어의 어떤 부

분이 문제였을 수도 있고 다른 국가로부터의 공격이었을 수도 있다.

“세 가지 부문을 모두 연결해 보면, 보안 통제를 강화하는 능력, 보안 관련 문

제로부터 실수를 깨닫고 다시금 이런 실수를 반복하지 않는 능력이 보안전문가

의 보안 분석기법이라고 생각한다”고 말했다.

SIEM 개발업체도 이런 방향으로 움직이고 있다. 하지만 오늘날 보안 애널리

스트는 업무수행을 위해 여러 가지 도구를 자유자재로 다룰 수 있어야 한다.

제품으로 나오기까지는 몇 년이 걸릴 듯

페스카토르에 따르면, 관리 서비스 제공업체들은 올해부터 진정한 의미의 보

안 분석기법을 처음으로 도입하게 될 것이라고. 그는 “MSP는 많은 고객과 일을

하기 때문에, 보안 위협 데이터의 유입을 많이 접하게 되며 로그, 방화벽, IPS

이벤트도 많이 접하게 된다. 이들은 보안 분석기법 빅 데이터 및 리포팅 툴을 구

축했으며 이후 이를 고객들에게 서비스 형태로 제공하게 될 것이라고 설명했다.

그는 각 기업에서 자체적으로 구축할 수 있을만한 제품은 관리 서비스 도입 후



몇 년이 지나서야 소개될 것이라고 예상했다.

SANS연구소에서 페스카토르는 사람들이 자신에게 보안 분석기법을 어떤 방

향으로 접목해야 기업을 보호할 수 있는지에 물어본다고 한다. 이에 대해 그는

컨퍼런스 등을 통해 사람들에게 기본적인 관련 지식을 전수해준다고. 이에 대한

컨퍼런스는 2014년 1월에 잠정 개최될 것이라고 말했다.

페스카토르는 “오늘날의 현실은 대부분의 기업에서 보안에 대한 상당히 많은

통제수단을 가지고 있다는 것이다. 방화벽, 취약점 스캐너, IPS 등이 이에 해당

된다. 더 많은 툴이 필요한 것은 아니다. 어떻게 이런 툴들을 통해 오늘날의 보

안위협에 대응할지에 대해 지식이 필요하다. 그리고 보안 분석기법이 이에 분명

히 도움이 될 것”이라고 전했다.

린다 무스탈러(Linda Musthaler)는 에센셜 솔루션스 코퍼레이션(Essential Solutions Corporation)의 수석 애

널리스트다.



정보 보안에 빅 데이터 접근법을 적용함으로써 보다 나은 상황 인식(situ-

ational awareness) 기능을 구축할 수 있다. 그러나 최근 개최된 RSA

컨퍼런스 2013(RSA Conference 2013)에 참여한 보안 전문가들에 따르면, 이

과정에는 쉽지 않은 걸림돌은 존재하고 있다.

RSA나 시만텍 등의 업체들은 컨퍼런스를 그들의 새로운 데이터 수집, 상관

및 분석 접근법 활용 전략을 선전하는 자리로 활용하고 있었다. 위협 지표와 관

련한 대량의 정형, 비정형 데이터를 조사하는 기업들이 대상이다. 데이터 수집

및 상관관계(correlation)을 통해 전통적인 신호 기반 보안 툴로는 포착이 어려

운 경향과 위협을 찾아내 기업들을 지원할 수 있다는 것이 그들의 기조다.

공격을 차단하는데 주된 초점이 맞춰진 전통적 보안 접근법과는 달리 이 새

로운 접근법은 유출 탐지 및 대응에도 역량을 투입한다. 목표는 기업들에게 최

대한의 차단 기능과 더불어 그들이 놓친 위협을 포착하고 대응하는 지원을 제

공하는데 있다.

빅 데이터 분석을 통한 침입 탐지와 위협 경감 필요

기조 연설에서 RSA의 대표 아트 코비엘로는 미국의 비즈니스와 정부 기관

들에 가해지는 표적형, 지속적 공격의 수적 증대로 인해, 또한 오늘날 기업들

이 수집하고 발굴하는 데이터의 규모 및 다양성 증대로 인한 새로운 접근법 마

련에 대한 요구 증가로 인해 빅 데이터 접근법의 가치는 더욱 강조되고 있다고

설명했다.

코비엘로는 생산 시점 관리 및 전면 방어를 배치하는 대신 기업들이 실질적 위

협 및 위협 지능에 기반한 보안 모델을 받아들일 필요가 있다고 강조했다.

시만텍 제품 및 서비스 사업부 대표 프란시스 드수자는 “사이버 공격자들은 점

점 더 치밀하고 조직적으로, 그리고 점점 더 강력하게 기관들을 위협해 오고 있

으며, 미국의 기관들은 그들과의 비대칭전에 어려움을 겪고 있다”고 진단했다.

또한 드수자는 “공격자들은 한 번의 성공만을 겨냥하지만, 우리는 매번 방어

에 성공해야만 한다”고 강조했다. 이런 이유로 기업들은 단순한 위협 방어가 아

닌 빅 데이터 분석을 통한 침입 탐지 및 위협 경감에 역량을 기울여야 한다는

설명이다.

RSA 컨퍼런스에 참여한 다른 IT 관리자와 보안 전문가들 역시 최소한 이론

빅 데이터 접근법을 정보 보안에 활용, 좋긴 하지만 어렵다

Jaikumar Vijayan | Computerworld

Market Issue



적으로라도 빅 데이터 검토 및 분석으로 보안 활동을 지원하는 것은 유효한 생

각이라는데 동의했다.

모든 데이터가 산재되어 있다는 것이 문제의 원인

금융 서비스 업체인 LSQ 홀딩스(LSQ Holdings)의 최고 보안 책임자 크리스

토퍼 피어슨은 “그러나 이런 구조를 확립하는 데는 몇 가지 노력이 필요할 것”

이라고 지적했다. 피어슨은 “로그 파일(log file)들과 모든 애플리케이션에 대한

시각화를 갖추는 과정의 문제는 점점 더 커지고 있다”고 말했다.

피어슨은 오늘날의 SIEM(Security Incident and Event Management) 툴

들이 이미 많은 기업에게 다양한 보안 기기들로부터 막대한 양의 로그 데이터

를 수집해 이 모두를 한 시스템에 통합할 수 있도록 하는 역량을 제공하고 있다

는 사실을 강조했다. 그러나 SIEM과 관련한 진짜 문제는 데이터를 분석하고 대

비해 해킹의 전조나 실제 침입을 포착하는, 그리고 여기에 대응하는 역량에 있

다고 평가했다.

피어슨은 “이는 우선 데이터를 종합하는 문제이며, 다음으로는 이를 완전히

이해하는 문제다. 결국 상황 인식의 핵심은 기업들이 데이터 분석을 위해 갖추

고 있는 상관 규칙과 프로세스에, 그리고 효율적으로 이에 의거해 행동하는 것

에 있다”고 말했다.

퀄리스(Qualys)의 최고 보안 책임자 앤드류 와일드는 “빅 데이터의 핵심은 실

천적 정보를 이끌어내는데 있다. 많은 기업이 직면한 문제는 데이터의 부족이라

기보다는 이를 보안적 관점에서 유용하게 활용하는데 있다”고 말했다.

와일드는 “기업들은 네트워크에 대해서는 아주 잘, 그리고 라우터나 스위치

에 대해서도 충분한 인식 수준을 갖추고 있다. 그들은 네트워크 속에서 무엇이

어디로 흘러가고 있는지 잘 파악하고 있다. 문제는 그 모든 데이터들이 서로 다

른 저장소에 산재해있고, 저장소 간의 통합이 제대로 이뤄지지 않고 있다는데

있다”고 지적했다.

빅 데이터는 보안에 커다란 과제를 안겨준다

이 툴들은 개별적으로는 많은 정보를 제공해주지 못한다. 즉 빅 데이터가 넘

어야 할 과제란 데이터를 통합할, 그리고 그 속에서 유용한 정보를 추출해낼 방

법을 모색하는 것이다. 컨퍼런스의 패널 토론에 참석한 앨러간(Allergan) 글로

벌 정보 보안 이사 제리 스토 토마스의 표현처럼, ‘빅 데이터는 보안에 커다란

과제를 안겨주고 있는’ 현실이다.



데이터가 폭발적으로 늘어나고 네트워크 환경이 개방되면서 보안 위협은

악성코드부터 조직형 사이버범죄, 산업스파이, APT(Advanced Per-

sistent Threat)에 이르기까지 정교하고 다양해지고 있다. 지키고자 하는 보안

의 대상은 데이터다. 외부 위협으로부터 자산을 보호하고 내부 정보 유출을 막

는 많은 보안 기술은 데이터를 기반으로 진화해 왔다. 보안 솔루션은 위협을 데

이터 기준으로 정의하고 위협 데이터가 자산에 접근하지 못하도록 한다.

데이터 기반의 대표적 보안 솔루션인 안티바이러스는 엔드포인트에 설치돼 보

안 위협으로부터 자산을 보호한다. 안티바이러스 제품은 바이러스, 웜, 트로이

목마와 같은 악성 파일/스크립트 정보를 시그니처, 엔진 등의 이름으로 데이터

화 해 엔드포인트를 보호한다.

네트워크 보안영역의 침입방지시스템(IPS) 및 침입탐지시스템(IDS) 역시 네

트워크 시그니처 데이터를 기반으로 한다. 휴리시틱, 행위기반, 파일평판 기술

도 데이터를 이용해 신종 위협 패턴을 찾고 이를 엔드포인트 보안 솔루션에 적

용한다. 방화벽을 통한 공격방어도 시그니처를 통해 이루어지고 ACL 역시 IP

라는 데이터를 기준으로 구현된다.

또한, 내부 정보 유출을 막는 보안 제품도 데이터를 활용한다. 최근 개인정보

보호법 대응 솔루션으로 인기를 모으는 데이터유출방지(DLP)도 콘텐츠의 고유

식별번호, 금융정보, 파일명, 파일형식 등을 기준으로 정보 유출을 예방한다.

데이터베이스 보안 솔루션도 DB에서 사용되는 데이터를 암호화 해 내부 정보

빅 데이터 플랫폼 기반의 통합 보안 관리로 대내외 보안 강화

백민경 | kt NexR 보안 기술컨설턴트

Market Issue

그림 1 | 기업 보안 영역 를 보호한다.

이처럼 기업에서 네트워크, 엔

드포인트, 데이터베이스 등 IT의

전반적인 영역에서 보안 솔루션

들은 데이터를 기반으로 운영되

어지고 보안 활동을 수행하고 있

는 것이다.

이처럼 많은 영역에 많은 보안

솔루션들이 운영되고 있는데, 조

금 더 효율적으로 보안을 운영하

고 강화하기 위한 노력은 지속적

DB 암호화

정기 감사

접속기록관리

메일 저널링

정보유출 감사

사용자 인증

웹취약점 차단

네트워크 접근제어 주요정보유출 차단

사용자인증

네트워크 접근제어

웹/메일 공격 차단

좀비PC탐지 차단

개인정보유출 차단

전송정보 암호화

통합PC 보안 출력물 보안 문서 암호화사용자 인증 네트워크 접근제어 주요정보유출 차단



으로 이뤄지고 있다. 효율적으로 보안을 운영하기 위해서 ‘통합 보안 관리를 지

향하고 있지만 실제로 ‘통합 보안 관리’로 가는 길은 그리 평탄하지 않았다. 서

로 다른 이기종 보안 솔루션에서 너무나 많은 로그(데이터)들은 매일 기하 급수

적으로 늘어나고 있고, 이러한 로그들을 집중적으로 모아 서로 다른 형식 로그

에 대한 상관관계 분석을 하는 것은 더욱 더 어려운 일이었다.

하지만, 최근 하둡(Hadoop)이라는 빅 데이터 플랫폼이 부각되면서부터 보안

에서 지향하고 있었던 실현가능 한 ‘통합 보안 관리’ 가 구체화되고 있다. 하둡

기반 빅 데이터 플랫폼은 여러 종류의 보안 로그 (정형/반정형/비정형)를 통합

수집, 저장하고 수십에서 수백 테라바이트(TB) 이상의 보안 로그를 빠르게 분

석 할 수 있다. 이를 기반으로 보안업계에서 ‘빅 데이터 기술 기반의 보안’ 이라

는 다양한 솔루션 및 메시지를 전달하고 있는 것이다.

빅 데이터 기반의 통합 보안 관리

새롭게 등장하고 있는 빅 데이터 플랫폼 기반의 보안 솔루션들도 있지만, 빅

데이터 플랫폼을 구축한 후 기존의 보안운영 환경을 ‘통합 보안 관리’ 가능한 환

경으로 만드는 것이 더 손쉽게 기업에 적용할 수 있는 방안이고, 빅 데이터 보안

을 구현 하는 가장 빠른 길이다.

빅 데이터 플랫폼과 기존의 보안운영 환경을 ‘통합 보안 관리’ 환경으로 변화

시킬 수 있는 것은 다양한 형태의 로그를 통합하면서부터 시작된다.

사일로(Silo) 형태로 존재하는 네트워크 및 엔드포인트 영역의 보안 솔루션

에서 발생하는 로그를 빅 데이터 랫폼을 통해 수집하고, 하둡분산처리시스템

(HDFS)에 저장한 후 연관관계 분석, 상관관계 분석 등 통합 분석을 수행하여

외부 위협으로부터 자산을 보호할 수 있는 새로운 방안을 제시하고 내부 주요

정보 유출에 대한 이상징후를 예측할 수 있는 방안도 제시할 수 있게 된다. 하

둡 기반의 빅 데이터 플랫폼을 통해 적용할 수 있는 ‘통합 보안 관리’ 분야는 크

게 두 가지로 나눠질 수 있다. 외부 위협으로 자산을 보호하기 위한 ‘외부관제’

분야와, 내부의 정보유출을 예방하거나 정보유출 이상징후를 예측할 수 있는 ‘

내부관제’ 분야다.

통합 로그 관리 분석 시스템으로 외부 위협 대응

외부관제 기능을 제공하는 하둡 기반의 빅 데이터 플랫폼은 네트워크 보안 솔

루션(방화벽, IPS/IDS, 안티스팸메일, 바이러스 월, 좀비PC 탐지) 로그와 엔드

포인트 관리/보호 솔루션(자산관리, 패치관리, 안티바이러스) 로그를 수집하고

분석해 새로운 유형의 보안 위협에 대처할 수 있다.

수집된 보안로그들을 통합적으로 분석해 신규 방화벽 정책, IDS/IPS의 탐지

룰을 제안해 기존 운영 보안솔루션에 업데이트해 주고, 새로운 위협에 대한 분

석을 제공하게 된다.

최근 보안 이슈인 APT는 공격 대상에 침투해 내부 정보를 탐색/수집하고 유



그림 2 | 기업 보안 영역

자료, 시만텍, 새로운 사이버 보안 위협의 시대

그림 3 | 외부관제를 위한 빅 데이터 기반 통합로그분석 시스템

출을 꾀하는 과정이 장기간에 걸쳐 진행되기 때문에 단순 시그니처 기법으로는

방어가 매우 어렵다.

APT 공격의 사전 예측과 예방을 위해서는 APT 공격 방식과 마찬가지로 기

업도 내외부 데이터를 수집하고 분석해 기존 유형에서 벗어난 새로운 공격 패턴

을 포착해야 한다. APT의 경우 단기간이 아니라 장기간 표적공격 대상에 침투,

침투한 시스템에서 기업 내부의 다양한 정보를 탐색, 수집하고 추가적인 행동을

통해 다양한 정보 유출과 혼란을 야기하는 과정으로 공격이 이뤄진다.

효과적으로 APT 공격을 사전에 예측해 공격을 예방하기 위해서는 APT 공격

방식과 마찬가지로 내외부의 많은 데이터를 수집, 분석해 기존의 유형에서 벗어

나는 새로운 공격 패턴을 찾아내야만 이를 예방할 수 있다.

RDBMS 기반의 통합로그분석 시스템을 활용해 이를 대응할 수도 있다고 하

지만 효과가 아직 증명되지 않았으며 여러 가지 제약사항(로그 수집의 한계, 대

량의 데이터 처리 성능 문제, 비용문제 등)으로 인해 아직 그 효과를 정량적으로

나타내기에는 미비하다.

정형/비정형/반정형 등의 다양

한 로그를 통합 수집, 저장, 분석

하는 것은 RDBMS보다 하둡 기

반의 빅 데이터 플랫폼이 훨씬 효

과적이다. 기업은 하둡 기반 빅

데이터 플랫폼으로 외부 공격을

예측하고 방화벽, IDS/IPS, 전사

보안관리(ESM) 솔루션과 연계해

보안 대응 수준을 한 단계 업그레

이드할 수 있다.

또한 외부기관(KISA, 국가정보

원, 통신업체, 보안업체)으로부터

C&C 서버(Command & Con-

침투 탐색 수집 유출

공격자가 취약한

시스템과 직원에게

표적 악성 코드를

심어 네트워크에 침투

내부에 침투한

공격자가 해당 기업의

방어체계 파악 공격

계획 수립

보호받지 않는 시스템의

데이터에 액세스

비밀리에 데이터를

입수하거나 운영을

중단시키기 위해

악성코드 설치

공격자에게 데이터가

전송된 후 분석됨

정보는 사기 행위, 향후

공격 계획 등 다양한

용도로 사용 가능

첩보 활동

조사 침투 탐색 수집 유출



그림 4 | A사 사례 - 외부관제를 위한 통합로그분석 시스템 업무 효율성 개선 효과 trol Server), 악성URL, 좀비PC

IP 관련 정보를 공유받을 경우 해

당 정보에 비정상적 트래픽이 있

는지 바로 분석할 수 있다.

국내 A사는 기존에 APT 공격

이 발생한 경우 C&C 서버의 리스

트를 관계기관으로부터 받으면,

이를 토대로 우선 방화벽에 대한

정책을 업데이트한다. 그리고 해

당 C&C 서버에 최근 6개월 접속

한 PC가 있는지 여부를 확인하고, 방화벽과 단말보안 솔루션의 로그를 백업 테

이프로부터 복원해 위험성이 있는 PC가 있는지 조사하는 수순을 거쳤다. A사

는 이 과정에서 최소 1주일 이상의 시간이 소요됐다. 로그를 복원하는 데만 이

틀의 시간이 소요됐으며, 이 로그 가운데 C&C 서버와 접속한 PC 정보를 비교

하는 데에만 3일 이상의 시간이 걸렸다.

A사는 보다 효과적이고 빠른 대응을 하기 위해 빅 데이터 플랫폼을 도입하기

로 했다. 빅 데이터 플랫폼은 정형, 반정형, 비정형 데이터를 처리, 분석할 수 있

으며, 스케일 아웃구조이기 때문에 데이터 양이 증가하더라도 선형적인 확장이

가능하다. 이 빅 데이터 플랫폼에 방화벽 접속로그, 단말보안로그 등 보안 솔루

션에서 발생하는 모든 로그 데이터를 저장하였다. 그리고 APT 공격이 발생한

경우, 외부기관으로부터 C&C 서버 등의 정보가 접수되면, 사전에 준비해 놓은

비교대상 정보에 C&C 서버 정보를 업데이트만 하게 되면, 빅 데이터 플랫폼에

이미 저장되어있던 로그 가운데 C&C 서버와 접속한 PC 정보를 바로 비교할 수

있게 되었다. 이는 로그 복원 시간이 생략되고, 분산 처리를 통해 비교 검색하기

때문에 해당 C&C 서버에 접속했던 PC가 있는지 찾는 데에는 불과 4시간 정도

밖에 소요되지 않아 매우 빠른 대응을 할 수 있다.

즉, 백업 복원과 수작업으로 하던 비교작업 등이 모두 자동화되어 IT 운영팀,

시스템팀과 보안팀 등에서 발생했던 불편했던 업무가 효과적으로 개선되어 10

명 이상이 일주일에 걸쳐 작업하던 일을 3명 이하의 인원으로 하루 만에 처리

하게 된 것이다.

이처럼 빅 데이터 플랫폼을 통해 기존의 업무를 효율적으로 개선시켜주고, 기

존에 버려지고 있었던 로그들을 모두 활용해 새로운 외부 위협에 대한 대응방안

을 도출할 수 있는 것이 빅 데이터 플랫폼 기반의 ‘통합 보안 관리 분석 시스템’

으로부터 얻을 수 있는 가장 큰 효과다.

정보유출방지 및 원스톱 컴플라이언스 프로세스 구현

내부관제 영역에서 빅 데이터 플랫폼은 시스템 로그, 기준 시스템 정보(인사,

IP관리 시스템) 등 기업 내부에서 사용 중인 다양한 데이터를 통합적으로 수집,



표 | 내부 IT 보안 업무

그림 5 | A사 사례 - 내부관제를 위한 빅 데이터 기반 통합로그분석 시스템

저장, 분석한다. 이를 통해 정보 유출 이상 징후 예측 시스템과 컴플라이언스 원

스톱 프로세스를 실현할 수 있다.

내부 IT 보안 업무는 크게 ▲엔드포인트 보호 및 주요 정보 유출을 예방하는

IT 위험관리 ▲대내외 감사 업무를 지원하는 감사 준비 ▲다양한 규제(개인정

보보호법, 정보통신망법) 준수 및 퇴사자 처리 등의 컴플라이언스 관리로 구분

된다.

이와 같은 업무들은 여러 관련부서와 같이 협업을 통해 이뤄지고, 이 업무를

위해 필요한 데이터 정보들은 많은 보안솔루션 등을 통해 수집, 제공된다.

결국 업무를 위해 여러 솔루션에 저장되어 있는 데이터로부터 필요한 정보를

추출해 제공하는 작업이 전반적으로 이뤄지는데, 데이터가 여러 곳에 사일로

(Silo) 형태로 존재하는 것은 물론, 데이터의 양 또한 과도하게 많아 다수의 인

력과 많은 시간이 소요되고 있는 것이 현실이다.

소수의 인원으로 여러 부서의 업무 요청과 다양한 데이터 소스로부터 정보

를 수집해 제공하는 업무를 효율적으로 수행하기 위해 ‘통합관리’에 대한 필요

성은 예전부터 있었다. 이 부분 또한 데이터 관점으로 접근하고 ‘빅 데이터 플

랫폼’을 기반으로 통합관리를 구현하게 되면 현실적으로 효율적인 업무 프로세

스로 전환된다.

A사는 하둡 기반 빅 데이터 플랫폼을 활용한 ‘통합로그분석 시스템’을 도입해

‘정보유출 이상징후 예측’ 내부관제 프로세스를 구현했다. 또한 정보유출 예방을

위해 매체제어 솔루션을 통해 이동식 저장장치로 파일이 복사되는 행위를 통제

하고, 웹 또는 이메일을 통해 파

일이 첨부되는 것을 통제하고 있

었다. 문서는 저장단계부터 DRM

솔루션을 통해 암호화 되어 권한

통제를 수행하고, DLP 솔루션을

통해 매체제어 통제에서 예외된

사용자의 파일복사 및 첨부 행위



를 모니터링하고 있었다.

정보유출 예방을 위해 주기적으로 매체제어 통제에서 예외된 사용자들의 행

위를 모니터링 하고, DRM으로 암호화된 문서가 얼마나 복호화가 이뤄지는지

모니터링을 수행하고 있었으나, 각 솔루션 전용 콘솔을 통해 로그를 개별적으

로 보고 있었다.

이런 업무는 현실적으로 정보유출 사건이 발생했을 때 사후 추적을 위해 로그

를 찾아보는 수준이었다.

하지만 빅 데이터 플랫폼을 통해 로그를 통합 수집, 저장, 분석하는 시스템을

구축한 후 단일콘솔을 통해 매체제어, DRM, DLP 솔루션의 로그를 한 번에 검

색할 수 있게 되었고 정보유출 이상징후에 대한 예측을 할 수 있게 됐다.

한 명의 사용자가 매체제어에서 USB로 파일 복사에 대한 예외를 신청하고,

하루 동안 USB 복사 허용 승인, DRM으로 암호화된 문서를 복호화 신청했다

면, DLP에서는 복호화된 DRM 문서 파일이 USB로 복사되는 것을 모니터링할

수 있게 된다.

그런데 DRM에서 복호화된 문서 로그는 존재하지만, 매체제어 예외 승인이

난 후 24시간이 지난 시간 동안 파일을 복사한 로그는 발생하지 않는다면 복호

화된 문서는 사용자의 PC에 존재하고 있는 상태가 된다.

이 같은 경우는 기존에 보안솔루션에서 인지하지 못하는 방법으로 해당 파일

이 PC로부터 유출됐다고 의심할 수 있는 이상징후로 판단할 수 있다. 빅 데이터

내부관제 시스템에서는 이 같은 이상 징후를 운영자에게 알림을 주는 것이다.

즉, 여러 가지 사전에 정의된 정보유출 이상 징후에 대한 시나리오를 시스템에

추가해 다양한 솔루션의 로그를 기반으로 고급분석을 통해 운영자에게 알림을

주는 프로세스가 구현이 가능하게 된 것이다.

A사는 기존에 업무를 수행했던 일련의 로그수집, 분석의 작업을 빅 데이터 플

랫폼으로 구축한 ‘통합로그분석 시스템’을 통해 ‘퇴직자 확인’ 시나리오에 따라

한번에 필요한 로그를 리포트로 추출할 수 있게 됐으며, 해당 리포트 가운데 컴

플라이언스 위반에 해당하는 항목이 있는 경우에는 자동으로 인사팀 및 감사팀

에 해당 결과가 보고되도록 시스템을 구축했다.

퇴직자 처리뿐만 아니라, 대내외 감사시 필요한 로그에 대해서도 한번에 리포

트로 뽑을 수 있는 프로세스가 바로 ‘컴플라이언스 원스톱 프로세스’다.

퇴직 신청이 발생하면 A사 인사팀은 IT팀에 퇴직 신청자의 3개월간 DRM 복

호화 이력, 매체 제어 예외승인 이력, 파일반출 이력에 대한 보고서를 요청했다.

이에 따라 IT팀은 각 솔루션의 로그를 취합해 인사팀에 전달하고 인사팀은 해당

로그를 분석해 퇴직 신청자의 컴플라이언스 위반 여부를 판단했다.

이상 징후가 발견되면 인사팀은 감사팀에 추가 분석을 요청하고 이 모든 과정

이 최소 일주일 이상 걸렸다. 하지만 통합로그분석 시스템 구축 후 인사팀은 한

번의 클릭으로 퇴직자에 대한 컴플라이언스 위반 여부를 확인할 수 있게 됐다.

A사는 현재 빅 데이터 플랫폼 기반 통합로그분석 시스템을 통해 ‘퇴직자 확



그림 6 | A사 사례: 원스톱 컴플라이언스 프로세스

그림 7 | 통합 보안 로그 분석 위한 선제적 플랫폼 구축

인’ 시나리오를 구성하고 필요

한 로그를 한번에 리포트로 추

출한다. 해당 리포트 가운데

컴플라이언스 위반 항목이 발

견되면 자동으로 인사팀 및 감

사팀에 해당 결과가 보고된다.

퇴직자 처리뿐 아니라 대내외

감사에 필요한 로그에 대해서

도 한 번에 리포트로 뽑을 수

있는 것이 바로 ‘컴플라이언스

원스톱 프로세스’다.

빅 데이터로 새로운 보안 취

약점을 해결하는 것도 좋은 활

용방안 이지만, 기존의 보안과

관련되어 있는 다양한 업무 프

로세스를 개선시켜주고, 내부

정보 유출에 대한 이상 징후

예측처럼 새로운 보안의 시작

을 제공 해주는 것 또한 빅 데

이터를 통해 이룰 수 있는 ‘통

합 보안 관리’ 일 것이다.

빅 데이터 플랫폼, 보안 영역에 활용함으로써 비즈니스 가치 급상승

기업은 외부 위협방어 및 내부 정보유출을 예방하기 위해 많은 노력을 펼치

고 있다. 보안을 강화하기 위한 프로세스 변경과 보안 정책 업데이트는 업무 담

당자의 노하우와 수많은 보안 솔루션을 통해 이뤄지고 있다. 그리고 각 보안 솔

루션에서는 많은 로그 데이터를 발생시키고 있다. 이 로그 데이터는 기업의 보

안강화를 위한 매우 중요한 자료다. 보안 솔루션을 100%, 그 이상의 효과를 내

기 위해서는 데이터의 손실 없이 로그를 장기간 저장하고 각각의 솔루션을 통

합, 분석해 새로운 가치를 찾아내야 한다. 사일로 형태로 존재하는 보안 솔루션

을 통합 분석함으로써 기업은 기존에 발견하지 못했던 이상 징후를 발견할 수

있고, 기업의 자산에 대한 보안 위협을 예측하고 이에 따라 보다 빠르게 대응

할 수 있게 된다.

보안 영역에 빅 데이터 플랫폼을 활용함으로써 기업에서는 수많은 로그 데이

터를 십분 활용해 의사결정을 내리고, 그것을 실행에 옮기는 데이터 중심의 기

업으로 거듭나게 됨으로써 비즈니스 가치를 향상 시킬 수 있다.

IDG Tech Focus 빅 데이터 가치 찾기의 첫 실험대, 빅 데이터 보안...

Documents

Transcript of IDG Tech Focus 빅 데이터 가치 찾기의 첫 실험대, 빅 데이터 보안...