빅데이터 보안 로그 분석의 새로운 변화

기업은 내부 중요 자산을 보호하기 위해 다양한 보안 솔루션을 도입하고 있다. 각 도입된 보안 솔루션은 독립적으로 운영되며, 해당 솔루션의 로그들도 그 기능에 따라 독립적인 감사 로그로 사용된다. 감사로그는 보안 사고 발생 시 솔루션간의 연관성을 찾고 사고 원인을 분석하기 위해 사용되지만, 일반적으로 보안 사고 발생 후 로그 분석 시간은 약 260일 이상 소요(출처: 국가정보원 2015보고 자료)되며, 오랜 분석 시간으로 인해 중요 사건에 대한 대응 정책 적용이 늦어지고 있어 빠른 대응 및 처리가 절실한 상황이다.
이러다 보니, 기업들은 도입한 보안 솔루션에 대한 활용도를 높이는 방안을 고심하고 있으며, 각 보안 솔루션으로부터 수집된 방대한 로그 데이터와 해당 데이터에 대한 정확한 분석을 요구하고 있다. 하지만 현실적으로 로그 분석 전문가를 두기엔 어렵고, 기존 분석 솔루션의 경우 오탐과 정확한 분석 방안을 수립하지 못하는 문제를 가지고 있다.

엔드포인트 이상징후 탐지솔루션 “SafeMON”

닉스테크는 이러한 고객의 니즈를 반영하여 엔드포인트 보안 솔루션 운영 경험과 빅데이터 기반 분석 인사이트를 제공하는 Splunk를 활용한 이상징후 탐지 솔루션 “SafeMON”을 출시 했다.
SafeMNON은 Splunk 기반의 빅데이터 로그 분석 및 효율적인 검색을 제공하고, 닉스테크의 다년간 운영 노하우와 기술을 통해 로그의 상관관계를 분석하는 이상징후 탐지 솔루션이다. 상관관계 분석을 통해 예측한 보안 시나리오를 제공하고 있으며, UI 클릭을 통해 보안 시나리오를 전문가가 아니더라도 손쉽게 서비스를 운영할 수 있도록 지원한다.
해당 솔루션의 전체적인 운영 프로세스는 아래 그림과 같다.

[그림1] 이상행위 탐지 솔루션 프로세스
SafeMON은 Splunk의 기능을 활용하여 정보보안 솔루션의 빅데이터 감사 로그를 수집 및 색인하고 보안 시나리오를 통한 분석을 진행한다. 보안 시나리오 기반의 이상행위 발견 시 보안 관리자에게 경고 알림을 보내고 보안 사고에 대한 감사 로그의 상관관계 분석시간을 줄이면서 업무 효율성을 높여준다. 한발 더 나가 이상행위로 분류된 직원에 대해 보안 정책을 강화함으로써 보안 사건을 사전에 예방할 수 있다.

SafeMON 주요 기능

SafeMON의 주요 기능은 블랙리스트, 표준 보안 시나리오, 실시간 로그 수집 그리고 분석에 따른 대쉬 보드 제공이다.

1. 블랙리스트

퇴사 예정 및 이상행위로 경고를 받은 사용자를 블랙리스트로 두고 관리할 수 있다. 블랙리스트 관리 기능으로 많은 사용자들에게 보안 시나리오를 모두 적용하는 것보다 효율적으로 사용자를 감시 및 통제할 수 있다.

2. 표준 보안 시나리오 제공

닉스테크는 오랜 엔드포인트 보안 솔루션의 구축 및 운영 노하우로 전문가의 보안 시나리오를 표준화하여 제공한다. 이때 보안 시나리오는 표준 시나리오와 상세 시나리오로 구별한다. 표준 시나리오는 상세 시나리오를 만들 수 있도록 틀을 제공하는 것으로, 각 보안 솔루션의 로그 항목을 상세히 정의하지 않고 큰 범주로 구별한다. 그에 비해 상세 시나리오는 보안 관리자가 클릭을 통해서 로그를 정의하고 이를 통해서 실제 이상행위를 검출한다.
예를 들면 다음과 같다.
‘매체 통한 파일 반출’은 표준 시나리오로 큰 범주에 속하며, 상세 시나리오는 매체에 대하여 USB 메모리, 스마트폰 등으로 정의하고 파일에 대해서는 개인정보 파일, 일반 파일 등으로 정의 한다. 최종 적용되는 상세 시나리오는 ‘USB 메모리를 통한 개인정보 파일 반출 건수’ 혹은 ‘스마트폰을 통한 일반 파일 반출 건수’ 등 하나의 표준 시나리오에서 다수의 상세 시나리오가 나올 수 있도록 제공된다. 이미 로그에 대한 의미를 부여하여 정의하였기 때문에 전문가가 아니더라도 항목별로 UI를 선택하여 다양한 상세 시나리오를 만들 수 있다.

[그림2] 표준시나리오


[그림 3 상세 시나리오]

3. 모니터링 및 상세 검색 (대쉬보드)

Splunk의 최대 장점은 빅데이터에 대한 실시간 로그 수집 및 분석 기능이다. 상세 시나리오를 통해서 해당 로그를 수집하고 색인하여 각 모니터링 화면을 별도로 제공한다. 따라서 보안 관리자는 상세 시나리오 별 대쉬보드를 제공 받을 수 있으며, 해당 로그 수집 내용에 대한 상세 검색이 가능하다. 이러한 모니터링 및 상세 검색을 통해서 이상행위의 사용자를 발견하면 블랙리스트에 추가되고, 해당 블랙리스트 사용자에 대한 보안 시나리오를 더욱 상세히 하여 사고 발생 가능성을 줄이고, 사전에 보안 정책 강화를 통해서 위험으로부터 자산을 안전하게 보호한다.


[그림4] 시나리오 적용 모니터링]


[그림5] 시나리오 상세 검색

맺음말

현재 많은 고객들이 수집되는 빅데이터의 감사로그 활용 방안에 대해 고민 중이며, 더 나아가 능동적인 대처와 위협을 사전에 예방하고자 한다. 이때, 사전 위협 요소를 예방 방안으로 상관관계를 통한 보안 감사 로그 분석을 그 해결 방법으로 손 꼽고 있어, 향후 Splunk를 기반으로 한 SafeMON의 도입이 증가할 것으로 예상하고 있다.


작성자: 닉스테크 김정일 이사 (jikim@nicstech.com)