AIㆍML / IT 관리 / 보안 / 애플리케이션

편해야 똑똑할 수 있다, 스플렁크가 전하는 ‘위협 인텔리전스’ 해법

Brian Cheon | CIO KR 2022.03.24
“위협 인텔리전스에 대한 기업 고객들의 고민은 늘 같습니다. 위협 데이터가 지나치게 많으며, 새로운 포맷이나 특이한 구조로 인해 여러 시스템에서 쉽게 사용하기 어렵습니다. 외부로부터 받는 위협 인텔리전스들은 사일로화 되어 있어 위협을 빠르게 탐지하고 대응하기 어렵습니다.”

랜섬웨어가 활개치고 비즈니스를 노린 공급망 공격이 증가하고 있다. 전쟁으로 인한 피싱 공격의 증가도 빼놓을 수 없다. 한국IDG가 주최한 퓨처 오브 시큐리티 2022에서 스플렁크의 신성균 이사는 오늘날 기업 고객들이 보안 프랙티스에 결정적인 위협 인텔리전스를 활용함에 있어 여러 어려움이 존재한다고 지적했다. 더불어 스플렁크의 트루스타 위협 인텔리전스 플랫폼이 구현하는 위협 데이터의 자동화 및 통합, 위협 인텔리전스의 공유 기능에 대해 상세히 소개했다. 



위협 인텔리전스를 둘러싼 고민
위협 인텔리전스란 사이버 위험 및 공격에 대해 정리하고 분석한 증거 기반의 정보를 의미한다. 크게 URL, 해시, IP 기반의 옵저버블 정보와 TTP, 맬웨어 등의 컨택스트 정보가 조합되어 위협 데이터가 생성된다. 이들 데이터의 활용을 위해서는 서로 조합해 연관성을 분석하고 범주화하는 작업이 필요하다. 이러한 위협 정보를 종합적으로 평가해 위협이라고 확정된 고품질 데이터가 바로 ‘위협 인텔리전스’다. 

문제는 위협 데이터를 조합하고 분석하며 평가하는 작업이 많은 시간과 자원을 소모한다는 사실이다. 보안 분석가들이 방대한 시간을 소비해 다양한 소스로부터 입력되는 소스를 평가하고 수동으로 결정을 내려야 한다. 때로는 여러 컨텍스트가 서로 상이한 경우도 있다. 기업이 플레이북으로 쉽게 구현하기 어려운 정보들이 경우가 대다수이기도 하다. 기업 고객들이 위협 인텔리전스에 대해 ‘노이지(noisy) 하다’라고 토로하는 이유다. 

실제로 포네몬의 보고서에 따르면, 기업 내 리더의 78%는 사이버 공격으로부터의 회복력 향상과 관련한 주요 장벽으로, 데이터 사일로와 통합되지 않은 도구들, 자동화와 연동의 부족을 지목했다. 


위협 인텔리전스와 관련된 기업들의 고민. 지속적으로 반복해야 하는 프로세스라는 점에서 고민이 더욱 커진다. 

스플렁크의 트루스타 TIP(TruSTAR Threat Intelligence Platform) 솔루션
스플렁크는 ‘보안 솔루션’을 시작한 기업이 아니지만 어느덧 보안 시장에서 선명한 존재감을 확보하고 있다. 데이터를 수집, 저장, 분석 및 시각화할 수 있는 회사 고유의 플랫폼에 보안 로그를 담아 조사하는 기능을 제공하는 SIEM 솔루션으로 보안 분야에 진입했다. 

스플렁크는 이후 머신러닝 기능을 도입해 위협 헌팅을 구현하는 솔루션을 발전시켰으며, 다시 SOAR 솔루션 및 위협 인텔리전스 플랫폼을 적용해 한창 완성된 자동화 및 오케스트레이션 보안 기능을 제공하고 있다. 나아가 앞으로는 기존의 UBA 솔루션과 여러 스플렁크 애플리케이션을 상호 연동함으로써 차세대 통합 보안 운영 플랫폼을 구축한다는 계획이다. 

신성균 이사는 스플렁크가 최근 인수를 통해 확보한 트루스타 위협 인텔리전스 플랫폼이 오늘 기업이 가진 위협 인텔리전스 관련 고민을 해소할 수 있다고 강조하며, 이는 트루스타 위협 인텔리전스 플랫폼이 중요한 몇몇 원칙에 기반해 개발됐기 때문이라고 설명했다.

그는 트루스타 TIP 솔루션의 개발 원칙으로 ▲커뮤니티 드리븐, ▲클라우드-네이티브, ▲데이터-센트릭, ▲API-퍼스트를 언급했다. 신성균 이사에 따르면, 먼저 주요 보안 트렌드인 위협 인텔리전스의 공유와 관련해 트루스타는 ISAC, ISAO를 비롯한 여러 커뮤니티 그룹과 인텔리전스를 공유해오고 있다. 또 확장성이 뛰어나고 빠르게 서비스가 가능하며, 전체적으로 TCO 절감효과를 구현하는 클라우드 네이티브 원칙을 갖췄다는 설명이다. 
아울러 트루스타는 적시에 적절한 데이터를 조사할 수 있는 한편, 앱 기반의 자동화를 통해 인텔리전스 소스를 정리해 관리하는 데이터 센트릭 원칙에 기반해 개발됐으며, API 퍼스트 원칙에 기반함으로써 기업이 기존의 투자한 보안 시스템과의 연동성을 높였다고 그는 강조했다. 

스플렁크 TIP의 3가지 특징
신성균 이사는 스플렁크 TIP가 다른 솔루션과 차별화되는 특징으로 3가지를 지목했다. 다양한 소스를 데이터를 정규화하고 우선순위 큐레이션하는 ‘인텔리전스 플로우’, 내부 및 외부 소스 통합해 관리할 수 있도록 하는 클라우드 기반 리포지토리인 ‘엔클레이브’, 외부 기관 및 솔루션과의 연동을 통해 운영 및 자동화를 구현하는 ‘에코시스템’이 그것이다. 

신성균 이사는 “외부의 인텔리전스 데이터를 정규화하고 우선순위 설정하는 한편, 이를 효율적으로 저장 및 관리하며, 도출된 인사이트를 외부 기관 및 솔루션과 효율적으로 공유할 수 있는 것”이라고 설명했다. 이어 “새로운 연동이 필요한 경우에는 커스텀 매니지드 커넥터를 통해 쉽게 연동할 수 있다”라고 말했다. 

그에 따르면 스플렁크 TIP의 효과는 고객들이 반응을 통해 쉽게 확인할 수 있다. 스플렁의 SIEM 솔루션인 엔터프라이즈 시큐리티를 TIP와 함께 사용한 고객들의 경우 MTTD(Mean Time To Detect)가 무려 50% 감소했다. 또 풍부한 정보에 기반해 정확한 판단을 내릴 수 있게 됨으로써 MTTR(Mean Time To Restore)이 30% 개선된 것으로 드러났다. 

신성균 이사는 “앞으로도 여러 보안 솔루션과의 다양한 연동을 구현할 수 있도록 TIP 솔루션을 고도화할 방침이다. 고품질의 인텔리전스를 쉽게 생성하고 자동화 기능을 구현함으로써 평균 탐지 시간과 평균 복구 시간을 개선하는 한편, 선제적인 방어를 구현할 방침이다. 단순한 인텔리전스 플랫폼을 넘어서 시장을 선도할 것”이라고 말했다. 


스플렁크 TIP를 이용한 고객 기업들의 피드백. MTTD와 MTTR이 개선돼 보안 분석가가 핵심 업무에 좀더 집중할 수 있다.

* 이 기사는 한국 IDG의 ‘퓨처 오브 시큐리티 2022(Future of Security 2022)’ 컨퍼런스에서 스플렁크 신성균 이사가 발표한 ‘위협 인텔리전스의 고민과 해결방안’ 세션을 요약한 것이다. 컨퍼런스 등록자는 이곳에서 3월 28일(월)까지 다시 시청할 수 있다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.