카스퍼스키, 보안 위협 탐지 설루션 '카스퍼스키 SIEM' 발표

글로벌 사이버 보안 리더 카스퍼스키는 22일 평소와 다른 비정상적 활동을 자동으로 탐지·경고하는 지능형 보안 기술인 ‘UEBA(User and Entity Behavior Analytics, 사용자 및 개체 행동 분석)’ 규칙 세트를 탑재한 보안 위협 탐지 설루션인 ‘카스퍼스키 SIEM’을 발표했다.

사이버 위협은 점점 더 정교해지고 있으며, 기존의 보안 대책은 이러한 위협에 충분히 대응하지 못하는 경우가 많다. 서명 기반 탐지 및 정적 규칙은 새로운 공격 기법을 식별하는 데 어려움을 겪어, 많은 조직이 자격 증명 탈취, 수평 이동, 파일리스 악성코드에 취약하게 만든다.

이러한 한계를 보완하기 위해 등장한 것이 바로 사용자 및 개체 행동 분석(User and Entity Behavior Analytics, UEBA) 규칙 세트이다. UEBA 규칙 세트는 알려진 침해 지표에만 의존하지 않고, 사용자와 시스템의 평소 행동 패턴을 분석해, 비정상적 활동을 자동으로 탐지·경고하는 지능형 보안 기술이다.

카스퍼스키의 일리야 마르켈로프 통합 플랫폼 제품군 책임자는 “오늘날과 같이 복잡하고 끊임없이 변화하는 사이버 환경에서는 이러한 혁신적 UEBA 규칙 세트가 보안 환경을 강화하는 데 필수적이다”라고 강조했다.

UEBA 규칙 세트는 인증 프로세스부터 네트워크 통신에 이르기까지 주요 보안 영역 전반에서 이상 징후를 탐지할 수 있도록 지원한다. 머신러닝을 활용해 행동 기준선을 설정함으로써, 외부 공격자나 내부 악성 행위자로부터 발생할 수 있는 미묘한 변화를 포착한다. 더 중요한 점은 이러한 기술적 탐지를 비즈니스적 가치로 전환한다는 것이다. 그 결과, 리스크 감소, 운영 효율성 향상, 컴플라이언스 강화 등을 실현한다.

이 규칙 세트는 실시간 이상 징후 식별과 오탐 최소화를 동시에 달성하도록 설계되어, 과중한 업무에 시달리는 보안팀에 중요한 이점을 제공한다. 무분별한 경고 대신, 행동 편차를 기반으로 사용자 및 시스템에 위험 점수를 부여하여 우선순위를 스마트하게 설정한다.

가장 중요한 보호 영역 중 하나는 인증이다. UEBA 규칙 세트는 로그인 시도의 비정상 패턴을 감시한다. 예를 들어, 평소 특정 도시에서 근무 시간대에 로그인하던 직원이 새벽 3시에 해외에서 접근을 시도할 경우, 시스템은 이를 이상 행위로 판단해 위험 점수를 높인다. 또한, 권한 그룹에 예상치 못한 계정이 추가될 경우 경고를 발생시켜 무단 권한 상승을 예방한다. 이는 특히 금융, 의료 등 규제 산업과 컴플라이언스 위반을 줄이는 데 효과적이다.

공격자는 종종 DNS 쿼리를 이용해 데이터를 외부로 유출하거나 명령제어 서버와 통신한다. UEBA 규칙 세트는 비정상적인 도메인 이름 또는 이전에 관찰되지 않은 영역으로의 요청을 탐지한다. 정상적인 DNS 활동 기준선을 수립함으로써, 시스템은 미묘한 편차를 인식해 데이터 탈취나 악성 통신 가능성을 조기에 포착한다. 민감 데이터를 다루는 기업에게 이는 은밀한 침해를 예방하고 데이터 무결성을 유지하는 데 큰 도움이 된다.

공격자는 수평 이동이나 데이터 유출 과정에서 비정상적인 네트워크 연결을 활용한다. UEBA 규칙 세트는 처음 시도되는 포트나 익숙하지 않은 외부 호스트로의 통신을 감시하며, 갑작스러운 아웃바운드 트래픽 증가를 탐지한다. 이상 징후를 조기에 발견함으로써 기업은 피해 확산 전 차단을 통해 재정적·평판적 손실을 최소화할 수 있다.

공격자는 탐지를 피하기 위해 파워셀이나 시스템 디렉터리 내 합법적 도구를 악용한다. UEBA 규칙 세트는 프로세스 실행을 감시하며, 비정상적인 위치에서 스크립트가 실행되거나 시스템 폴더 내에서 처음으로 실행 파일이 생성될 경우 경고를 발생시킨다. 이를 통해 보안팀은 파일리스 공격 및 리빙 오프 더 랜드 공격을 효과적으로 차단할 수 있다.

원격 근무가 일상화된 현재, VPN 보안은 그 어느 때보다 중요하다. UEBA 규칙 세트는 예상치 못한 국가나 불가능한 이동 패턴 등 비정상 VPN 로그인 시도를 분석한다. 또한, 비정상적인 VPN 트래픽 볼륨도 탐지하여, 자격 증명 탈취나 무단 접근을 차단한다. 이로써 분산된 조직에서도 안전한 원격 운영과 가시성 확보를 동시에 달성한다.

카스퍼스키는 UEBA 규칙 세트 패키지를 Kaspersky SIEM 설루션에 통합했다. 이를 통해 조직은 다양한 프로세스 전반에서 이상 징후를 종합적으로 탐지할 수 있게 되었다. 카스퍼스키의 UEBA 규칙 세트의 진정한 강점은 기술적 정교함을 넘어, 조직 전반의 운영 개선을 실질적으로 이끌어낸다는 데 있다. 경고 중심의 수동적 대응에서 벗어나 지능형 행동 분석으로 전환함으로써, 보안팀은 더 빠르고 정확하게 사고에 대응할 수 있다. 오탐이 줄어듦에 따라 분석가는 불필요한 경고에 시간을 낭비하지 않고 실제 위협에 집중할 수 있게 된다. 이는 대응 시간 단축과 운영 피로도를 낮출 수 있다.

또한 UEBA는 조직의 리스크 관리 체계를 근본적으로 바꾼다. 전통적 도구가 놓칠 수 있는 미세한 징후를 포착해 조기 탐지와 피해 최소화를 가능하게 한다. 이는 특히 내부자 위협이나 APT와 같은 고도화된 공격에 대한 선제적 방어에 탁월하다.

무엇보다 UEBA 규칙 세트는 보안팀의 역량 배가 역할을 한다. 행동 프로파일링 및 위험 평가를 자동화함으로써, 기존 인력 및 인프라를 최대한 활용할 수 있게 한다. 한정된 인력 자원 속에서도 전략적 업무에 집중할 수 있도록 돕는 이 지능형 자동화는 단순한 편의 기능을 넘어 변혁적 가치를 제공한다.

결국, 빠른 탐지, 컴플라이언스 준수, 최적화된 운영을 통해, 행동 분석은 사이버 보안을 기술 기능이 아닌 전략적 비즈니스 자산으로 끌어올린다.

카스퍼스키 이효은 한국지사장은 “위협이 빠르게 진화하는 한국의 사이버 보안 환경에서 카스퍼스키의 UEBA 규칙 세트는 게임 체인저다”라고 말하며, “보안 강화뿐 아니라 운영 효율성을 향상시켜 기업이 디지털 리스크 속에서도 성장할 수 있도록 지원한다”라고 말했다.