Why SPL?

Why SPL?

이승훈 실장

010-9338-6400

>

빅데이터 엔진

Logs >

Change Events >

Configuration data >

Metrics

>

Scripts

>

Any Ascii data, any f ormat >

Enterprise > Managem ent >

Business Applicatio ns >

Databases > Transacti ons >

Storage > Netwo rks >

Structured > Semi-Struct ured >

Unstructured

>

Error s >

Servers

>

스플렁킹

데이터수집과 인덱 싱

Business A nalytics

IT Operatio ns Manage Security &

Compliance Application Managemen

t

제공솔루션

Connect ors

DB Limit

차이점

활용분야

↓ 90% MTTR or MTTI

↓ 70% Escalations

Reactiv e Search + Investig

ate

↑ Uptime

Proacti ve Proactive Monitori

ng

↑ KPIs, SLAs, QoS

Service Operational Visibil

ity

Real Time Business Vision

↑ Value

Value

Business Insights Cloud Solut

ions Microsoft S

olutions

Universal Dat

a Engine Schema on the Fly

Powerful Search

& Reporting Lan guage

Scales from Desktop to Ente

rprise

Passionate and V ibrant Communit

y

스플렁크의 5가지 주요 활용 영역 04

빅데이터 탐색

모든 빅데이터를 검색하고, 시각화 하고, 이해하여 의

사결정을 향상

고객에 대한 전방위적인 시야 확 보

내부 및 외부의 추가적인 정보 소스 를 통합하여 고객에 대한 기존의 시

야(MDM, CRM 등)를 확장

운영 분석

다양한 머신 데이터를 분석하여 비즈니스 성과를 향상

데이터 웨어하우스 강화

빅데이터와 데이터 웨어하우스 기능 을

통합하여 운영 효율 향상

보안/인텔리전스 확장

실시간으로 위험을 낮추고, 부정행위 를 발견하고, 사이버 보안을 모니터

링

스플렁크 도입사례 – 외부 침해 (APT 공격 등) 탐지 05

•

기존 통합 보안 시스템의 문제점



신규 보안 장비 및 솔루션 도입 시 통합이 힘들고, 보안 시스템의 증가로 수집 대상 이벤트 및 분석 복잡도 증가함



기존 시스템은 RDBMS 기반으로 되어 있어 장기간 분석에 성능 이슈가 발생하고 데이터 필터링 작업이 힘듬



보안 이벤트를 정제하여 분석하기 때문에 Raw Data의 내용을 검색하지 못함

•

개선 방향



APT 공격은 정상적인 행위로 가장하여 장기간에 걸쳐 진행되므로 모든 데이터를 수집해서 장기간 상관분석을 빠르게 진행할 수 있는 빅데이터 기술이 필요함



기존 시스템의 오탐 및 과탐을 줄이기 위한 각각 보안 장비별 연관분석과 임계치 기반의 시나리오 적용



Ex) 침입탐지시스템 및 웹방화벽, 인터넷뱅킹 서버를 통합하여 Unicode URL 복호화 취약점 공격 시도 연관 분석

Advanced Persistent Threats 추적

스플렁크 도입사례 – 내부(개인)정보 유출 감시 06

•

기존 내부정보 유출 감시 시스템의 문제점



DRM, DLP, 그룹웨어, 업무시스템, 계정관리 시스템 등을 연결한 복합 시나리오 적용 시 성능 이슈 발생



특히 이메일 같은 비정형 텍스트 내의 정보 분석 시 오탐률 높음

•

개선 방향



내부의 수많은 업무 시스템 및 정보 유출 관련 보안 시스템, 접근 제어, 계정관리, 유해 사이트 차단 등 통합적인 컴플라이언스 관련 이슈들을 쉽게 적용하고 실시간 모니터링 할 수 있는 시스템이 요구됨



NPL(자연어 처리), 의미 분석 등의 기능이 필요함



보안 사고 증가로 인하여 복합 시나리오 및 개인별 정보 유출 지수화, 위험 인물 탐지 등이 실시간으로 요구됨

복합 시나리오 적용 및 지수화

파일서버 자료 다운로드···→(○) 암호화 해제 ···→(○) 미 허가 p2p 프로그램 설치

···→(△) P2p 파일업로드

···→(○) 파일서버 자료 다운로드

암호화 해제

미 허가 p2p 프로그램 설치 P2p 파일 업로드

연구소A 과장은 경쟁사에 연구자료를 넘겨주기 위해 연구소 파일서버 자료를 암호화 해제 후 미 허가 p2p 접속프로그램을 설치, 자료를 유출함.

단일패턴 확정:

- 암호화 해제 - p2p 파일 업로드 복합패턴 확정

- 암호화 해제 후 p2p 업로드 한 경우 위험 행위 패턴 도출 예시

스플렁크 도입사례 – 금융 사고 예방 탐지 07

•

금융 사고 예방을 위한 빅데이터 기술 적용



최근 가장 이슈가 되고 있는 보이스 피싱, 스미싱, 해킹에 의한 금융 사고를 방지하기 위해 개발



빅데이터 기술을 사용하여 고객이 거래 시 과거 이체 기록 및 접속 위치 등 다양한 정보 기반의 이상 거래 패턴 탐지



보편적인 금융사기예방서비스와는 다르게 금융사고에 해당하는 거래에 대해 선별적으로 통지/ 관리



실제 금융사고 사례를 분석 및 금융감독원/FFIEC(미국 연방금융회사검사위원회)의 권고사항을 기준으로 가설을 설정하고 검증하여 탐지 시나리오 설정



Ex) 6개월 미 접속한 고객이 중국에서 접속하여 알림 서비스를 해지하고 공인인증서를 재 발급 후 계좌 이체 시도하는 경우의 탐지 시나리오 또는 한 개의 IP Adress로 다수의 아이디로 로그인을 시도하는 경우 등

보이스 피싱, 해킹 패턴 탐지

고객/Hacker 인증서 로그인 이체정보 입력 OTP/보안카드 입력 SMS 부가 인증

[OO은행 본인인증] 금융사고로

탐지 되었습니다. 당사 민원실 (1577-0011)로 문의 바랍니다.

정상거래 시 인증번호는 [123232]입니다.

보이스피싱

금융사고 탐지 정책에 해당되는 행위 탐 지

통합보안관제 시스템 금융사고 탐지

금융사고 탐지정 책

Compliance팀 금융사고 통지

스플렁크 도입사례 – FDS(Fraud Detection System) 08

•

문제점



업무 프로세스 변경에 따른 시나리오 변경이 어려움 (추가 개발 필요)



업무 시스템 증가로 더 많은 이벤트와 분석 복잡도 증가



RDBMS를 이용한 배치 프로세스로 되어 있어 실시간 탐지 및 사고 발생 시 즉시 대응 불가

•

개선 방향



내부 거래 및 업무 데이터 뿐만 아니라 외부 데이터도 수집하고 실시간 분석 및 장기간 분석이 가능한 빅데이터 기술을 적용하고자 함



Ex) 비씨카드의 FDS 시스템의 경우 카드 승인 건이 발생할 때마다 부정혐의가 높은 거래 건을 추출하여 정상거래가 아닐 경우 즉시 카드를 정지시킴

FDS 고도화 및 실시간 탐지

스플렁크 도입사례 – 웹 분석 09

•

문제점



방문자 수, 상위 컨텐츠, 이동 경로, 통계 등 대부분이 Website Tracking 수준으로 고급 분석이 불가



효과적인 마케팅 이니셔티브 식별 어려움

•

개선 방향



사용자 행동과 상품 최적화에 대한 심도 있는 이해 및 즉시 적용 가능한 다수의 세그먼트에 의한 데이터 마이닝 필요



효율적 운영뿐만 아니라 3rd Party 데이터 통합, Adhoc 분석, 360° 고객 뷰 등 지원 요구



고객 반응 학습에 의한 실시간 최적 상품 추천

운영 효율성 및 360° 고객 뷰

스플렁크 도입사례 – 인프라 통합 관제 10

•

문제점



기술 플랫폼 다양화와 단위 시스템 증가에 따른 통합 모니터링 구축이 쉽지 않음



인프라 관리 뿐만 아니라 단위 업무 서비스에 대한 모니터링 필요성 증대



다양한 형태의 전산 장애가 발생하며 여전히 원인 분석 및 장애 조치에 많은 시간 소요됨

•

개선 방향



각각의 솔루션이 아닌 하나의 솔루션을 통한 모니터링 및 분석을 통해 빠른 원인 분석 및 조치를 할 수 있는 시스템 요구됨



네트워크, 서버, 디스크, 업무 서비스 등을 하나로 묶어 연관 관계를 만들고 분석해서 영향도를 측정할 수 있는 시스템 필요함, 실시간 장애관리 및 대응체계 구축 필요

네트워크, 서버, 애플리케이션 관제

스플렁크 도입사례 – 서비스 모니터링 11

•

서비스 운영 및 프로세스 자동화를 위한 기반 구축



자동임계치 기반의 사용자 체감 성능 모니터링 구현



비즈니스 서비스 운영상태의 실시간 정합성 점검 체계 고도화/자동화 구현



비즈니스 서비스 모니터링을 통한 사전 장애감지 구현



장애 발생 시 어플리케이션, 네트워크, 시스템 상호 정보 연계분석을 통한 신속 대응 체계 마련



기존 운영담당자의 역량과 수작업에 의존한 모니터링 및 분석절차의 비효율성을 개선



장애 사전 감시 체계 구축을 통한 위험비용 감소에 기여하여 대 고객 서비스를 개선

단위 업무 서비스 모니터링

스플렁크 도입사례 – VOC 분석 12

•

PB 전화상담(Voice) 데이터 분석을 통한 영업력 강화



향상된 고객정보 자산수집



개인화된 마케팅, 영업력 강화 및 PB 역량 강화



HDFS (Hadoop Distributed File System) – 빅데이터 시스템



NLP : 자연어 처리 (Natural Language Processing)

전화 상담 데이터 분석을 통한 영업력 강화

스플렁크 도입사례 – 마케팅 13

•

현행 마케팅의 한계점



감지 – 과거 고객정보에 기반한 고객 니즈 포착 한계

-> 다양한 채널의 고객 행동 시점의 이벤트 기반 실시간 니즈 발굴 필요



판단 – 사전에 정의된 Offer만 가능하여 고객행동 변화에 대응 한계 -> 개별 고객에 맞춘 Rule 기반 유연한 Offer 실시간 조합 필요



수행 – 캠페인의 적시성/지속성 미흡

-> 자동화 기반 즉각적/지속적 캠페인 실행 요구됨

Real Time Marketing

스플렁크 도입사례 – 하이브리드 D/W 14

•

기존 D/W 시스템의 문제점



원천 데이터의 지속적 증가 및 다양한 데이터 제공 요구에 따른 처리 절차 및 결과의 복잡성 증가로 병목 현상 발생



수직적 확장만 가능한 구조로 성능 향상을 위한 방향이 제한적임



Raw 데이터 수용 불가로 데이터 마트 중심의 제한된 분석만 가능



데이터 증가 시 성능 저하 및 비용 증가로 인해 구축 / 운영 비용 과다 지출함

빅데이터와 D/W를 혼합한 하이브리드 시스템

스플렁크 분석 시스템의 필요성 15

•

고객에 대한 기민한 이해와 실시간 위험관리의 핵심인 Big Data의 지배를 통해 경쟁사가 모방하기 어려운 기반 구축함

경쟁력의 핵심은 Big Data의 지배

고객만족 Risk 대응

• 경쟁사를 뛰어넘는 고객 만족

• 고객에 대한 기민한 이해는 향후 10년을 좌우

• Risk의 사전 감지통한 실시간 대응

• 사건 발생 시점과 감지 시점 사이의 지연 최소화 내/외부 Big Data

소셜

미디어 보안 시스템

웹 서비스

-방문이력 -선호상품

-불만 -트렌드

-해킹 -정보유출

-결함 -장애

Big Data 지배

스플렁크 시스템의 필요성

보안 / FDS / BI / 인프라 서비스 관리 등 다양한 솔루션에서 빅데이터 기술을 필요로 하고 있으며 기업의 입장에서는 하나의 빅데이터 플랫폼으로 통일하는 전략이 필요함

보안 및 인프라 관리, BI 등의 대상 데이터가 많은 부분에서 중복되므로 기업 내 데이터 지배구조가 반드시 필요하며 쉽게 확장할 수 있고 사용하기 편리한 데이터 관리 체계가 필요함

기존의 DW/CRM과는 달리 빠른 시간에 구축 가능하고 점진적으로 확장할 수 있는 새로운 시스템이 필요함

Why SPL?

업계 표준 Operational Intelligence 플렛폼

Enterprise Data Platform 거래 데이터

금융, 전자상거래

산업 데이터

제조 설비 및 IOT

서비스 데이터

인프라 및 애플리케이션

보안 데이터

네트워크 및 시스템 보 안

• 운용 최적화 및 효율성 증가 100%

• 사업 기회 확장

• 매출 증가 +

• 위험 감소 및 대응

• 고객 만족도 향상 +

• 사업 신뢰도 증가 +

• 컴플라이언스 강화 + 리스크 / 사기

관리 비즈니스 인텔리전스 Operational 인텔리전스

보안 / 컴플라 이언스

> 엔터프라이즈 데이터 > 밸류 정의

수집 / 저장 / 검색 실시간

분석/ 현황판 서비스 연계

• Fortune 100대 기업 중 8 0% Splunk

사용 .

업계 표준 Operational Intelligence 플렛폼

Enterprise Data Platform 거래 데이터

금융, 전자상거래

산업 데이터

제조 설비 및 IOT

서비스 데이터

인프라 및 애플리케이션

보안 데이터

네트워크 및 시스템 보 안

• 운용 최적화 및 효율성 증가 100%

• 사업 기회 확장

• 매출 증가 +

• 위험 감소 및 대응

• 고객 만족도 향상 +

• 사업 신뢰도 증가 +

• 컴프라이언스 강화 + Risk / Fraud

관리 Business 인텔리전스 Operational 인텔리전스

보안 / 컴플라 이언스

> 엔터프라이즈 데이터 > 밸류 정의

수집 / 저장 / 검색 실시간

분석/ 현황판 서비스 연계

“Data-driven 비즈니스 결정기반”을 통한 핵심 사업 혁신

Risk 0%

• 빠른 도입 ROI

• 8000+ 개의 빠른 성공적 고 객 구축 사례 및 글로벌 주 요 기업의 구축

글로벌 리더

• 데이터 플렛폼 으로 기준 및 트 랜드의 선두, 가장 혁신적인 Big Data 플렛폼

시간+완성도

= $$$

• 구축 기간 단축 및 플렛폼 완성도 검증

• Fortune 100대 기업 중 80% Splunk

사용.

Splunk의 시술 및 사업 차별성

• 모든 데이터의 수집, 저장, 분석, 알람, 시각화, 연계의 전반적 밸 류 싸이클 지원

MTTR 감소

• 엔터프라이즌 Operational 데이터 통합으로 인프라/데이터 상관관 계 분석 및 운용 가시성을 통한 사전 대응 구현

경험 개선 고객의

• 단일 데이터 접근 플렛폼을 통한 다양한 목적 활용 : 용량 분석, 헬 프 데스크 지원, 보안, 장애 해결, 감사, 관제, 변경 티켓, 사용자 성 향 및 비즈니스

비용 절감

• 세계 적인 규모의 복잡한의 인프라 수용 경험 보유 : 세계 여러

Tier 1 통신, 금융, 제조 산업의 고객 보유 생산성

향상