보안담당자들의 최근 가장 큰 애로사항은 무엇일까. 바로 기존 보안솔루션의 방어선을 우회하는 고도화된 사이버 위협일 것이다. 날로 진화하고 있는 사이버 위협에 대응하기 위해 보안담당자는 지속적인 정보공유와 취약점 패치로 보안시스템을 개선하고 있다. 하지만 이런 수동적 대응 방법은 알려지지 않은 공격에 대해서는 무방비로 당할 수밖에 없다. 뿐만 아니라 기존 보안솔루션은 각 네트워크 환경의 특성을 반영하지 못해 사이버위협에 대한 판단을 전문 보안인력의 경험에 의존할 수 밖에 없다.
 
이러한 이유로 수동적인 공격유형에 대한 탐지에서 벗어나 급변하는 네트워크 환경에 능동적으로 최적화하고 다양한 보안 및 네트워크 정보들을 종합적으로 분석한 뒤 이를 신속하게 전달해줄 수 있는 통합보안관리시스템에 대한 고객의 요구가 점차 커지고 있다.
 
이러한 요구에 이글루시큐리티는 비정상트래픽과 내부정보 유출관련 정보를 실시간으로 지능적으로 할 수 있는 분석시스템인 ‘IS-ATRA(아이에스 아트라, Automatic Trusted Real-time Analysis)’를 개발해 더욱 신속하고 지능적인 분석 능력을 제공하고 있다.
 
이글루시큐리티 관계자는 “IS-ATRA는 자체 개발한 리소스 수집기(Resource Collector)와 ESM, 패킷분석시스템 등 기존 보안시스템과의 연계를 통해 수집한 다양한 정보를 자기학습해 잠재적 위협요소에 대한 판단 기준을 고객의 정보시스템 환경에 맞게 능동적으로 생성한다”며 “이는 풍부한 경험을 갖춘 보안전문인력이 직접 룰셋을 설정하는 것처럼 자기학습을 하기 때문에 IS-ATRA를 구동하는 시간이 늘어날수록 판단기준의 신뢰성이 높아지게 된다. 또한 실시간으로 유입되는 트래픽 정보를 학습된 데이터와 비교 분석해 이상징후를 검출하고, 해당 징후가 전체 네트워크에 미치는 위험지수를 산출한 뒤, 그 근거와 결과를 직관적인 화면에 실시간으로 제공한다”고 설명한다.   
 
◇IS-ATRA 구성
IS-ATRA는 크게 수집기(Collector), 분석 엔진(Engine), 뷰어(Viewer)로 구성된다. IS-ATRA의 수집기는 단위 보안장비 및 네트워크 장비로부터 보안로그, 네트워크 자원, 트래픽 분석정보를 수집하여 분석엔진을 위한 정규화된 데이터를 생산한다.
 
분석 엔진은 수집한 데이터를 ‘지능형 의사기반의 위협분석 기술’을 통해 보다 종합적, 입체적으로 분석한다.
 
뷰어는 실시간 수집, 분석한 정보를 차트 및 그래프 등을 통해 직관적으로 표현한다. 특히 분석엔진이 산출한 종합 위험지수를 5단계(정상, 관심, 주의, 경계, 위험)로 구분해 표현함으로써 전체 보안 위험도의 변화를 한 눈에 파악할 수 있고 전체 네트워크 현황을 설명하는 종합상황판을 통해 전반적인 모니터링 결과를 이력으로 제공해 비정상트래픽 유무에 대한 판단 근거로 활용할 수 있도록 한다.

 
◇IS-ATRA의 특징 및 도입 효과
IS-ATRA는 수집기-엔진-뷰어의 3-Tier 구조로 되어있어 네트워크 규모에 맞게 유연한 구축이 가능하며 각 모듈단위의 장애 발생시 다른 모듈의 업무에 영향을 주지 않아 확장성 및 안전성을 갖추었다.
 
또한 네트워크 환경에 대한 지속적인 학습을 통해 잠재적 위협에 대한 판단 기준을 해당 네트워크 특성에 맞게 능동적으로 최적화해 진화하고 있는 사이버 위협에 대한 판단의 정확성, 신뢰성을 높일 수 있다.
 
뷰어의 경우 실시간 정밀 보안분석에 최적화된 콘솔뿐 아니라 웹 기반의 맞춤형 대시보드를 제공하여 관제가 필요한 영역의 정보를 한 화면에 표현함으로써 원 포인트 모니터링(One-point Monitoring)을 지원한다.
 
이글루시큐리티 관계자는 “이러한 모니터링 시스템으로 네트워크 상황 파악에 필요한 주요 정보별 트렌드 분석을 위해 상세한 분석 페이지를 제공해 보안관제 인력의 업무 효율성을 극대화 할 수 있다”며 “IS-ATRA 도입을 통해 고급 보안인력의 경험과 노하우를 24시간 제공받는 것과 동일한 효과를 누릴 수 있다”고 전했다.

 
◇내부정보 유출방지까지 한 번에
또한 최근 시스템 접근권한을 가진 내부 사용자에 의한 정보유출 및 오용 사고가 늘어나고, 개인정보보호법으로 인한 내부 위협으로부터의 정보자산 보호요건이 강화되면서 내부정보 유출방지 솔루션에 대한 시장의 관심이 높아지고 있다.
 
IS-ATRA는 이러한 시장의 요구를 반영해 추가적인 업그레이드로 ‘내부정보 유출’에 대한 해결방안도 제시해 주고 있다. 업그레이드 된 IS-ATRA의 기능은 실시간 트래픽 분석을 담당하는 T(Traffic)모듈과 내부정보 오용 및 유출방지 기능을 담당하는 D(Defense) 모듈로 구성이 되어 있다.
 
추가 모듈개발을 통해 정보보안 트렌드와 고객의 니즈에 유연하게 대처할 수 있도록 설계되어 있는데, ‘D(Defense) 모듈’은 내부 사용자들의 중요 정보관련 업무처리 이력과 접근한 데이터 이력을 수집하여 보관하고 각 사이트의 특성에 맞게 설정된 추출기준을 바탕으로 내부정보 오용 및 부정유출 이력을 주기적으로 감시 및 추적함으로써 내부 위협을 관리한다.
 
업체 관계자는 “D 모듈은 여러 보안 기업에서 출시하는 엔드 포인트(End-point) 보안 솔루션을 통합적으로 감시해 정보유출 위험요소를 사전에 예방하며 기존 비정상트래픽 실시간 분석(T 모듈)과 결합되어 작동할 경우에 내외부 위협에 대한 통합적인 예방과 관리가 가능해진다”고 설명한다.
 
또한 “D 모듈이 제공하는 내부자 소명기능은 단순히 내부자 감시의 역할을 넘어서 내부자의 정당한 업무활동이나 정보이용에 대한 소명등록을 통해 법적인 보호와 합리적인 예외처리를 시스템적으로 제공함으로써 고객 개개인 모두를 보호하겠다는 이글루시큐리티의 철학을 담고 있다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com