엘라스틱 “보안, 빠른 데이터 수집에서 답 찾는다”

By이진호

“검색 기반 기술로 분석부터 보안까지 아우르는 엘라스틱은 초고속 DB이면서 통합 보안 솔루션입니다. 여전히 찾기 어려운 데이터, 기업의 복잡한 IT 환경, 더 정교해지는 사이버 위협. 이 세 가지의 공통 분모는 바로 데이터입니다.”

지난 17일 <바이라인플러스>가 개최한 웨비나 ‘보안의 게임체인저, 엘라스틱의 통합 보안 솔루션’에서 김관호 엘라스틱코리아 상무는 엘라스틱 보안 솔루션의 토대를 이와 같이 설명했다.

사이버 위협은 공격 기술의 발전와 맞물려 대상과 방법이 갈수록 세분화되고 있다. 방어하는 기술 또한 빠른 속도로 발전해야 하는 게 지금의 환경. 말은 쉽지만 변화에는 고통이 따른다.

이날 웨비나에서 엘라스틱은 “검색에서 답을 찾는다”고 강조했다. 엘라스틱은 세계에서 가장 유명한 오픈소스 기반의 검색 플랫폼이다.  데이터를 분석하기 위해서는 기본적으로 데이터 수집부터 해야 하는데, 엘라스틱의 검색 기술이 이 문제를 해결한다. 이렇게 수집된 데이터를 기반으로 이슈 분석과 시각화, 가공이 빠른 속도로 가능하다고 김 상무는 설명했다.

이날 웨비나 발표에 따르면, 엘라스틱의 검색 엔진 ‘엘라스틱 서치(Elastic Search)’는 빠른 검색이 가능해, 대규모의 데이터라도 검색 즉시 응답하는 속도성이 가장 큰 강점이다. 클러스터 구성이 가능하기 때문에 서버나 인스턴스를 추가해 리소스를 늘릴 수도 있다. 이에 따라 각 정보시스템의 로그를 하나로 수집할 수 있다. 그만큼 분석과 대응이 빨라지고 담당자끼리의 협업도 빠르게 이뤄진다.

회사 측에 따르면, 이를 기반으로 한 보안 솔루션이 ‘엘라스틱 시큐리티(Elastic Security) ’다. IT 인프라 전체에 대한 가시성을 기반으로 문제의 원인과 해결 등의 실행을 자동화·최적화하는 ‘옵저버빌리티(Observability)’와 ‘보안(Security)’을 합쳤다.

크게 ▲수집 ▲방어 ▲탐지·분석·조사▲대응 등 네 가지 작업이 가능하다. 엔드포인트 보안업체 엔드게임(Endgame)사를 인수해 해당 업체의 기술을 바탕으로 엔드포인트 위협 탐지 및 대응(EDR) 기능까지 넣었다. EDR에 든 머신러닝(ML) 기술을 활용해 비정상 접근을 차단한다. 단말이 수행한 행위를 분석하는 것은 물론, 알려지지 않은 부분도 모두 탐지한다.

김문식 엘라스틱코리아 컨설턴트는 “사각지대를 없애는 것, 평균 수리시간(MTTR) 단축, 연계 분석과 협업이 보안의 키워드”라고 말했다.

또한 네트워크와 스레드 인텔리전스 정보 등 다양한 데이터를 추가해 보안 위협을 탐지하고 대응할 수 있는 이벤트 관리(SIEM) 기능도 제공한다. EDR과 SIEM은 물론 클라우드 보안까지 하나의 플랫폼에서 구현되기 때문에 효과적인 보안 이슈 분석이 가능한 게 엘라스틱 솔루션의 장점이다.

구동 요소를 세부적으로 살펴보면 데이터 수집, 멀웨어·랜섬웨어 보호, 원격 호스트 격리는  ‘엘라스틱 에이전트(Elastic Agent)’가 담당한다. 탐지와 대응은 ‘엘라스틱 스택(Elastic Stack)’이 맡는다. 작동되지 않는 에이전트나 개별적인 버전 확인 등은 엘라스틱 에이전트를 관리하는 ‘플릿(Fleet)’이라는 기능이 활용된다.

기존에는 형태가 다른 데이터를 수집하려면 여러 비츠(Beats) 툴을 각각의 호스트에 설치해야 했다. 이 또한 상태 확인은 가능하더라도 정책을 변경하려면 각 호스트에 접속해야 하는 번거로움이 있었다. 이에 통합 에이전트에 대한 수요가 커졌고, 엘라스틱 에이전트 탄생의 배경이 됐다. 에이전트는 스탠드얼론(Standalone) 형태와 매니지드(Managed) 형태 모두 구현이 가능하다.

인터그레이션 형태로 엘라스틱 에이전트에 적용되는 엔드포인트 시큐리티는 머신러닝을 활용해 멀웨어나 랜섬웨어 탐지는 물론, 수집된 로그를 기반으로 기업 내에 보안 위협이 어떻게 확산됐는지, 원인은 무엇인지 분석할 수 있도록 도움을 준다. 멀웨어 감염 예방은 머신러닝을 활용한다. 랜섬웨어도 머신러닝을 통해 엔드포인트 로그 등을 찾아내고, 탐지된 위협은 해당 호스트에서 즉각 제거한다.

파악한 정보는 시각화 도구 ‘키바나(Kibana)’를 통해 직관적으로 확인할 수 있다. 차트 유형이나 인덱스 패턴도 커스터마이징이 가능한 UI라 에이전트가 모은 로그 여러 개를 한 번에 볼 수 있고, 로그 변경도 각 호스트에 따로 접속하지 않고 통합 관리가 가능하다.

또한 ‘마이터 어택(MITRE ATT&CK)’도 활용도가 높다. 보안 위협에 대한 수백개의 규칙을 제공하는 일종의 레퍼런스다. 실제 공격을 관찰한 뒤 전술(Tactics) 또는 기술(Techniques)로 분석·분류해 위협 신호의 심각성을 쉽게 확인할 수 있다.

한편 엘라스틱은 어떤 다양한 데이터든 제한 없이 저장할 수 있는 만큼 전체적인 필드 이름 규칙인 ‘엘라스틱 커먼 스키마(ECS)’를 적용한다고 밝혔다. 다양한 소스로부터 다채로운 정보를 수집하므로 각각의 필드 이름이 다를 수 있는데,  ESC를 준수하면 쉽게 연계·교차 분석할 수 있다는 게 엘라스틱의 설명이다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다