로그분석기술이 정보보안대응체제의 핵심 기술 중 하나로 재조명 받고 있다.
14일 유넷시스템, 한국HP, 넥스알 등 국내외 로그분석 관련 회사들은 기업, 공공 등의 고객사들이 기존에 처치곤란했던 로그들까지 모두 통합해 보안 강화에 활용할 수 있는 방법에 대해 문의하는 경우가 부쩍 늘어났다고 밝혔다.
기존에 공공이나 기업이 각종 네트워크 및 보안장비를 통해 남기는 로그들은 서버가 죽었는지 살았는지 등을 확인하는 수준에 그쳤다. 모든 로그를 서버에 저장하기에는 비용이 너무 많이 들고, 서로 다른 수많은 솔루션, 장비들이 만들어 내는 로그를 하나로 통합해 관리하는 것 자체가 기술적으로 어려운 일이었기 때문이다.
최근까지 빅데이터 처리 기술이 발달하면서 이런 한계들을 해결할 수 있게 됐다. 이에 따라 기업, 기관들은 수많은 로그들을 하나로 통합해 관리하면서 보안적인 위협을 종합적으로 분석해 낼 수 있는 방법들에 대해 고민하도록 하고 있다.
지난 3.20 사이버 테러까지 국내에 보안사고가 잇따르면서 기존에 백신 프로그램이나 보안장비만으로는 한계가 있었던 내부정보유출, 지능형지속가능위협(APT) 공격 등에 대한 기업별 맞춤형 대응을 위한 전략으로 읽힌다. 기술의 발달이 새로운 보안관점에서의 접근을 이끌고 있는 것이다.
해커나 내부정보유출자의 모든 행위들은 임의로 지우지 않는 한 반드시 로그로 남게 마련이다. 인터넷에서 벌어지는 모든 작업에 대한 단서가 이곳에 기록된다. 그만큼 특정 행위가 나타날 때 발생하는 로그의 이상징후를 하나의 패턴으로 만들어 놓으면 보다 쉽게 실제 이상이 있는지를 확인할 수 있다.
최성호 넥스알 기술컨설팅 부장은 빅데이터 기술을 활용한 로그분석을 통해 해당 사용자의 접속시간, 유저아이디, 세션아이디 등을 모두 로그로 남겨 누가 누구한테 어떤 데이터를 줬는지 등에 대한 내용을 파악할 수 있다고 밝혔다. 이러한 데이터들을 상관관계 분석해 각 기업이나 기관의 보안정책에 위배되는 활동들을 보다 빠르게 파악할 수 있게 되는 것이다.
언제, 무슨 파일이 실행됐는지 등에 대한 정보는 방화벽, 침입방지시스템(IPS) 등 각종 보안 장비와 함께 시스템 내에서 마치 지문처럼 로그파일로 남는다. 만약 해커가 침입했을 것으로 의심될 경우 이 기록들이 해커들의 행동을 유추해 볼 수 있는 단서가 되는 셈이다.
국내외 보안업계 관계자들은 빅데이터 처리 기술이 이미 충분히 발달해 있으며, 이에 따라 대용량 로그 분석에 대한 수요가 지속적으로 늘어나고 있다고 입을 모았다.
이상준 유넷시스템 연구소장은 지난해까지만 해도 논의 수준에 그쳤던 대용량 로그 분석이 이제는 실현가능한 수준에 이르렀다며 앞으로 관건은 금융, 보험, 제조업 등 분야별로 악성행위에 대한 패턴을 확보하는 일이라고 밝혔다. 기반 기술은 이미 확보돼 있기 때문에 기업이과 기관 등의 업무 특성마다 얼마나 정교한 이상 징후 탐지 패턴을 만들어 낼 수 있느냐가 관건이라는 설명이다.
예를 들면 기존에 고객정보조회 요청이 들어오면 방화벽, 인터넷침입방지시스템(IPS), 웹서버 등을 거쳐 내부 데이터베이스(DB) 서버에 접속해 정보가 이를 요청한 사용자에게 전달된다. 그런데 웹서버에는 로그기록이 없고, DB서버에서는 정보가 나간 기록이 있다면 해커가 비정상적인 경로로 DB를 유출시켰다는 정황을 의심해볼 수 있게 된다.
이는 일정 기간 동안 여러 개의 보험에 집중적으로 가입했을 경우 보험사기단으로 의심하게 되므로 해당 사용자들에 대해 보다 집중적으로 모니터링할 수 있게 되는 것과 같은 원리다.
3.20 사이버 테러에서와 같은 지능형지속가능위협(APT) 공격은 사용자가 쉽게 인지하지 못한다는 점에서 사전탐지나 신속한 원인 분석에 따른 초동대처가 어렵다. 그러나 인터넷 상의 모든 행위에 대해 로그라는 지문을 남길 수 있는 기술이 구현되고 있는 만큼 이를 기반으로 사고 발생 전에 이상징후를 파악하거나 사고 뒤에도 빠른 수습을 가능케 한다.
이 소장은 기존 보안관제의 경우 사람들이 수동으로 로그를 일일이 분석하는 경우가 많아 일부는 놓치는 경우도 많았는데 이를 시나리오 형태로 패턴화해서 한꺼번에 관리하면 이 같은 실수를 줄일 수 있다고 밝혔다.
실제로 스플렁크, IBM큐레이더, EMC RSA 시큐리티 애널리틱스, HP 아크사이트 등이 이미 시나리오에 기반한 대용량 로그분석기술을 도입하고 있다. 국내 회사로는 유넷시스템즈, 넥스알 등이 빅데이터 기반 로그분석 기술에 대해 활발히 개발 중이다.
관련기사
- KCC시큐리티, 빅데이터 보안로그분석 특허2013.05.14
- EMC-오라클-국산, 빅데이터 3파전2013.05.14
- 빅데이터 보안, "SNS 보안분석은 안돼"2013.05.14
- EMC "트래픽탐지 보안에 빅데이터 응용"2013.05.14
박진성 한국HP ESP 사업부 이사는 최근 들어 기업 보안 담당자나 IT 관리자들이 로그분석 관련 벤치마크테스트(BMT)나 개념증명(POC)를 요청하는 사례가 많다며 기존에는 저장하는데 그치거나 버려졌던 로그기록까지 분석해 의미있는 데이터를 뽑아 내려는 시도들을 하고 있다고 밝혔다. 그만큼 국내 기업, 기관들의 관심도가 늘어났다는 설명이다.
업계 관계자들은 앞으로 관건은 대용량 로그분석 솔루션이 어떤 내용을 탐지하고 경고를 알릴 지에 대한 정교한 패턴을 짜는 일이다. 이는 로그분석솔루션 제공회사보다는 이를 도입하는 회사의 몫으로 남아 있다.
