사고의 징후는 미리 찾아온다! '하인리히 법칙'
실제로 큰 사고가 일어나기전 작은 실수 또는 여러 차례의 경고가 발생한다.
상품백화점 사고 역시 지반 갈라짐이나 기둥에 금이 가는 등 여러 조짐이 있었다.
정보 처리 시스템 환경의 경우도 이와 다르지 않다.
개별적으로 발생하는 이벤트에 대한 자료를 한 곳에 모아서 전체적인 관점에서 분석하고, 보안에 위협이 될 수 있는 사안을 찾아내는 것을 목적으로 하는 솔루션이다.
1단계 : 이벤트 정보 수집
정보 처리 시스템에서는 어떠한 명령이나 프로그램의 실행에 대한 정보를 내부에 기록으로 남기는데, 이것을 '로그(Log)'라고 부른다. 비유를 해보자면, 항공기 사고가 났을 때 블랙박스를 찾아 운항정보 기록을 살피는 모습과 같다. 즉 블랙박스에 남아 있는 모든 기록이 바로 '로그'인 것이다. 그리고 이런 로그가 바로 통합보안관리 솔루션의 수집 대상이다.
그런데, 이러한 로그는 수집 대상이 되는 장비별, 프로그램 별로 그 형태가 제각각이다. 또한 외부로 전송하는 통신 방식도 모두 다르다. 따라서 이에 대한 충분한 사전 검토가 필요하다. 예를 들어 네트워크 장비는 네트워크 프로토콜만 사용하고, 서버 등은 파일 시스템으로 로그를 관리한다. 보안 장비들은 처리 기록을 데이터베이스 형태로 갖고 있기도 하며, 외부 전송을 위한 로그 자체가 없는 경우도있다. 따라서 '어떤 로그를, 어떻게 수집할 것인가?'는 첫번째 고려사항이다.
2단계 : 로그 저장
수집된 로그는 분석을 위하여 통합보안관리 솔루션 내에 DB 형태로 저장된다. 데이터 저장 방식과 용량 관리 방법 등에 따라 다양한 형태의 제품들이 있다. 기존의 관계형 DB 형태로 저장하여 무결성(데이터베이스에서 저장된 값들에 대하여 여러가지 제한을 통하여 데이터에 대한 신뢰를 보장하게 하여 일관성을 유지시켜주는 것)을 추구하는 제품, 파일 DB를 사용하여 가용성(시스템이 서비스를 정상적으로 제공할 수 있는 상태)을 우선하는 제품, 인메모리 DB를 사용하여 속도를 높이는 것에 주력하는 제품 등이 있다. 이러한 각 제품별 차이점들로 인해 추후에 로그 분석과 관련하여 차이점이 발생할 수 있기 때문에 미리 장단점을 파악해야 한다. 그리고 지속적으로 생성되는 로그에 대하여 보존 기간 및 관리 방식을 결정하고, 압축 적용 여부 등을 확인하여 충분한 저장 공간이 고려되었는지에 대한 사항도 검토가 필요하다.
3단계 : 로그 분석
통합보안관리 솔루션은 수집된 로그를 기준으로 보안 위협을 찾아내기 위한 2가지 분석 기준이 있다. 먼저 룰셋(Rule Set)은 개별 보안 장비별 보안 위반 여부를 점검하고, 시나리오(Scenario)로 여러 장비의 룰을 통합하여 상관 관계를 기반으로 시나리오를 수립하여 분석한다.
'룰셋 분석 방식'은 특정 거래나 상태가 허용 가능한 범위 인가를 기준으로 식별하는 방식으로서 방화벽 등의 일반 장비에서 적용되는 기준과 동일하다. 개별룰들은 단지 임계치를 기준으로 위반 여부만을 점검하므로 임계치에 도달하지 못하는 '사소한'위협에 대해서는 확인할 수 없다는 단점이 있다. 또한 네트워크나 보안 등 위험이 명시적으로 드러나는 일부 장비에서만 검출되는 한계점도 갖고 있다. 이와 같은 룰셋 분석 방식의 한계를 극복하기 위한 방식이 '시나리오 방식'이다.
이것은 임계치 이하의 정보를 무시하지 않으며 정상적인 거래도 다른 징후와 같이 검토하여 보다 구체적인 검토가 가능하다. 그리고 다양한 장비와의 상관 관계를 통해 검토할 수 있는 장점이 있는 반면, 구성이 복잡하다는 단점이 있다. 따라서 시나리오는 단기간에 생성되지 않고, 통합보안관리 솔루션 구축 이후에도 시나리오 완성도를 높이는 활동은 지속적으로 이루어져야 한다. 또한 빅데이터를 다루고 있기 때문에 분석 시 속도에 대한 부분도 중요하다. 실시간 조회 방식 지원 여부, 장기/단기 기간에 대한 조회 가능 여부 등 추가로 고려가 필요하다.
그 밖으로는 법적 요구 사항과 자체 보안 기능 등이 있다.
개인정보가 포함될 가능성이 높기 때문에 정해진 저장 기간이 지나면 삭제 되야 한다(용량 관리 측면도 있음). 자체 보안 기능은 솔루션이 해킹되는 위험을 막기 위하여, 접근하는 인원에 대한 식별 방식, 초기 패스워드 변경 및 복잡도 설정, 2차 인증 등 고려해야 한다.
1) 내부 정보 유출 탐지 관점에서의 사례
통합보안관리 솔루션은 기존에는 감사 증거자료 보관용으로 활용했지만, 최근에는 내부 정보 유출 탐지를 목적으로 사용하는 경우가 많아지고 있다. 최근 사례를 보면 전/현직 직원의 내부 유출이 발생하고 있다. 로그를 단지 쌓아 두는 감사 위주의 사후 활동에 더하여 로그에 대한 주기적 검토를 통해 사고 징후를 미리 발견함으로써 피해를 막거나 최소화 해야한다.
2) 톨합보안관리 솔루션의 한계점
로그를 수집하여 그 데이터 안에서 결과를 추출해 내는 솔루션이므로 수집되는 데이터가 충분해야 한다. 그렇지 못한 경우, 그 결과의 정확성이 떨어지게 된다. 이에 대응하기 위해 다양한 방식의 수집 기능을 지원해야 한다.
또한 주변 솔루션의 수집 주기에 관한 이슈도있다.로그를 보내는 과정에서 대용량 데이터 전송으로 인한 성능의 저하를 불러올 수도 있다. 이러한 경우를 막기 위해 수집시간을 하루에 1회로 제한하는 등 수집 주기를 제한하고있다.
즉 적합한 수집 주기를 결정하고 그에 따른 시나리오와 분석 주기를 결정하는것이 필요하다.
'명탐정 홈즈'의 이미지가 떠오른다. 그는 사람을 한 번 살펴보고 그 인물의 과거 행적을 신기할 정도로 정확하게 맞춰낸다.자세히 들여다보면 여러 가지 사소한 정보들을 종합하여 통합적인 시선으로 사안을 분석해 내는 능력이 탁월하다. 통합보안관리 솔루션 역시 중요한 정보는 물론 300가지 사소한 징후들을 엮어 내어서 의미있는 보안의 위협을 찾아내고, 이를 통해 큰 사고를 알아차려야만 한다.