클라우드 보안 정보 및 이벤트 관리(SIEM, Security Information and Event Management) 전문기업 로그프레소(대표 양봉열)는 ‘플러그인을 이용한 통합보안관제시스템의 데이터 수집 및 위협 탐지 기능의 확장 방법’ 기술에 대한 특허를 등록했다고 21일 밝혔다.
양봉열 로그프레소 대표는 “제1금융권에서 사용하는 보안 제품의 종류가 80종 이상이며, 각각의 기능이 상이해 더 이상 과거에 사용하던 소수의 이벤트 포맷을 기준으로 탐지 규칙을 작성할 수 없는 상황”이라며 “연동 제품별 로그에 대해 확장성 있는 방식으로 자산, 사용자, 공격 패턴(MITRE CAPEC), 공격 기법(MITRE ATTACK TTP) 메타데이터를 추가하는 로그 정규화 및 탐지 규칙을 배포하고, 정찰-침투-정보유출-파괴 등 공격 단계의 변화를 자동으로 분석하는 기능을 제공하는 것이 로그프레소의 목표”라고 특허 등록 배경을 설명했다.
이번에 로그프레소가 획득한 특허는 로그 정규화 및 위협 탐지 규칙을 각각의 앱에 내장해 플러그인 형태로 배포하는 기술이다. 사용자가 앱 설치 후 로그 수집 설정만 추가하면 앱에 내장된 탐지 규칙으로 단위 이벤트를 생성하고 자산이나 임직원 기준으로 자동 연관분석(Auto Correlation)을 수행해 높은 정확도의 위협 탐지를 구현하는 것이 기술의 핵심이다.
탐지 시나리오 이미지.
이번 특허는 사용자에게 로그프레소 제품 운영 및 유지보수의 편의를 제공할 뿐 아니라, 현재 도입한 보안 제품이 어떤 공격 기법(MITRE ATTACK TTP)에 대한 탐지 능력을 제공하는지 전반적인 현황을 파악할 수 있게 지원한다. 이에 따라 어떤 제품을 추가 도입하면 현재 탐지 능력이 부족한 부문을 보완할 수 있는지 즉각 파악할 수 있다. 또 보안 기업들은 로그프레소와의 협업을 통해 기존 로그프레소 고객에게 TTP(Tactics, Techniques, Procedures) 탐지 능력을 기준으로 제품 도입을 제시할 수 있을 것으로 기대하고 있다.
레거시 SIEM은 보안 제품 연동 시 로그 파싱, 정규화, 위협 탐지 규칙, 대시보드 및 보고서 설정과 같은 수많은 단계를 엔지니어 경험과 수작업에 의존해야만 했다. 최근 등장한 확장형 탐지 및 대응 기술(XDR)은 단일 벤더가 수많은 보안 기능을 하나의 제품으로 결합해 복잡한 설정 없이 수집, 탐지, 대응을 자동으로 수행하므로 운영이 편리하다는 장점을 가진다.
관련기사
- 민주당, 김홍일 방통위원장 탄핵 추진..."6월내 통과 목표"2024.06.27
- 김홍일 위원장 "2인 체제 방통위, 바람직하지 않지만 위법 아니다”2024.06.21
- LG 구광모 6년...AI·바이오·클린테크 키운다2024.06.28
- 화재 막는 배터리 진단기술 뜬다...민테크, 상장 후 존재감 '쑥쑥'2024.06.28
