[보안 정보 관리(SIM)①] IT 보안 담당자에게 힘을 준다
상태바
[보안 정보 관리(SIM)①] IT 보안 담당자에게 힘을 준다
  • Network Computing
  • 승인 2002.05.29 00:00
  • 댓글 0
이 기사를 공유합니다

“운영자에게 ‘힘’과 ‘제정신’이 들도록 해준다”
‘집합·상호연관 기술’이 바탕 … ‘사건 조사·데이터 추출’에서 가치 두드러져
조직에서 모든 이벤트를 조사할 수 있는 자원을 갖고 있는 경우는 드물다. 대신, 이들은 자신들에게 주어진 툴을 이용해 중요한 문제들을 식별하고 처리해야 한다. 보안 담당자는 반드시 선별 작업을 해야 한다. 즉 가장 영향이 큰 문제를 먼저 붙들고 거기서부터 움직여야 한다. 문제는 이렇듯 위험도 높은 항목들이 보통 데이터의 산아래 묻혀 있다는 것이다.

새로운 영역인 SIM(Security Information Management)는 운영자에게 힘을 주고 보다 위험도가 높은 보안 이벤트들을 식별할 수 있게 도와줌으로써 보안 팀이 제정신을 유지할 수 있게 해준다.

만약 당신이 IT 보안 담당자라면, 복잡하게 배열된 방어 메커니즘이 당신의 처분 아래 놓일 것이다. 경계선 방어 전략으로는 방화벽, 라우터 및 침입탐지 시스템이 있다. 침입방지소프트웨어를 핵심 장비에서 실행시키고 있으며, 호스트 기반의 침입탐지시스템이 자신들의 등뒤를 주시하고 있을 것이다.

당신은 로그를 점검하고, 키 파일을 감시하며, 인증 작업들을 통일화시키고 핵심 데이터 컴포넌트들을 암호화하고 있을 것이다. 그리고 그 무엇보다도 자동화된 취약성 평가 스캐너가 관리자들로 하여금 필요한 패칭 작업을 신속히 계속할 수 있도록 도와줄 것이다.

하지만, 이 멋진 세계는 데이터의 바다가 두 번째로 당신의 세계를 침범하기 시작하면 금새 악몽으로 변할 것이다. 수백 개의 로그 엔트리, 수 천 개의 취약성 경보, 6자리 수의 IDS 경보들…. 수 백만 개의 이벤트가 날아들어 올 것이다. 당신은 갑자기 완전히 새로운 문제, 즉 ‘어디서부터 시작해야 하는가’ 라는 의문을 맞게 된다.

보안 담당자에게 중요한 질문 제기

많은 조직들이 자신들이 소화할 수 있는 것보다도 더 빨리 보안 기술을 채택하고 있다. 매사추세츠주 프래밍엄에 위치한 연구기관인 IDC의 애널리스트인 찰스 콜로지에 따르면, 침입탐지 및 취약성 평가 하드웨어와 소프트웨어 시장만 보더라도 1999년에서 2000년 사이에 90% 이상 성장해 5억3,950만달러에 이른다고 한다. 최신 보안 스위트들은 운영자가 엄청난 양의 정보를 처리할 수 없을 경우 효과를 거두지 못한다. 보안 담당자가 그것만으로도 충분히 꼼짝할 수 없게 되기 때문이다.

조직에서 모든 이벤트를 조사할 수 있는 자원을 갖고 있는 경우는 드물다. 대신, 이들은 자신들에게 주어진 툴을 이용해 중요한 문제들을 식별하고 처리해야 한다. 보안 담당자는 반드시 선별 작업을 해야 한다. 즉 가장 영향이 큰 문제를 먼저 붙들고 거기서부터 움직여야 한다. 문제는 위험도 높은 항목들은 보통 데이터의 산아래 묻혀 있다는 것이다.

새로운 영역인 SIM(Security Information Management)은 운영자에게 힘을 주고 보다 위험도가 높은 보안 이벤트들을 식별할 수 있게 도와줌으로써 보안 팀이 제정신을 유지할 수 있게 해준다.

데이터 집합에 상호연관 기술을 결합시킴으로써, SIM 제품은 보안 데이터의 힘을 이용해 보안 담당자에게 있어 매우 중요한 질문, 즉 어디다 주의를 집중시켜야 하는가에 대한 대답을 제공한다. 데이터 상호연관 기술은 ‘예전에 이 공격자의 IP 어드레스를 본 적이 있는가?’, ‘어디서 이것을 보았는가?’, 그리고 ‘예전에 몇 번이나 보았는가?’와 같은 특정 질문들에 대해 대답할 수 있게 해준다. 인텔리택틱스(Intellitactics)의 NSM(Network Security Manager)과 같은 일부 제품들은 심지어 운영자가 시스템의 가치를 등급화해서 보안 팀에게 보다 중요한 시스템에 대한 영향도 높은 공격을 시각적으로 판단할 수 있는 능력을 준다.

집합과 상호연관

SIM 제품은 보통 업체 중립적이며, 여러 업체들에 의해 제조된 다양한 제품에서 마이닝된 데이터를 이용해 상기 질문에 대답을 할 수 있다.

하지만 SIM 제품의 능력과 한계에 진정으로 감사하기 위해서는, 이들을 이끌어낸 기술에 대해 알아둘 필요가 있다. 관계형 데이터베이스에 데이터를 저장하고, 그 위에서 검색을 실행한다는 개념은 분명 새로운 것이 아니다.

하지만 보안 제품들의 정황으로 볼 때, 다양한 유형의 장비로부터 데이터를 소팅, 프리젠팅 및 질의하는 방식은 비교적 새로운 것이다.

집합(aggregation)과 상호연관(correlation)은 실질적으로 다른 기능이다. 집합이란 말은 심지어 다른 상황에서 사용될 수도 있다. 예를 들어, 데이터 집합은 종종 단일 스토리지 지점으로 정보를 통합시키는 것을 의미하기도 한다. 모든 라우터 로그를 SQL 지원 데이터베이스로 옮기는 것이 데이터 집합 기술이다. 반면, 이벤트 집합은 유사한 수많은 경보나 이벤트를 확보해서 이들을 하나의 메시지로 엔드유저에게 보여주는 것을 나타낼 때 사용되는 경우가 많다.

IDS(Intrusion Detection System) 세계에서, 이것은 아마도 일련의 침입자 행동들(즉, 정찰 탐색, 배너 약탈 및 부당이용 시도 등)을 확보하고, 이들을 하나의 경보, 즉 ‘IP 어드레스 y.y.y.y에서 누군가가 웹 서버 Z를 공격하고 있다!’로 통합시켜주는 것으로 이행될 것이다. 데이터 집합은 데이터를 단순히 모으는 하나의 방법으로 사용되는 반면, 이벤트 집합은 관리자가 처리해야 하는 이벤트의 엄청난 수를 줄여주는 수단으로 채택되는 경우가 많다.

상호연관은 완전히 다른 기술이다. 상호연관 기술은 보다 수준 높은 분석을 하려는 의도를 갖고, 이전에 집합된 정보의 양을 더 늘리는 경우가 많다. 상호연관 기술은 공격자가 얼마나 많은 곳을 들렀는지, 시간이 흐르는 동안 특정 소스에 대한 공격이 얼마나 많이 이루어졌는지, 그리고 조직 내의 어떤 시스템, 혹은 네트워크가 가장 심한 공격을 받고 있는지를 들여다볼 수 있게 해준다.

일부 진보된 상호연관 엔진은 실시간, 규정 주도식 이벤트 처리 기능을 추가함으로써 여기서 한 단계 더 나아가고 있다. 예를 들어, IP 어드레스 Y로 X 상황이 발생할 경우 Y를 저장하고, IP 어드레스 Y에서 상황 Z가 발생할 경우 미리 정의된 어떤 작동(경보를 발생시키거나, 페이지를 보내거나, 혹은 스크립트를 띄우거나)을 수행하라고 얘기하는 규정을 만들 수 있다. 이것이야말로 진정한 가치가 있는 것이며, 이런 제품들이 규모가 큰 보안 운영에서 인기를 얻을 것이 확실시되는 이유이기도 하다.

보안 직원을 다양한 소스로부터 데이터 출력을 통합시킬 수 있는 툴로 무장시켜 조직에서는 보안 선별에 대한 필요에 직면할 때 업체들이 뒤를 받치고 있는 일부 제한들을 깨뜨릴 수 있다. 어쨌거나 이것은 그럴 가능성이 있다는 얘기다. 현실은 이 유토피아와 혼란스런 암흑의 단면 사이의 어딘가에 놓여 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.