[시큐어로그인]<38>머신러닝 기반 차세대 SIEM 솔루션 `워치아이시스템`

워치아이시스템(대표 최해술)은 빅데이터 보안분석시스템 전문 기업이다. 최근 2년간 제품 아키텍처와 알고리즘에 머신러닝 개념을 접목해 내·외부 보안 위협 대응 수위를 높였다. 외부 사이버 침해 위협, 내부 보안 위배 행위를 찾아내고 악성코드를 분석한다.

워치아이시스템 차세대 통합로그분석시스템(SIEM) `로그인사이트`는 고성능 대용량 데이터를 실시간 수집하고 인덱싱해 분석한다. 머신러닝 기반 분석 엔진이다. 이 분야는 IBM과 스플렁크 등 글로벌 기업이 주도했는데 국내 기업 진출이 늘었다.

워치아이시스템 로그인사이트는 다양한 탐지와 분석 규칙(룰셋)을 구현한다. 최근 국방부 사이버사령부 해킹사건에서 문제가 된 망혼용도 찾아낸다. 로그인사이트에 망혼용 탐지 룰셋 디자인을 적용하면 폐쇄망PC가 인터넷과 연결됐는지 실시간으로 찾아낸다. 별도 보안장비가 없이 룰셋만 추가해 위협을 탐지했다.

로그인사이트는 로그데이터를 시그니처로 만든다. 분포도와 포트, 출발과 목적 IP를 분석한다. 특정 IP대역에서 일어나는 로그 시그니처 등을 다양한 룰셋 디자인으로 구현한다. 워치아이시스템은 2000개 이상 현장에서 검증된 룰렛 디자인을 데이터베이스(DB)로 만들었다. 이 회사는 간편하게 룰셋을 만들고 적용할 수 있다고 밝혔다.

로그인사이트는 이처럼 다양한 룰셋을 만들어 적용해 기업이나 기관이 필요한 위협에 대응한다. 이런 특성을 살려 대형 금융권은 로그인사이트를 기반으로 보안분석과 관제를 한다.

워치아이시스템은 내부에서 외부로 정보 유출 시도를 감지하는 행동기반솔루션 `데이터 프리즘`도 개발했다. 최근 발생한 대형 개인정보 유출사고는 협력사 직원 등 내부자 소행이 많다. 인가된 내부자가 개인정보를 유출하면 대형 사고로 이어진다.

최해술 워치아이시스템 대표

워치아이시스템은 시나리오 기반으로 사용자 행위를 분석한다. 사내 보안 규정에 위반되는 행위를 탐지하고 모니터링해 정보 유출 전에 이상 징후를 찾아낸다. 정보유출 분석 알고리즘으로 사람, 시간, 장소, 정보, 수단별로 분석한다.

최해술 워치아이시스템 대표는 “로그인사이트는 머신러닝 개념을 접목해 내부 보안 위협 행위와 해킹 위협을 잡아낸다”면서 “망혼용에 따른 보안 위협이 높아지며 고객 관심이 증가했다”고 말했다. 그는 “지난해 총판과 전략기술파트너 3곳, 일판 파트너 14곳 등 전국 유통망을 확충했다”면서 “올해 공격 영업에 나선다”고 덧붙였다.

김인순 보안 전문기자 insoon@etnews.com