AI 검색의 장점을 보안에 녹이다 ‘엘라스틱 시큐리티’
“엘라스틱은 SIEM으로서 역할을 하지만 사전 예방이나 사후에 대응할 수 있는 관점에서도 보안 플랫폼으로서 XDR 역량을 가지고 있다. 행위 분석을 통해 악성 코드가 어떠한 패턴 없이 새로운 공격이나 제로데이 공격 등에 대한 대응들을 효율적으로 수행할 수 있다. 실시간으로 보안을 분석하는 역량도 엘라스틱의 상관분석 룰과 머신러닝을 활용할 수 있다.”
송대근 엘라스틱코리아 상무는 지난 24일 진행된 바이라인플러스 웨비나에서 ‘엘라스틱 시큐리티 플랫폼’의 강점을 소개하고 각 기능을 활용하는 데모를 진행했다.
엘라스틱 보안 플랫폼은 4가지 특장점을 가진 것으로 설명됐다. 신속하고 비용효율적 확장성 지원, 인공지능(AI) 주도 보안 위협 분석, 실시간 보안 위협 분석, 확장형 위협 탐지 대응(XDR) 기반 위협 및 사고 대응 자동화 등이다.
엘라스틱 보안 플랫폼은 이벤트 데이터를 수명주기에 따라 계층화할 수 있어, 보안 컴플라이언스 유지에 필요한 데이터 요구사항을 비용 효율적으로 지원한다. 1~2년씩 장기간보안 관련 이벤트를 보관하는 경우 비용 부담이 늘어나는데, 엘라스틱은 ‘핫(hot), 웜(warm), 콜드(cold)’와 ‘프로즌(Frozen)’ 등의 데이터 계층 유형을 제공한다. 프로즌 계층은 오브젝트 스토리지를 지원해 라이선스 비용을 최소화하고 필요한 데이터를 충분히 보관하고 분석하게 돕는다.
핫과 웜 계층에 실시간으로 분석해야 하는 데이터를 두고, 자주 검색하지 않는 데이터를콜드나 프로즌에 두고 활용할 수 있다. 핫 계층에서 검색가능한 스냅샷을 지원하므로, 콜드나 프로즌 내 데이터를 함께 활용해 실시간 분석이 가능하다.
최근 보안 분석에 AI를 활용하는 게 트렌드로 자리잡는 만큼 엘라스틱도 AI 주도의 보안위협 분석 기능을 계속 추가하고 있다. 특히 생성형 AI 기반의 ‘AI 어시스턴트’와 ‘어택 디스커버리(Attack Discovery)는 본격적인 분석에 앞선 단계를 손쉽게 수행하게 해 수작업 시간을 최소화하고, AI로 분석한 정보를 활용해 필요한 대응을 적재적소에 수행하게한다.
엘라스틱의 인텔리전스와 머신러닝 기반 탐지 엔진을 활용하면 예측할 수 없는 공격 행위를 자동으로 식별할 수 있다. 보안 위협 탐지에 임계치를 활용해 예측하는 경우 사람의 설정값을 공격자가 쉽게 우회할 수 있다. 머신러닝을 활용해 평소에 발생하는 정상적인 패턴을 프로파일화하고 이를 벗어나는 행위를 자동으로 식별할 수 있다.
AI 주도 보안 위협 분석의 경우 AI 어시스턴트를 활용해 자연어 질의로 보안 경보의 상세한 정보를 쉽게 찾아 분석에 돌입하는 시간을 줄이고, 대응 절차도 제공받아 해결 시간을 단축할 수 있다. AI 어시스턴트는 오픈A 챗GPT처럼 대형언어모델(LLM) 기반의 대화형 인터페이스를 가졌다. AI 어시스턴트는 보안 경보 요약, 엘라스틱 쿼리 생성, 대응 프로세스 가이드, 로그 데이터 연동 지원, 쿼리 기반 검색 지원, 에이전트 연동 가이드 등을 제공한다.
송 상무는 “보안 경보 대응에 필요한 프로세스를 가이드 받아 적절하게 대응할 수 있도록 지원하는 게 AI 어시턴트의 가장 핵심적인 역할”이라고 설명했다.
보안운영센터(SOC)팀이나 보안팀은 운영하고 있는 장비에서 발생되는 보안 경보들을 수집을 하고 해당 장비에서 발생되는 경보들의 상관관계를 분석을 통해서 기업에 어떠한 보안 위협이 발생하고 있는지 실시간으로 모니터링하고 대응을 수행하게 된다. 간단히 요약된 설명을 확인하고, 실제 이벤트와 연관된 내부 피해 시스템을 조회할 수 있다. 어시스턴트가 제공하는 쿼리를 복사해 시스템의 쿼리 검색창에 해당 내용을 붙여넣기하고 검색하면 시스템에서 가져온 필요 정보를 확인할 수 있다.
어택 디스커버리는 엘라스틱의 검색증강생성(RAG) 기반 기술이다. 심각한 보안 위협 분석 자동화, 핵심 이벤트 신속 대응, 경보 상관관계(context) 분석, 워크플로우 제안 등을 제공한다. 엘라스틱 보안 플랫폼은 오픈AI, 아마존 베드락 등 퍼블릭 LLM 모델과 엘라스틱의 벡터DB를 연계해 다양한 보안 경보가 어떤 위협을 나타내는 지 살펴볼 수 있다. 엘라스틱의 상관분석 엔진은 마이터어택(MITRE ATT&CK) 프레임워크와 매핑됐다. 실제 공격 체인에서 각 공격이 어떤 단계인지 정보까지 정의한다. 보안팀은 빠르게 현황 부분을 분석하고 인지할 수 있다.
퍼블릭 LLM은 인터넷에 공개된 정보만 학습하지만, 엘라스틱의 벡터DB에 기업에서 실제로 발생했던 보안 위협을 유사성 정보로 벡터화하고, 연관된 정보와 LLM 모델을 연결해 쉽게 이해가능한 자연어 기반으로 결과를 받을 수 있다. 이런 정보를 다시 엘라스틱 플랫폼 안에서 가공해서 어떤 보안 위협이 있는지를 분석하게 된다.
최신 버전인 엘레스틱 시큐리티 8.15는 커스텀 로그 연동 자동화와 엘라스틱 로그 정규화(ECS) 등의 기능을 제공한다. AI 엔진을 활용해 보안 데이터의 필드가 가진 고유한 특성을 분석해 해당 필드에 가장 적합한 엘라스틱 보유 필드와 매칭하는 작업을 자동화할 수 있다.
보안 제품마다 특정한 IP 필드, 예를 들어서 출발지 IP라고 하는 필드를 지칭하는 방법이 다르다. 이런 정보를 SIEM으로 모아 활용할 때 하나의 공통된 소스 IP 필드로 인식해야 서로 다른 이기종 간의 장비 간에서도 공통적으로 발생했었던 공격자 IP를 식별할 수 있다. 엘라스틱 시큐리티는 자동 로그 연동을 지원하는 제품도 지원한다.
엔지니어가 로그 정규화 분석을 개별적으로 진행하는 데 필요한 리소스를 효율적으로 줄일 수 있다.
엘라스틱 보안 플랫폼은 대시보드를 활용해 실시간으로 보안 위협을 분석할 수 있다. 기본적으로 전반적 현황 오버뷰를 제공하는 대시보드와, 탐지된 경보에 대한 케이스 현황 대시보드, 쿠버네티스 워크로드 및 세션 데이터의 대화형 시각화, 모든 클라우드서비스제공자(CSP) 통합에서 발견된 사항 개요, 클라우드 네이티브 취약성 관리(CNVM) 사용 시 클라우드 워크로드 취약성 식별, 엔티티 분석, 엘라스틱범용스키마(ECS) 호환성을 확인하는 데이터 품질 등 7가지의 기본 대시보드를 제공한다.
제공되는 대시보드 외에도 각각의 보안 솔루션별 오버뷰도 사용할 수 있다. 필요한 경우 맞춤형으로 정보를 직접 바, 라인, 메트릭 기반 수치화 정보 등으로 구성할 수 있다. 이런 정보에 특정한 필터를 적용하면 동적으로 대시보드를 상황판으로 띄워 필요한 대응 정보에 맞게끔 적용해 사용할 수 있다. 대시보드 화면은 보고서 형태로 바로 추출할 수 있다.
8.15 버전은 1100여개의 사전 정의된 툴을 제공한다. 이 룰은 악성코드 기반 행위 분석 형태로 탐지할 수 있게끔 룰 시나리오를 갖고 있다. 특정한 시그니처, 스트링 형태의 패턴 매치 기반 룰뿐 아니라 행위 기반으로 시계열로 어떤 보안 위협이 발생하는지 상관 분석해 경보를 발생시킨다.
엘라스틱은 EDR 업체인 ‘엔드게임’을 인수해 자사 보안 플랫폼 포트폴리오에 포함시켜 서비스 솔루션으로 제공하고 있다. EDR이 엘라스틱 단일 라이선스에 포함됐기 때문에 필요한 엘라스틱 에이전트를 무료로 활용할 수 있다. 이를 통해 사전 예방과 사후 분석 등에 필요한 정보를 ‘엘라스틱 디펜드(Defend)’로 수집하고 활용할 수 있다.
그는 엘라스틱 보안 플랫폼의 또다른 차별화 포인트로 엔드포인트 솔루션을 함께 활용할 수 있다는 점을 꼽았다. 유무료의 써드파티 인텔리전스 정보 로그를 엘라스틱 플랫폼에 함께 활용할 수 있다. 이 정보가 자동으로 네트워크 기반 장비나 엔드포인트 장비의 소스 IP와 매칭돼 경보를 발생 시켜 위협을 식별하고 자동으로 차단할 수 있다. 이런 자동 차단은 엔드포인트를 연계하는 부분뿐 아니라 이메일이나 슬랙, 팀즈 등과도 활용할 수 있다.
악성코드를 활용한 제로데이 공격에서 엔드포인트 가시성 확보가 중요하다. 엘라스틱 EDR 에이전트는 무료로 이용가능해 엔드포인트에서 발생되는 로그, 파일에 대한 변화, 네트워크 통신 정보, 프로세스 변화 등을 다양하게 수집해 실제로 필요한 정보를 기반으로 엔드포인트 가시성을 더 확보할 수 있다. 사고 대응 관점에서도 리스폰스 콘솔 기능을 이용해 특정 호스트를 격리하거나 필요한 프로세스를 킬하는 등의 명령 수행 과정을 에이전트로 수행할 수 있다.
송대근 상무는 “엘라스틱은 사전 대응 관점의 실시간 분석과 사후 대응을 수행하는 종합적인 XDR 플랫폼”이라며 “클라우드 보안 로그 수집과 클라우드 보안 전체의 최악점 현황 관리 등을 수행할 수 있기에 단일 플랫폼으로서 보안에 필요한 여러 가지 역량들을 지원한다”고 강조했다.
그는 “엘라스틱이 가진 SIEM 플랫폼의 역할은 보안 사고 발생 시 사고에 잘 대응할 수 있도록 필요한 지원 프로세스를 플랫폼 차원에서 지원한다”고 덧붙였다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network
[무료 웨비나] API연결만으로 가능한 빠르고 쉬운 웹3 서비스 구축
- 내용 : API 연결을 통해 웹2와 웹3를 끊김 없이 연결하는 최신 융합 기술과 이를 통한 적용 사례를 다룹니다.
- 일시 : 2024년 10월 10일 (목) 14:00 ~ 15:10