[SK쉴더스 루키즈 24기] AI 보안관제 및 통합로그 분석(3) 보안관제시스템

보안관제시스템

업무를 원활히 수행할 수 있도록 수집, 분석, 가시화/시각화 등의 기능을 통합적으로 제공하는 시스템

• 수집: 보관된 보안 정보 및 이벤트 기록을 모아서 보관
• 분석: 수집된 보안 정보 및 이벤트 기록 분석
• 가시화/시각화: 결과를 쉽게 이해할 수 있도록 그림, 그래프 등의 형태로 표현
• 외부 뿐만 아니라 내부의 위협을 모니터링할 때도 활용
• 보안관제사는 개별적으로 볼 필요 없음 -> 보안관제시스템만 확인하면 됨 -> 업무 효율 향상

1. 세대 구분

1) 1세대: 단위보안관제

개별 시스템이나 네트워크 장비에 접속하여 개별적으로 모니터링 화면을 확인하거나 로그를 직접 확인하는 방식

• 크기와 복잡도 증가 -> 침해사고 급증하며 한계가 옴

2) 2세대: 통합보안관제

ESM을 활용하여 통합 보안 정보 및 이벤트 기록을 모니터링하는 방식

• ESM이 등장하며 보안관제가 시작되었다고 할 수 있음
• 생성된 로그를 통합적으로 수집, 분석함
• 기술 수준 한계 -> APT 공격, 제로데이 취약점 식별에는 제한적임

** ESM: 보안 정보 및 이벤트 기록 수집, 분석 기능을 제공하는 보안관제시스템

3) 3세대: 빅데이터보안관제

SIEM을 활용하여 장기간에 걸치며 대용량의 데이터를 빠르게 분석, 시각화하여 체계적으로 수행하는 방식

• 상관 관계의 연관성을 분석 -> 단순 시그니처 뿐만이 아닌 이상 행위 탐지도 가능 -> APT 공격, 제로데이 취약점 식별 가능

** SIEM: ESM보다 다양한 컴퓨터 장치, 소프트웨어 포함 가능한 빅데이터 기반 보안관제시스템

4) 4세대: 인공지능보안관제

SIEM + SOAR을 활용하여 사이버 위협 정보(CTI) 연계 -> 인공지능 기반의 이상 행위 탐지와 플레이북의 능동적 자동화 대응 방식

** SOAR(Security Orchestration, Automation and Response): 보안 오케스트레이션, 자동화, 대응

2. 효용 사례

• 사이버 위협 정보 가시화 -> 보안관제사에게 정보 제공
  • 내/외부 공격자 가시화: 자산 중심으로 공격 행위 시각화
  • 공격자 상관정보 가시화: 공격자 중심으로 시각화
• 보호해야 할 자산을 중심으로 시각화 할 것인지? 외부/공격 IP 중심 시각화 할 것인지? -> 2가지 초점으로 나누어 시스템 개발함

---

정보보호 로그

시스템에서 발생되는 각종 이벤트에 대한 정보가 담긴 기록

• 파일, 데이터베이스 형태로 보관됨
• 파일 당 최대 크기를 정해둠 -> 보통 2GB
  • 초과 시 파일을 분해하여 보관
• 그 자체로는 활용에 제한 -> 별도의 분석 과정이 필요함

1. 로그 활용 예

• 침해 시도 내역이나 침해사고 흔적 확인 시
• 시스템 성능 이슈, 장애 원인 확인 시
• 시스템 취약점 분석 시

2. 로그의 중요성

• 관계법령, 규정, 지침에서 정하고 있는 규제 준수
• 시스템 내 오류 및 보안 이슈를 확인하고 복구를 위해 활용 가능
• 시스템 내 각종 문제를 추적하기 위해 활용 가능
• 보안사고 발생 시 책임추적성을 위해 필요한 감사증적
• 법정 증거로 채택 가능

3. Syslog

모든 컴퓨팅 장치에서 생성되는 로그를 통합하고 상호운용성 지원하는 로그 표준

• 컴퓨팅 장치마다 로그 생성 방식이 다르면 장치마다 로그 분석 매커니즘을 다르게 구현해야 함 -> 비효율적
• 로그 구현 시 Syslog 준수하여 구현하는 것을 권장하고 있음
  
  

형식

<11> Feb 22 12:34:56 hostname svc[1234]: Hello syslog.

• <11>: 우선순위(PRI)
• Feb 22 12:34:56 hostname svc[1234]: Header, 로그 생성자 식별에 필요한 정보
• Hello syslog.: Message, 로그 세부 내용

4. 로그의 보관

• 모든 시스템은 로그를 생성한 뒤 자체적으로 보관하는 기능을 보유함
• 개별 시스템에서 이상 발생 시 로그가 손실될 가능성 존재 -> 별도의 로그 서버를 유지하여 따로 보관해야 함
  • 중요도가 높다면 로그를 별도로 보관

정보자산 유형별 로그

• 네트워크 장비: 대부분 POSIX 운영체제 기반 -> 로그 규격으로 Syslog 사용
  • 최소한의 기억장치만 갖고 있음 -> 로그도 최소한의 수준에서 보관해야 함
  • 생성되는 로그는 별도 로그 서버에 전송하여 보관함
    • 보안관제시스템이 있다면 여기로 전송
  • 장기간 로그를 자체 보관하는 것이 불가함 + 장비 고장 시 손실 위험
• 네트워크 정보보호시스템: 대부분 POSIX 운영체제 기반 -> 로그 규격으로 Syslog 사용
  • 장기간 로그를 자체 보관하는 것이 불가함 + 장비 고장 시 손실 위험 -> 별도 로그 서버에 전송하여 보관함
  • 보안관제사들은 축적된 로그를 직접 확인하는 방식의 모니터링도 가능
• 호스트: 운영체제마다 로그 생성, 보관 방식이 다름
  • Window: 중앙집중화된 이벤트 형태로 로그 저장
    • 로그 유형을 보안 정책에서 설정 -> 이벤트 뷰어로 확인함
      • 공격자가 로그 삭제하기 용이함
  • POSIX: 각 유형별로 위치에 저장 -> 로그 관리를 하려면 기초 지식이 필요함
    • Syslog 채택
    • 산발적으로 보관하므로 공격자가 로그를 모두 삭제하기 어려움

---

ESM과 SIEM

1. ESM(Enterprise Security Management)

다양한 시스템 및 장비에서 생성된 보안 정보, 이벤트 기록을 수집/분석하는 기능을 제공하는 보안관제시스템

1) 과정

• 수집: 보안관제 대상 컴퓨터에서 발생한 보안 정보 및 이벤트 기록 수집
• 분석: 수집된 보안 정보 및 이벤트 기록에 대한 통합 분석
• 관리: 보안관제 대상 컴퓨터의 설정을 통합 관리
• 모니터링: 통합 분석된 정보를 토대로 보안관제사가 확인할 수 있는 화면 제공

2) 구성요소

• Agent: 보안관제 대상 컴퓨터에 탑재되는 프로그램
  • 생성되는 로그를 정제하여 Manager에 전송하고 통제를 받음
• Manager: Agent로부터 전송된 로그를 수신하여 분석하고 분석된 정보는 Console에 전달
• Console: 보안관제사가 Manager로부터 받은 정보를 모니터링하고 관리할 수 있도록 시각적으로 전달
• Repository: 수집/분석된 로그를 보관하는 저장소 (RDB 활용)
• Protocol: 원격 관리를 위해 SNMP, ICMP 등의 프로토콜 활용

3) ESM의 한계

• 관계형 데이터베이스 특성 상 방대한 양의 데이터를 처리 및 보관하는 것은 한계가 있음
• Agent -> Manager에 보내는 과정에서 정보보호시스템, 네트워크 장비 위주로 로그를 수집
  • 모든 종류의 정보자산을 볼 수 없음 -> 수집이 한정적인 수준임
• 분석 기능이 단순 통계 수준에 불과함 -> APT 공격 식별에 제한 -> 연관분석을 위해서 추가적인 도구 필요

2. SIEM(Security Information and Event Management)

ESM보다 다양한 형태의 장치 및 소프트웨어를 포괄하는 빅데이터 기반 보안관제시스템

• ESM과 달리 Agent에서 로그를 정제하는 과정이 생략 가능 (= Agentless)
  • Agent 방식: Manager가 받을 수 있도록 Agnet에서 자료를 정제/전처리 해야 함
  • Agentless 방식: Agent는 수집만 함 -> 이를 Collector가 가져가서 변환/보관함
  • 대신 SIEM 관리 기능에서 정제/변환을 위한 규칙을 정의하여 넣어주어야 함
• APT 공격이나 제로데이 취약점 식별을 위해 상관 관계의 연관성 분석 기능 제공
  • 단순 시그니처만이 아닌 이상 행위까지 탐지 가능
  • 시각화된 형태로 결과 제공

SIEM의 기능

• 데이터 통합: 발생한 보안 정보 및 이벤트 기록을 수집하여 통합/분석
  • 수집: Agent를 통해 수집된 보안 정보 및 이벤트 기록을 Collector가 가져가서 변환/보관함
  • 변환: 수집된 로그를 표준 형식으로 변환
• 연관 분석: 수집한 보안 정보 및 이벤트 기록을 유용하게 만들기 위해 상관 관계의 연관성 분석
  • 수집: 유사 정보들을 기준으로 그루핑하여 취합함
  • 변환: 표준 형식으로 변환한 로그 중 하나의 기준을 잡아 여러 개의 로그들의 연관성을 분석
• 알림: 발생된 이벤트를 자동으로 알림
• 대시보드: 통합 분석된 정보를 보안관제사가 확인할 수 있도록 시각화하여 제공

---

보안관제 가시화/시각화

가시화(Visibility): 보안 정보 및 이벤트 기록을 볼 수 있게 하는 것
시각화(Visualization): 단순히 보여주는 것만이 아닌 쉽게 이해할 수 있도록 시각적으로 표현하는 것

1. 가시화와 시각화의 차이

• 가시화(Visibility)
  • 로그 자체로 활용하기에 제한되기 때문에 가시성 제공할 필요 존재
    • 표 형태로 보여주는 것으로 충분
  • 의사소통에 그대로 활용하기에 제한 -> 전체 맥락 이해하기에 불충분하여 추가적인 해석이나 분석이 요구될 수 있음
• 시각화(Visualization)
  • 시각적 요소를 사용함 (ex. 차트, 애니메이션, 그래프 등)
  • 직관적으로 식별하고 전체 맥락을 이해하기에 유용함

=> 빅데이터 시대에 신속 정확한 의사결정을 위해 단순한 가시화를 넘어 시각화하는 것이 중요함

2. 보안관제 시각화

방대한 양의 보안 정보 및 이벤트 기록을 가시화할 뿐 아니라 이해하기 쉽게 시각적으로 표현하는 것

• 종합적이고 직관적인 분석환경을 제공 -> 전체 맥락 파악에 유용
• 단편적인 이벤트 간 상관관계도 분석 -> 알려지지 않은 위협 식별
• 실시간으로 생성되는 많은 양의 데이터 중 의미있는 정보만 빠르게 식별 가능

3. 시각화 방법

1) 전주의적 속성(Preattentive Attributes)

보자마자 뇌에서 바로 알 수 있도록 강조화하기 위한 시각화 속성

• 시각화 속성의 범주: 색상, 형태, 공간적 위치, 움직임
• 시각적 규약: 방향, 길이, 너비, 크기, 형태, 곡률, 표시 추가, 둘러싸기, 색상, 색조, 위치, 공간적 그루핑

2) 데이터 유형

• 범주형 데이터: 숫자 값 X, 상호 배타적인 속성을 가진 개체 (ex. 이름, 직업, 국가, 도시 등)
• 순서형 데이터: 순서적 위계를 가진 데이터 (ex. 일련번호, 생년월일, 학력 등)
• 정량적 데이터: 숫자로 측정, 분류 가능한 데이터 (ex. 생년월일, 매출, 이익 등)
• 이산 데이터: 미리 정의된 정확한 값으로 제시되는 경우
• 연속 데이터: 값과 값 사이에 중간 값을 허용하는 경우

3) 색상

• 순차적: 색상을 낮음 -> 높음으로 정렬
• 발산형: 중립적인 중간 지점이 있는 순차적인 2가지 색상
• 범주형: 개별 비교를 위한 색상 대비
• 강조: 강조하기 위한 색 사용
• 경고: 경고하기 위한 색 사용

4) 차트

• 막대 차트
• 꺾은 선 차트
• 산포도 차트
• 점 도표
• 단계 구분도
• 하이라이트 표

5) 대시보드(Dashboard)

전체 현황을 직관적으로 볼 수 있도록 구성된 화면

과거	최근
조직의 요구사항에 맞게 맞춤형으로 개발하여 제공	다양한 형태의 위젯을 자유롭게 배치할 수 있도록 템플릿 방식으로 제공
시스템 도입 후 변경 제한	조직 특성이나 상황에 맞게 자유자재로 변경 가능
조직의 요구사항이 불명확한 경우 제대로 개발되지 않은 채로 도입되는 경우도 빈번함

구성 형태

• 외부 공격 중심: 외부에서 유입되는 침해 시도 및 위협 등의 공격 흐름을 중심으로 구성
• 내부 위협 중심: 내부자의 위협 행위 중심으로 구성
• 정보자산 상태 중심: 보안관제 대상 정보자산의 상태를 중심으로 구성