보안 패러다임 변화 지능형 보안(Security Intelligence), 빅데이터 기술을 적용한 차세대 SIEM 적용 시 고려 사항

1. 2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나

2. CONTENTS
정보보안, 안녕들 하십니까?
빅데이터와 정보보안의 만남
Security Intelligence & SIEM
차세대 SIEM 검토 시 고려 사항
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나

3. 들어가며…
• 주요기관 IT 10대 전망 비교(2013 vs 2014)
Source: 주요기관 IT 10대 전망 비교 분석, 마이크로소프트웨어, 2014.1
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
3

4. 정보보안, 안녕들 하십니까?
• 다양하게 진화하는 보안의 위협: 주요 사건
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
4

5. 정보보안, 안녕들 하십니까?
• 최근 10年間 주요 위협 및 대응
Source: 빅데이터 환경에서 차세대 통합보안 기술, 2013.1.27
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
5

6. 정보보안, 안녕들 하십니까?
• 3.20 전산대란(2013.3.20)
Source:, 2013년 국내 IT 10대 핫 이슈, 마이크로소프트웨어, 2013.12
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
6

7. 정보보안, 안녕들 하십니까?
• 카드사 고객정보 유출(2014.1.8)
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
7

8. 정보보안, 안녕들 하십니까?
• 기업의 보안 현실: 보안 침해 사고 분석 해보니…
보안 침해 사고는
 69%는 외부 기관에
의해 발견
 9%는 고객에 의해 발견
보안 침해 사고 중
침해사고 중 76%의 네트워크 침
 이메일, 전화 통화 및 소셜 기법 입은
은 전체 보안 공격의 29%
 취약하거나 훔친 자격 증명을
이용하여 발생
 엄격한 정책 적용을 통해 쉽게
예방 가능
Source: 2013 데이터 보안 침해 조사 보고서, Verizon, 2013
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
8

9. 정보보안, 안녕들 하십니까?
• 기업의 보안 현실: 보안 침해 기간
84%의 사고에서 수시
간 이내에 초기 유출
보안 침해 중 66%는 발견
하는 데 수개월에서 수년
보안 침해가 발생한 영역을
격리하는 데 수개월(22%)
Source: 2013 데이터 보안 침해 조사 보고서, Verizon, 2013
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
9

10. 정보보안, 안녕들 하십니까?
• 기업의 보안 현실: 보안 침해 기간
– Analysis of zero-day attacks that go undetected
평균 10 개월 소요,
60%의 취약점은 이전에 파악
된 적이 없음
Source: Big Data Analytics for Security Intelligence, CSA, 2013.9
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
10

11. 빅데이터와 보안의 만남
• 빅데이터 전망
Source: Hype Cycle for Emerging Technologies, Gartner, 2011. 2012. 2013
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
11

12. 빅데이터와 보안의 만남
• 글로벌 빅데이터 활용 성과
– 빅데이터 활용에 따른 기업 매출 증대 효과 입증
Source: Avanade, 2012.6
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
12

13. 빅데이터와 보안의 만남
• 국내 빅데이터의 현주소(공급자 측면)




데이터와 관련한 거의 모든 IT 업체가 빅 데이터 시장 진출을 선언
포털,통신업체도 빅 데이터 시장에 뛰어든 형국
실제 성과를 낸 업체들은 사실 몇 되지 않음
얼마나 성장할 지 장담할 수 없는 것이 바로 국내 빅 데이터 시장
• 국내 빅데이터의 현주소(수요자 측면)
 ‘빅데이터도입미정’답변46.7%,‘전사적으로도입해서활용하거나
파일럿프로젝트실행단계’답변15.6%
 빅데이터도입및활용시가장큰방해요인으로는‘활용분야미발견’(30%),
‘데이터전문가 부족’(20%),‘빅데이터인프라 구축미비’(13%)등
Source: 한국IDG, 2013.6.21
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
13

14. 빅데이터와 보안의 만남
• 정보보안 영역
Data
Services
DB암호화
사용자인증
정기감사
네트워크접근제어
중요정보유출차단
웹취약점 차단
사용자인증
접속기록관리
네트워크접근제어
메일 저널링
웹/메일공격차단
정보유출감사
좀비PC탐지차단
개인정보유출차단
전송정보 암호화
Intranet
통합PC보안
사용자인증
네트워크접근제어
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
14
중요정보유출차단
출력물보안
문서암호화

15. 빅데이터와 보안의 만남
• 통합 관점의 정보보안관리체계
– 이기종 단위보안시스템(네트워크, 시스템)의 로그와 이벤트를 수집하여 통합 및 분
석하고 IT 자산정보와 취약점 정보를 결합하여 종합적으로 위험분석
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
15

16. 빅데이터와 보안의 만남
• 빅데이터와 보안 빅데이터
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
16

17. Security Intelligence & SIEM
• 보안 패러다임의 변화와 지능형 보안(Security Intelligence)의 개념(1)
Source: Gartner, 2012.3, IBM
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
17

18. Security Intelligence & SIEM
• 보안 패러다임의 변화와 지능형 보안(Security Intelligence)의 개념(2)
가트너그룹,“지능형보안은다양한보안기술의상호작용을가능하게하
는 개념과 방법론으로써 다양한 소스로부터 정보를 통합하고 상호연관성
을갖는콘텍스트기반의분석기술”
지능형보안의개념은APT공격과같은알려지지않은치명적인공격에대
응하기위해주요IT기반주요시설의네트워크,시스템,응용서비스등으로
부터발생하는데이터및보안이벤트간의연관성을분석하여보안지능을
향상시키는차세대보안정보분석기술
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
18

19. Security Intelligence & SIEM
• 지능형 보안을 위한 다중 소스 데이터 모니터링
Source: Gartner, 2012.3
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
19

20. Security Intelligence & SIEM
• Hype Cycle for Application Security
Source: : Gartner, 2012.7)
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
20

21. 빅데이터와 보안의 만남
• 로그 데이터를 수집하는 이유
Source: SANS, 2012.5
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
21

22. 빅데이터와 보안의 만남
• 수집된 로그 데이터 활용의 어려운 점
Source: SANS, 2012.5
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
22

23. Security Intelligence & SIEM
• 빅데이터 기술 스택과 SIEM 구성요소
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
23

24. Security Intelligence & SIEM
• SIEM의 발전 단계
1, 2 세대
3 세대
4 세대
5 세대
Source: 빅데이터 환경에서 차세대 통합보안 기술, 2013.1.27(재구성)
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
24

25. Security Intelligence & SIEM
• SIEM 참조 모델(CSA)
Source: SecaaS Implementation Guidance – Category 7 SIEM
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
25

26. Security Intelligence & SIEM
• Log Management and SIEM Vendors
Source: Log Management and SIEM Vendors, Raffael Marty, 2013.7
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
26

27. 차세대 SIEM 검토 시 고려 사항
• 산업군, 기업의 성격 별로 도입 접근 방법도 다르게 이뤄져야…
분류
일반기업
주요 고려 사항
• 기존 기업 구축 경험과 BMT, POC를 통해 입증된 제품을 비교 대상 선정
• 대용량 로그의 완벽한 처리, 실시간 빠른 분석/검색 성능을 주요 사항으로 검토
• 거래 로그 등 주요 로그가 포함돼 있기 때문에 무결성과 안전성, 처리성능이 검
금융권
증된 제품
• 고객환경에 안정적으로 적응할 수 있는 있는지 여부
공공기관
기타
• 관리 편의성, 운영비용 절감, 관리자 환경을 고려한 자동화, 부가 기능 등의 제공
에 최적화된 제품 고려
• 인증 획득 및 법규 준수 등 컴플라이언스에 최적화한 대응
• 안정적 운영능력을 주요 요구사항으로 검토 필요
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
27

28. 차세대 SIEM 검토 시 고려 사항
• 기술, 비용 측면도 따져봐야…
분류
주요 고려 사항
• 기술 기반인 ‘패턴 매치’ 룰은 태생적인 한계점인 ‘오탐(공격 표절)’의 가능성의 개
기술
측면
선 여부
• 제공되는 룰의 정교성과 룰 변경 용이성을 점검 필요
• 룰이 적용되는 네트워크 환경의 특성을 자동적으로 반영할 수 있는 지능적인 룰
학습 기능과 같은 적응적 기능 지원 여부
• 솔루션 도입과 실제 운영에 있어 초기 및 유지비용에 대한 예측도 중요 요소
비용
측면
• 선택 솔루션은 초기 요건을 최소의 비용으로 충족시킬 수 있어야 하며 초기 투자
비용 이외에 추가로 발생하는 요구사항에 대한 추가 지출이 없도록 주의 필요
• 전사적 차원에서 확장, 적용 시 소요 비용이 합리적인 지에 대해서도 파악 필요
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
28

29. [참고] 개인/내부정보 유출 위험
Source: 개인정보유출신고 제재 현황, 이상일 의원, 2014.1
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
29

30. 차세대 SIEM 검토 시 고려 사항
• 보안 빅데이터 분야에서도 인프라와 분석역량, 조직이 필요
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
30

31. 맺음말
• 정보보안의 Goal은 간단
– Identify attacks / attackers before they hit
– Find previously unknown attacks (zero days)
– Find attacks that are in progress
– Understand the impact of a successful attack
– Attack(er) = external OR internal
• 향후 2년 내, 정보보호 위해 빅데이터 기술을 이용할 것(글로벌 기업 중 ¼, Gartner)
– 차세대 SIEM 제품들은 최근 이슈가 되는 빅데이터 분석 기술과 통합
→ 지능화된 보안 분석 방법이 적용, 차세대 보안 솔루션의 핵심기술로 자리매김 예상
– 향후에는 애플리케이션 레벨의 이상 징후 탐지가 기본 기능으로 만들어질 것으로 예상
– 사후 방어적인 탐지 대응에서 사전 예방적인 구성 감사, 위협 모델링 등을 이용해 적극적으로
보안 이슈에 대해 대응하는 방식으로 발전할 것
2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나
31

32. 2014 빅데이터 활용기술 실태와 비즈니스 모델 및 수익창출 세미나