시스템 취약점과 이상 징후 탐지하고 방어하는 PLURA 기술

큐비트 시큐리티(대표 신승민)는 세계 최초 실시간 해킹 탐지 클라우드 플랫폼 PLURA (https://plura.io)를 개발한 정보 보안 전문 기업이다.

빅데이터 분석 기술과 머신 러닝, 국내 최대 규모의 보안 로그 데이터베이스, 실시간 해킹 탐지 기술을 기반으로 기존의 사후 감사 방식으로는 해결할 수 없었던 침해 사고의 고질적인 문제를 해결하여 보안의 패러다임을 바꾸고 있다. 2014년 3월 법인 설립되어 기술 보증 기금으로부터 혁신적인 기술력을 인정받아 벤처기업으로 등록되었다.

PLURA는 기업의 잠재적인 시스템 취약점과 이상 징후를 탐지하고 방어한다. PLURA 로그분석팀 뿐아니라 외부 최고의 로그 분석 전문가들의 분석 도움으로 기업은 로그검색/분석에 소요되는 자원을 핵심가치에 집중할 수 있으며 신속한 사고 추적과 보안위협대응이 가능해졌다.

서버보안(PLURA-INFRA)은 윈도우서버의 Event 로그와 sysmon, 리눅스의 syslog와 audit 로그로부터 계정 공격과 시스템설치형 공격인 랜섬웨어, 트로이목마 등의 탐지 서비스를 제공한다. 웹보안(PLURA-WEB)은 웹의 로그 분석을 GET 방식과 POST 방식으로 나누어 OWASP Top 10 분류에 따라 공격 유형에 맞추어 예상 피해도와 공격 목적별로 탐지 서비스를 제공한다.

네트워크보안(PLURA-NETWORK)은 방화벽, 웹방화벽, 침입탐지(IDS), 침입방지(IPS), 스위치 등의 Syslog 로그를 취합하고 분석하여 ARP스푸핑, 세션 공격, 설정 변경 등의 해킹을 탐지한다. 취약점점검(Vulnerability Check)은 운영체제(OS), 서버 등의 잘못된 설정과 불필요한 데몬 등의 취약점을 점검하고, 관리자가 대응할 수 있도록 조치 방안을 제공한다.

PLURA는 1단계 사용자 서버에 설치된 에이전트가 서버운영체제(OS)와 웹서버, 네트워크장비에서 발생되는 로그를 압축/암호화하여 원격 클라우드 SaaS 방식으로 취합한다. 클라우드에서 취합된 빅데이터 로그는 2단계 모의해킹을 통하여 분석된 로그를 기반으로 사전에 정해진 규칙과 설정값을 이용하여 탐지한다. 3단계 룰 기반 공격 유형분석 정보를 AI(머신러닝)의 지속적인 학습을 통하여 최종결과에 대한 검증작업 후 해킹을 최종 판단한다.



실시간 웹해킹 탐지 기술, 해외출원 중

이 회사는 클라우드 기반 실시간 해킹탐지에 대한 로깅 시스템 및 방법 특허를 보유하고 있다. 클라우드 시스템(또는 원격지 시스템)을 이용하여 시스템로그와 웹로그 분석을 통해 공격탐지를 수행하는 시스템 및 방법에 대한 기술이다. 연계 특허로 실시간 웹해킹 탐지를 위한 웹 트래픽 로깅시스템 및 방법을 특허 출원 중이며, 같은 기술을 가지고 일본 출원도 준비하고 있다.

인터넷 데이터센터(IDC) 구축 및 운영 분야와 게임 개발과 퍼블리싱 보안 분야에서 다년간의 경험을 가진 신승민 대표는 “고객도 SIEM으로 옮겨가고 있으나 SIEM 도입시 운영 실패와 부분적인 배치가 발생하고 있어 실제현장의 만족도는 낮고 SIEM에 추가적인 로그분석 시스템이 도입되어 TCO 증가로 이어지고 있다”며, “우리는 Micro Focus ArcSight와 Elastic 두 제품의 장점을 모아서 하나의 제품으로 제공하면서 다른 제품과 비교할 수 없는 탁월한 제품을 선보이게 됐다”고 말했다.