10억개 빅데이터 분석…5분만에 해킹 공격 탐지(시만텍 싱가포르 보안운영센터)

"사이버 공격, 모바일 클라우드 IoT로 확산"
인공지능·빅데이터 강화해 대응 속도 높여

피터 스팍스 시만텍 아·태 사이버보안서비스 수석이사가 최근 가동을 시작한 싱가포르 보안운영센터(SOC)에서 보안 위협 탐지 과정을 설명하고 있다. 시만텍 제공

최근 홍콩에 있는 대형 에너지기업 A사의 내부 전산시스템에 저장된 기밀 정보를 빼내려는 해킹 시도가 발생했다. 브라질에 경유 서버를 둔 한 해커가 A사 직원의 PC에 악성코드를 심어 기밀정보를 수집한 뒤 이를 빼내 가려고 한 것. 하지만 시만텍의 보안 관제팀이 이상 징후를 발견하고 신속히 대응해 기밀 정보 유출을 막을 수 있었다. 

해커가 악성코드로 수집한 정보를 브라질의 경유 서버로 옮기는 과정에서 발생한 통신 기록에서 악성코드를 명령·제어하는 정보가 포함된 것을 찾아낸 덕분이다. 글로벌 1위 보안업체 시만텍이 보유하고 있는 사이버 보안 관련 데이터베이스(DB)의 위력이다.  피터 스팍스 시만텍 아시아·태평양 지역 사이버보안서비스 수석이사는 “보안 위협은 신속한 탐지와 대응이 중요하다”며 “시만텍 보안관제센터(SOC)는 빅데이터 분석 플랫폼과 보안 전문인력을 통해 보안 위협이 발생한 지 3~5분 안에 탐지할 수 있다”고 강조했다. 

◆빅데이터로 대응시간 단축 

시만텍은 최근 싱가포르에서 24시간 운영하는 SOC 가동에 들어갔다. 아시아·태평양 지역 기업 등을 대상으로 보안관제 서비스를 제공하는 이곳에는 25명의 보안 전문가가 4개조로 근무하고 있다. 시만텍은 아·태지역의 사이버 보안관제 시장이 커질 것으로 보고 내년 말까지 5000만달러를 추가 투자하고 전문인력도 대폭 늘릴 예정이다. 시만텍은 미국 영국 호주 인도 일본 싱가포르 등 6개국에서 SOC를 운영하고 있다.

사미르 카푸리아 시만텍 사이버보안서비스 총괄수석부사장은 “조직화된 해킹 집단이 정부기관이나 특정 기업을 표적으로 지속적으로 공격하기 때문에 24시간 모니터링이 중요하다”고 말했다. 스팍스 수석이사는 “시만텍이 고객사에서 수집한 로그파일 수가 6000만개에서 2년 만에 10억개로 급증했다”며 “방대한 로그파일을 짧은 시간 안에 분석하기 위해선 빅데이터 분석, 머신러닝(기계학습) 기술이 필요하다”고 설명했다. 로그파일은 컴퓨터 시스템의 모든 사용 내역을 기록하는 파일이다. 시만텍은 인수합병(M&A) 등을 통해 빅데이터 분석 및 머신러닝 기술을 활용한 사이버보안 역량을 강화한다는 방침이다. 


◆보안업체 간 협력 강화 

카푸리아 부사장은 “사이버 공격 표적이 모바일, 클라우드, 사물인터넷(IoT)으로 확대되고 있다”며 “중요 파일을 암호화해 돈을 요구하는 랜섬웨어 등이 기승을 부리면서 해킹 피해가 갈수록 커지고 있다”고 말했다. 표적 집단이 자주 방문하는 웹사이트를 감염시켜 방문자의 PC에 악성코드를 심거나 특정 기업이 사용하는 소프트웨어 업데이트 파일에 악성코드를 퍼뜨리는 등 사이버 공격 기술이 갈수록 고도화되고 있다는 설명이다. 

스팍스 수석이사는 “보안 위협을 분석하고 우선순위에 따라 대응하기 위해선 빅데이터를 단순히 수집하는 데 그치지 않고 효율적으로 활용할 수 있는 전략이 필요하다”고 강조했다. 단순히 인터넷프로토콜(IP), 악성코드 유형 등을 수집하는 것뿐 아니라 어떤 인터넷주소에서 보안 위협이 발생했는지, 어떤 사이버 공격자가 사용한 악성코드인지 등 복합적인 정보체계를 구축해야 한다는 것이다. 시만텍은 최근 포티넷, 팰러앨토네트웍스 등 보안업체들과 사이버위협연합(CTA)을 결성해 정보 공유 등 공동대응 방안을 모색하고 있다. 

출처 및 저작권: 한국경제 싱가포르=추가영 기자 gychu@hankyung.com

http://www.hankyung.com/news/app/newsview.php?aid=2015120633781&intype=1