빅데이터를 활용한 보안기술

유현주 (yoohj007@hanmail.net)

現 아이리포 기술사회, 정보관리기술사

사이버 위협에 대한 새로운 개념으로서 가트너 그룹이 정의한 시큐리티 인텔리전스(Security Intelligence)분야가 주요 대안으로 주목 받고 있으며, 그 기반 기술로 빅데이터 처리/분석기술들을 이용한 빅데이터 보안 기술이 활용하고 있다. 이는 APT공격과 같이 복합적이고 알려져 있지 않은 보안 위협을 사전 예측하고 방어하는데 초점을 맞추고 있으며 향후 사이버 방어기술의 핵심개념의 하나로 자리잡고 있다. 현재 사이버 위협의 대응 수준을 알아보고 시큐리티 인텔리전스 분야에 활용할 수 있는 주요한 빅데이터 보안 기술들이 어떤 것들이 있으며 이러한 보안기술들의 활용 사례들을 알아보고자 한다.

1, 사이버 위협 대응 수준의 현재

사이버 위협 대응기술의 수준을 4단계로 보았을 때, 현재의 대응기술 수준은 3단계 수준에 위치한다. 초기 단계에서는 오용탐지 기법을 중심으로 네트워크 경계보안이 집중되었으나, 최근에는 APT등 고도의 해킹공격 위협 증가함에 따라 패턴 기반의 공격이 아닌 시스템 프로세스, 이벤트, 네트워크 트랜잭션등의 관계성 분석을 통해 알려지지 않은 새로운 공격을 탐지하는 기술이 필요하다.

2. 빅데이터 보안의 필수 요소

고도의 복합적이고 알려지지 않은 새로운 사이버위협에 대응하기 위해서는 알고리즘, 심층 인텔리전스, 자동화등은 빅데이터 보안에서 필수요소라고 할 수 있다.

■ 준비된 알고리즘
높은 정확도를 위해 데이터 처리 능력, 커스텀 규칙(Custom Rule)을 혼합하여 기계학습, 행동이상 탐지 등의 알고리즘 이용한다. 또한, 알고리즘이 감염된 호스트, 네트워크 정찰, 자격 수확, C&C(Command & Control)통신의 지속적인 스트리밍의 패턴. 장후 파악을 위한 알고리즘이 필요하다.

■ 심층 인텔리전스
내 외부 네트워크에서 어떤 일이 일어나는지 대한 상황적 인식과 네트워크 자산, 구성, 취약점에 대한 지속적인 모니터링을 연계함으로써 인텔리전스 허브역할 수행한다.

■ 자동화
사람이 대응하기에 너무도 많은 위협과 취약점, 사건, 네트워크 패킷등이 존재한다. 지속적인 탐지와 비정규적인 공격에 대한 자동 감지 및 대응이 필요하다.

다음은 APT공격등과 같은 치명적인 사이버 위협 공격에 대응하기 위해서 주요 IT기반 시스템의 다양한 데이터, 보안 이벤트등의 연관성을 분석할 수 있는 주요한 빅데이터 보안 기술들이다.

3. 빅데이터를 활용한 보안 기술

가. 빅데이터 보안 데이터 수집/저장 기술
■ Streaming
인터넷에서 음성, 오디오, 비디오 데이터를 실시간으로 수집할 수 있는 기술
■ Log Aggregator
웹 서버 로그, 웹 로그, 트랜잭션 로그, 클릭로그, DB로그등 각종 데이터를 수집하는 오픈 소스 기술
■ RDB Aggregator
관계형 데이터베이스에서 정형데이터를 수집하여 하둡 분산 파일 시스템이나 HBase같은 NoSQL에 저장하는 오픈 소스 기술
■ 분산파일시스템
분산된 서버의 로컬 디스크에 파일을 저장하고 파일의 읽기, 쓰기등과 같은 연산을 운영체제가 아닌 API를 제공하여 처리하는 파일시스템
■ 인메모리 데이터 그리드
분산된 서버의 메인 메모리에 데이터를 저장하여 다수의 컴퓨터로 고속병렬처리 및 실시간 처리가 가능한 기술

나. 빅데이터 분석 기술
■ 연관성 규칙 학습 (Association Rule Learning)
대용량 데이터베이스 내의 다양한 변수로부터 흥미 있는 주제의 관련성 및 연관성을 찾는 기술로 잠재적 규칙을 만들어 내고 테스트하는 일련의 알고리즘으로 구성
■ 분류 ( Classification)
이미 분별된 데이터를 포함하는 학습데이터 세트를 기반으로 새로운 데이터가 속해있는 카테고리를 식별할 수 있는 기술
■ 군집화 ( Cluster Analysis)
유사성에 대한 특성이 사전에 알려져 있지 않은 상태에서 유사한 개체들의 작은 그룹으로 분할하기 위한 통계적 방법
■ 앙상블 학습 (Ensemble Learning)
기계 학습의 분류 방법을 통해 여러 개의 분류기를 생성하고 그것들의 예측을 결합함으로써 새로운 가설을 학습하는 방법
■ 유전 알고리즘 ( Genetic Algorithm)
자연 세계의 진화 과정에 기초한 계산 모델로써 최적화 문제를 해결하는 기법
■ 아웃라이어 판별(Outlier Discovery)
주어진 데이터에서 이상값(Outlier)을 찾아내어 전체에 영향을 주는 요소들을 제거하거나 이상값(Outliner)에 대한 원인을 분석하는 기술
■ 머신러닝
악성 행위의 식별을 위해서는 사용자의 행위 이벤트 간 연관성을 고려하여 해킹 행위 사이클에 따라 이상 행위를 찾아내고, 악성 행위로 식별하기 위해서는 정밀한 분석을 통한 적용 모델을 도출하기 위한 기법
■ 시각화 (Visualization)
데이터 분석의 결과를 표현하고 이해의 수준을 향상하기 위하여 이미지, 다이어그램, 애니메이션 등을 사용하는 기법 이러한 빅데이터 분석 요소기술들을 활용하여 실시간 모니터링, 행위 프로파일링, 다양한 위협과 공격패턴에 대한 지능적 분석등 사이버 위협에 대응하기 위한 보안 기술로 활용된다.

다. 프라이버시 보호 기술
빅데이터를 활용하여 보안분석 시 프라이버시 보호에 대한 방법도 같이 고민해야 한다. 개인정보 보호법등 법규나 정책등에 저촉되지 않도록 분석하고자 하는 데이터에 대한 보호 수준 및 알고리즘 선택등에 대한 고려가 필요하다.
■ PPDM (Privacy Preserving Data Mining)
프라이버시를 보호할 수 있도록 변환하거나 이를 보호할 수 있는 방법을 사용하여 데이터마이닝을 수행하고 그 결과를 도출하는 방법이다.
■ 마스킹, 암호화, 교정(redaction)을 통한 데이터 보호
데이터를 처리 및 분석하는 주체가 악의적인 경우 해당 개인정보는 쉽게 유출될 수 있다. 이를 방지하기 위해 익명화 과정을 거처 데이터에 존재하는 개인정보를 제거한 형태의 처리 및 분석과정이 필요하다. 또한, 순서보존 암호 및 연산보존 암호와 같은 암호화 기술등을 이용하여 빅데이터 보안 분석시 프라이버시 보호와 함께 유용한 정보를 도출할 수 있는 기술이 필요하다.

4. 빅데이터를 활용한 보안 모범사례

빅데이터에 숨겨진 통찰력을 발견하고 이를 활용하여 최근 사이버위협에 대응할 수 있는 주요 모범 사례는 살펴보자.



■ 자동화된 통합보안 정보 수집
위험 기반 보안 인텔리전스를 달성하고 사이버위협에 대한 보안 모니터링을 향상시키려면 가치 있는 정보를 저장하고 분석해야 한다. 이것은 단순한 로그 관리로 가능한 일이 아니며, 자동화된 수집, 통합 로그에서의 위협에 대한 Insight를 발견할 수 있어야 한다.
■ 빅데이터 분석을 통한 실행 가능한 통찰력의 실시간 제공
복잡한 공격을 더욱 확실하게 식별해야 하는 필요성이 증가함에 따라, 패턴 매칭 이상의 고급 분석이 필요하며, 복잡한 실시간 분석이 가능한 보안 플랫폼을 기반으로 위험 기반 분석 및 모델링을 구현한다.
■ 모니터링 및 차단
차단 가능한 위협과 불가능한 위협을 파악하고 가용 서비스, 데이터, 리소스를 활용할 수 있는 위협을 감지하는 모니터링기능을 갖춘다. 차단할 수 있는 위협은 방지하고 차단할 수 없는 위협은 모니터링한다. 모든 보안 관련 이벤트에서 context에 맞추며 분석을 수행하여 의심스럽거나 악의적인 활동을 탐지한다.
■ IT와 보안의 융합 통한 시너지 창조
보안과 IT 사이에는 뛰어난 이해와 협력이 필요하다. 보안과 IT가 적절한 단계로 융합되어 사이버 보안 위협에 대해 시너지 효과를 가져온다.

빅데이터를 활용한 사이버 보안을 위한 상용 보안 솔루션이 이미 활용되고 있으며, 데이터 및 보안 이벤트에 대한 응용 프로그램 콘텍스트 및 콘텐츠를 얻기 위해 DPI(DeepPacket Inspection) 기능을 수행, 이벤트 정보와 보안 정보를 수집하고 연관성 분석할 수 있는 통합보안관리 기능을 제공하고 있다.

요즘 이슈가 되고 있는 4차 산업혁명은 외부와 연결되지 않은 것들을 연결하게 되기 때문에 사이버 보안 취약점은 지금까지보다 더 취약한 환경이라고 할 수 있다. 4차 산업혁명 시대에는 사이버 보안의 고려가 필수적이고 사이버 보안이 선제되어야 한다. 선제적 보안강화의 한 방법으로 빅데이터 보안에 대한 통합적 보안 프레임워크를 통한 플랫폼 구축과 함께 사례 기반 업종별 빅데이터 연구를 통해 업종별 특성에 맞는 보안에 대한 고찰이 필요하다.

[ 참고 문헌 ]
- 빅 데이터 보안 분야의 연구동향 분석 (정보화 정책 제23권)
- 빅 데이터 보안 분석의 정의와 요건 (IDG Tech Focus, joltsik)
- 빅 데이터 분석기술과 사이버 보안(TTA Journal Vol.153)
- 빅데이터를 활용한 사이버 보안 기술 동향 (ETRI)
- 빅데이터 환경에서 개인정보보호를 위한 기술(Internet & Security Focus 2013 3월호)
- 보안관제 기술동향 조사 및 차세대 보안관제 프레임워크 연구(정보보호학회지 제23권 2013)
- 빅데이터를 이용한 APT 공격 시도에 대한 효과적인 대응 방안(중소기업융합학회 논문지 2016)
- 새로운 기술패러다임으로서 빅데이터 : 쟁점과 과제 (과학기술정책)
- 빅 데이터를 이용한 선제적 사이버전 강화 방안 연구 (보안공학연구논문지, 강정호) - 데이터 스택의 위협 식별에 대한 보고서(McAfee)

출처 : 한국데이터진흥원

제공 : 데이터 전문가 지식포털 DBguide.net