IBM 기술을 결합하여 사이버 보안 관리 개선

대체 은행을 위한 기술 공급자인 Data Action(DA)은 2020년에 철저한 시장 평가를 거쳐 보안 정보 및 이벤트 관리(SIEM) 플랫폼 리프레시 프로젝트를 위해 지역 보안 컨설팅 및 서비스 전문업체인 Vectra와 계약을 체결했습니다.

선정된 SIEM 솔루션인 IBM® Security QRadar는 VMware와 IBM® FlashSystem 스토리지를 사용한 가상화 어플라이언스 형태로 배포되었습니다. QRadar를 가상화 어플라이언스로 배포하는 것은 일반적이지만, 이러한 워크로드에 고성능 FlashSystem 스토리지 컨트롤러를 사용하는 것은 일반적이지 않습니다.

QRadar 데이터를 저장하기 위해 IBM의 독자적인 IBM® FlashCore Module(FCM) 기술을 사용함으로써 보안 운영 센터(SOC)의 보안 위협 분석 능력이 크게 향상되었습니다. 전반적인 응답 시간 개선 효과는 매우 두드러졌으며, 일부 경우 이전 SIEM 솔루션과 비교해 분석 시간이 몇 시간에서 몇 분으로 단축되었습니다.

충분한 컴퓨팅 및 스토리지 리소스가 제공될 때에만 지능형 인사이트와 빠른 대응 시간이 가능합니다. 효과적인 SIEM 솔루션은 온프레미스와 클라우드 리소스를 아우르는 복잡한 운영 환경에서 방대한 양의 데이터를 수집해야 합니다. 더 나은 인사이트를 얻기 위해 필요한 복잡한 분석은 방대한 데이터에 대한 액세스를 요구합니다. 이러한 환경에서는 고성능 저지연 스토리지를 사용할 때만 빠른 대응 시간이 가능합니다.

이러한 이유로 DA는 2020년에 철저한 시장 평가를 거쳐 조직의 SIEM 솔루션으로 QRadar를 도입했습니다. 이 솔루션은 전용 VMware 클러스터 내의 가상 어플라이언스로 구성되었으며 모든 데이터 보관에 FlashSystem 스토리지를 사용했습니다.

QRadar는 상황 인식과 규정 준수 지원을 제공하는 네트워크 보안 관리 플랫폼입니다. QRadar는 흐름 기반 네트워크 정보, 보안 이벤트 상관 분석 및 자산 기반 취약점 평가를 결합하여 사용합니다.

Gartner의 Security Information and Event Management Magic Quadrant 보고서에서 IBM은 12년 연속 SIEM 리더로 선정되었습니다.

FlashSystem 포트폴리오는 엔트리, 미드레인지 및 고성능 워크로드에 적합한 다양한 블록 스토리지 컨트롤러 제품군입니다. 모든 모델은 임베디드 시스템 소프트웨어로 IBM® SAN Volume Controller의 IBM® Spectrum Virtualize 소프트웨어를 사용합니다. 동일한 소프트웨어를 사용함으로써 일반적으로 고급 솔루션에서만 제공되는 많은 기능을 엔트리 및 중간급 모델에서도 사용할 수 있습니다.

IBM® FlashSystem 5200, 7200, 7300, 9200 및 9500 모델의 핵심에는 IBM® FlashCore 기술이 있습니다.

IBM FlashCore는 IBM 스토리지에만 적용되는 기술로, 타사 올플래시 어레이에서 사용하는 솔리드 스테이트 드라이브(SSD)와 달리 컨트롤러 설계에 다양한 기술을 적용하여 뛰어난 성능과 향상된 복원력을 제공합니다.

• 최저 70마이크로초의 지연 시간으로 I/O를 처리하여 성능 병목을 해소합니다.
  
  
• FCM은 데이터 축소를 위해 임베디드 하드웨어를 사용합니다. 데이터 축소는 데이터가 모듈에 기록되는 속도와 동일하게 수행되며 성능에 영향을 주지 않습니다.

FCM은 업계 표준 범용 SSD보다 최대 7배 높은 플래시 내구성을 제공하도록 설계되어 고객의 문제 발생을 줄입니다. 또한 SSD 장애 대응이나 드라이브 재구성에 시간을 소모할 필요가 없습니다.

DA는 호주의 주요 고객 소유 챌린저 은행, 애그리게이터 및 종교 기반 부문을 위한 전문 소프트웨어 및 서비스 공급자로 발전했습니다. DA의 유연한 플랫폼 아키텍처는 “플러그 앤 플레이” 통합을 통해 다양한 선택 옵션을 제공합니다. DA의 제품군은 코어 뱅킹 플랫폼에서 출발해 “호주의 챌린저 은행을 위한 코어 및 디지털 뱅킹을 지원한다”는 회사의 목적을 뒷받침하는 완전한 뱅킹 에코시스템으로 발전했습니다.

DA는 애들레이드, 시드니, 멜버른, 브리즈번에 200명 이상의 직원을 두고 전국적으로 운영되며, 코어 뱅킹 및 디지털 플랫폼을 통해 160만 명 이상의 호주 고객의 금융 경험을 향상시키고 매일 260만 개 계좌에서 3억 건의 고객 거래를 처리합니다.

DA의 서비스는 독창적이며, 프라이빗 및 퍼블릭 클라우드 환경에서 기술 서비스를 구성, 마이그레이션, 호스팅, 로컬 지원, 통합 및 유지 관리합니다. 여기에는 서비스 제공, 거버넌스 및 커뮤니케이션을 단일 주체가 담당하는 검증된 엔드투엔드 운영 모델이 포함됩니다. 이는 멀티 벤더 IT 환경의 복잡성과 상호 운용성 증가로 인해 발생하는 통합 문제와 책임 소재 문제를 제거합니다.

DA의 강력한 파트너십 접근 방식은 고객이 지속적으로 회원 대상 서비스를 개선할 수 있도록 지원합니다. 현재 DA는 회원 가치를 높이기 위해 최상의 솔루션을 제공할 수 있도록 플랫폼에 200개 이상의 파트너를 보유하고 있습니다.

DA의 마켓플레이스 플랫폼 접근 방식은 경쟁을 유지하고 제공 속도를 높이기 위해 파트너 선택의 유연성을 제공하며, 고객에게 목적에 적합한 파트너십을 제공합니다. DA의 파트너십 팀은 제품, 고객 및 솔루션 팀과 긴밀히 협력하여 솔루션이 고객과 회원에게 가치를 제공하도록 보장합니다.

DA는 금융 서비스 고객의 인터넷 노출 영역의 상당 부분을 직접 관리합니다. 그 결과 DA는 고유한 인사이트를 확보하고 상호 금융 부문 전반에 걸쳐 이동하는 위협 패턴을 관찰할 수 있습니다.

DA는 호스팅된 뱅킹 서비스를 보호하기 위해 강력하고 다계층적인 사이버 보안 역량을 제공합니다. DA의 프로세스는 예방적 통제의 엄격하고 신뢰할 수 있는 운영을 보장하며, 사고 발생 시 탐지, 대응 및 복구를 수행할 수 있도록 사전 훈련된 체계적이고 조직 전반의 역량을 갖추고 있습니다.

DA는 고객의 비즈니스와 최종 사용자를 보호하기 위해 다양한 보안 서비스와 기술을 활용하여 제품을 보호합니다. 여기에는 웹 애플리케이션 방화벽, 차세대 방화벽 및 엔드포인트 보호, 종합적인 보안 모니터링, 취약점 관리, 정기적인 외부 침투 테스트가 포함됩니다.

SIEM은 DA에 있어 핵심 플랫폼으로, 다음과 같은 방식으로 사이버 보안 역량을 지원합니다.

• DA 환경에서 발생하는 매우 방대한 활동 데이터를 수집하고 처리합니다.
  
  
• 해당 데이터에 대해 보안 분석을 수행하여 환경 내 잠재적으로 악의적인 활동을 식별하고 DA에 경고합니다.
  
  
• DA 환경의 활동을 알려진 침해 지표와 비교하여 잠재적인 보안 침해를 DA에 경고합니다.
  
  
• 보안 경고의 분류와 포렌식 조사를 수행할 수 있도록 지원합니다.
  
  
• 높은 복원력과 무결성을 갖춘 보안 이벤트 데이터를 저장하여 DA의 규정 준수 요구 사항을 충족합니다.
  
  
• 운영 문제 해결을 지원하기 위해 다양한 팀이 환경 전반의 활동을 분석할 수 있도록 지원합니다.

강력한 플랫폼이 없다면 DA는 보안 사고를 탐지할 가능성이 낮아지고, 식별된 보안 사고에 대한 대응 효과도 떨어지게 됩니다. 또한 보안 관련 데이터의 모니터링 및 보관에 대한 규정 준수 요구 사항을 충족할 수 없습니다.

이번 프로젝트로 대체된 기존 SIEM 구현은 수명 종료에 가까운 하드웨어 어플라이언스 기반 솔루션이었습니다.

이번 리프레시를 통해 DA가 개선하고자 했던 주요 영역은 다음과 같습니다.

•  데이터 소스에 적합한 기본 제공 파서 라이브러리를 갖춘 플랫폼을 선택하여 데이터 수집 유지 관리 부담을 줄입니다.
  
  
• 기본 제공 보안 모니터링 활용 사례를 개선하여 관리 부담을 줄입니다.
  
  
• 지속적인 연구개발과 투자가 입증된 플랫폼을 선택합니다.
  
  
• 전반적인 데이터 수집 복원력을 향상시킵니다.
  
  
• 스토리지 용량 확장에 대한 제약을 줄이기 위해 하드웨어 종속성을 제거합니다. 기존 플랫폼에서 성능 대비 스토리지를 확장하는 비용은 최신 스토리지 기술과 비교해 매우 경쟁력이 낮았습니다.
  
  
• 복잡하고 대규모 쿼리 성능을 개선합니다. 쿼리 하나에 12시간이 걸리는 경우가 일반적이었으며, 이는 보안 침해 시 대응 시간을 지연시킬 수 있었습니다. 자기 디스크 사용으로 인해 스토리지 성능에 제약이 발생한다는 점이 확인되었습니다.
  
  
• 이전 데이터 세트에 대한 포렌식 조사 수행 능력을 개선합니다. 기존 플랫폼의 백업 및 복구 기능은 전부 아니면 전무 방식이어서 현재 보관 기간을 벗어난 데이터 복원이 매우 어려웠습니다.

QRadar는 주로 이벤트와 플로우를 수집, 파싱 및 분석하는 개념을 중심으로 작동합니다.

이벤트는 네트워크 방화벽을 통한 데이터 허용, 사용자 시스템 로그인, 데이터베이스 접근 등과 같이 관심 있는 활동이 발생했음을 나타내는 데이터입니다. 이벤트는 SIEM의 기본 데이터입니다. 이벤트는 네트워크 라우터, 서버와 같은 장치뿐만 아니라 애플리케이션에서도 생성됩니다. 로그는 이벤트 데이터로 구성된 데이터베이스입니다.

플로우는 네트워크 장치에 직접 연결하여 통과하는 트래픽을 모니터링함으로써 얻는 네트워크 패킷 데이터입니다. 플로우에는 출발지 및 목적지 IP 주소, 전송된 데이터 양, 사용된 애플리케이션 등의 정보가 포함됩니다. 플로우는 특정 유형의 공격을 탐지하는 데 매우 중요할 수 있습니다. 실제 네트워크 패킷 전체가 아니라 헤더 또는 네트워크 전송의 처음 몇 백 바이트만 캡처 및 저장된다는 점에 유의해야 합니다.

QRadar가 서버와 네트워크 장치에서 수신한 데이터를 처리하는 방식을 이해하려면 IBM Security QRadar 시스템의 작동을 세 개의 계층으로 나누어 생각하면 됩니다.

• 데이터 수집
  데이터 수집 계층은 고객 네트워크에서 수집된 이벤트 및 플로우와 같은 보안 데이터를 수집합니다. 이 계층은 데이터를 수집, 파싱 및 정규화한 후 추가 처리 및 저장을 위해 다음 계층으로 전달합니다.

• 데이터 처리
  데이터가 수집되면 처리 계층은 QRadar의 Custom Rules Engine(CRE)을 사용하여 이벤트 및 플로우 데이터를 실시간으로 처리합니다. CRE는 위반 사항과 경고를 생성하는 역할을 담당합니다. 또한 이 계층에서 데이터가 스토리지에 기록됩니다.
  
  QRadar의 데이터 처리는 여러 프로세서에 걸쳐 병렬로 수행됩니다. 데이터가 프로세서 가까이에 저장되고 다수의 프로세서에 걸쳐 고도로 분산된 방식으로 검색 및 상관 분석이 수행되는 아키텍처는 전체 시스템 성능 향상에 크게 기여합니다.

• 데이터 검색
  최상위 계층은 콘솔로, QRadar 사용자 인터페이스를 제공합니다. 수집 및 처리된 데이터의 결과는 대시보드, 보고서 및 검색을 통해 제공됩니다. 콘솔은 위반 사항 조사 기능을 제공하며 경고를 생성할 수 있습니다. 관리자는 콘솔을 사용하여 QRadar를 관리합니다.

이러한 계층 구조는 QRadar의 규모, 복잡성, 로그 소스 수 또는 설치 및 연결된 모듈과 관계없이 모든 배포 구조에 적용됩니다.

앞서 언급한 것처럼 Gartner는 Security Information and Event Management Magic Quadrant 보고서에서 QRadar를 SIEM 리더로 선정했습니다. QRadar가 리더로 인정받는 이유는 다양하지만, 그중에서도 고급 Index Management 기능은 주요 차별화 요소입니다.

사용자가 어떤 데이터를 찾는지 이해한 후 자주 검색되는 속성에 대해 인덱스를 활성화하면 인덱싱의 가치가 극대화됩니다. Index Management 기능은 어떤 속성이 검색되고 있는지, 어떤 검색이 인덱스를 사용하는지에 대한 통계를 관리자에게 제공합니다. 관리자는 이를 기반으로 인덱스를 활성화, 조정 또는 비활성화하여 전체 성능을 개선할 수 있습니다.

추가 속성에 대해 인덱싱을 활성화하면 이점과 함께 잠재적인 단점도 존재합니다. 추가 인덱싱은 데이터 기록 시 시스템 성능에 영향을 미치며 추가 스토리지 용량을 필요로 합니다. IBM® FCM을 사용하면 이러한 두 가지 단점을 효과적으로 완화할 수 있습니다. 고성능 기업 환경을 위해 설계된 FCM은 지속적으로 대용량 데이터를 수집하면서 인라인 데이터 압축을 적용할 수 있으며, 하드웨어 가속 I/O를 활용하여 성능 저하 없이 이를 모두 수행할 수 있는 점에서 차별화됩니다.

DA는 두 개의 전용 물리 서버로 구성된 전용 VMware 클러스터에 QRadar SIEM 솔루션을 배포했습니다. 해당 환경의 스토리지 요구 사항은 호스트에 직접 연결된 전용 IBM FlashSystem 7200에서 프로비저닝됩니다.

완전한 장애 허용 아키텍처로 구현이 가능하지만, 현재 배포된 SIEM 솔루션은 고가용 로그 수집 및 조회 기능만 제공합니다. QRadar Processor와 QRadar Console 어플라이언스는 이중화되어 있지는 않지만, 가상 어플라이언스로서 ESXi 호스트 간 마이그레이션이 가능한 유연성을 제공합니다.

DA의 SIEM 리프레시 프로젝트 평가에는 조사 과정에서 일반적으로 수행되는 작업의 응답 시간을 벤치마킹하는 테스트가 포함되었습니다. QRadar 솔루션이 완전히 운영됨에 따라 최근 고우선순위 조사에서 수행된 작업이 기록되었습니다. 각 작업마다 다음 데이터가 기록되었습니다.

• 각 작업의 쿼리가 실행된 과거 기간
  
  
• 분석된 데이터 세트의 크기(해당되는 경우)
  
  
• 작업 완료에 소요된 시간

분석의 복잡성과 규모에 대한 컨텍스트를 제공하기 위해 과거 기간과 데이터 세트 크기가 공개되었습니다.

비교를 위해 DA 사이버 보안 팀은 이전 SIEM에서 동일한 작업에 대한 상대적인 완료 시간을 제공했습니다. 두 SIEM 시스템을 나란히 테스트하여 결과를 비교하는 것이 이상적이었지만, QRadar가 운영되면서 이전 SIEM 솔루션이 폐기되어 이는 불가능했습니다.

이전 SIEM 솔루션의 완료 시간이 추정치임을 인정하면서도, 다음과 같은 이유로 여전히 의미가 있습니다.

• 해당 추정 완료 시간은 두 시스템에 모두 정통한 숙련된 팀원의 판단을 기반으로 합니다.
  
  
• DA의 SIEM 리프레시 프로젝트의 일환으로 QRadar의 상대적 성능이 기존 시스템과 비교 테스트되었으며, 전반적인 성능의 큰 향상은 다른 후보 솔루션보다 해당 제품을 최종 선택하는 데 중요한 요인이 되었습니다.
  
  
• 이전 SIEM 솔루션의 로그와 데이터는 유지되어 동일 작업에 대한 성능 검증에 사용할 수 있습니다.

무엇보다 중요한 점은 QRadar에서 동일한 작업의 완료 시간이 이전 SIEM 시스템보다 수십 배 이상 빠르다는 것입니다. 이전 SIEM 솔루션의 추정 완료 시간에 큰 오차 범위를 적용하더라도 QRadar의 작업이 훨씬 짧은 시간에 완료된다는 점은 충분히 타당합니다. 과거에는 몇 시간이 걸리던 작업이 이제는 몇 분 만에 완료됩니다. 마찬가지로 몇 분이 걸리던 보고서 실행이 이제는 몇 초 만에 완료됩니다.

2020년에 DA는 기존 SIEM 솔루션을 교체하는 프로젝트를 수행했습니다. 모든 조직의 비즈니스 계획에는 강력한 사이버 보안 전략이 필요하지만, 신용조합, 은행 및 기타 금융 기관에 핵심 뱅킹 서비스를 제공하는 조직에 있어 그 중요성은 아무리 강조해도 지나치지 않습니다. 철저한 평가 과정을 거친 후 DA는 기존 SIEM 솔루션을 가상화 환경에서 실행되고 FlashSystem 스토리지를 사용하는 QRadar로 교체하기 위해 Vectra와 계약을 체결했습니다.

초기 벤치마킹 테스트와 실제 운영 모두에서 QRadar 배포는 보안 관련 이벤트를 조사하는 데 매우 효과적이고 강력한 도구임이 입증되었습니다. VMware 클러스터 내에 QRadar 구성 요소를 배포하면 물리적 공간 축소, 전력 비용 절감, 그리고 더 높은 유연성과 향후 확장성 등 다양한 이점을 제공합니다. IBM FCM 기술이 적용된 FlashSystem 스토리지를 도입함으로써 DA는 고성능과 높은 신뢰성을 위해 설계된 솔루션의 이점을 누리고 있습니다.

QRadar의 인덱스 최적화 기능과 고성능 스토리지 플랫폼을 결합하여 DA는 일반적인 쿼리 실행 시간을 몇 분에서 몇 초로 크게 단축할 수 있었습니다. 그 결과 사고 대응, 정기적인 환경 점검 및 보고를 포함한 DA의 모든 SIEM 활용 사례 전반에서 명확한 성능 개선이 이루어졌습니다. 더 빠른 보안 이벤트 분석은 사고 분류 및 대응을 개선하며, 이는 전체적인 영향 감소로 이어지는 것으로 알려져 있습니다. 더 빠른 환경 점검은 보안 분석가의 작업 시간과 피로도를 줄여 보다 생산적인 업무에 집중할 수 있는 시간을 제공합니다.

QRadar와 IBM FlashCore 기술을 도입함으로써 DA는 이제 이전 SIEM 솔루션 대비 극히 짧은 시간 내에 사고 분석과 보고를 수행할 수 있습니다. 데이터 유출의 평균 비용이 수백만 달러에 달하는 상황에서 더 빠른 탐지 속도를 제공하는 솔루션의 비즈니스 가치는 명확하며, 시간과 비용 측면에서 잠재적인 절감 효과를 제공합니다.

FCM이 탑재된 FlashSystem 스토리지 컨트롤러의 도입이 중요한 요인이기는 하지만, 이것만이 성능 향상의 유일한 이유라고 단정하는 것은 지나치게 단순한 해석입니다. 성능 향상은 QRadar 제품 자체, 특히 Index Management 기능에서도 비롯된 것으로 볼 수 있습니다. 성능 향상의 원인이 무엇이든 간에, DA 사례에서는 IBM 기술의 결합이 조직의 보안 목표를 달성하는 데 매우 효과적임이 입증되었습니다.

전 Data Action 사이버 보안 책임자

Simeon Finch(BCompSc, MCSE, VCAP)는 DA의 전 사이버 보안 책임자로, 사이버 보안 팀, 기술, 규정 준수 프로세스 및 전략 전반에 대한 책임을 맡았습니다.

Simeon은 기술 리더십, 아키텍처 및 사이버 보안 리더십을 포함한 다양한 IT 분야에서 20년 이상의 경력을 보유하고 있습니다. Simeon은 TOGAF 인증을 받았으며 SABSA 공인 보안 아키텍트로, 에너지 분야 사이버 보안 법제와 금융 서비스의 오픈 뱅킹과 관련된 연방 정부의 Critical Infrastructure Centre와 같은 대규모 프로젝트에 기여했습니다.

DA, 수석 사이버 보안 분석가

Lucien Dabrowski는 DA의 수석 사이버 보안 분석가로 보안 모니터링, 사고 처리, 사이버 규제 및 규정 준수 요구 사항 이행을 담당하며 사이버 위협에 대한 효과적인 예방, 탐지, 대응 및 복구를 위해 DA의 사이버 보안 성숙도를 지속적으로 향상시키는 역할을 수행합니다.

Lucien은 ICT 인프라 배경을 바탕으로 8년 이상의 사이버 보안 경험을 보유하고 있습니다. 그는 여러 대규모 SIEM 플랫폼을 설계, 구축 및 운영한 SIEM 전문가입니다. Lucien은 DA와 더 넓은 커뮤니티 전반에 걸쳐 멘토링과 기술 지침을 적극적으로 제공합니다.

IBM, 기술 제품 전문가

Brendan Scott(MIT, BEng)는 IBM의 기술 제품 전문가로 A/NZ 지역에서 IBM® Systems Storage 포트폴리오를 중심으로 고객과 파트너를 지원하는 데 주력하고 있습니다.

Brendan은 다양한 IT 직무와 산업 분야에서 25년 이상의 경력을 보유하고 있습니다. IBM에서 10년 동안 근무하며 Brendan은 기술 자문과 지침을 통해 IBM 하드웨어 및 소프트웨어 솔루션을 활용하는 고객과 파트너의 가치를 극대화해 왔습니다.

Vectra, 사이버 보안 솔루션 매니저

Jesse는 보안 솔루션 및 관련 관리형 보안 서비스의 도입, 자문, 구현 및 지속적인 지원 전반을 담당합니다. 그는 Vectra의 보안 컨설팅, 침투 테스트, 보안 운영 센터(SOC) 및 사고 대응 팀과 긴밀히 협력하여 ANZ 지역 고객을 지원합니다.

DA는 호주의 지역 신용조합과 상호 은행들이 코어 뱅킹 서비스를 운영하기 위해 1986년에 협동조합 형태로 설립한 기술 기업입니다. 상호 금융 기관에 의해 설립되고 상호 금융 기관을 위해 운영된다는 전통은 오늘날에도 DA 비즈니스의 핵심에 자리 잡고 있습니다.

Vectra는 호주에서 소유 및 운영되는 선도적인 사이버 보안 기업입니다. 2001년부터 아시아 태평양 전역에 전문 컨설팅 서비스, 관리형 보안 서비스 및 보안 솔루션을 제공해 왔습니다. Vectra 팀은 거버넌스 위험 및 규정 준수(GRC) 컨설팅, 침투 테스트 및 취약점 평가, 엔드포인트 보안, 네트워크 보안, ID 보안, 클라우드 보안, 관리형 SIEM, 사고 대응 등을 포함한 다양한 경험과 역량을 제공합니다.