기획

[빅데이터 보안①] 무의미한 로그를 유의미하게

이민형

다사다난했던 2013년이 저물고 청마의 해, 2014년이 밝았다. 지난해에는 지능형지속가능위협(APT) 공격으로 대표되는 3.20 사이버공격을 비롯해 파밍, 스미싱 등 신종 전자금융사기 범람, 제1금융권의 개인정보유출 등 다양한 보안 사고가 잇달았다.

국내외 보안전문가들은 올해 더욱 고강도의 대형 사이버공격이 발생할 것으로 우려하고 있다. 실제로도 이같은 조짐은 곳곳에서 발견되고 있다.

보안위협이 고도화됨에 따라 정부의 규제도 강화되고 있다. 국회와 정부는 보안사고를 최소화하고자 직접 관련법률을 개정해 내놓고 있다.

<디지털데일리>는 2014년 5대 보안트렌드로 ▲전자금융서비스 보안 ▲APT 등 지능형위협 대응 ▲모바일 보안 ▲내부정보보호 ▲빅데이터 보안을 정했다. 이같은 보안 동향을 바탕으로 사이버 보안위협에 대응할 수 있는 전략과 솔루션을 소개한다.

◆1부 - 강화되는 전자금융서비스보안
◆2부 - APT 등 지능형 위협 대응
◆3부- 모바일 보안
◆4부- 내부정보보호
◆5부- 빅데이터 보안

[디지털데일리 이민형기자] 지능형지속가능위협(APT), 내부자정보유출 등 한치 앞을 예상할 수 없는 보안위협으로 인해 ‘빅데이터’에 대한 관심이 높아지고 있다.

최근 발생한 보안사고의 유형을 분석해보면 방화벽, 침입방지시스템(IPS), DB보안 솔루션 등 기존의 솔루션만으로는 대응하기 어렵다. 이상행위나 공격을 탐지하지 못한다는 것이 가장 큰 문제로 지적된다.

이에 따라 보안업계에서는 ‘통합로그분석시스템’ 활용에 관심을 높이고 있다. 방화벽에서 내놓는 로그가 단편적인 시각에서는 무의미한 기록에 불과할 수 있으나 IPS, DB보안 솔루션과 결합하면 새로운 사실을 발견해낼 수 있기 때문이다.

통합로그분석시스템은 방화벽, 침입방지시스템(IPS) 등 네트워크 보안장비를 비롯해 호스트, 메인프레임 등 기업내 모든 장비에서 나오는 로그를 저장하고 이를 통해 유의미한 데이터를 생성한다. 빅데이터 분석을 보안에 활용한 사례다.

또 수많은 정형·비정형데이터를 마이닝해 유의미한 수치를 뽑아낼 수 있다. 가령 같은 지점에서 발생하는 오류에 대한 로그가 각각의 어플라이언스에서 도출됐다면 이를 바탕으로 정확한 진단이 가능하다는 의미다.

여기서 생성된 데이터는 기업내 보안 취약점을 알아낼 수 있도록 도와주거나 전사적인 리스크 관리에도 탁월한 효과를 발휘하고 있다.

통합로그분석시스템은 전사적인 보안 취약점을 분석할 수 있다는 점에서 통합정보관리(ESM)이나 보안정보이벤트관리(SIEM)와 유사한점이 많다.

이상준 유넷시스템 연구소장 “통합로그분석시스템과 SIEM 솔루션은 로그 또는 이벤트를 수집하고 분석하는 고유의 기능은 서로 유사하다. 그러나 통합로그분석시스템은 수집, 분석 성능과 분석의 유연성에 초점을 맞추고 있다는 점이 SIEM 솔루션과의 차이점”이라고 설명했다.

전통적인 SIEM은 보안 침입, 사고에 대한 시그니처를 보유하고 있고 보안사고에 대한 예·경보, 후속 처리 등에 초점을 맞추고 있는 반면, 통합로그분석시스템은 로그 수집은 기본 기능이며, 분석의 성능과 유연성, 데이터간 연계성에 초점을 맞추고 있다고 볼 수 있다.

또 SIEM과 통합로그분석시스템의 가장 큰 차이점은 빅데이터를 처리할 수 있는 파일 시스템이 다르다는 점이다. 빅데이터의 등장과 동시에 이를 처리할 수 있는 파일 시스템 기술인 ‘하둡(Hadoop)’ 큰 화두가 되기도 했다.

보안 플랫폼으로서 하둡은 정형, 비정형에 대한 구분 없이 보안 로그를 통합 수집하고 이를 분석해 내부 취약점에 대한 대응책을 마련해준다는 점이 강점이다. RDBMS 기반의 솔루션이나 기존의 로그분석시스템과의 차별점으로는 대량의 데이터를 빠르고 손실없이 수집하고 처리할 수 있다는 특징도 갖췄다.

상황이 변모함에 따라 기존 SIEM 업체들도 대응에 나서고 있다. IBM, HP, EMC와 같은 SIEM 솔루션 업체들도 빅데이터 처리를 위해 하둡을 채택하거나 별도의 빅데이터 플랫폼을 개발하는 등 바쁜 움직임을 보이고 있다. 빅데이터 분석 전문업체인 스플렁크 역시 독자적인 노선을 만들어가는 중이다.

지난 2011년 Q1랩스(Q1Labs)를 인수한 IBM은 Q1랩스의 큐레이더(Qradar)를 올인원(All in one) 솔루션으로 적용했다. 모든 어플라이언스에서 나오는 소스를 수집하고, 네트워크와 응용계층의 행위분석 기능도 갖췄다.

또한, 기업 내부 시스템에 대한 신종 바이러스의 침투, 정보 유출과 위변조 등과 같은 보안 사고에 대한 해결책을 제시하고 있다.

HP는 2010년 인수한 아크사이트(ArcSight)의 보안 플랫폼에 하둡을 올렸다. 지난해 대대적으로 아크사이트를 강화한 HP는 업계 최초로 SIEM에 의미기반 분석엔진을 탑재하고, 대용량데이터 분석을 강화하기 위해 하둡을 지원하기로 했다.

스플렁크는 빅데이터 분석이 보안 시스템에도 적용될 수 있다는 것을 판단하고 일찍부터 SIEM 솔루션과의 연동을 준비했다. 각 보안 솔루션들이 내놓는 로그들을 심층적으로 분석해 SIEM에 던져주는 기능을 수행한다.

국내에서는 KT넥스알과 한국시큐리티랩이 하둡 플랫폼을 사용한 통합로그분석시스템을 개발해 제공하고 있다.

컴플라이언스의 이슈에서도 통합로그분석시스템은 인기를 얻고 있다. 개인정보를 취급하는 모든 사업자들은 사용자의 접속기록(로그)을 안전하게 보관할 수 있도록 기술적·관리적 조치를 취해야한다는 법적인 이슈도 통합로그관리시스템의 인기요인 중 하나다.

이용섭 이너버스 차장은 “초창기 로그관리의 주요 이슈는 시스템의 정상적인 동작 여부를 확인하고 에러를 점검하기 위해 데이터를 손상하지 않고 원본 로그 파일을 보관하는 것”이라며 “하지만 IT인프라의 대형화의 빅데이터 시대가 열리면서, 근래의 통합로그분석시스템은 수집, 처리된 대용량의 로그 데이터의 연계성을 분석해 침입탐지, 이상징후 탐지, 내부정보 유출 모니터링 등 고도의 상관분석 기술을 활용하는 방향으로 전환됐다”고 설명했다.

지난해부터 한국IBM, 한국HP, 한국EMC와 같은 글로벌 업체를 비롯해 유넷시스템, 이너버스, 한국시큐리티랩 등이 시장 공략에 나서고 있다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널