데이터 보안의 중요성 및 침입 방지 시스템(IPS)
오늘날 많은 조직에게 데이터는 가장 중요한 자산 중 하나입니다. 이러한 데이터의 중요성 때문에, 악의적인 개인이나 집단은 데이터를 탈취하기 위해 다양한 시도를 하고 있습니다. 이들은 네트워크 및 시스템에 불법적으로 접근하기 위해 여러 기술과 방법을 사용하며, 이러한 공격 시도는 계속해서 증가하는 추세입니다. 이러한 위협에 대처하기 위해 기업들은 침입 방지 시스템(IPS)을 도입하여 데이터 자산을 보호하고 있습니다. 대표적인 IPS 솔루션으로는 SolarWinds Log & Event Manager와 Splunk가 있습니다. 본문에서는 이 두 가지 솔루션을 비교 분석합니다.
먼저, 침입 방지 시스템의 기본 개념을 살펴보겠습니다. 이 과정을 통해 독자 여러분이 두 솔루션을 더 깊이 있게 이해할 수 있도록 돕고자 합니다. 침입 방지 시스템을 기술적인 전문 지식이 없이도 이해할 수 있도록 간략하게 설명할 것입니다. 우리는 독자 여러분을 침입 방지 전문가로 만들려는 것이 아니라, 두 제품을 비교 분석하면서 모두가 같은 이해 수준을 갖도록 하는 데 초점을 맞추고 있습니다. SolarWinds Log & Event Manager의 주요 기능과 장단점을 살펴본 후, 가격 및 라이선스 구조를 검토할 것입니다. 그런 다음 Splunk를 동일한 프레임워크에서 분석하고, 마지막으로 사용자 의견을 바탕으로 결론을 내릴 것입니다.
침입 방지 시스템의 기본 원리
과거에는 바이러스가 시스템 관리자의 주요 관심사였지만, 현재는 침입 또는 악의적인 사용자에 의한 데이터 불법 접근이 더 큰 위협으로 대두되었습니다. 데이터가 기업의 가장 중요한 자산으로 인식되면서, 해커들은 데이터에 접근하기 위해 네트워크를 공격하는 데 많은 노력을 기울입니다. 과거에 바이러스 확산에 대한 해결책이 바이러스 백신 소프트웨어였다면, 침입자 공격에 대한 해결책은 침입 방지 시스템입니다.
침입 방지 시스템은 기본적으로 두 가지 주요 기능을 수행합니다. 첫째, 침입 시도를 감지하고, 의심스러운 활동이 발견되면 이를 차단하거나 방어합니다. 침입 시도를 감지하는 방법에는 두 가지가 있습니다. 첫 번째는 서명 기반 탐지입니다. 이는 네트워크 트래픽과 데이터를 분석하여 알려진 침입 패턴과 일치하는지 확인하는 방식입니다. 마치 바이러스 정의에 기반한 기존의 백신 시스템과 유사합니다. 그러나 이 방법은 새로운 공격 방법에는 대응하기 어렵다는 단점이 있습니다. 새로운 공격 패턴이 나타나면, 해당 서명이 업데이트되기까지 시간차가 발생합니다. 따라서 업데이트 속도가 중요한 고려 사항입니다. 두 번째는 이상 기반 탐지입니다. 이 방법은 시스템의 정상적인 동작 패턴을 학습하고, 이에서 벗어나는 이상 활동을 감지합니다. 예를 들어, 반복적인 로그인 실패 시도와 같이 알려진 공격 패턴이 없는 상황에서도 침입 시도를 감지할 수 있습니다. 따라서 이 방법은 제로데이 공격과 같은 새로운 공격에 더 효과적으로 대응할 수 있습니다. 최적의 보호를 위해서는 서명 기반과 이상 기반 탐지를 모두 활용하는 것이 좋습니다.
침입 시도를 감지하는 것 외에도, IPS는 탐지된 활동을 적극적으로 차단합니다. 이러한 시스템은 다양한 조치를 취할 수 있습니다. 예를 들어, 의심스러운 사용자 계정을 일시 중지하거나 비활성화할 수 있으며, 공격 소스 IP 주소를 차단하거나 방화벽 설정을 조정할 수도 있습니다. 악성 프로세스가 발견되면 해당 프로세스를 종료하거나, 심각한 경우에는 시스템 전체를 종료하여 피해를 최소화할 수 있습니다. 또한 IPS는 관리자에게 알림을 제공하고, 의심스러운 활동을 기록하여 후속 분석을 용이하게 합니다.
수동적 침입 방지 전략
IPS는 다양한 공격으로부터 보호해 줄 수 있지만, 강력한 암호 설정과 같은 기본적인 수동 보안 조치를 간과해서는 안 됩니다. 또한 장비의 기본 암호를 변경하는 것도 중요합니다. 회사 네트워크에서 이러한 일이 드물게 발생하지만, 기본 관리자 암호가 설정된 인터넷 게이트웨이가 발견되는 경우가 종종 있습니다. 암호의 사용 기간을 제한하는 ‘암호 에이징’ 정책도 침입 시도를 줄이는 데 효과적입니다. 아무리 강력한 암호라도 시간이 지나면 해독될 수 있으므로, 주기적으로 암호를 변경하여 보안을 강화해야 합니다.
SolarWinds는 네트워크 관리 분야에서 높은 명성을 가지고 있으며, 다양한 네트워크 및 시스템 관리 도구를 제공하고 있습니다. 특히, Network Performance Monitor는 최고의 네트워크 대역폭 모니터링 도구 중 하나로 평가받고 있습니다. 또한 Kiwi Syslog Server나 SolarWinds TFTP Server와 같은 유용한 무료 도구도 제공합니다.
SolarWinds Log & Event Manager는 단순히 로그 및 이벤트 관리 시스템을 넘어, 고급 침입 탐지 및 방지 기능과 보안 정보 및 이벤트 관리(SIEM) 기능을 제공하는 통합 보안 플랫폼입니다. 이 도구는 실시간 이벤트 상관 관계 분석 및 실시간 수정 기능을 제공합니다.
SolarWinds Log & Event Manager는 의심스러운 활동을 즉시 탐지하고(침입 탐지 기능) 자동화된 대응을 수행(침입 방지 기능)할 수 있습니다. 또한 보안 이벤트 조사 및 포렌식 분석에 활용할 수 있으며, HIPAA, PCI-DSS, SOX와 같은 규제 준수 요건을 충족하는 데 필요한 감사 추적 보고서를 제공합니다. 파일 무결성 모니터링 및 USB 장치 모니터링 기능도 제공합니다. 이 모든 기능은 단순한 로그 및 이벤트 관리 시스템을 넘어선 통합 보안 플랫폼을 보여줍니다.
SolarWinds Log & Event Manager는 위협이 감지되면 활성 응답 메커니즘을 통해 작동합니다. 특정 경고에 따라 다른 대응을 설정할 수 있습니다. 예를 들어, 의심스러운 활동이 감지된 IP 주소를 방화벽에 등록하여 해당 IP 주소의 네트워크 접근을 차단할 수 있습니다. 또한 사용자 계정을 일시 중지하거나, 프로세스를 중단 또는 시작하거나, 시스템을 종료할 수도 있습니다. 이러한 대응 조치는 앞서 설명한 침입 방지 기능에 부합합니다.
SolarWinds Log & Event Manager의 강점과 약점
가트너에 따르면, SolarWinds Log & Event Manager는 간결한 구조, 쉬운 라이선스 정책, 강력한 기본 콘텐츠 및 기능 덕분에 중소기업에 적합한 솔루션입니다. 또한 여러 이벤트 소스를 지원하며, 경쟁 제품에서는 일반적으로 제공하지 않는 위협 억제 및 격리 기능을 제공합니다.
그러나 폐쇄형 에코시스템이기 때문에 지능형 위협 탐지, 위협 인텔리전스 피드, UEBA 도구와 같은 외부 보안 솔루션과의 통합이 어렵다는 단점이 있습니다. 또한 서비스 데스크 도구와의 연동은 이메일 및 SNMP를 통한 단방향 통신으로 제한됩니다. Saas 환경 모니터링은 지원하지 않으며, IaaS 환경 모니터링 기능도 제한적입니다. 따라서 네트워크 및 애플리케이션 모니터링 범위를 확장하고자 하는 고객은 다른 SolarWinds 제품을 추가로 구매해야 합니다.
SolarWinds Log & Event Manager의 장점과 단점
SolarWinds Log & Event Manager 사용자들이 보고한 주요 장단점은 다음과 같습니다.
장점
- 설치가 매우 간편합니다. 배포 후 로그 소스를 연결하면 빠르게 기본 상관 분석을 수행할 수 있습니다.
- 에이전트 배포 후 사용 가능한 자동화된 대응 기능은 네트워크 이벤트에 대한 놀라운 제어 능력을 제공합니다.
- 사용자 인터페이스가 매우 직관적입니다. 일부 경쟁 제품은 사용법을 익히기 어렵지만, SolarWinds Log & Event Manager는 직관적인 레이아웃을 가지고 있어 쉽게 사용할 수 있습니다.
단점
- 사용자 정의 파서 기능이 없습니다. 사용자 네트워크에 특정 제품이 존재하고, 해당 제품의 로그 형식을 SolarWinds Log & Event Manager가 인식하지 못하는 경우, 로그를 구문 분석할 수 없습니다. 일부 경쟁 제품은 사용자 정의 파서 기능을 제공합니다.
- 도구가 때때로 너무 기본적인 기능을 제공합니다. 중소 규모 환경에서는 기본 상관 분석을 수행하는 데 적합하지만, 고급 상관 분석을 수행하려는 경우 도구의 기능 부족으로 인해 어려움을 겪을 수 있습니다. 특히 로그 파싱 능력의 한계가 아쉽습니다.
가격 및 라이선스
SolarWinds Log & Event Manager의 가격은 모니터링되는 노드 수에 따라 다릅니다. 최대 30개 노드 모니터링 기준 4,585달러부터 시작하며, 최대 2,500개 노드까지 확장 가능합니다. 30일 무료 평가판을 통해 제품을 직접 사용해 볼 수 있습니다.
Splunk는 널리 사용되는 침입 방지 시스템 중 하나입니다. 다양한 기능 세트를 제공하는 여러 버전으로 출시되며, 침입 방지 기능을 제대로 활용하려면 Splunk Enterprise Security(Splunk ES)가 필요합니다. 이 소프트웨어는 시스템 데이터를 실시간으로 모니터링하여 취약점과 이상 활동을 감지합니다. SolarWinds와 유사한 침입 방지 목표를 가지고 있지만, 접근 방식은 다릅니다.
Splunk의 강력한 기능 중 하나는 보안 대응 기능으로, 이는 Splunk가 단순한 침입 방지 시스템을 넘어, SolarWinds 제품의 대안이 될 수 있는 이유입니다. Splunk는 ‘적응형 응답 프레임워크(ARF)’라는 기술을 사용하여, 55개 이상의 보안 업체 장비와 연동하여 자동화된 응답을 수행함으로써 수동 작업 속도를 높이고 보다 신속한 대응을 가능하게 합니다. 자동화된 수정과 수동 개입의 조합은 위기 상황에서 최적의 대응 기회를 제공합니다. 또한 사용자 친화적인 인터페이스, 사용자 지정 알림 기능, 악의적인 활동을 표시하는 ‘자산 조사기’ 등을 통해 효과적인 보안 솔루션을 제공합니다.
Splunk의 강점과 약점
Splunk는 대규모 파트너 에코시스템과 Splunkbase 앱 스토어를 통해 다양한 통합 및 특정 콘텐츠를 제공합니다. 또한, 시간 경과에 따라 쉽게 플랫폼을 확장할 수 있으며, 고급 분석 기능을 다양한 방식으로 제공합니다. Splunk 솔루션의 단점으로는 어플라이언스 버전을 제공하지 않으며, 라이선스 정책과 구현 비용에 대한 우려가 있다는 점이 있습니다. 이러한 문제점을 해결하기 위해, Splunk는 기업 도입 계약(EAA)과 같은 새로운 라이선스 방식을 도입하고 있습니다.
Splunk의 장점과 단점
사용자들이 보고한 Splunk의 주요 장단점은 다음과 같습니다.
장점
- 거의 모든 유형의 시스템에서 로그를 수집하는 데 뛰어난 성능을 보입니다. 대부분의 대체 제품은 이 기능을 제대로 수행하지 못합니다.
- 사용자에게 로그를 시각적 요소(파이 차트, 그래프, 테이블 등)로 변환할 수 있는 기능을 제공합니다.
- 이상 징후에 대한 보고 및 경고가 매우 빠릅니다.
단점
- Splunk의 검색 언어는 심층적이지만, 고급 포맷팅 또는 통계 분석을 위해서는 약간의 학습이 필요합니다. Splunk 교육 과정을 통해 검색 언어를 배우고 데이터를 조작할 수 있지만, 비용이 500달러에서 1,500달러에 이릅니다.
- 대시보드 기능은 강력하지만, 보다 흥미로운 시각화를 구현하려면 간단한 XML, Javascript 및 CSS를 활용한 개발 작업이 필요합니다.
- 공급업체는 마이너 버전 업데이트를 빠르게 릴리스하지만, 버그 문제로 인해 9개월 동안 4번이나 환경을 업그레이드해야 했습니다.
가격 및 라이선스
Splunk Enterprise의 가격은 매일 수집하는 데이터 양을 기준으로 합니다. 일일 최대 1GB 수집 데이터의 경우 월 150달러부터 시작하며, 대량 구매 할인도 가능합니다. 이 가격에는 무제한 사용자, 무제한 검색, 실시간 검색, 분석 및 시각화, 모니터링 및 경고, 표준 지원 등이 포함됩니다. 자세한 견적은 Splunk 영업팀에 문의해야 합니다. 또한, 제품을 사용해보고 싶은 사용자를 위해 무료 평가판을 제공합니다.
사용자들의 평가
IT Central Station 사용자들은 SolarWinds에 10점 만점에 9점, Splunk에 10점 만점에 8점을 부여했습니다. 반면, Gartner Peer Insights 사용자들은 Splunk에 5점 만점에 4.3점, SolarWinds에 5점 만점에 4점을 부여했습니다. 즉, 사용자들이 플랫폼에 따라 다른 평가를 내린다는 점을 알 수 있습니다.
Foxhole Technology의 시스템 엔지니어인 Jeffrey Robinette는 SolarWinds의 즉시 사용 가능한 보고서와 대시보드를 핵심 강점으로 꼽았습니다. “이를 통해 접근 권한을 모니터링하고 사이버 보안 보고서를 빠르게 얻을 수 있습니다. 이제 각 서버의 로그를 일일이 검색할 필요가 없습니다.”
Splunk와 비교했을 때, Robinette는 SolarWinds가 많은 사용자 정의가 필요하지 않으며 가격도 저렴하다고 말했습니다. Splunk에 대해서는 “보고서 사용자 정의에 박사 학위가 필요합니다.”라고 평가했습니다.
Roche의 선임 IT 보안 담당자인 Raul Lapaz는 Splunk가 저렴하지는 않지만, 사용 용이성, 확장성, 안정성, 빠른 검색 엔진 속도, 다양한 데이터 소스와의 호환성을 고려할 때 그만한 가치가 있다고 말했습니다.
그러나 Lapaz는 클러스터 관리가 명령줄을 통해서만 수행할 수 있고 권한 관리 기능이 유연하지 않다는 점을 단점으로 지적했습니다. 그는 “이중 인증과 같은 더 세분화된 옵션이 있으면 좋을 것”이라고 덧붙였습니다.