[2020 보안기업] 이디엄 “국내·외 기업과 SOAR 협력 추진…정보보호 통합플랫폼 제공”

지난해 우리은행으로부터 10억원 규모의 시리즈A 투자 유치에 성공한 이디엄(대표 양봉열)은 2018년 대비 40% 이상 매출 성장을 이뤄냈다. 한편 2020년 화두가 될 보안운영 자동화에 대비해 로그프레소는 기존에 API를 제공하는 글로벌 제품에 대한 연동과 금융보안원 FCTI 연동을 완료했고, 국내 위협 인텔리전스, 방화벽, IPS, NAC, EDR 업체들과 SOAR 협력을 추진하고 있다.

다음은 이디엄 양봉열 대표와 일문일답 내용이다.

◇2019년 이디엄 사업 성과에 대해

이디엄은 지난 6년 간 다져온 빅데이터 원천 기술과 성공적인 고객 사례를 기반으로 2019년 본격적인 도약을 시작했다. 우리은행에서 10억원 규모의 시리즈A 투자를 유치했으며, 이를 기반으로 2018년 매출 대비 2019년 40% 이상의 성장을 이뤄냈다.

◇주력 제품에 대한 간략한 소개

로그프레소는 ‘정보보호 통합플랫폼’을 키워드로 보안운영의 중추가 되는 빅데이터 플랫폼을 제공한다. 외부침해관제, 내부유출탐지, 통합로그관리, 개인정보유출탐지, 이상거래탐지 등 파편화된 기존의 관제 체계를 빅데이터 기반으로 일원화해, 임원부터 실무자에 이르기까지 완전하고 일관된 전사적 가시성과 통제력을 제공한다.

대부분의 제품들이 오픈소스 기반으로 단순히 검색이나 인메모리 연관에 의존하는 것과 달리, 로그프레소는 200개가 넘는 쿼리 기능을 통해 고난도의 빅데이터 연관 분석과 AI 기반 이상징후 탐지를 제공해 불필요한 오탐으로 인한 관제 업무 부담을 최소화한다.

한편, 로그프레소는 고객사 보안 현황에 맞추어 통합로그부터 보안관제에 이르는 단계적인 로드맵을 제공한다. 제품 모델이 ‘스탠다드’, ‘엔터프라이즈’, ‘소나’로 구분되어 있으므로, 컴플라이언스 대응에 필요한 로그 통합부터 시작해 차세대 정보보호 구축 수준까지 고도화하는 연속적인 계획을 수립할 수 있다.

◇2020년 보안분야 화두는 무엇이라고 생각하나

2020년은 SOAR(Security Orchestration, Automation and Response)로 알려진 보안운영 자동화가 화두가 될 것으로 예상한다. 주 52시간 적용으로 보안 운영에서도 단순 업무 자동화를 통한 생산성 향상이 필수적이다. 위협 인텔리전스 연계 분석, 샌드박스를 통한 악성코드 행위분석, 네트워크 포렌식 연계를 통한 정오탐 분석, 방화벽과 NAC 제어를 통한 IP 차단, EDR 검색을 통한 내부 확산 진단 등 많은 작업들이 오케스트레이션과 자동화 대상이 될 것이다.

또한 많은 고객들이 퍼블릭 클라우드에 워크로드를 이전하거나, 프라이빗 클라우드 구축을 진행하고 있기 때문에 과거와 달리 동적으로 변화하는 IT 인프라에 대한 보안 관리체계를 어떻게 확립하는 것이 정답인가에 대한 논의가 시작되리라 예상한다.

◇2020년 주요 사업에 대한 국내·외 전략과 목표는

로그프레소는 이에 대응해 RSA, 파이어아이, 팔로알토 등 기존에 API를 제공하는 글로벌 제품에 대한 연동과 금융보안원 FCTI 연동을 완료했고, 국내 위협 인텔리전스, 방화벽, IPS, NAC, EDR 업체들과 SOAR 협력을 추진하고 있다. SOAR는 단위 보안시스템 도입 효과와 보안운영 업무 효율을 실질적으로 2배 이상 끌어올리기 때문에 효과가 검증되기 시작하면 급속히 확산될 것이다.

이디엄은 협력을 체결하는 제품의 활용성 및 특장점 극대화를 위해 전용 대시보드와 API 확장 쿼리가 포함된 로그프레소 앱을 개발해 고객에게 제공할 예정이다. 이는 장기간의 구축이 필요했던 과거와 달리, 설치 직후 운영을 시작할 수 있도록 해 로그프레소 파트너 사에게도 더 많은 사업 기회를 제공할 것이다.

◇끝으로 전하시고 싶은 말이 있다면

로그프레소의 비전을 믿고 선택해준 고객과 파트너의 노력이 있었기 때문에 지금까지 이디엄이 성장할 수 있었다. 특히 로그프레소 고객은 그동안 많은 아이디어 제시와 실제 현장 적용을 통해 단순한 구매자 이상의 역할을 해 왔다. 2020년은 로그프레소 커뮤니티가 그동안 이룬 성과를 대규모로 확산하는 한 해가 되리라 확신한다.

https://www.dailysecu.com/news/articleView.html?idxno=93445

둘러보기

더보기

빅데이터 전문기업 이디엄, '로그프레소'로 사명 변경… “브랜드 중심 역량 집중”

빅데이터 전문기업 이디엄(대표 양봉열)이 '로그프레소(Logpresso)'로 사명을 변경하고 새로운 CI(Corporate Identity)를 발표했다. 핵심 제품 브랜드 로그프레소를 중심으로 사업역량을 집중하고 국내 빅데이터 플랫폼 대표 브랜드로 정체성을 공고히 한다는 전략이다. 로그프레소는 방대한 머신 데이터로부터 비즈니스 의사결정에 필요한 인사이트를 에스프레소 머신처럼 빠르게 추출한다는 의미를 담고 있다. 새로운 CI는 비정형 빅데이터를 고속으로 분석하는 데이터베이스와 데이터를 기반으로 한 자동화된 의사결정을 표현한다. 회사는 2013년 범용 빅데이터 플랫폼 '로그프레소 엔터프라이즈'를 출시한 이래, 통합로그분석솔루션 '로그프레소 스탠다드'와 정보보호 통합플랫폼 '로그프레소 소나'를 선보였다. 100여개 고객사에 빅데이터 기반 정보보호, 이상거래탐지, 스마트팩토리, 실시간 마케팅, 사물인터넷(IoT) 분석 플랫폼을 구축했다. 작년에는 빅데이터 원천 기술과 사업성을 인정받아 우리은행 혁신성장센터에서 10억원 시리즈A 투자를 유치했다. 인력확충, 파트너 지원체계 개편과 국내외 기업과 전략적 제휴를 통해 핵심 역량을 강화하고 있다. 양봉열 대표는 “지난 7년간 디지털 트랜스포메이션의 핵심 요소인 신뢰성 있는 빅데이터 플랫폼을 제공하고자 최선을 다했다”면서 “제2의 창업이라는 각오로 기술혁신을 지속해나갈 것”이라고 포부를 전했다. 이준희기자 jhlee@etnews.com [https://www.etnews.com/20200131000271](https://www.etnews.com/20200131000271)

2020-01-31

BNK부산은행 “통합 정보보호 위험관리 플랫폼 가동, 보안활동 정량평가 도전”

BNK부산은행이 ‘보안을 혁신적으로 재설계(REDesign SECurity)한다’는 목표로 최근 2년여에 걸쳐 통합 정보보호 플랫폼을 구축했다. 더 정확하고 구체적으로 표현하자면 정보보호 위험평가 기반의 통합 플랫폼이다. 지난해 빅데이터 분석 기반 통합 보안관제 플랫폼과 정보보호 포털을 구축해 효율적인 정보보호 통합 플랫폼 운영환경을 마련한 데 이어 위험관리시스템까지 연계하는 사업까지 마치고 최근 본격 가동을 시작했다. 전성인 BNK부산은행 정보보호부 부장은 “주먹구구식 사이버침해 대응을 넘어 위험평가를 바탕으로 효과적인 정보보호 위험관리를 수행할 수 있는 환경을 마련하기 위한 것”이라며 “잠재 위험과 문제를 먼저 파악해 빠르게 대응할 뿐 아니라, 궁극적으로 정보보호 활동과 투자를 정량적으로 평가해 그 효과를 측정하기 위한 첫걸음을 뗐다”고 말했다. 사이버위협은 갈수록 다양화, 고도화, 지능화되고 있다. 그러다보니 기업에서 운영하고 있는 보안 솔루션 수도 계속 늘어나고 있다. 하지만 보안인력은 부족하다. 국내뿐 아니라 전세계 대부분의 기업이 공통적으로 겪고 있는 상황이다. 수많은 보안시스템에서 쏟아내는 로그와 이벤트를 분석해 우선 처리해야 하는 중요 위협을 골라내고 빠르게 대응하기가 무척 힘들다. 수십개의 보안 솔루션을 운영하지만 복잡성만 커지고 정작 보안 효과는 떨어지고 있다는 지적도 나오고 있다. BNK부산은행 역시 비슷한 상황을 겪고 있었다. 정보보호부는 침해대응부터 내부통제, 개인정보·신용정보 보호, 이상거래탐지·대응, 보안기획·교육·컴플라이언스 대응업무 등까지 수행하면서 160여 개별 시스템을 운영하고 있다. 보안 제품 수만해도 50종이 넘는다. 매일 150기가바이트(GB)의 로그가 발생되는 환경이다. 10여명의 내부 보안인력들이 침해상황과 위협요인을 빠르게 파악해 분석하고 해결하기란 쉬운 일이 아니다. 전 부장은 “보안담당자들의 전문가적 노하우와 스킬, 수작업으로만 해결할 수 없는 시대가 됐다. 그래서 기술을 활용하고 있긴 하지만 보안 제품 수가 증가하고 IT 업무환경 규모도 커지면서 관리 포인트도 함께 늘어났다”며 “통합된 정보보호 플랫폼을 구축해 표준화된 지표를 만들어 객관화하고 시각화해 위협을 필터링, 정제된 위험요인부터 빠르게 대응조치할 수 있는 프로세스를 운영할 필요가 있었다”고 설명했다. 부산은행은 이미 오랜기간 통합보안관리시스템(ESM)을 운영해왔다. 네트워크부터 종합관제체계를 운영하면서 확장해왔다. ESM을 보안 솔루션은 물론 위협관리시스템(TMS), 시스템관리(SMS)·네트워크관리(NMS) 시스템 등과도 연계해 분석했다. 하지만 네트워크부터 애플리케이션, 사용자 영역까지 전체를 포괄하고 분석하는데 한계가 있었다. 부산은행은 스왓(SWOT, 강점·약점·기회·위협) 분석을 수행한 뒤 필요한 요소를 도출해 보안인프라를 혁신적으로 재설계하기 위한 작업에 들어갔다. 전 부장은 “빅데이터 분석같은 신기술을 활용하고, 기존 시스템과도 융합해 통합 플랫폼을 구축할 수 있었다. 여기서 중요한 것은 벤더가 제공하는 솔루션만으로는 완성할 수 없다는 점”이라며 “자체 조직 환경에 최적화된 플랫폼을 만들기 위해서는 정보자산과 내부 보안규정과 구성원의 보안인식 수준과 위협 환경 등을 잘 이해해 솔루션과 융합해 지속적으로 고도화해나가야 한다”고 지적했다. 최적화된 통합 플랫폼을 구축하기 위해 위협 시나리오를 정의하고 위협 관리 프로세스와 보안관제 상황정보 구성 등을 자체적으로 만들었다. 위협 시나리오는 업무기반 위협모델분석(TMA) 방법을 응용했다. 현재 부산은행 정보보호 통합 플랫폼은 빅데이터 기반 로그 분석을 수행하는 통합 보안관제시스템에서 정보보호 운영장비 전체 이벤트 로그를 수집해 보관·분석 단계를 수행한다. 또한 시각화시스템을 적용해 상관분석과 데이터를 추적할 수 있도록 구현했다. 통합관제시스템과 시각화 시스템 사이에 데이터 연동을 원활하게 수행할 수 있도록 상황정보(Context) 데이터베이스(DB)와 연관분석 기능을 포함하고 있는 미들웨어를 배치했다. 미들웨어는 경고알림을 통한 위협탐지와 장애 등 상황전파 기능도 제공한다. 아울러 통합 보안관제시스템은 외부 위협 인텔리전스 서비스, 모든 경보와 사건 이력 분석이 가능한 네트워크 포렌식 시스템과 연계돼 심층적인 사고조사 분석도 수행할 수 있다. 정보보호위험관리시스템은 시각화시스템, 정보보호 포탈과 연계돼 있다. 정보보호 포탈에서 다차원 그래프를 활용한 대시보드 화면에서 한 눈에 보안상황 정보와 보안수준을 한 눈에 볼 수 있으며, 필요한 정보도 쉽게 조회할 수 있다. 전 부장은 “소명이 필요한 위협만 필터링해 담당자에게 알림을 통지하고 이를 받은 담당자는 자동화된 프로세스에 따라 조치방법을 수행하게 된다”라면서 “꼭 필요한 정보는 시각화된 정보를 실시간으로 원하는 것을 보여준다”고 설명했다. 이어 “빅데이터 기술을 적용하기 전에는 대용량 로그를 원하는 방식대로 분석하기가 어려웠다”라면서 “원시 데이터의 정합성은 유지한 채 원하는 상황정보를 정제해 통합해주며, 모든 과정을 프로세스화해 보안담당자뿐 아니라 경영진, 현업의 부서장 등이 보안현황을 알고 싶어할 때 시각적으로 보여준다. 모든 조직구성원들은 보안 관련 역할을 예외없이 수행할 수 있게 됐다”고 덧붙였다. 전 부장은 “정보보호 위험관리시스템까지 연동하게 되면서 자산의 가치와 위협 취약성 평가를 거쳐 발생가능한 위험수준을 파악하고 즉시 해결해야 하는 위험도가 높은 사안을 판별해 해결 시점과 조치방법까지 알려준다”라면서 “보안 사안을 정량화해 측정할 수 있는 지표로 구현하기 시작한 것”이라고 강조했다. 부산은행은 빅데이터 기반 통합 보안관제시스템과 상황인식 기술로 도출된 보안위협에 대해 자동화된 위험평가 프로세스를 거친다. 이를 바탕으로 정보보호 위험관리시스템이 작동된다. 현재 보유하고 있는 정보자산의 중요도와 피해를 주는 위협요소와 취약점 등을 고려해 비즈니스 관점에서 위험도를 등급으로 평가·산정해 객관적이고 정략적인 지표로 제시할 수 있게 됐다. 이것이 바로 핵심리스크지표(KRI)다. 전 부장은 “조직이 가진 정보자산의 가치에 따른 위험도를 측정가능한 지표와 위험평가액으로 산출하고 있다”라면서 “표준적이고 객관적으로 피해액을 산정해 수치화시키고 분석을 통해 계속해서 정형화하고 개선하는 과정을 진행한다면 보다 정확한 보안투자 대비 효과(ROI)를 제시할 수 있게 될 것으로 보인다”며 기대를 나타냈다. 이같은 정보보호 통합 플랫폼 구축 효과로는 “수작업으로 많이 처리하던 침해대응 절차를 자동화해 위협 탐지 식별 필터링 사후조치 검증까지 표준화된 프로세스를 구현할 수 있게 됐다”고 말하고 “데이터 분석수준이 높아져 더 나은 위협 가시성을 확보할 수 있게 됐고 연관분석으로 빠르게 다양한 위협을 판단할 수 있어 업무효율성도 향상됐다”고 밝혔다. 부산은행은 빅데이터 기반 통합관제시스템으로 이디엄의 로그프레소를, 정보보호 위험관리시스템은 RSA 아처를 활용하고 있다. 이같은 프로젝트를 진행하면서 신속한 침해사고 대응과 효율적인 통합보안관제 환경을 운영하기 위해 관제실과 상황실도 구성했다. 부산은행은 지능형 위협을 탐지하고 그 정확도를 높이기 위해 머신러닝 기술을 보안관제에 적용하기 위한 연구도 수행하고 있다. 빅데이터 시각화분석 기술을 적용한 정보보호 통합플랫폼 구축 사례는 지난해 금융보안원이 진행한 금융정보보호 및 금융 빅데이터 활용 아이디어 공모전에서 금융보안 우수사례 부문 최우수상을 받기도 했다. 이 공모전에 제출된 논문은 부산은행 정보보호부 우성훈 과장을 비롯해 김민준 계장 등 총 5명이 작성했다. 글. 바이라인네트워크 <이유지 기자>yjlee@byline.network [https://byline.network/2019/06/12-51/](https://byline.network/2019/06/12-51/)

2019-06-12

[PASCON 2019] 양봉열 이디엄 대표 “로그프레소 소나, 관제체계 단일 정보보호 플랫폼으로 통합…보안기업과 협력”

전국 공공기관과 기업 개인정보보호 및 정보보안 실무자 1천여 명이 참석한 PASCON 2019가 지난 10월 29일 양재동 더케이호텔서울 가야금홀에서 성황리에 개최됐다. 이 자리에서 이디엄 양봉열 대표는 “AI 위협헌팅과 보안운영 자동화, 로그프레소”를 주제로 강연을 진행해 큰 호응을 얻었다. 양봉열 대표는 이번 발표에서 로그프레소 소나의 AI 위협 헌팅과 보안운영 자동화 기술을 소개했다. 그는 보안운영센터가 너무 많은 경보에 시달리고 있는 현실을 지적하며, 위협원에 초점을 맞추지 않는 이벤트 위주의 보안 관제, 자동화 공격으로 생성되는 수많은 경보에 대한 수동 대응, 단순 검색에 의존한 분석 방법 등이 과다한 경보에 압도되는 상황을 만들고 있음을 설명했다. 양 대표는 “과다 경보 문제를 해결하기 위해 AI를 이용한 정오탐 분류 기술이 연구되고 있지만, 여전히 개별 이벤트에 대한 정오탐 분류를 시도하는 사례들이 대다수다. 실제 보안 분석가는 경보를 분석할 때 단일 경보 기록만을 분석하지 않으며 연관된 다양한 위협 지표와 과거 이력, 침해 징후를 복합적으로 검토하여 판단한다. 즉, 개별 경보가 아니라 호스트나 사용자의 일련의 행위에 대해 분석하고 대응해야 한다”고 강조했다. 특히 그는 특허 출원된 기술로 웹 로그에 대해 어떠한 탐지 패턴도 없이 일련의 HTTP 행위 학습을 통해 군집화된 공격을 식별한 여러 사례를 소개했다. 각 HTTP 요청-응답을 개별적으로 검토하는 조건에서는 사람이라도 위협 여부를 확신하기 어렵지만, 일반적이지 않은 일련의 HTTP 요청-응답 행위는 고유의 지문을 형성하기 때문에 공격자로 자동 식별할 수 있게 된다는 것이다. 이러한 행위 학습과 AI 위협 헌팅 기술은 단순한 공격자 탐지에 그치지 않고, 서로 다른 공격자들이 동종의 해킹 툴을 사용하면서 발생시키는 유사한 흔적을 클러스터링해 매우 유사한 공격 패턴은 자동으로 위협을 식별한 후 차단하도록 자동화하는 기반을 제공한다. 또한 악성코드에 감염된 호스트가 발생시키는 DNS 패킷의 DGA 도메인이나 DNS 터널링 트래픽을 AI 헌팅 기법으로 자동 추출한 사례를 제시하며, 실제 구축 가능한 AI 위협 헌팅 기술을 소개했다. 강연 후반에는 보안 운영 자동화에 대한 설명이 이어졌다. 현재의 대응 체계는 탐지 이후 모든 대응을 수작업으로 수행해야 하는데, 실제 침해대응 조치가 필요한 위협 여부를 조사하는데 10분 이상의 시간이 소요된다. 잘 정립된 탐지 체계라 하더라도 하루 약 100건 이상의 티켓이 발생하는데, 이는 매일 24시간 이상 투입해야 모든 티켓에 대응할 수 있다는 의미한다. 보안 오케스트레이션, 자동화, 대응을 수행하는 SOAR 플랫폼은 과거와 달리 다양한 위협 인텔리전스 서비스와 보안 장비를 API로 양방향 연동하면서 수집, 탐지 뿐만이 아니라 대응 여부를 판단하는데 필요한 다양한 위협 분석 정보를 취합하고 격리, 차단 조치를 자동화한다. 또한 플레이북 기능은 위협 유형과 처리 경과에 따라 시스템이나 보안담당자가 수행해야 할 다음 업무를 동적으로 가이드해 대응 프로세스를 표준화된 방식으로 완료할 수 있도록 지원한다고 밝혔다. 그는 로그프레소 소나에서 바이러스 토탈, 시큐디움 인텔리전스, 팔로알토 네트웍스 방화벽, 액티브 디렉터리, RSA 넷위트니스에서 제공하는 다양한 API를 자동화된 방식으로 위협 분석에 활용하는 실제 사례를 제시하며, 확장성 있는 플러그인 아키텍쳐 기반의 SOAR 플랫폼만이 다양한 서드파티 앱 생태계를 포괄할 수 있음을 강조했다. 현재 대다수 보안 솔루션의 API 지원체계가 부족한 편인데, SOAR가 확산되면 자동화 가능한 보안 솔루션이 선호될 수밖에 없음을 강조하면서, 국내외 제조사와 전략적 사업 협력을 통해 SOAR 생태계를 만들어 가겠다고 밝혔다. 양봉열 대표의 이번 PASCON 2019 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. 한편 이디엄은 빅데이터 및 머신러닝 원천 기술을 기반으로 빅데이터 플랫폼 "로그프레소 엔터프라이즈(Logpresso Enterprise)"와 정보보호통합플랫폼 "로그프레소 소나(Logpresso Sonar)"를 개발하여 공급하고 있다. 로그프레소 플랫폼은 2013년 이래 지금까지 금융, 공공 등 100개 이상의 고객사에 구축되어 운영되고 있다. '로그프레소 소나'는 외부침해관제시스템(SIEM), 내부유출탐지시스템(UEBA), 개인정보관제시스템(PIMS), 통합로그관리시스템 등 이전에 개별적으로 운영하던 관제체계를 단일 정보보호 플랫폼으로 통합한다. 이를 통해 C-레벨부터 업무 담당자에 이르기까지 일관된 가시성을 제공하고 중복투자를 최소화하며 전사적 위협을 효과적으로 탐지, 대응할 수 있다. 특히, 이번 PASCON 2019에서 처음 선보이는 로그프레소 소나의 보안 오케스트레이션, 자동화, 대응(SOAR) 기능은, 위협 분석 및 대응 과정에서 위협 인텔리전스와 보안 장비 API 연계를 통해 단순 반복적인 수작업을 자동화하고 보안운영 절차의 표준화를 지원한다. 이는 보안 담당자의 업무 효율성을 혁신적으로 향상시키고, 일관된 대응 프로세스 수행으로 업무 경력과 관계없이 일정 수준 이상의 분석, 대응을 보장하며, 보안 담당자가 오탐지 경보가 아닌 실질적인 위협 분석에 전념할 수 있도록 한다. 양봉열 대표는 “보안운영 자동화와 클라우드 도입에 따른 정보보호 관리체계의 변화가 내년의 주요 이슈가 될 것으로 보인다. 국내외 주요 보안 솔루션 제조사와 전략적 사업 협력을 통해 SOAR 플랫폼 생태계를 구축하고 시장을 개척해나갈 계획이다”라고 밝혔다.

2019-11-01