[디지털데일리 신현석기자] 영화 '쿵푸 팬더' 3편에는 주인공의 사부 격인 ‘시푸’란 등장인물이 “지금 네가 할 수 있는 것만 하게 되면 나중에 발전이 없을 거다”라고 말하는 장면이 나온다. 현 상황에 안주하지 말고 새로운 것에 도전하라는 의미다.
20일, 제12회 NES 2017’ 컨퍼런스”에서 발표자로 나선 한국휴렛팩커드(이하 HPE)의 황원섭 차장은 “보안 관제와 관련해 국내외 서치 기반 제품들이 많이 나와 과거의 통합 로그관련 제품들도 많이 진입하고 있는 상황이다. 보다 더 지능화되고 빅데이터 분석을 같이 할 수 있는 구조로 발전해야 된다”며 이 대사의 의미를 되새겼다.
특히 황 차장은 아크사이트(ArcSight) 제품군 중 곧 출시될 예정인 아크사이트 인베스티게이트(Investigate)에 대해 “내부적으로 성능 실험을 한 결과 검색 속도가 시장에서 가장 빠르다고 하는 제품보다 10배 이상 빠르다”며 자신감을 표했다.
황 차장은 “시장에서는 사이버 위협에 신속하고 효율적인 보호를 해야겠다는 필요성이 대두되고 있다”며 “최근 많은 로그 데이터가 늘어나면서 실생활 기기에 분석이나 수집 능력이 장착되고, 넓은 시야로 탐지하고 분석하는 솔루션의 필요성은 더욱 높아지고 있다”고 말했다. 이와 관련해SOC(Security Operations Center)의 직면 과제를 분석할 데이터의 증가, 제한된 탐지와 대응의 기능, 느린 상세분석 기능으로 들었다.
황 차장은 “상관 분석을 통해 경보를 발생시킬 때 업무에 우선 순위를 두고 경보할 수 있도록 해야 된다”라며 “데이터를 많이 검색할 수 있는 빠른 검색과 분석 및 통계 능력이 필요하다”고 강조했다. 이어 “HPE는 소프트웨어 부문 안에 보안 영역을 다루고 있으며, 미국 본부에서는 전체적으로 보안 관제 서비스를 실시하고 있다”고 덧붙였다.
최근 들어서는 원격으로 자동 분석하는 것은 물론, 특정 시간대에 악성 코드가 감지되기 전 무엇이 있었는지 전체적으로 분석할 수 있는 자동화 틀도 나오고 있다. 황 차장은 “성숙한 SOC를 위해선 전체적으로 분석하고 탐지할 때 많은 데이터를 빠짐없이 빠르게 다뤄야 한다”고 강조했다.
황 차장은 지능형 보안 운영(Intelligence Security Operations)를 설명하며 “많은 데이터를 수집하는 데 있어 가시성이 확보되는 개방형 플랫폼과, 좀 더 포괄적으로 빅데이터 분석을 같이 할 수 있는 통합 구조가 필요하다”며 “알려지지 않은 위험에도 대응할 수 있어야 한다. 우선 순위화된 사건을 가지고 소수의 담당자로 효율적으로 대응할 수 있는 구조여야 한다”고 말했다.
이날 행사에선 개별 제품인 ADP(ArcSight Data Platform), SIEM(ArcSight ESM), UBA(ArcSight User and Entity Behavior Analytic), DMA(ArcSight DNS Malware Analytics) 등이 소개됐다.
그는 아크사이트 제품의 강점에 대해 “기존 서치는 원본 로그만 수집, 의미를 부여해야 했지만 아크사이트는 이미 아이피와 주소, 대역까지 파악한다”라며 “또한 룰을 단계적으로 여러 가지로 만들 수 있어 제한 없이 늘렸다 줄였다 할 수 있다”고 설명했다.
‘헌트’라는 개념도 소개됐다. 헌트는 알려지지 않은 공격을 알려진 공격으로 바꿔주고 실시간 SOC 시스템을 새로운 정보로 강화할 수 있는 방법을 제공한다.
황차장은 “헌팅을 한다는 것은 말 그대로 데이터 저장 및 처리 속도에 최신 기술을 활용해 보안 위협을 찾는 것”이라며 “그러려면 분석할 데이터가 많은 상태에서 빅데이터 분석이 필요하다. 현재 네트워크 베이스에 많은 데이터가 있어도 결국 그 구간에 대한 데이터이기 때문에 전체적으로 볼 필요가 있다”고 말했다. 이어 “아크사이트는 최적의 헌트 상태에서 데이터 확보를 지원한다”며 “다앙한 데이터 소스를 분석하고, 하둡(Hadoop)하고도 연동한다” 며 "실시간 SOC 역량 강화를 위해선 헌트 프로그램이 필요하다“고 강조했다.