ibm 보안 인텔리전스 · pdf file · 2015-07-14ibm 보안 인텔리전스...

IBM 보안 인텔리전스QRadar 솔루션

© Copyright IBM Corporation 2015 한국아이비엠주식회사

(150-945)서울시영등포구국제금융로10

서울국제금융센터(ThreeIFC)

TEL:(02)3781-7800

www.ibm.com/kr

2015년7월

PrintedinKorea

AllRightsReserved

IBM,IBM로고,ibm.com은미국및/또는

다른국가에서IBMCorporation의상표또

는등록상표입니다.상기및기타IBM상표

로등록된용어가본문서에처음나올때상

표기호(또는™)와함께표시되었을경우,

이러한기호는본문서가출판된시점에IBM

이소유한미국등록상표이거나관습법에의

해인정되는상표임을나타냅니다.

해당상표는미국외의다른국가에서도등록

상표이거나관습법적인상표일수있습니다.

IBM의최신상표목록은ibm.com/legal/

copytrade.shtml웹페이지의“저작권및

상표정보”부분에서확인할수있습니다.

기타다른회사,제품및서비스이름은다른

회사의상표또는서비스표시일수있습니다.

이문서에는IBM제품과서비스를참조한경

우에도IBM이비즈니스를수행하고있는모

든국가에서해당제품과서비스를제공함을

의미하는것은아닙니다.

IBM 보안 인텔리전스QRadar 솔루션

IBM보안인텔리전스

QRadar솔루션

12 13

5

QRadar

솔루션아키텍처

16

8


QRadar솔루션

실제적용사례

-금융 / KB 국민은행

-금융 / 하나캐피탈

-에너지 / E1

-온라인게임 / Gravity

6

고객의니즈를기반으로진화하는


14

7

IBM통합보안의중심에있는

QRadar

04

1

오늘날기업이직면한

보안환경

06

2


핵심가치

08

3


QRadar솔루션구현구도

10

4

QRadar플랫폼

주요기능

Contents

IBM Security Systems 32 IBM 보안 인텔리전스 QRadar 솔루션

01오늘날 기업이 직면한 보안 환경

최근기업들이직면한보안환경은크게3가지정도로함축될수있습니다.

첫째, 외부에서기업내지적재산이나비즈니스전략,기업기밀에대한정교한공격이증가하고있기

때문에이러한행위를감지하고선제적으로방어할수있어야합니다.

둘째,IT인프라가고도화되고더욱복잡하게구성되어있으며,상황에따라여러보안업체들로부터각기

상이한제품/솔루션을도입하여복잡성증가및관리상어려움에직면해있습니다.

셋째, 기업의보안전문가및그에대한기술적,재정적지원등이충분하게이루어지지않기때문에,필요한

인력이나툴을충원할수있는자금이확보되어있다하더라도해당전문운영자를찾지못할수도있는현실에처해

있습니다.

/ IT 인프라 /

•모바일디바이스통합으로엔드포인트의복잡성증대

•진화하는네트워킹및연결성/웹응용프로그램의빠른성장

•컴플라이언스가충분치않음

•비즈니스자산보호를위해지속적인모니터링필요

•네트워크보호를위해전방위를아우르는툴필요

/ 위협 환경 /

•하루12회의속도로증가하는취약성

•선택한공격대상의약점을지속적으로검색/공격

그림 1.

기업환경의

보안이슈

다자인된멜웨어

스피어피싱

지속성

백도어

•정교한공격기법의증가

•경계선의증발

•보안침해의가속화

•지속적인인프라변경

•복수벤더로부터의너무많은

제품들로인한구성과유지보수

비용증가

•적절하지못하고비효율적인툴들

•전체조직하부의보안팀

•진짜위협을발견하기에는데이터

오버로드,제한된리소스와기술이

발목을잡음

•컴플라이언스로인한관리와

모니터링요청증가

ITSecurityJobs.com

Sorry,noapplicantsfound

!

공격의 고도화 복잡성의 증가 리소스 제한

IBM Security Systems 54

IBM Security Systems 보안 인텔리전스

IBM 보안 인텔리전스 QRadar 솔루션

이러한보안환경하에서,IBM보안인텔리전스가기업에전하는3가지핵심가치는인텔리전스,자동화그리고통합입니다.

그림2에서와같이,첫째,IBM인텔리전스의기반은룰기반의상관관계엔진으로서수백,

수십억개의로그이벤트,넷플로우,응용프로그램세부정보,사용자ID정보등을간단한

목록으로요약합니다.이러한목록에는IT보안직원의즉각적인주의가필요한,발생가능성이높은

보안사고또는공격방법이포함됩니다.많은기업이사전정의된인텔리전스또는즉시사용할수있도록

포함된룰을통해좋은결과를얻고있는데,이는IBM보안인텔리전스솔루션인QRadar제품고객이직면한

상황과문제를반영한,9년간의현장경험을토대로한것입니다.그런다음룰을고객에맞게맞춤화하여예외적인

상황이나알려진공격패턴에대해세부적으로조정합니다.

둘째,이는자동화하기위해노력하고있습니다. 자동으로 SYSLOG디바이스를감지하고수동으로

넷플로우를모니터링하여네트워크자산을식별함으로써쉽게배포할수있습니다.완전히구성된후에네트워크에

새로운항목이추가되면보안팀에조치를취하도록경고합니다.QVM(QRadarVulnerabilityManager)이

설치된경우취약성스캔을시작하여실시간으로최근보고서를업데이트함으로써사각지대를제거할수있습니다.

셋째,보안인텔리전스플랫폼은동일한웹기반콘솔사용자인터페이스를공유하는모든솔루션모듈

및하위데이터리소스와실질적으로통합됩니다.동일한사람이로그이벤트,네트워크플로우,QRadar

공격방법레코드를검토하고관련제품탭을클릭하여쉽게위험평가를수행하거나기존취약성을검토하는

기능으로전환할수있습니다.

그림 2.

보안

인텔리전스의

핵심가치

02IBM 보안 인텔리전스 핵심 가치

IBM QRadarSecurity

IntelligencePlatform

통합

단일화/통합된아키텍처

단일화된콘솔제공

자동화

시간의가치를

가속화시켜주는

간결함을제공

인텔리전트

상관관계,분석,대량의

데이터의축소




3 - 1 QRadar 솔루션 구현 구도

IBM보안인텔리전스QRadar솔루션은기업전사차원에서보안과관련된정보를통제/관리합니다.이는그림

3과같이,전사적으로로그,네트워크트래픽,서버,애플리케이션등에대한사용자활동을수집하여,글로벌

보안연구소의풍부한사례DB와상관관계분석DB를이용한상관분석,예외감지등을통해구현합니다.여기에

사용된노하우는표준화되어공급됩니다.

즉,위협에대해더빠른대응과취약성진단,리스크우선순위설정등을제공하기위해빅데이터분석을실시간으로

활용하며,핵심위협을선별하여로그수를줄입니다.

QRadar인시던트포렌식은인터넷검색엔진기술을사용하여자유형식텍스트및논리연산자를수용한

간소화된사용자인터페이스를제공합니다.검색조건으로문서,이메일,채팅세션등에포함되는모든패킷캡처

메타데이터,재구성된파일메타데이터또는키워드를사용할수있습니다.결과는통상초단위또는분단위로

도출됩니다.QRadar인시던트포렌식은QRadarSIEM이이벤트및플로우데이터에수행하던전체패킷캡처를

수행하므로,악의적이거나비정상적인상태를신속하게발견하는데도움이됩니다.

IBM보안인텔리전스QRadar솔루션은단계별관제모니터링에필요한필수기능을제공합니다.사전예방

단계에서부터사후대응단계까지효과적인위협대응과관리에필요한정보를제공합니다.

특히,IBMQRadarSIEM(SecurityInformationandEventManagement)은방대한양의

전사적보안데이터를수용하고고급인텔리전스및분석에이를사용하여즉각주의가필요한

인시던트의우선순위목록을작성하는데탁월합니다.보안팀이Offenses탭에서이대시보드의

아무항목이나마우스오른쪽을클릭하면하위이벤트및플로우데이터를확인하여수정계획을

결정하거나해당결과가위양성(FalsePositive:위반행위가없는데위반행위가있는것으로오진하는

경우)인지알아낼수있습니다.

3 - 2 포렌식(Forensic)을 통한 지속 대응

IBM보안인텔리전스QRadar솔루션은해커나외부의공격이후인시던트포렌식을통해,풀패킷네트워크

데이터를기반으로재구성한후공격기법과정황을분석하여발생경위에대한조사시간을단축시킵니다.또한

XGS연계를통한실시간공격격리및유연한룰커스터마이제이션을적용하여,보안적용범위의신속한확대를

통한추가적인침해방지를구현합니다.

1단계 - 사전 예방 단계 2단계 - 실시간 대응 단계 3단계 - 사후 대응 단계

정기 점검/정책 관리 - QVM/QRM

• 자산및구성정보식별/관리

• 주기적인취약점스캔수행및업데이트

취약점관리 - QVM

•자산별취약점패치

•자산별취약점조치이력관리

실시간 위협 모니터 - Console

•다량의보안데이터에대한상관분석(플로우분석)

•로그,이벤트,네트워크플로우,자산,사용자행동,

위치,취약성,외부위협분석

실시간 위협 대응&보고 - Console

•내부보고체계수립및R&R정의

침해대응 - QRIF

•피해대상식별

•유출정보식별

재발방지 및 피해복구 - QRIF

•공격경로추적

•재발방지방안수립

자동화된 위반행위 식별

•대규모의데이터축소

•자동화된데이터수집,자산발견과

프로파일링

•실시간의자동화된통합Analytics

•활동기준선설정과비정상탐지

•Out-of-thebox

규칙(룰)과템플릿

의심스러운인시던트

확장된 데이터 소스

우선순위별인시던트

내재된인텔리전스

인시던트 포렌식 조사 •발생경위에대한조사시간단축

-풀패킷네트워크데이터를기반으로재구성하여

공격기법과정황을분석

•보안적용범위의신속한확대를통한추가적인

침해방지-XGS연계를통한실시간공격격리,

유연한룰커스터마이제이션적용

의심스러운인시던트

우선순위별인시던트

내재된인텔리전스

그림 3.

IBMQRadar

구현구도

그림 4.

Forensic구현

03IBM 보안 인텔리전스QRadar 솔루션 구현 구도

글로벌위협인텔리전스

데이터활동

보안디바이스

사용자와Identity

취약성과위협

구성정보

서버와메인프레임

네트워크및가상화활동

애플리케이션활동

자동화된 위반행위 식별

•대규모의데이터축소

•자동화된데이터수집,자산발견과프로파일링

•실시간의자동화된통합Analytics

•활동기준선설정과비정상탐지

•Out-of-thebox규칙(룰)과템플릿




그림 5.

IBMQRadar

플랫폼

주요기능

•임베디드데이터베이스와일원화된데이터아키텍처를이용한대규모확장성지원

•앞선in-memory기술및확장된데이터집합에기반한실시간액티비티상관관계분석제공

•원본로그페이로드수집및저장,검색을통한포렌식(Forensic)기능제공

•플로우캡처후Layer7의콘텐츠가시성을공급하는분석을통해심화된포렌식을지원

•네트워크데이터의FullCapture를통한Contents재구성및위협에대한증거자료확보

•잘못된해석또는수동작업을감소시키는지능화된인시던트분석기능제공

•이벤트Lifecycle에대한관리기능제공(이벤트Follow-up,addnote,email,close등의실행기능을

제공하며,이에대한이력조회및리포트기능제공)

•고성능의free-text검색과정규화된데이터분석에대한고유한결합기능제공

•자체고가용성(HA)을제공하는Clustering기능제공

•170억개이상의페이지정보를기초로한IBMX-ForceIPReputationDB제공(Optional)

특장점

기대 효과

•컴플라이언스향상

•더욱신속한위협감지및해소

•내부의사기,절취및데이터누출감소

•악용방지로위험최소화

•간편한운영및필요자원최소화

04QRadar 플랫폼 주요 기능

동일한아키텍처와사용자인터페이스를공유하는상호보완적인보안인텔리전스테크놀로지를추가하여수십개의포인트솔루션들을대체하며대응시간및보안관리자의업무효율을향상시킵니다.

이는대규모환경에서데이터의수집,저장,분석,통보를자동화하며,IBMX-Force로부터분석에필요한각종

DB및기초데이터를자동으로업데이트합니다.

로그 관리

보안 인텔리전스네트워크

액티비티 모니터링

위험 관리

취약점 관리 네트워크 포렌식


보안 인텔리전스


IBM Security Systems

확장가능한어플라이언스아키텍처

IBM QRadar보안인텔리전스플랫폼

쉐어드모듈러인프라스트럭처

•분산된어플라이언스를

이용하여적용이쉽고

확장이가능한모델

•외부DB나스토리지가

필요하지않음

•자동화된장애복구및

재해복구제공

•클라우드환경에적합한

가상배치

IBMQRadarLogManager는분산된네트워크전반에서이벤트를수집,보관,분석및보고하며규정및정책

컴플라이언스보고활동의자동화를돕습니다.풀SIEM은위협,사기,네트워크및보안인텔리전스를사용하여

완벽한로그관리통합을제공합니다.네트워크액티비티데이터,취약성평가및외부위협데이터가정교한

상관관계및행동분석과함께데이터소스로추가됩니다.

어떤기업은풀SIEM규모가단일어플라이언스로충족될수있지만,더큰규모이거나원격수집또는저장요구

사항을가진다른기업은QRadar프로세서를사용하여대량배포할수있습니다.이와같은수평적,스택가능

확장은대규모및지리적분산을지원하는동시에완전히동일한사용자경험을유지합니다.

응용프로그램계층가시성및포렌식콘텐츠캡처의경우QFlow및VFlow라고하는Flowcollector를고객의

물리적또는가상인프라에배포할수있습니다.이러한모니터는주요위치에서모든활동에대해광범위한응용

프로그램수준의감시를제공합니다.궁극적인콘텐츠캡처를위해QRadarPacketCapture디바이스는

네트워크를통과하는모든항목을일시적으로수집하기위해전략적으로네트워크에설치할수있습니다.

IBM보안인텔리전스는이미10년간개발되어왔으며가까운미래에도계속이어질것입니다.

네트워크데이터의검토로시작하여여기에로그소스정보를추가했고그다음에는자산및디바이스구성데이터,

취약성데이터,현재는포렌식데이터가추가되었습니다.플랫폼에추가된각각의확장기능은BYOD모바일및

소셜컴퓨팅과함께전통적인네트워크의경계가사라지면서변화하는사이버범죄공격의특성을해결합니다.

그림 6.

IBMQRadar

솔루션아키텍처

05QRadar 솔루션 아키텍처

06 고객의 니즈를 기반으로 진화하는 IBM 보안 인텔리전스

그림 7.

고객니즈에

기반한

IBM보안

인텔리전스

전략의진화

고객

니즈

변화

에 따

른 플

랫폼

진화

2002 – 2005 2006 – 2007 2008 – 2009 2010 – 2011 2012 – 2013 2014 그 이후

Flow Visualization and NBAD

예외 탐지 및

위협 해소

SIEM

SIM & VA 통합

Log Management

아이덴터티 관리,

모든 로그 관리,

컴플라이언스

리포팅

Risk Management

형태 분석,

정책 모니터링,

리스크 진단

Vulnerability Management

실시간 취약성 진단

및 취약성 우선순위

설정

Network Forensics

인시던트 포렌식

및 패킷 캡쳐

Security Intelligence




07IBM 통합 보안의 중심에 있는 QRadar

그림 8.

IBMQRadar의

엔터프라이즈

콘솔기능

IBM QRadarSecurity Intelligence

Platform

IBMSecurityAccessManager IBMInfoSphereGuardium

IBMSecurityAppScan

IBMSecurityDirectoryServerandIntegrator IBMTrusteerApex

IBMzSecure

IBMSecurityIdentityManager

IBMSecurityPrivilegedIdentityManager

IBMSecurityNetworkProtectionXGS

People Data

Applications

People Advanced Fraud Protection

People

People

People Infrastructure

IBMEndpointManager

Infrastructure

기업에서는 아래의 IBM 보안 솔루션을 개별적으로 도입/적용할 수 있으나, QRadar의

엔터프라이즈콘솔기능을보유하면그영향력을확대하고문제해결을가속화할수있습니다.

이통합은IBM솔루션에만국한되지않으며,협력사및심지어경쟁사에서출시한450여개의디바이스와솔루션을지원합니다.




08-1

IBM 보안 인텔리전스 QRadar 솔루션 실제 적용 사례

금융 / KB 국민은행

/ 도입 배경 /

기존 보안 시스템의 한계 및 보안 강화의 필요성 대두

KB 국민은행은 최근 들어 대용량의 이기종 장비에서 발생하는 보안 이벤트 로그들이 폭증하고, 이에 따라 보안

위협의 가능성이 높아져 보안 강화의 필요성이 대두되는 상황이었습니다.

기존의 1세대 통합 보안 관리시스템은 DBMS를 이용하면서 대용량 로그 검색 성능이 보장되지 않았고, 다양한

시나리오에 대한 분석 템플릿이 부족하여 한정된 시간 내에 공격 유무를 분석하고 대응하는데 한계를 보였습니다.

특히 위협관리 측면에서는 빅데이터 기술을 활용하여 위협에 대해 선제적으로 대응 할 수 있는 기술이 절실한

상태였습니다.

/ 직면 과제 /

새로운 보안 시스템에 빅데이터 기술 전략적 적용

대용량 로그 및 트래픽 처리에 빅데이터 기술을 적용하여, 보안 위협 관리에 적극적으로 활용하고 선제적으로

대응하라는 전략적 요청사항이 있었습니다. 이에 따라 대용량의 로그도 실시간 분석이 가능하고 포괄적인 상관

분석도 가능한 보안 정보 및 이벤트 관리(SIEM) 솔루션을 검토하게 되었습니다.

• 빅데이터 분석 요구

임직원 및 협력사 직원들의 인터넷 사용 시 발생하는 대용량 로그 및 트래픽 정보에 대한 원활한 분석을 위해

빅데이터 기반 기술 사용 요청

• 컴플라이언스 관리 및 리포팅 시스템 교체 필요

감독기관의 주기적/비주기적인 검사 요청에 따른 대용량 데이터 검색 및 사전 대비

/ 솔루션 /

기업 요구사항과 특성에 꼭 맞는 솔루션 제공

KB 국민은행은 기존 보안 관리 솔루션의 한계를 넘어 로그처리 성능, 상관분석 및 룰셋, 선제적 대응 등의

다양한 부분을 만족시킬 수 있는 솔루션을 찾은 끝에 IBM QRadar를 만날 수 있었습니다.

IBM QRadar는 다년간의 보안 관제 경험을 기반으로 다양한 기본 룰셋을 포함한 유연한 룰 적용 엔진을 제공하고

있어 KB 국민은행 특성에 맞는 보안관제 상관분석 룰셋 개발을 매우 용이하게 해 주었습니다.

빅데이터를 활용하여 학습에 기반한 이상징후 패턴 감지가 가능한 분석엔진은 잠재적인 보안 위협에 효과적인

선제적 대응이 가능하도록 해주었습니다.

/ 도입 효과 /

보안 리스크 및 관리 비용 감소, 두 마리 토끼를 잡은 효과

KB 국민은행은 IBM QRadar를 통해 대용량 이기종의 IT 보안 로그들을 통합적으로 수집 및 분석 할 수 있는 로그

상관분석 시스템을 구축할 수 있었습니다.

이로써 방화벽, 침입탐지/방지 시스템, 웹 로그 등의 로그를 정규화하고, 수천만 건 이상의 대용량 로그에 대한

상관분석을 수행하여 보다 빠른 대응 및 안전한 로그관리가 가능해졌습니다.

또한 감독기관의 컴플라이언스 요청에 신속하게 대응할 수 있는 체계적이고 효율적인 통합 보안 관리 체계를 수립할

수 있었습니다.

실제 KB 국민은행은 IBM QRadar 구축을 통해 대응 시간 및 노동력 절감을 통해 리스크 비용의 감소,

컴플라이언스 비용 감소 등 여러 가치를 구현했고 그 혜택을 톡톡히 얻고 있습니다. 이제 KB 국민은행은

잠재적인 보안 위협에 효과적으로 대응하는 새로운 통합 보안 관리 체계 구축을 통해 은행권 최초로 선제적 위협

관리를 수행하는 보안 인텔리전스 시스템을 갖추게 되었습니다.


보안 인텔리전스


IBM Security Systems

08-2


금융 / 하나캐피탈

/ 도입 배경 /

컴플라이언스 충족을 위한 통합 보안 시스템의 필요성 대두

하나캐피탈은 전사 보안 시스템, 네트워크 장비, 서버, 애플리케이션, DB 등 상호 연동된 다양한 IT 장비와

시스템에서 발생하는 엄청난 양의 로그 관리에 어려움을 겪었습니다.

전자금융감독규정, 정보통신망법, 개인정보보호법 등 법률적 요구에 따라 하나캐피탈은 컴플라이언스 요건을

만족시키기 위해 방대한 로그를 체계적으로 수집, 저장, 관리하고 모니터링 할 수 있는 통합 로그 관리

및 모니터링 시스템이 필요했습니다.

/ 직면 과제 /

효율적인 로그 분석과 효과적인 모니터링 환경 요구

기존 시스템을 통해 로그를 취합, 관리하고 있었지만 대규모 시스템에서 상시적으로 발생하는 방대한 로그를

종합적으로 관리, 분석하는 것은 불가능에 가까울 정도로 까다롭고 어려운 일이라고 판단되었습니다.

또한 단순 패턴 중심의 모니터링으로는 유사한 외부 보안사고에 대한 탐지 정책 수립과 모니터링 표준화에 어려움을

겪을 수 밖에 없었습니다. 덧붙여 보안사고 예방을 위해 각 관리자 및 개발자들에게 효과적인 로그 모니터링 환경을

제공하기도 쉽지 않은 상황이었습니다.

/ 솔루션 /

자동화, 맞춤화, 정밀화로 보안 능력 업그레이드

새로운 보안 환경에 대한 요구를 충족시키기 위해 하나캐피탈은 IBM QRadar를 도입해 서버, 네트워크, DB,

보안장비, 백업 및 배치 스케줄러로그를 포함한 다양한 애플리케이션 로그를 실시간으로 편리하게 수집,

저장, 정규화 해주는‘Auto Discovery’및 로그 소스 확장 기능을 적극 활용하였습니다.

관리자 및 개발자들이 다양한 로그를 목적에 맞게 검색하는데 불편함이 없도록 각 사용 목적에 맞추어 검색용 서치

템플릿을 등록한‘Quick Search’및‘개인화 대시보드’기능도 추가하였습니다.

또한 일련의 이벤트가 순차적으로 발생할 때 손쉽게 위협 사실들을 파악할 수 있도록 하는‘Sequence 룰셋’

과‘offense’기능으로 보안 사고를 예방하고 적극적으로 대응할 수 있게 되었습니다.

/ 도입 효과 /

QRadar를 통해 기대 이상의 보안 능력 확보

하나캐피탈은 IBM QRadar를 통해 수십여 종의 다양한 이기종 로그를 통합하여, 로그 컴플라이언스에

따른 법적 요건을 단기간에 갖출 수 있었습니다. 뿐만 아니라, 개발자들의 직접적인 서버 접근 없이

로그를 조회함으로써, 전산 개발 환경에 대한 보안 수준을 강화할 수 있었습니다.

또한 대시보드를 통해 다양한 이기종 로그들을 직관적으로 확인할 수 있게 됨에 따라 시스템 운영

상황을 보다 손쉽게 파악할 수 있게 되었습니다. 로그를 비롯한 네트워크로부터 Layer 7 가시성을 확보한

QFlow를 수집하고 로그와 함께 포괄적인 상관분석을 수행함으로써 다양한 보안 위협 상황에 대한 명확한

분석과 지속적인 추적 또한 가능해졌습니다.




08-3


에너지 / E1

/ 도입 배경 /

개인정보보호법 시행에 따른 법적 컴플라이언스 대응

E1은 LAN, WAN에 대한 사전 점검 결과를 바탕으로, 날로 증가하는 지속적이고 정교화된 보안 위협에 대응하기

위해서 실시간 위협 탐지를 기반으로 한 새로운 보안 시스템을 구축하기로 결정하였습니다.

특히 실시간 상관 관계 분석 및 이상 행동 탐지, 리스크 높은 보안 위협 식별, 네트워크/애플리케이션/사용자 활동에

대한 모니터링 및 보고 기능 등 선제적 보안 기능에 초점을 맞춘‘가장 고도화된 시스템 구축’이 최우선 과제로

떠올랐습니다.

/ 직면 과제 /

수동적 방어가 아닌, 선제적 대응이 가능한 솔루션 요구

E1은‘고객’을 최우선 가치로 두고, 다양한 보안 위협에 적극적으로 대응하기로 결정하였습니다. 이에 따라 내부

사용자 PC가 스팸발송 서버로 악용되거나, 악성코드에 감염되어 C&C 서버와 통신하여 웜 바이러스에 감염되는

경우 이상 트래픽 발생으로 내부 네트워크 서비스가 마비될 수 있으므로 이를 방지하는 것이 무엇보다 중요했습니다.

이를 위해서는 단순 로그 관리 수준을 넘어서, 실시간/선제적 보안 위협 대응을 위한‘보안 정보 및 이벤트

관리(SIEM) 솔루션 도입’만이 해결책이 될 수밖에 없었습니다.

/ 솔루션 /

IBM QRadar, 벤치마크 테스트 결과 가장 우수한 솔루션 증명

E1이 가장 적합한 SIEM 솔루션을 찾기 위해 고려한 사항은 다양한 벤더의 보안 로그와 네트워크 트래픽을

함께 수집, 처리 분석할 수 있는 기능이었으며, 무엇보다 이런 다양한 이벤트들을 실시간으로 분석하여

즉시 위협을 감지할 수 있는 기능에 중점을 두었습니다.

1개월 간 진행된 벤치마크 테스트를 통해 여러 벤더 솔루션의 장단점을 비교 분석하였으며, 가장 적합한

솔루션으로 IBM QRadar를 선정하게 되었습니다. IBM QRadar는 벤치마크 테스트 시작과 함께 E1이 직면한

다양한 보안 위협을 탐지함으로써 가장 우수한 솔루션으로 선정되었습니다.

/ 도입 효과 /

눈에 보이는 위협도, 잠재적인 위협도 모두 방어하는 시스템 구축

IBM QRadar는 다양한 벤더의 시스템에 대한 로그 분석을 지원하였을 뿐만 아니라, 행위기반 분석,

비정상 이벤트/트래픽 탐지 등의 분석엔진 기능을 제공하였습니다. 이를 통해 문제가 있는 스팸 발송 PC,

C&C 서버 접속 PC, 웜 감염 PC 등을 실시간으로 탐지하여 사전 조치할 수 있도록 함으로써 보다 신속한 대응을

가능하게 하였습니다.

E1은 IBM QRadar 도입을 통해 기존 솔루션에서 취약했던 잠재적인 보안 위협에 대응하고, 이에 대해 보안

담당자가 실시간으로 대응할 수 있다는 자신감을 갖게 해주었습니다. 또한 직원들의 보안 정책 위반 사례나 남용에

대한 모니터링을 통해 사전조치할 수 있는 체계를 수립하여 서비스 안정화에 기여했습니다.




08-4


온라인게임 / Gravity

/ 도입 배경 /

개인정보보호법 강화 및 내외부 보안 위협 행위 증가

다수의 불특정 사용자를 대상으로 하는 온라인 게임 특성상 게임 머니 탈취, 고객 서비스망을 통한 고객정보 유출

시도 등 내부 통신망에 대한 불법 해킹 시도가 끊임없이 이어지고 있었습니다.

또한 정부의 개인정보보호법 강화로 이를 준수하기 위한 로그의 통합관리에 대한 요구가 나날이 증가하고

있었습니다.

무엇보다 다수의 개발자를 포함한 내부 직원들의 불법 행동 (P2P 사용, 정보 유출 가능성)등에 대한

지속적인 모니터링을 할 필요가 있었습니다.

/ 직면 과제 /

애플리케이션 위주의 모니터링을 위한 솔루션 필요

이러한 목적을 이루기 위해서 Gravity는 로그 수집에 기반한 애플리케이션 위주의 모니터링 체계를 구축하는 데

초점을 맞추었습니다. 그러나 로그 수집만으로는 충분한 가시성을 확보하기 어려웠으며, 나아가 애플리케이션

모니터링 체계 구축이라는 목적을 달성하려면 대규모 추가 투자가 요구되는 상황이었습니다.

또한 내부 사용자망에 대한 가시성 확보에도 미흡함이 있었습니다. 따라서 이러한 모든 요건들을 만족시키는

솔루션을 찾기 위해 다각적인 검토가 이루어졌습니다.

/ 솔루션 /

전문가의 도움 없이도 손쉽게 관리할 수 있는 솔루션 제시

다양한 솔루션을 검토하던 중 Gravity는 IBM QRadar가 모든 요구사항을 충족시키는 유일한 솔루션임을 알게

되었습니다.

IBM QRadar는 보안 장비에서 발생하는 로그들을 통하여 경계선에 대한 모니터링뿐만 아니라, Layer

7 영역에 대한 플로우 정보를 제공하여 네트워크망으로부터 다양한 애플리케이션의 식별 정보 및 사용

패턴을 파악할 수 있는 가시성을 확보할 수 있게 해주었습니다.

다양한 분야의 Default 룰셋을 제공하였고, 관리자가 비즈니스 목적에 적절한 룰셋을 손쉽게 만들 수 있도록 룰셋

마법사를 제공하여 관리편의성을 높여 주었습니다.

/ 도입 효과 /

상관관계 분석, 패턴 분석을 통해 보안 운영 효율성 향상

Gravity는 IBM QRadar의 로그, 플로우 정보의 상호 상관관계 분석 및 주기적으로 업데이트되는 보안

DB 정보를 통해 PC의 악성코드 감염 여부 등을 빠르게 파악할 수 있게 되었습니다.

애플리케이션에 대한 직접적인 식별 및 자동화된 패턴 분석을 통하여 회사 정책에 맞지 않는 불법 프로그램 사용

여부, 회사 네트워크를 과도하게 점유하는 헤비 유저 등을 손쉽게 파악할 수 있었습니다. 이를 통해 애플리케이션

Payload에 대한 가시성을 확보하여 회사 보안 정책의 유효성(암호화된 채널 사용을 통한 인증 등)을 직접적으로

검증함으로써 보안 운영의 효율성을 제고할 수 있었습니다.




ibm 보안 인텔리전스 · pdf file · 2015-07-14ibm 보안 인텔리전스...

Documents