• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

데이터 폭발시대, 옥석 가리기에 돌입한 보안 2015.11.05

눈앞에 놓인 정보 가운데 유용한 정보를 골라내는 능력 요구
보안솔루션에 일종의 ‘부스터’를 달려는 기술과 제품의 등장

[보안뉴스 주소형] 스마트폰만 손에 쥐고 있으면 두려울 게 없다. 원하는 정보는 거의 다 검색으로 얻을 수 있다고 봐도 무방한 시대이기 때문이다. 그렇게 정보를 접하는 기회와 양이 점점 늘어나면서 우리는 이제 ‘진짜’ 정보 찾기에 집중하고 있다. 예를 들어 가고자 하는 음식점을 검색하고 이 글이 음식점으로부터 대가를 받고 작성된 홍보성 글인지 아니면 정말 맛집으로 추천하고 싶어 쓴 글인지 가려내야 한다는 것.


이제 어디서 어떻게 정보를 얻는 것에 관심 있는 이는 별로 없다. 대신 눈앞에 펼쳐진 정보들 가운데 유용한 정보를 골라내는 능력이 요구되고 있다. 보안업계도 마찬가지다. 사이버위협 정보가 많아도 너무 많다. 시간도 경쟁력이기 때문에 빠르게 필요한 정보를 가려야 한다. 심지어 정보를 가리는 것은 거의 첫 번째 작업에 불과하다. 가려진 정보를 분석하고 실제상황에 접목시켜야 하는 과제가 남아 있기 때문이다.

올해부터 보안업계는 데이터를 학습해야 보안성을 높일 수 있다는 개념의 ‘머신 러닝(Machine Learning)’ 기술에 많은 관심을 보이고 있다. 실제로 머신 러닝이APT(지능형지속위협) 방지에 효과적이라는 말도 있고, 멀웨어 탐지에 샌드박스보다 효율적이라는 연구결과도 있었다. 물론 필요한 것 찾아내는 것에는 능하지만 불필요한 것 걸러내는 건 약하다는 지적도 있다.

최근 글로벌 소프트웨어 전문기업인 스플렁크(Slunk)는 자신들의 주특기로 ‘머신 데이터’를 내놓기도 했다. 특히 모든 데이터 처리가 가능하다며 데이터를 잘 다룬다는 점을 자신들의 강점으로 내세웠다.

스플렁크의 조나단 써벨리(Johnathaon Cervelli) IT 부문 및 글로벌 필드 리더는 “스플렁크는 세상의 모든 데이터를 담을 수 있는 양동이”를 제공한다고 표현했다. 물론 비정형 데이터까지 사용자의 입맛에 따라 정렬시키고, 검색해주고, 복잡한 사건 및 이벤트를 상관시켜 주고, 그런 작용들을 선명하게 보여주는 최첨단 양동이다. 이에 대해 한 해외사용자는 ‘데이터가 대화를 하기 시작했다’고 사용후기를 남겼다. 사용자들도 이에 공감하고 있는 모습이다.

네트워크 보안장비 기업인 익시아(Ixia)도 자사 대표 솔루션으로 불필요한 데이터를 걸러 시간과 비용이 절약된다는 ‘ThreatARMOR’ 제품을 내놨다. 이는 특정 네트워크에 접근할 이유가 없는 호스트를 가진 트래픽이나 이미 알려진 문제들을 차단하여 불필요한 경보를 줄이고 테스트해야 할 공격범위를 축소시키는 것이 목표다.

“평균적으로 기업들은 일주일에 약 1만7,000개의 멀웨어 경보가 발생하며 오류 경보를 추적하는 데 백만 달러 이상의 비용을 지출하고 있다. 자신들의 비즈니스와는 무관한 디도스 공격이나 멀웨어, 피싱사이트 비율이 상당히 높은 국가의 접속을 차단하면 공격범위를 줄이고 이에 따른 공격도 예방할 수 있다.” 익시아의 아시아태평양 영업본부장인 데이비드 사조토(David Sajoto)의 말이다.

사실 이렇게 불필요한 트래픽을 줄여 필요한 데 집중할 수 있게 만드는 기술은 기존의 차세대 방화벽 등 보안 솔루션도 이미 갖고 있는 기능이다. 하지만 이는 그들이 가지고 있는 여러 가지 기능 가운데 하나에 불과하다.

IP 주소로 예를 들어보면, 대부분의 방화벽은 약 만 개 정도의 IP만 차단할 수 있다. 하지만 시간이 지날수록 우리가 파악하는 정보가 많아지면서 차단할 필요가 있는 악성 IP들은 점점 늘어나고 있다. 이에 해당 기능만 특화된 기술과 제품들이 나오기 시작한 것.

익시아는 불필요한 트래픽을 걸러내는 작업을 위한 별도의 연구소까지 운영하고 있다. 올바른 결정을 내리기 위한 데이터를 확보하는 작업이 그만큼 만만한 작업이 아니라고 데이비드 본부장은 설명한다.

분석 단계로 들어가기 전에 먼저 데이터를 소화하고 효율적으로 사용할 수 있게 만드는 작업. 하지만 데이터 소화률에 따라 결과가 달라질 수 있다는 것이다. 아직 머신러닝도, 머신 데이터도, ThreatARMOR도 모두 초기단계에 불과하다. 따라서 이들의 이론이 뚜렷한 성과로 증명된 바는 없다. 하지만 이렇게 기존 보안 솔루션에 일종의 ‘부스터’를 달려는 기술과 제품들이 서서히 등장하고 있다는 점은 주목할 필요가 있어 보인다.


[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>