빅 데이터 잠재력, 보안 문제에도 유효?

빅 데이터와 보안을 놓고 나오는 이야기가 있다. 기업이 보안 관련 이벤트 데이터를 비즈니스 정보 웨어하우스와 통합할 수만 있다면, 이 빅 데이터를 분석해 중요한 정보를 훔치려 하는 침입자를 잡을 수 있다는 이야기다.

이는 빅 데이터의 잠재성을 보안 측면에서 전망한 것이다. 일부 보안 전문가와 애널리스트들은 빅 데이터가 보안에 초점을 맞춘 데이터 과학자의 출현을 이끌어내고 있다고 주장한다. 이들은 여러 도구와 지식을 바탕으로 아주 중요한 데이터를 훔치기 위해 은밀히 침입하는 해커들의 공격을 포착하는 역할을 하게 될 전망이다.

제멋대로 뻗어 있는 네트워크에서 활동하는 사이버 도둑을 잡기란 아주 힘들다. 따라서 빅 데이터가 새로운 희망을 제시하는 셈이다. 그러나 이런 주장이 타당할까?

엔터프라이즈 매니지먼트 어소시에이츠(Enterprise Management Associates)의 스캇 크로포드 애널리스트는 그렇다고 생각한다. 그는  '빅 데이터와 빅 데이터가 보안에 주는 도움'이라는 주제로 최근 샌프란시스코에서 개최된 RSA 컨퍼런스(RSA Conference)에 패널로 참석해 "통계 분석가들은 이상 현상을 파악할 수 있다. 그러나 보안을 이해하지 못한다"라고 언급을 했다.

크로포드는 결국에는 빅 데이터를 대상으로 한 '보안 알고리즘 시장'이 출현할 것이라고 전망을 하고 있다. 또 레드 람다(Red Lambda)와 팔란티르(Palantir) 등이 이상 포착에 목적으로 한 수학적 분석으로 이 문제를 처리하고 있는 중이라고 언급했다.

설명에 따르면, 숨겨진 '나쁜' 공격은 종종 네트워크 내부 사용자의 '선한' 행동처럼 보이는 '비정상적인 행위'다. 이번 RSA 패널로 참석한 가트너의 닐 맥도널드 애널리스트는 현재 공격자들은 침입 방지 시스템, 방화벽, 안티 바이러스 같은 전통적인 방위체계를 은밀하게 뚫고 침입하고 있다고 말했다.

때때로 APT(Advanced Persistent Threats)라고도 불리는 이러한 공격은, 중요한 데이터를 훔치기 위해 시도되며 큰 피해를 낳곤 한다. 이들은 네트워크 내부에서 악의적인 의도를 효과적으로 감춰낸다. 맥도널드는 "네트워크 활동에서 '선한 행위'와 '악한 행위'가 어떤 형태를 하고 있는지 알지 못한다. 따라서 선한 행위의 편차를 이해하기 위해서는 먼저 선한 행위의 형태를 알아야 한다"라고 설명했다.

애널리스트들은 빅 데이터가 보안 분석에 새 기회를 제공하고 있다며, 그러나 현재 사용되고 있는 보안 정보, 이벤트 관리(SIEM), 이와 유사한 보안 도구들이 함께 발전해야 할 필요성이 있다고 지적했다.

맥도널드는 업계에서는 이미 RSA의 위협 감지 제품인 넷위트니스(NetWitness)와 HP의 아크사이트 SIM(ArcSight SIM) 등의 새로운 움직임이 나타나고 있다고 지적했다. 또 크라우드스트라이크(CrowdStrike) 같은 신생 기업들도 자신들이 APT의 문제를 새로운 방식으로 해소하고 있다고 주장하고 있다.

그러나 SIEM이 비즈니스와 관련된 빅 데이터를 처리할 수 있을 만큼 발전할 수 있을까? 또 비즈니스 데이터를 다양한 방화벽, 서버, IPS로부터 보다 전통적인 SIEM 데이터로 추가해 공격자에 대해 의미 있는 정보를 제공한다는 아이디어가 실현될 수 있을까?

포레스터의 존 킨더바그 애널리스트는 "SEIM 툴로부터는 원하는 답을 얻기 힘들 것"이라며, SIEM 툴이 일부가 되는 무언가 새로운 것이 만들어져야 한다고 강조했다.

RSA 패널로 참석한 애널리스트들 가운데, 엔터프라이즈 스트레티지 그룹(Enterprise Strategy Group)의 존 올트식 애널리스트도 빅 데이터가 APT 문제에 대한 답이 될 것이라는 주장에 의구심을 표현했다.

올트식은 "현재 걱정하는 부분은 더 많은 데이터를 포착하고도 활용 방법을 모르는 것"이라고 말했다. 그는 현재 기업의 CISO(최고 정보 보안 책임자)들은 빅 데이터가 어떤 식으로든 보안에 대한 해결책이 될 것이라는 주장을 받아들이지 않고 있다고 지적했다. 그러면서 "CISO들은 빅 데이터에 대한 이야기를 듣고 코웃음을 치기만 했다"라고 전했다.

그러나 빅 데이터 보안이라는 접근법을 조기에 도입한 일부는 큰 기대를 걸고 있다.

예를 들어, 자이온스 뱅코퍼레이션(Zions Bancorporation)은 피싱 공격을 파악하고, 해커의 침입을 막기 위해 실시간으로 보안 및 비즈니스 데이터를 선행 분석할 수 있는 방대한 저장소를 구축하고 있다. 지난해 10월 발표된 이 저장소 계획은 데이터 집약 분산형 애플리케이션을 사용하고 있는 제타세트 데이터 웨어하우스(Zettaset Data Warehouse)에 근거를 두고 있다. 자이온스의 프레스톤 우드 CSO는 이를 보안 목적에서 SIM 툴을 보완하고 방대한 비즈니스 데이터를 살피는 방식이라고 설명했다.

넷아이큐(NetIQ)와 같은 SIEM 벤더들은 빅 데이터를 보안에 이용하는 방식에 대한 관심이 이제 시작단계에 불과하다고 말하고 있다.

센티넬(Sentinel)이라는 SIEM 제조사인 넷아이큐에서 제품관리 부문을 담당하는 매트 울머 디렉터는 "이것이야 말로 SIEM이 나아가야 할 방향"이라고 강조를 했다. 또 비즈니스 인텔리전스를 포함시켜 SIEM을 재창조하는 과정이 시작됐다고 덧붙였다. 울머는 센티넬 7.0이 데이터에 대한 더 많은 맥락을 포함하고 있다며 빅 데이터는 정상적이지 못한 패턴을 파악할 수 있다고 강조했다.

그러나 울머는 "문제는 어떤 방법으로 '선한 행위'를 규정하는가 하는 것이다. 누군가가 계정을 차지했을 때, 그가 직원인지 아니면 해커인지라는 의문이 제기된다"라고 설명했다. 그는 은밀하게 침투해 들어오는 공격을 감지해내는 시간은 매일 단 몇 초에 불과하다며 따라서 이런 공격자로부터 믿을 수 있는 내부자를 규정해내는데 목표를 둬야 한다고 말했다. 그에 따르면 빅 데이터는 이런 부분에서 많은 도움을 줄 수 있다.

그러나 울머는 빅 데이터를 보안에 적용한다는 개념이 장벽에 부딪히게 되는 데는 또 많은 이유가 있다고 덧붙였다.

이런 장벽 중 하나가 클라우드 컴퓨팅이다. 기업 네트워크의 내부에서 사용되어왔던 전통적인 SIEM 방식에 어려움을 초래하기 때문이다. 또 다른 장벽으로는 빅 데이터에 희망을 품고 있는 보안 매니저들이 데이터 관리 전략이나 최첨단의 무언가를 추천하고 결정하는 위치에 있게 될 것이라는 점을 들 수 있다. 즉 BYOD 등이 경영진에 큰 이슈가 되고 있는 시대에, 빅 데이터를 추가한다는 것은 큰 압박이 될 수 있다는 것이다. ciokr@idg.co.kr