조직들은 사이버 위협을 탐지, 대응 및 복구하기 위해 보안 로그에 의존합니다. 그러나 이러한 로그는 전체 데이터를 캡처하고 위협을 실시간으로 탐지할 수 있을 만큼 빠르게 처리할 수 있을 때에만 유용합니다.
대부분의 로그는 데이터 누락 현상(data gap)이 있으며, 그 원인은 바로 스토리지 인프라입니다.
스토리지가 느리거나 노후화되면, 사이버 회복력이 크게 약화됩니다. 다음은 그 구체적인 이유와 해결 방법입니다.
데이터 가시성이란?
일반적으로 데이터 가시성이란 데이터가 어디에 있는지를 파악하는 것입니다. 하지만 안전한 IT 환경을 유지하는 맥락에서는 데이터 가시성이 곧 보안 분석을 의미합니다. 즉, 이상 징후를 탐지하고, 위협을 식별하며, 이를 실시간으로 차단하는 능력을 의미합니다.
| 데이터 가시성 이상 징후를 탐지하고, 위협을 식별하며, 피해 발생 전 대응하는 보안 분석 역량 |
보안 로그가 이 역할을 수행하는 거 아닌가요? 맞습니다. 하지만 여기에는 큰 한계가 있습니다.…
보안 로그: 빠를 때만 효과적인 방어선
보안 로그는 시스템 활동을 추적하고 위협을 식별하며, 디지털 포렌식 증거로도 사용됩니다. 하지만 로그가 효과를 발휘하려면 데이터가 빠르게 수집되고 처리되어야 합니다.
현대 사이버 위협은 속도가 매우 빠릅니다. 공격자가 일반 사용자로 로그인한 뒤, 관리자 권한을 얻기까지 걸리는 평균 시간은 48분입니다.
이 시간을 브레이크아웃 타임(Breakout Time)이라 부릅니다. 관리자가 된 공격자는 포착하기 어렵고, 그들이 움직이기 전에 로그가 실시간으로 반응하지 못하면 대응이 불가능해집니다. 최근 한 공격은 27분 만에 브레이크아웃이 이뤄졌습니다. 보안팀에 실시간 로깅이 부족한 경우, 공격자는 아무도 알아차리기 전에 시스템 전반적으로 확산될 수 있습니다.
즉, 느린 로그는 사후 대응밖에 할 수 없습니다. 그리고 바로 이 지점에서 스토리지 인프라가 중요한 역할을 합니다…
스토리지: 로그 성능의 간과된 병목 지점느린 스토리지는 로그 성능의 병목
거대한 창고에 고가의 상품이 가득하다고 상상해보세요. 이 창고에는 철저한 보안이 갖춰져 있습니다. 잠금장치, 카메라, 24시간 경비원이 순찰합니다. 하지만 어느 날 밤, 도둑 무리가 침입합니다.
그들은 직원 자격 증명을 탈취해 입장하고, 청소부 유니폼으로 위장해 섞여 들어갑니다. 눈에 띄지 않게 움직이며, 알람을 끄고 문을 열어둡니다.
그 도둑들에게는 이점이 있습니다:
카메라는 30분마다만 녹화되고, 경비원의 순찰도 충분히 자주 이루어지지 않습니다.
무언가 잘못되었을지도 모른다는 알림이 뜰 즈음엔, 그들은 이미 트럭 한가득 상품을 싣고 떠나버린 상태입니다. 도둑은 알람을 끄고 물건을 훔쳐 트럭에 싣고 유유히 떠납니다.
이것이 많은 스토리지가 지금 현재 존재하는 방식을 보여줍니다.
만약 수집(인제스트)과 처리 속도가 너무 느리다면, 실시간으로 완전한 정보를 받을 수 없게 되어, 데이터의 공백(data gaps)이 생깁니다.수집 속도와 처리 속도가 느리면, 실시간 데이터 분석이 불가능하며 이는 곧 데이터 가시성의 결함으로 이어집니다.
그 결과, 보안 헌터 팀은 이상 징후를 너무 늦게 감지하게 되며, 이는 경비원이 너무 늦게 도착했을 때 이미 선반이 비어 있는 것과 같은 상황이 됩니다.
75%의 조직이 보안 사각지대를 경험
2024 플렉세라 설문조사에 따르면, IT 리더의 무려 75%가 조직 내 가시성의 공백 내지 사각지대(blind spots)가 존재한다고 느끼고 있습니다. 이러한 사각지대는 심각한 보안 위험을 초래하며, 데이터 환경이 점점 복잡해짐에 따라 문제는 점점 더 커지고 있습니다.
데이터 가시성의 주요 도전 과제는 다음과 같습니다.
- 압도적인 데이터 볼륨: 보안팀은 기하급수적인 데이터 성장을 따라갈 수 없습니다.
- 분산된 시스템 및 사일로: 연결되지 않은 로그는 위협이 숨을 수 있는 블라인드 스팟을 만듭니다.
- 느린 인프라로 인한 탐지 지연: 로그 처리에 시간이 오래 걸리면 보안팀이 신속하게 대응할 수 없습니다.
물론, 보안 툴을 업그레이드할 수는 있지만, 고성능 스토리지가 없다면 아무리 뛰어난 툴이라도 제 기능을 발휘하기 어렵습니다.
사각지대가 악화될 수 있는 이유
사이버 공격의 빈도와 복잡성이 증가하고 있으므로, 그 어느 때보다 더 많은 데이터를 처리해야 합니다. 이를 위해서는 더 많은 스토리지 용량과 속도가 필요합니다. 스토리지가 이를 뒷받침하지 못하면, 어려운 선택에 직면하게 됩니다.
- 더 많은 소스에서 보안 로그를 수집하지만, 데이터를 더 느리게 처리합니다.
- 데이터를 신속하게 처리하지만, 더 적은 소스에서 보안 로그를 수집합니다.
두 가지 모두 데이터 격차를 야기하여 조직의 취약성을 증가시키므로, 어느 쪽도 이상적인 선택은 아닙니다.
비정상적인 로그인, 예기치 않은 시스템 접근, 권한 상승과 같은 작은 활동에서 이상 징후가 시작되기도 합니다. 이러한 경고 신호를 즉시 탐지하지 못하면 공격자는 시스템 전반을 이동하며 더 많은 피해를 입힐 수 있습니다.
하지만, 그런 상황을 막을 방법이 있습니다.
실시간 이상 징후 탐지의 강력한 힘
확장 가능한 고성능 스토리지만이 진정한 데이터 가시성을 제공합니다. 사이버 위협 팀이 실시간으로 이상 징후를 확인할 수 있기 때문에 침해가 발생하기 전에 탐지할 수 있으며, 이를 통해 사이버 복원력을 강화할 수 있습니다.
창고의 비유로 돌아가면, 완전한 데이터 가시성을 확보했을 때의 모습은 다음과 같습니다.
- 카메라는 입구에서 낯선 얼굴을 즉시 인식하고, 해당 이미지를 보안 요원에게 바로 전송합니다.
- 도둑이 침입하면 카메라와 센서가 즉시 이상 행동을 감지하고 정확한 위치를 파악해 보안 요원에게 알립니다.
- 도난이 발생하기 전에 보안 요원이 개입합니다.
“올바른 스토리지가 SIEM 운영을 개선하는 방법” 영상에서 더 자세히 알아보세요.
퓨어스토리지가 진정한 데이터 가시성을 제공하는 방법
여러분의 모든 데이터는 스토리지에 존재합니다. 하지만 많은 조직은 문제가 생기기 전까지 스토리지를 잊고 지냅니다.
한 가지 주요한 간과는, 많은 조직이 범용 솔리드 스테이트 드라이브(SSD)를 사용한다는 점입니다. 이들은 현대 사이버 보안의 수요를 감당할 수 없습니다. 속도와 대역폭이 부족해 모든 소스로부터 데이터를 수집하고 이를 충분히 빠르게 연관 지어 처리하지 못합니다.
퓨어스토리지 아키텍처는 이러한 한계를 극복하여 진정한 이상 징후 가시성을 제공합니다.
퓨어스토리지 다이렉트플래시(DirectFlash®) 모듈(DFM)은 다음을 통해 기존 스토리지 병목현상을 제거합니다.
- 낸드 스토리지에 직접 액세스하여 느린 외부 컨트롤러 우회
- 보안 데이터를 라인 속도로 수집하고 연관 지어, 실시간 인사이트 극대화
- 보안팀에 전체적인 데이터 가시성 제공, 위협을 제때 포착
퓨어스토리지의 뛰어난 수집 및 처리 속도를 통해 사이버 위협 헌터 팀은 더 이상 늦게 따라잡는 것이 아닌, 위협이 발생하기 전에 이를 중단시킬 수 있습니다.