[케이스스터디]수많은 로그에서 바늘찾기? 통합로그분석으로 OK

“현재 내부 네트워크에 설치된 보안 솔루션 종류는 다양합니다. 확인해야 할 로그 데이터 양도 엄청납니다. 그것을 사람이 일일이 분석하는 건 불가능합니다. 통합로그분석시스템 도입으로 산재된 IT 인프라 로그관리를 자동화해 로그관리의 효율성을 높였습니다.” A금융기관 보안 담당자 말이다.

사이버 침해 사고가 발생하면 가장 먼저 확인하는 게 '로그 데이터'다. 모든 정보 기록이 남아 있는 로그 데이터는 사고 원인 규명에 결정적 역할을 한다. 과거 네트워크나 보안 장비, 서버 등의 로그를 수집하는 정도에 그쳤지만 최근에는 비즈니스 애플리케이션과 모바일 디바이스, 클라우드 서비스 로그까지 모은다.

[케이스스터디]수많은 로그에서 바늘찾기? 통합로그분석으로 OK

각 장비에서 대량으로 쏟아지는 로그를 확인하고 분석하기 위해 상당한 자원과 시간이 필요하다. 분석도 쉽지 않은데 이상행위를 감시하고 추적하는 건 불가능하다.

통합로그분석시스템이 주목받게 된 이유다. 통합 로그관리가 가능하면 이기종, 대용량 로그를 손쉽게 분석한다. 언제라도 발생 가능한 외부 보안위협도 로그분석으로 원인을 찾는다.

통합로그분석시스템에서 가장 중요한 것은 '대용량 로그를 빠르게 처리하는 성능'이다. 고성능 분산처리기술과 상관분석 알고리즘으로 결과를 빠르게 산출한다.

인터리젠(대표 정철우)은 통합로그분석시스템 디파인더-LMS에 빅데이터 플랫폼 디파인더(Dfinder)를 접목했다. 디파인더는 이상금융거래탐지시스템(FDS) 분야에서 대용량 데이터 처리와 실시간 데이터 분석 효과를 보인 빅데이터 플랫폼이다. 실시간성을 보장하는 지속 시간 분석기능으로 시스템 부하를 낮추고 분석에 대한 실시간성을 제공한다. 수집된 원본 로그 기반으로 실시간 이벤트 처리를 위해 인 메모리(In Memory) CEP 엔진을 도입했다. 복잡한 시나리오를 처리하기 위해 복합 룰엔진을 제공한다.

[케이스스터디]수많은 로그에서 바늘찾기? 통합로그분석으로 OK

하드웨어 확장·분산저장 기능을 제공할 뿐 아니라 데이터 이중화와 검색서버, 데이터 로드밸런싱 기능도 있다. 로그 용량에 따라 확장하고 데이터 분산 저장과 데이터 이중화가 가능하다.

파일시스템 저장방식 자체가 원본로그파일 구조를 변경한다. 한번 저장되면 수정이 불가능하다. 수집된 로그 해시코드를 저장해 향후 데이터 훼손 여부를 감사하는 무결성 감사 기능을 제공한다.

다양한 보안시스템에서 대량의 데이터가 발생하다 보니 로그 라이프사이클 관리가 중요하다. 로그 생성·수집, 탐지, 저장, 분석·통계, 폐기에 대한 전체 사이클관리가 가능해 정보시스템 관리와 침해사고 대비, 관련 지침에 대해 체계적으로 대응한다.

기존 로그분석제품은 복잡한 쿼리스크립트 방식을 쓴다. 디파인더-LMS는 위저드 방식을 채택해 이상징후 탐지와 사용자 중심 분석 기능을 제공한다. 사용자 정의 분석과 대시보드, 레포팅, 데이터 증가에 따른 확장성을 보장한다. 일반 기업, 금융권은 물론 공공기관에서도 통합로그분석 요구가 높다. 디파인더-LMS는 최근 CC인증도 획득했다.

[케이스스터디]수많은 로그에서 바늘찾기? 통합로그분석으로 OK

김인순 보안 전문기자 insoon@etnews.com

위방향 화살표