보안이 빅데이터 플랫폼을 만났을 때…SK인포섹과 맵알의 만남

“이전의 보안이라는 분야는 보안 장비에 집중해 장비에서 발생하는 이벤트를 추적 하는 것에 초점이 많이 맞춰져 있었다. 허나, 지금은 IT전반에 발생하는 모든 이벤트를 처리하고 있다. 이제는 보안도 빅데이터가 기반이 되야 한다. 2015년부터 빅데이터 플랫폼을 도입해야 겠다고 고민했고 맵알 컨버지드 데이터 플랫폼을 통해 시큐디움을 개발했다.”

맵알테크놀러지스코리아가 채영우 SK인포섹 SOC사업팀 부장을 초빙해 맵알 컨버지드 데이터 플랫폼 소개와 함께 이를 통해 시큐디움을 어떻게 구축했는지 소개하는 자리를 가졌다. SK인포섹은 실제로 고객들 사이트를 많이 보유하고 있기 때문에, 검증돼 있는 래퍼런스를 가지고 맵알과 협력하고 있다.

맵알 컨버지드 데이터 플랫폼은 네트워크에서 알려진 위협을 트래킹 및 저장하는데 빅데이터를 사용할 수 있도록 지원한다. 업계 최초이자 유일한 컨버지드 데이터 플랫폼은 플랫폼 전반에서 즉각적으로 데이터를 처리 및 분석할 수 있는 실시간 기능 등을 제공한다.

이를 기반으로 SK인포섹은 시큐디움(Security+podium)이라는 차세대 보안관제 플랫폼을 구축했다. 맵알 빅데이터 엔진을 기반으로 보안 관제에 필요한 기술, 프로세스, 서비스가 통합된 플랫폼으로, 신속한 데이터 수집/처리/탐지/대응, 보안관제 업무 및 고객 관리, 취약점 정보 제공, 보고서 작성 등 필수적인 업무를 효율적으로 운영하고 있다.

맵알은 보다 빠른 침해탐지 및 실시간 검색 성능을 제공하며, 장애상황에서도 업무 연속성을 보장해 신뢰성을 확보할 수 있도록 한다. 또한 실시간 보안 데이터의 메시지 유실 가능성을 제거하고, 데이터 정합성을 보장한다. 스파크(Spark) 기반의 배치 및 실시간 처리, 기계 학습을 통해 기존의 사일로(silo) 처리 방식이 아닌 단일의 컨버지드 빅데이터 플랫폼에서 서비스를 제공함으로써 SK인포섹이 성능 및 확장성, 상호운영성, 업무효율성 등을 크게 향상시킬 수 있도록 지원한다.

시큐디움은 이에 다음과 같은 특징을 갖추고 있다.

▲ 유연한 아키텍쳐 – 스케일 아웃 구조 채택을 통해 시스템 운영 성능과 확장성을 보장하고 클러스터 구조 채택으로 운영 안정성과 고가용성을 제공한다.

▲ 실시간 위협 감지, 대응과 모니터링 – SK인포섹만의 위협 인텔리전스 DB와 머신 러닝 기술을 적용 침입 탐지 및 정확도, 탐지율을 획기적으로 향상시켰다. 또한 빅데이터 엔진에서 탐지 된 결과를 ISD(Intelligent Security Detection)을 통해 통합적으로 분석/처리하고, 보안 사고와 관련된 장애의 경우에 보다 신속하게 대응할 수 있는 통합 운영 환경을 제공한다.

▲ 자동화 – 방화벽 관리에 자동화 기술을 적용, 방화벽 정책에 대한 위험도 및 정책 분석을 통해 최종 룰을 확인한 후 안전하게 방화벽 쪽으로 룰 적용할 수 있도록 정책관리 기능을 제공한다.

▲ 시큐리티 관리 표준 BPM – 시큐디움의 모든 업무처리는 보안위협 탐지에 대응하는 자동화된 티켓 생성을 포함한 5단계 대응 절차로 제공한다. 공격탐지에서 공격자 정보 식별, 침해위협 자동발송, 방화벽차단, 경고메일발송 등이다.

▲ 위협 인텔리전스 – 시큐디움은 외부위협에 단계적 방어 기능을 지원한다. 1단계 주요 공격자나 악성코드 유포지, C2서버(원격제어 서버 또는 C&C 서버)의 유해정보를 기반으로 악성IP/URL을 탐지해 내/외부 위협을 탐지 및 차단한다. 2단계는 탐지 룰 기반 실시간 이벤트 스트리밍 분석 및 탐지, 3단계는 이기종 장비의 보안 이벤트들을 연관 분석해 보안위협의 심층 분석을 진행한다.

채영우 부장의 뒤 이어 신윤석 맵알코리아 부장이 맵알 컨버지드 데이터 플랫폼을 소개했다.

PT를 통해 ‘미션 크리티컬 엔터프라이즈 빅데이터 환경을 위한 최적의 솔루션’이라 정의한 신 부장은 “빅데이터 플랫폼 환경에 있어서 다양한 오픈 엔진들을 하나의 통합된 형태로 디자인 한 것이 맵알 컨버지드 데이터 플랫폼”이라 전했다.

이와 함께 ▲네임노드 및 마스터노드를 제거해 단일 장애점 제거 ▲JVM 및 OS File System 영역을 제거해 성능 향상 ▲POSIX, NFS를 통해 손쉽게 운영 및 개발 가능 ▲코어레벨로 HA/DR 및 보안기능 제공으로 기업수준 대응 ▲간소화된 클러스터 구성으로 노드를 감소해 TCO 절감 등을 특장점으로 들었다.

신용석 부장은 “맵알 컨버지드 데이터 플랫폼은 기업이 직면하고 있는 빅데이터 문제를 해소할 수 있는 업계 유일의 기업용 빅데이터 플랫폼”이라며 “SK인포섹의 시큐디움이 다음 세대로 넘어갈 수 있도록 비즈니스에만 집중할 수 있도록 도울 것”이라 전했다.

한편, 맵알은 빅데이터 전문 조직 체계를 구축해 고객사에게 민첩하게 대응하고 있다. 전세계 600여명이 이 조직에 속해 있으며 특히 국내고객 지원센터가 있어 한글로 기술지원 및 문의가 가능하다.

채영우 SK인포섹 부장도 이런 점을 맵알과 협력한 가장 큰 이유로 들었다. 그는 “보안 문제는 30분안에 대응 못하면 큰일이 생기기에 문제가 생기면 지원을 빨리 받아야 된다. 문의사항 및 기술지원이 필요할시 맵알코리아에서 신속하게 처리해주고 있다”며 “보안 영역이라 설치 및 운영, 관리가 중요하기에 믿을 수 있고 신뢰할 수 있는 파트너가 필요한데 그런 점에서도 맵알을 꼽기도 했다”고 말했다.

이와 함께 성능 측면에서 보안 데이터의 특성에서 맵알이 강점이 있다고 밝혔다. 채 부장은 “SK인포섹은 대부분 작은 단위의 데이터를 처리하는데 맵알은 이에 대해 높은 성능을 제공했다. 또한 클러스터 형식으로 서비스하는데 맵알은 이를 실제로 검증 받고 서비스 하는 업체였다”며 “이와 더불어 특정 부분에 대한 성능, 확장성 그리고 유지보수 측면에서 맵알을 선택하게 됐다”고 덧붙였다.