로그분석 시스템으로 시스템 관리 ‘난맥’ 해소
SIM·SEM·SIEM 등 여러 솔루션 상존 … 도입 이전 충분한 사전 검토 중요
기업 규제의 강화로 원본로그에 대한 보관과 관리가 의무화되면서 로그 관리의 중요성이 부상하고 있다. 하지만, 의무화가 아니더라도 로그 관리는 반드시 필요한 일 중 하나다. 각종 시스템과 애플리케이션을 운용하고 있는 오늘날의 현실에서 대부분 엄청난 양의 로그로 인해 엄두를 내지 못하고 있지만, 매일 로그 분석을 수행하는 것만으로도 상당수 문제를 예방할 수 있다. 로그는 IT 인프라의 일기장으로 내부 인프라의 모든 것을 보여주기 때문이다.<편집자>
연재순서
1회 : 로그 관리 및 분석
2회 : 분석 도구 이용한 로그 관리 방법(이번호)
이준희 // SK인포섹 기술팀 차장
joonhlee@skinfosec.co.kr
몇 년 전부터 다양한 종류의 로그 분석 시스템들이 나와서 로그관리의 기본적인 속성인 로그 중앙 집중 관리와 로그 일반화의 기능을 수행하고 있다. 가장 많이 사용되고 있는 SEM을 필두로 SIM, SIEM등의 다양한 개념의 로그 관리 솔루션들이 등장하고 있다.
SEM은 Security Event Management의 약자이고, SIM은 Security Information Management, SIEM은 Security Information and Event Management의 약자다. 여기에서 시큐리티(Security)는 보안과 관련된 모든 이벤트들을 의미하고, 인포메이션(Information)은 취약점 보고, 장비 목록과 같은 개별 시스템의 자산 관리를 의미하는 것이다. 그리고 이벤트(Event)는 넷플로우 등 네트워크 정보나 각종 시스템, OS들의 로그들을, 매니지먼트(Management)는 로그 관리 및 분석을 위한 관리 기능을 의미한다.
위의 툴들은 각각 로그 관리에서 주 기능에 따라 구분되긴 하지만 로그를 관리하고 분석한다는 큰 틀에서는 동일 솔루션으로 판단할 수 있다. 이런 로그 분석 시스템은 네 가지의 중요한 기능을 가진다.
로그분석 시스템 주요 기능
첫 번째는 네트워크 내에 존재하는 다양한 종류의 보안/네트워크 장비, 시스템 OS, 각종 애플리케이션에서 발생되는 로그를 한곳에서 수집하는 것이다. 로그 분석 시스템은 라우터, 스위치, AP(wireless Access Point), 방화벽, IDS/IPS, 취약점 점검 도구, 유닉스, 윈도우(Windows), 래디우스(Radius), LDAP, 아피치(Apache) 등 네트워크에 존재하는 다양한 장비들로부터 로그를 전송 받는다. 어떤 시스템은 에이전트를 각 장비에 설치해 로그를 받는 경우도 있고 어떤 시스템은 syslog, snmp, LEA 등 시스템에서의 로그 전송 방식을 따라 로그를 받는다.
두 번째는 다양한 이기종 장비들로부터 발생한 다양한 로그 형식을 일정한 포맷으로 분류해 관리자가 알아보기 쉽게 하는 것이다. 여러 다양한 시스템들은 모두 각기 다른 로그를 형태를 가지고 있다. 로그 분석 시스템은 이러한 다양한 로그의 형태를 설정된 내용에 따라서 각 필드를 분류하고 일반화해 각각의 로그를 비교하고 분석하기 편한 형태로 작성해준다.
세 번째는 이기종 장비의 로그들을 상관 분석을 통해 중요한 로그를 분류하고 관리자로 하여금 중점적으로 확인해야할 사항들을 분류해주는 역할을 한다. 로그 분석 솔루션을 이용하는 가장 큰 이유 중의 하나가 분석이고 그 중에서도 상관분석이 중요한 역할을 차지한다. 분석은 관리자로 하여금 좀 더 쉽게 판단을 내리고 조치할 수 있도록 도와준다.
상관분석에는 여러 방법이 있지만 대표적인 것이 IDS/IPS와 취약점 점검도구를 조합해서 판단하는 이벤트 기반의 상관분석, 특정한 로그가 특정 시간 내에 특정 횟수 이상 발생하거나 여러 가지 복합적인 이벤트들이 들어올 때 특정한 행위라고 판단하는 정책 기반의 상관분석, 인프라 내의 모든 시스템의 중요도 별로 로그의 중요도를 분류해 평가하는 위험도 기반의 상관분석, 특정한 포트로 들어오는 트래픽의 평균값을 산정해 놓고 평균값보다 이상적으로 많은 트래픽이 들어오면 공격으로 판단하는 어노말리(Anomaly) 기반의 상관분석 등이 존재한다.
마지막 네 번째는 발생한 문제에 대해 티켓을 발행해 발생한 문제의 내역을 관리함으로써 문제 재발을 막고, 보고서를 작성해 관리와 보고를 쉽게 해주는 역할을 한다. 발생된 문제들의 이력을 관리하는 것은 앞으로의 문제 해결에 도움이 된다.
여러 가지 일을 하다가 보면 잊기 쉬운 것들을 티켓을 통해 관리할 수 있으며, 추후 같은 문제가 발생했을 때 이전 처리 방법에 따라 처리할 수 있기 때문에 해결 방법을 찾기 위해 보내는 시간을 줄일 수 있게 된다. 보고서는 인프라의 현재 상황을 판단할 수 있는 기준도 마련해 주지만, HIPPA, PCI-DSS, FISMA, GLBA, SOX 등에서 규정하고 있는 로그 관리 기준과 로그 분석 보고서를 지원해주는 역할도 수행한다.
시스템 선택 방법
살펴본 것처럼 로그분석도구를 사용해야 할 이유는 다양하며, 이에 따라 오늘날 무수히 많은 로그분석 시스템들이 존재한다. 그렇다면 이렇듯 다양한 시스템들 중에서 환경에 맞는 시스템을 선택하는 방법은 무엇일까? 로그분석 시스템을 구축해 보다 유용하게 사용하기 위해서는 다음 10가지 요소가 고려돼야 한다.
1) 로그 분석 시스템이 왜 필요한가?
‘단순히 다른 사이트들에서 진행하니까’, ‘컴플라이언스 규정을 도입하라고 하니까’가 아니다. 로그분석 시스템은 사이트 내에서 발생하는 다양한 로그를 통해 관리를 보다 효율적으로 하겠다는 의지가 반드시 필요하다.
2) 어떤 형태의 제품이 필요한가?
제품들 중에는 DB등 모든 것이 포함된 어플라이언스(Appliance)형태의 제품과 관계형 데이터베이스(RDB)등을 별도로 구성하는 백엔드(Back-end) 제품들이 존재한다. 백엔드 제품의 경우 DB 등에 대한 관리 기술의 유무도 체크해야 한다.
3) 시스템에 에이전트를 설치할 것인가?
윈도우처럼 syslog나 snmptrap과 같은 일반적인 로그 전송 서비스를 지원하지 않는 경우에는 해당 이벤트에 대한 로그 수용이 가능한지를 확인해야 한다. 단순히 에이전트 설치를 중점적으로 봐야 하는 것이 아니라 내가 가진 시스템들을 얼마나 수용이 가능한 제품인가에 대해 판단해야 한다.
4) 원시로그 형태의 로그 저장이 필요한가?
각 시스템에서 전송되는 로그의 원본형태인 원시(RAW) 로그를 관리하기를 원한다면 원시로그가 저장된 상태에서 로그 일반화 기능을 가지고 있는 제품을 찾아야 한다. 로그 관리 도구의 초기에는 성능, 스토리지 비용 등의 문제로 원시로그를 저장하지 않았고 원시로그를 저장하는 제품의 경우는 실시간 이벤트 모니터링 등에 문제가 있었다. 하지만 최근에는 이런 문제를 해결해 원시로그를 저장하면서도 실시간 이벤트 분석이 가능한 제품들이 출시되고 있다.
5) 로그는 얼마나 보존할 것인가?
최근 컴플라이언스의 규제를 따라서 로그의 보존 연한을 결정하는 경우가 많다. 보존 연한이 결정돼야 스토리지 산정이 가능하며, 정보생명주기관리(ILM ; Information Lifecycle Management)를 운영하기 위해서도 로그의 보존 연한은 반드시 짚고 넘어가야 할 부분이다.
6) 자동 조치 기능이 필요한가?
일부 제품들은 보안 문제 발생 시 자동으로 라우터, 방화벽등과 연계해 문제 발생 IP를 격리시키거나 차단할 수 있는 기능을 제공하기도 한다. 유용한 기능이지만 오탐으로 인한 문제 발생은 생각해 볼 문제다.
7) 로그 수집 규모를 어떻게 할 것인가?
로그분석 시스템은 기본적으로 네트워크와 서버의 상태에 초점을 맞추고 있다. 만약 일반 사용자 PC의 로그까지 확인하려는 경우 라이선스의 수가 늘어나 비용적인 측면이 들어나게 된다.
8) 인증을 통과한 모든 접근에 대한 로그를 수집할 것인가?
디렉터리 방식의 액티브디렉토리(Active Directory), 노벨, LDAP이나 프록시 형태인 래디우스, 유닉스 시스템이나 데이터베이스 접근 시 나오는 다양한 로그를 수집하고 분석할 수 있는 시스템이어야 한다. 누가 시스템에 언제 접근했는가는 문제가 발생했을 때 가장 중요한 정보다.
9) 회사 내에서 사용하는 OS와 응용프로그램 종류 파악
사용하고 있는 OS나 애플리케이션의 버전까지 확인해 도입하려고 하는 로그 분석 시스템이 모두 수용가능한지를 확인해야 한다. MS SQL, 오라클, IIS, 아파치처럼 잘 알려진 애플리케이션의 경우 대부분 지원 가능할 것이다 하지만 잘 알려지지 않은 시스템들의 경우 특히 국산 제품들의 지원 여부 및 지원되지 않는 제품의 연동방법을 확인해야 한다.
10) 사용중인 보안 제품은 모두 파악하고 있는가?
로그 분석 시스템을 사용하는 가장 중요한 이유중의 하나는 바로 보안에 대한 분석을 강화하는 것이다. 그렇기 때문에 이미 구축된 방화벽, IDS/IPS, 취약점 점검도구, VPN 등이 연동이 가능한지, 상관분석과 같이 로그를 효율적으로 관리하는 방안을 지원하고 있는지 확인해야 한다.
로그 분석 시스템은 관리자의 어려움을 덜어주는 솔루션이다. 로그 분석 시스템을 도입하면 많은 수의 로그를 관리하고 분석하는데 많은 도움을 준다. 이전에 로그가 너무 많아서 포기했던 일들을 자동으로 중요로그에 대해서는 알려줄 것이고, 상관분석을 통해 의미 있는 로그를 분류해서 처리할 로그의 양을 줄여주는 역할을 수행해 줄 것이다.
하지만 앞서도 언급했듯 로그 분석 시스템을 도입했다고 해서 저절로 위와 같은 기능이 수행되는 것이 아니다. 따라서 관리자는 자신이 필요로 하는 부분을 정확히 이해하고 요구해야 긍정적인 효과를 제공해줄 수 있게 된다. 만약 지금 로그 분석 시스템을 도입하려고 한다면 벤더를 불러 제품의 기능을 확인하기 전에, 자신이 관리하는 사이트 내에서 어떤 로그가 중요하고 어떤 내용의 보고가 주기적으로 일어나야 하는지에 대해 정확히 판단하고, 요구해야 한다.
