> 뉴스 > 테크가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
커버 스토리 - 보안정보관리 시장
2006년 07월 21일 00:00:00
보안 정보 짐 덜려면 전략부터 짜라
유년기에서 청년기로 이동 … 고급 로그관리 정책 필수

관리해야 하는 데이터의 양이 엄청나게 늘어나고 있지만 제대로 계획된 SIM(Security Information Management) 전략이 있다면 다행히도 이 거대한 물결을 잘 활용할 수도 있다. 이번호에는 종종 혼란스럽고 복잡하게 보이기만 하는 SIM, 즉 보안정보관리 시장을 집중 분석해 본다.


압박을 받는 사람들은 엔터프라이즈 보안 스태프들이다. 정보 보증(Information Assurance) 전략에서부터 보안 운영, 그리고 규정 준수에 이르기까지 보안 제어를 관리 및 검증하는 일은 엄청나게 복잡해지고 있다. 이 일의 한 가지 핵심 요소는 상황에 따라 보증할 수 있는 데이터를 수집, 저장 및 처리하는 일이다. 문제는 이러한 정보가 네트워크 장비, 시스템, 애플리케이션 및 취약성 스캐너 등과 같은 다양한 소스에서 나온다는 것이다. 따라서 대부분의 로깅 작업은 아무리 잘해도 부족하다. 본 기사를 위해 실시한 설문조사에서 38%의 응답자가 시스템 및 네트워크 장비 로그의 중앙 저장소를 갖고 있다고 답했으며, 37%가 자신들의 로그가 사후에 이뤄지고 있음을 인정했다. 우리는 보안 데이터를 확보하기 위해 수백만 달러를 쓰고 있지만 감사자들은 여전히 우리의 숨통을 조인다. 일찌감치 많은 보안 전문가들은 SIM(Security Information Management) 스위트로 눈을 돌렸지만, 단순히 IDS 이벤트와 방화벽 로그를 수집하는 이상으로는 움직이지 못하는 경우가 많았다.

SIM 용어 둘러싼 논쟁
2부에 걸친 SIM 특집 기사에서 우리는 이 모든 것을 제대로 분석해볼까 한다. 우선 최근 몇 년 동안 일어났던 중요한 변화를 점검해 보고, 로그 관리와 SIM 이니셔티브를 효과적으로 수행할 수 있는 전략을 추천해 본다. 그리고 제 2부에서는 8개 업체의 제품을 검토하고 포괄적인 평가를 거치는 동안 이들이 어떤 모습을 보여줬는지를 얘기하기로 하자.
SIM, 즉 보안정보관리라는 용어가 회자된 지 몇 해가 지났지만, 이것이 가리키는 시장은 유동적이다. 이 용어가 SIM이 돼야 하는지, SEM(Security Event Management)이 돼야하는지, 아니면 이 두 가지를 합쳐 만든 SEIM이 돼야 하는지를 두고 의미론적으로 캐고 들어가던 때를 기억하는가?
오늘날 우리는 SIM, SEM, SEIM이란 용어 뿐만 아니라 로그 관리(log management), 그리고 모든 것을 내포하지만 모호한 용어인 ESM(Enterprise Security Management)이란 말까지 듣고 있다. 아크사이트(ArcSight)는 ESM을, 네트워크인텔리전스(Network Intelligence)는 SEIM을, 그리고 로그로직(LogLgoic)은 짐작하다시피 로그 관리란 말을 사용하고 있다. 더욱 우스꽝스럽게도, 우리가 만나본 일부 마케팅 팀에서는 자신들의 회사 제품이 전통적인 SIM 제품의 기능을 모두 갖추고 있는데도 불구하고 SIM 제품이 아니라고 완강히 우기고 있다고 인정했다.
우리는 마케팅 담당자들과 유행어 창조자들 사이의 난타전이 끝나기를 기다리는 동안 한 가지 제안을 내놓았다. 즉 보안 로그 관리는 SIM의 하부 개념이고 SIM은 ESM의 하부 개념일 수 있다는 것이다. 하지만 아직 우리는 SIM이라는 말을 계속 쓰고 있으며, 아무쪼록 이 논쟁이 어서 가라앉기만 바랄 뿐이다.
마케팅 농간들에도 불구하고, 우리는 몇 가지 핵심적인 사실에 확신을 갖고 있다. 우선 SIM은 단순한 로그 및 이벤트 데이터 이상의 의미가 있다. 자산 정보와 가중치, 보안 사태 정보, 그리고 단순한 시스템 및 장비 이상에서의 입력 등이 모두 보안 위험을 볼 수 있는 시각을 제공하는 데 결정적인 역할을 하기 때문이다.

업체간 특성 비슷
로그 데이터를 중앙 저장소에 두는 데는 이점이 있긴 하지만, 이것은 시작에 불과하다. 정보를 전송, 저장 및 처리하고, 행동 가능한 지식을 제시하는 게 SIM 퍼즐에서 모두 중요한 조각들이기 때문이다. 우리가 테스트한 대부분의 제품들이 최소한 보안정보관리를 위한 기본 조각들을 얼마간 갖고 있긴 했지만, 이들 모두가 모든 기능을 제공하는 것은 아니었다.
예를 들어 로그로직의 ST 3000과 LX 2000은 다소 멋진 로그 관리, 스토리지 및 보고 기능을 제공하지만, 실시간 모니터링쪽에서는 약한 모습이다. 큐원랩스(Q1 Labs)의 큐레이더(QRadar)는 뛰어난 실시간 상호연관 기능을 제공하지만, 아크사이트의 ESM과 같은 전송의 유연성을 갖고 있지 않다. 네트워크인텔리전스는 최근에야 실시간 분석 UI를 만들기 시작했지만, 그 인비전(enVision)은 대부분의 다른 부문에서는 강력한 모습이다. 우리가 보기에 이들은 모두 같은 방향을 향하고 있는 것 같으며, 또 당연히 그래야만 한다.
대기업들은 SIM 퍼즐을 완성하기 위해 여러 제품에 돈을 쓰지는 않을 것이며, 특히 보통의 대형 SIM 배치 비용이 6~7자리 숫자의 달러가 나간다는 사실을 감안하면 더욱 그러할 것이다. 중소기업에서는 모든 기본적인 것들을 잘 소화해 내는 SIM 어플라이언스에 대한 예산을 생각해 둬야 한다. 우리의 경우 하이타워(High Tower)의 간편한 시큐리티 이벤트 매니저가 마음에 들었는데 가격은 3만5천달러부터다. 사실 설문조사의 대부분의 응답자들이 로그 전송, 스토리지 및 분석용으로 한 업체를 이용하겠다고 답했다. SIM 업체들은 계속해서 사양을 갖춰 나가야 할 것이며, 그렇지 않을 경우에는 시장 점유율을 잃게 될 것이다.
하지만 현재로서는 로그 및 데이터 전송, 스토리지, 보고, 모니터링 및 포렌직 분석 등은 완전한 SIM 작업에서 모두 조각으로 존재하고 있기 때문에, 어떤 요소가 자신에게 가장 중요한지를 파악하고, 어떤 업체가 이것을 가져다 줄 수 있을지를 알아야 한다. 그리고 업체들이 어떻게 말하든 보안 로그 및 정보에는 어플라이언스를 배치하는 게 전부가 아니며, 든든한 전략과 앞선 계획도 또한 마찬가지로 중요하다.

로그 데이터 관리
취약성 및 자산 분류(asset-classification) 데이터도 SIM 작업을 힘들게 하지만, 대부분의 SIM 시스템에 들어가는 엄청난 정보는 사실 로그 데이터다. 그리고 솔직히 말해 로그 관리는 결코 매력적인 일은 아니다. 누가 로그 데이터를 다루고 싶겠는가? 로그는 컴퓨터가 존재한 세월 만큼이나 존재해 왔지만, 베테랑 IT전문가들에게조차 매력적이지 못한 존재다. 그리고 불분명한 포맷, 엄청난 양, 그리고 99%의 시간 동안에는 어떠한 눈에 띄는 연관성도 없어 보이는 암흑의 바다임을 감안한다면, 이들을(로그) 욕할 수 있는 사람도 없다.
덤불 속에서 바늘을 찾는 SOC(Security Operations Center) 분석가든, 혹은 단순히 규정 준수 감사자들을 피해가고자 하는 사람이든 간에 한 가지 확실한 것은 로그 관리가 중요하다는 사실이다. IT그룹은 자신들의 로그를 관리해야 한다. 점점 더 많아지고 있는 규정들은 로그 데이터의 저장 및 리뷰를 요구하고 있을 뿐만 아니라, 로그는 다음과 같은 중요한 의문을 해결해줄 수 있다. 무슨 일이 일어났는가? 누가 무엇에 액세스했는가? 누가 무엇을 가져갔는가? 그리고 누가 그것을 했는가?
로그는 또한 다음과 같이 보다 기본적인 질문들에 대해서도 대답할 수 있게 도와준다. 그 사용자가 실제로 규정을 어겼는가? X란 사람이 Y 서버로 액세스하지 않았다고 확신할 수 있는가? 매주 Z에 액세스하는 사람이 얼마나 되는가?
불행히도 로그의 중요성은 높아지고 있지만 이들을 관리하고자 하는 시도는 잘해야 초보 수준에 그치고 말 때가 많다. 많은 자산 소유자와 관리자들이 로그를 시스템에 로컬로 남겨두고 자동 로케이션 메커니즘에 유지보수를 맡겨두고 있다. 이러한 오토파일럿(autopilot) 모델은 특히 정보 무결성과 가용성 면에서 수많은 문제를 안고 있다. 예를 들어 시스템이 공격받을 때 로컬 로그는 변경에 취약하다. 공격자가 관리자나 루트 권한을 확보할 경우에는 로그 데이터의 무결성이 훼손될 수 있기 때문에 대부분의 시스템에서 게임은 끝난다. 로그와 이벤트 데이터를 신뢰할 수 없다면 문제를 어떻게 파악할 것이며, 해결할 수 있는 가능성은 훨씬 희박할 것이다.


공통된 출발 지점 제공
가용성 부문을 보면, 사전 모니터링이 즉시 떠오르지는 않겠지만 언제나 사건 대응과 과거기록 조사라는 문제가 있다. 핵심 로그 데이터가 돌아다니다가 사건에 연루된 시스템에서 삭제된다면, 조직에서는 백업을 돌려서 데이터가 오프라인 매체에 있기를 희망해야 할 것이다. 엄청난 로그 양과 자동 로테이션 창을 감안한다면 위험한 도박이다. 이러한 상황은 지적 자산 절도 사건에서 자주 볼 수 있는데, 범죄가 발생한 지 수 개월이 지날 때까지 조사관에게 불려가지 않는 경우가 많다. 로그 관리 인프라가 없이 사건이후 몇 개월이나 시스템, 인증 및 원격 액세스 로그를 검색하는 일은 문제가 있다. 어플라이언스와 네트워크 장비에서는 이러한 일이 훨씬 더 복잡해지는데, 그 이유는 이들에게 심지어 적절한 로그가 지원되지 않고 있는 경우도 많기 때문이다.
시스템별 관리 전략에 로그를 맡겨두는 데 따른 또 하나의 일반적인 문제는 로그 로테이션 방안과 보유 간격(retention interval)이 통일되는 일이 드물다는 점이다. 예를 들어 프랑크푸르트에 있는 HP-UX는 마드리드에 있는 것과 로그 로케이션 정책이 같지 않을 것이며, 시카고의 리눅스 시스템은 신시내티에 있는 것과 같은 스케줄로 로그를 로테이팅하지 않을 것이다. 이로 인해 운영적인 문제와 정책적인 문제가 모두 발생한다.
우리는 데이터가 사용 불가능해서 포렌직 조사가 엉뚱한 방향으로 가는 것을 본 적이 있다. 또한 로그 정책이 조직에서 일관성 있게 유지되는지를 확인하기도 힘들다. 집중된 방식으로 시행되는 통일된 로깅 정책은 두 가지 도전을 모두 극복할 수 있게 도와준다. SIM 제품은 내부의 정책 및 이행 문제를 해결해 주지는 못하지만, 공통된 출발 지점을 제공함으로써 도움은 줄 수 있다.
그리고 로그 분석의 문제가 있다. 불행히도 기술 운영을 맡고 있는 대부분의 사람들이 로그 파일이 있긴 하지만 이것으로 별로 하는 일이 없다는 사실을 인정할 것이다. 엄청난 작업량과 분석 프로세스를 자동화해 주는 기술이 없음을 감안할 때 충분히 이해가 간다. 방화벽만 해도 초당 수십, 심지어 수백 건의 이벤트를 만들어 내며, 윈도 AD 배치는 놀랄 만큼 수다스럽다. 초당 10개 이벤트만 해도 1분에 600개, 1시간에 3만6천개, 하루면 86만4천개다. 누구도 이 속도를 따라갈 수 없다. 자동화는 여러개의 장비에서 로그를 분석할 때는 필수며, 상호연관(correlation) 및 이벤트 축소(event-reduction) 능력을 갖춘 SIM 장비가 여기서 진가를 발휘할 수 있을 것이다.

좋은 전략이란?
그렇다면 이런 로그 관리의 함정들을 어떻게 피해갈 수 있을까? 강력한 전략에는 도전의 규모와 복잡성에 대한 확실한 평가가 수반된다. 무엇을, 어디서, 언제, 그리고 얼마 동안이냐의 질문에 대답할 수 있으려면 보통 조직의 횡단면, 즉 비즈니스 소유자, 자산 및 시스템 소유자, 감사자, 그리고 변호사 사무실 등에서 나오는 대답을 조화시킬 수 있는 코디네이터가 필요하다. 무엇이 로깅돼야 하는가? 그 데이터가 어디에 어떤 포맷으로 있는가? 이것이 어떤 통신 경로로 이동을 하며, 얼마 동안 저장해 둬야 하는가? 주주들이 이 문제를 심각하게 받아들이게 하는 것이 큰 일이다.
다음에는 목표를 확인하는 일이 있다. 3년 전 기업들에게 로그 관리 전략에 대해 물었을 때 대부분이 주로 보안 애널리스트가 보안 이벤트를 보다 잘 식별하고 처리하도록 하는 데 신경을 쓰고 있었다. 하지만 이제 시대는 변했다. 데이터 축소, 이벤트 처리 및 사건 대응 프레임워크가 여전히 핵심적인 컴포넌트긴 하지만, 지금은 보다 기본적인 감사 및 규정준수 요건들이 마찬가지로 중시되고 있다. 정책을 고수하고, 제어 기준에 맞다는 것을 보여주는 일이 오늘날 보안팀과 IT팀 모두에게 가장 큰 도전으로 취급되고 있다.
SIM 제품을 선택할 때는 무엇을 살펴볼 필요가 있는지에 대해 오랫동안, 그리고 열심히 생각해야 한다. 모든 데이터를 출발부터 중앙 로케이션으로 보낼 것인가, 아니면 원격 사이트에서 먼저 데이터를 집합시킬 것인가? 정체된 왠 링크를 통해 데이터를 이동시킬 필요가 있는가? 그렇다면 배치 큐잉(batch queuing)과 대역폭 억압(bandwidth-throttling) 기능이 중요하다. SIM 플랫폼을 이용해서 사건 대응 및 조사 워크플로우를 관리할 것인가, 아니면 기존의 티케팅 시스템을 이용할 것인가? 빌트인 티케팅 시스템이 필요하다면 이용하는 SIM 업체에게 회사에 맞는 것이 있는지 확인해 보라.


자사 환경 고려해야
SIM 제품을 배치 및 테스트할 때 고통스럽지만 인정할 수 밖에 없었던 한 가지는 보고 중심적 플랫폼과 실시간 분석 중심적 플랫폼간의 기능적인 큰 갭이었다. 일주일에 한 번 단순히 규정준수 보고서만 돌릴 생각이라면 SOC의 실시간 필요를 관리하기 위해 SIM을 필요로 하는 것과는 완전히 경우가 다르다. 장기적으로 볼 때 이상적인 SIM 제품은 모니터링과 보고 부문 모두에서 강력한 능력을 발휘할 수 있어야겠지만, 장기적으로든 단기적으로든 지금 현재에는 자신들에게 가장 중요한 것을 우선시해야 한다.
일단 하이레벨의 목표가 결정이 되면, 목표를 달성하기 위해 어떤 종류의 정보가 필요한지, 필요한 데이터를 수집하기 위해 어떤 자산으로 함께 작업을 해야 하는지를 식별하라. 예를 들어 인증과 액세스 제어를 중심으로 하는 제어 및 모니터링 목표가 있다고 가정하자. 인증자가 어떤 사람이고, 어떤 사람이 다양한 인증 모델에 참여하게 될 지에 대해 묻고 싶을 것이다.
조직들이 ‘내 서버에서 로그를 가져와야겠다’는 일반적인 필요조건을 넘어 ‘저 조제시스템에서 인증 데이터를 가져와야 한다’는 수준으로 이동을 함에 따라, 이들에게는 자산 식별 및 소유의 문제뿐만 아니라 커뮤니케이션의 문제까지도 대두되고 있다. 예를 들어 시스코 PIX 방화벽에서 시스로그(syslog) 메시지 전송을 지원하기 위해서는 몇 줄의 구성 변경만 있으면 된다. 하지만 글로벌 로깅 아키텍처로 액세스 로그를 전송하기 위해 SAP 이행을 지원하는 것은 약간 더 복잡하다.
대부분의 SIM 업체들이 맞춤 데이터 핸들러(handler)를 제작하겠지만(유료로) 장비와 애플리케이션 지원은 업체별로 크게 차이가 날 것이다. 배치 스케줄을 맞추고, 최종 통합 과정에서 예상치 못한 경비를 피히가 위해서는 미리 잠재적인 장애물을 식별하는 게 도움이 된다.

적절한 제어 목표와 정확한 자산 파악
로그 데이터 양이 정말 많은(매월 테라바이트 급 이상) 일부 조직에서는 로그당 기반으로 보유 정책을 정한다. 우리가 만나본 한 의료 회사는 인증 로그를 IDS 로그보다 더 오래 보관하기로 결정했다. 이러한 세분화로 인해 복잡성이 추가되며, 이런 정도의 기능을 해낼 수 있는 SIM 제품은 거의 없지만, 덜 중요한 데이터를 추려냄으로써 온라인 상태를 보다 오래, 혹은 스토리지 비용을 보다 낮게 유지할 수 있을 것이다. 로그 데이터 양이 비교적 적은 조직에서는 일을 간단히 유지하고, 모든 로그를 미리 결정된 일정 기간 동안 보유하고자 할 것이다. 이러한 보유 부문은 법률 부서에서 아마도 비중을 많이 두고 싶어할 것이다.
보유 문제 외에도, 몇 가지 이유로 인해 법률적인 스토리지 필요조건을 추측하기가 쉽지가 않다. 우선 집중식 로깅 도구가 없는 조직은 자신들이 갖고 있는 로그 데이터가 얼마나 되는지를 거의 알지 못한다. 추측을 하기 위해 필요한 정보는 보통 기업망 전체에 널려 있다. 둘째, 평균적인 양과 버스트 양 사이에는 큰 차이가 있을 수 있다. 테스트 기간 동안 우리의 주변 경계 방화벽은 몇 주에 한 번씩 며칠 동안 많은 외부 스캐닝을 목격했으며(우리가 제어할 수 있었던 게 아니었다), 로그 양은 10~20배까지 늘어났다. 시간이 지나면서 다시 평균으로 돌아가긴 했지만 스토리지 필요조건을 추측할 때는 샘플을 길고 넓게 잡을수록 좋다.
사이징(sizing) 작업을 시작하면서 우리는 샘플링 기반 방안을 택하고, 대포 장비와 시스템을 선택한 다음, 시스로그-ng 패키지를 이용해 기본 로그 집중 지점을 만들었다. 이 샘플 그룹은 시스로그 서버로 데이터를 전송하도록 구성했으며, 일별, 주별 이벤트와 로그 데이터 양에 대한 통계를 냈다. 몇 주치의 데이터를 수집한 후 우리는 전체 생산 환경에서 데이터가 얼마나 될런지를 평가해 볼 수 있었다. 이러한 방식은 어느 정도 오차가 있긴 하겠지만 막무가내식 추측을 피할 수 있게 해준다.
적절한 제어 목표와 정확한 자산을 파악하고, 데이터를 전송 및 저장할 수 있는 길을 찾았다고 가정한다면, 다음으로 할 일은 필요로 하게 될 보고와, 이들을 얼마나 자주 돌릴 필요가 있을지를 파악하는 일이다. 이것 또한 제품 선택 범주를 정할 때 중요한 단계이며, 상용 SIM 툴이 있는 파일럿 프로그램이 작업을 원활하게 하는 데 큰 도움이 될 수 있는 단계기도 하다.
예를 들어 SOX 필요조건과 사용자 계정 관리 변화를 분석해야 하는 필요를 해결하기 위해 COBIT를 채택했다면, 당신의 집중화된 시스템 및 디렉토리 서비스 이벤트 데이터 저장소에 대조해 미리 규정된 보고서를 돌릴 수 있는 툴이 막대한 시간을 절약해 줄 것이다.


이벤트 축소 능력 중요
SIM 배치를 시작하기 이전에 무엇을 보고해야 할 필요가 있는지를 알면 시간과 돈을 줄일 수 있겠지만, 보고와 실시간 모니터링 필요조건 사이에는 실제로 차이가 존재한다는 사실을 알아야 한다. 실시간 모니터링에는 보통 데이터 축소 메커니즘, 대시보드, 그리고 조사 및 사건 처리 툴이 포함돼 있다. 우리는 테스트한 제품들 대부분이 보고나 실시간 모니터링에 뿌리를 두고 있음을 목격했으며, 둘 다를 기반으로 하는 것은 거의 없었다.
SIM 필요조건을 결정하는 조직에서는 또한 UI, 사건 처리 및 실시간 사양 세트를 얼마나 중요하게 생각할지를 결정할 때 자신들의 운영 능력에 대해서도 제대로 파악하고 있어야 한다. 다시 말해 실시간 콘솔 앞에 앉아서 이벤트를 모니터링할 전담 인원을 두기에 필요한 인력, 기술 및 시간이 있는가 하는 것이다.
기존의 SIM 기술은 보안 애널리스트가 소팅을 해야 하는 이벤트 수를 대폭 줄여줄 수 있으며, 이러한 축소 능력은 어떤 규모의 조직에서든 유용하다. 하지만 콘솔을 모니터링할 만한 자원이 없을 경우 사건 처리 능력은 의사결정 프로세스에서 그만큼 큰 비중을 차지하지 못할 것이다. 동시에 우리는 보고 메커니즘에서 시작해서 나중에 실시간 기능으로 이동을 하는 조직에 대해 들은 바가 있는데, 그 이유는 단지 자신들이 선택한 소프트웨어 업체가 이런 부분을 제대로 처리하지 못했기 때문이었다.
우리가 테스트한 모든 툴은 이벤트 양을 크게 줄여주었지만, 그렇다고 이벤트 데이터를 완전히 제거하지는 않았다. 여전히 더 조사되거나 무시돼야 할 이벤트는 존재했으며, 이들 중 일부는 상호연관이 되기도 했다. 우리는 아직 해놓고 잊어버릴 수 있는 모니터링 기술에 가까이 가기에는 너무도 먼 곳에 있으며, 앞으로도 한참 동안은 이 테두리를 벗어나지 못할 것이다.

규정 준수 필요조건이 로그관리에 영향
아마도 과거 2년 동안 우리가 목격한 가장 큰 변화는 규정준수 필요조건이 로그 관리에 미친 영향일 것이다. 사실 어떤 마케팅 선전을 보면 IT에서는 규정준수만 생각하고 있고, 보고(report)가 해답인 것처럼 보이기도 한다. 특정 제어가 작동 중이라는 사실을 확인할 필요가 있는가? 보고 기능을 돌려라! X, Y, Z를 하고 있다는 확인이 필요한가? 보고 기능을 돌려라!
하지만 현실은 그렇지 않다. 많은 규정준수 니즈는 보고 기능을 돌림으로써 처리할 수 있지만, 전부 그런 것은 아니다. 하지만 부인할 수 없는 한 가지는 규정준수 이니셔티브가 모니터링과 리뷰 영역에서는 보안 이니셔티브와 서로 교차된다는 사실이다. 로그가 있는가? 그렇다. 로그를 저장하는가? 그렇다. 정기적으로 로그를 분석하는가? 당연하다. 로그의 분석과 모니터링을 시작하자마자 일은 훨씬 더 복잡해지며 간단한 보고로는 이것을 감당할 수가 없다.
규정준수가 당신에게 어떤 의미가 있든 관계없이(내 정책을 따라야 한다, IT보안의 위험을 관리해야 한다, 혹은 SOX 감사자에게 꼼짝 못한다 등) 이런 목표를 달성할 수 있는 능력은 일부는 보안 및 로그 정보와 연관돼 있다. 이것은 정보가 관리돼야 할 필요가 있는지의 문제가 아니라 언제, 어떻게 관리돼야 하는지의 문제다.
변화는 업체 쪽에서도 진행 중이다. 누구의 추측을 신뢰하느냐에 따라 SIM 영역은 2억~3억달러 규모 시장을 이루고 있으며, 크다고 할 수는 없지만 계속 성장하고 있다. 하지만 이러한 성장에는 엄청난 경쟁이 함께 하고 있다. 3년 전 우리는 6, 7개 업체들을 봤지만, 지금은 최소한 17개 업체들이 경합을 벌이고 있다. 대부분의 매출 추산에서 아크사이트와 네트워크 인텔리전스가 가장 앞서고 있긴 하지만, CA, 시스코, IBM 및 시만텍 같은 회사들이 SIM 제품을 선전하기 시작했기 때문에, 덩치가 작은 기업들로서는 앞으로 더 힘들어질 전망이다.
아크사이트 같은 전문 업체들이 보다 높은 품질의 제품을 내놓고 있다는 사실은 분명하지만, 이들이 장차 거인들의 공세를 어떻게 피해갈 수 있을지가 사뭇 흥미롭다. 다행히도 IT의 다른 많은 신생 부문들과 달리 몇몇 소형 SIM 업체들은 수익을 올리고 있으며, 덕분에 약간 더 많은 자치권과 희망컨대 더 긴 수명을 부여받고 있다.


재정 실사 필수
SIM 스위트를 구입하고자 하는 조직에서는 여전히 자사의 재정 실사(due diligence) 과정을 거쳐야 한다. 이 시장의 모든 업체가 살아남을 것이라고는 상상할 수 없으며, IBM, 노벨 및 시만텍 같은 회사에 의한 인수 작업으로 이미 시장의 통합이 목격되기 시작했기 때문이다. 물론 이런 추세는 앞으로 더욱 확산될 것이다.
또 한 가지 이동은 SIM 이니셔티브에 포함된 장비의 범위다. 초기 SIM 제품의 상당수는 준변경계 중심적이어서 방화벽, IDS, 취약성 평가 스캐너 및 기타 일반적인 주변경계 장비들로부터의 데이터 통합에 집중했으며, 시스템 및 애플리케이션 로그는 그림에 포함되지 않았던 것 같다. 공평하게 말하자면 이것은 그때는 효과가 있었다. 대부분의 보안 이니셔티브들은 잘못된 것이든 아니든간에 주변경계 방어에 집중하고 있었기 때문이다.
5년 전에는 데이터 센터 깊숙이 고급 액세스 제어 및 모니터링 시스템을 둔다는 것을 거의 들어보지도 못했지만, 지금은 이것이 일반 사양이 되고 있다. 여기에다 잠재적으로 내장 애플리케이션들이 추가될 수 있다. HR, 재정 및 ERP 시스템, 심지어 물리적인 액세스 제어 시스템까지 직원 계약이 끝났을 때 SIM이 그 사용자 계정 삭제 프로세스가 성공적임을 확인하고 이것을 다시 HR 시스템에 보고를 한다면 멋지지 않겠는가? 처음 이런 개념을 내놓은 곳은 로그로직 사람들이었지만, 이들이나 경쟁 업체나 아직 이 수준에는 도달하지 못했다.
대부분의 업체들이 자신들의 SIM 프레임워크로 맞춤 애플리케이션을 통합하는 데 대해 한 가지 이상의 무용담을 갖고 있긴 하지만, 불행히도 내장 애플리케이션으로의 통합 컴포넌트와 아웃 오브 더 박스 에이전트는 아직 등장하지 못했다. 많은 SIM 제품들이 사전 정의되지 않은 소스로부터 데이터를 받을 수 있지만 SIM이 이것을 적절히 파싱(parsing) 방법을 알지 못한다면 데이터는 별 소용이 없다. 우리는 아직 맞춤 애플리케이션을 쉽게 배치할 수 있는 단계에 이르지는 못했지만, 이제 적어도 레이더 상에 포착은 되고 있다.


"SIM 플랫폼에 많은 것을 바라고 있다"
성능·기능 추가 ‘쑥쑥’ 발전 기대 … ‘아크사이트 ESM’ 기능성 최고


美 네트워크컴퓨팅紙본 네오햅시스 랩에서 최소 10여 개의 로그 포맷을 지원하면서 보안 관리자들이 처리해야 하는 정보의 양을 조절해 주는 능력을 갖춘 8가지 기업 등급 SIM 스위트 테스트 결과를 조사했다. 결과적으로 이 시장의 베테랑 업체인 아크사이트가 에디터즈 초이스를 수상하긴 했지만, 새로운 참가자들도 각자 자기 목소리를 내고 있었다.


우리는 이들이 수없이 많은 소스들로부터 데이터를 취한 다음(아크사이트 ESM만 해도 200개 이상의 로그맷을 지원한다), 수집된 정보에서 무엇이 중요한지를 결정하고, 분석 및 동향 추적용으로 수 테러바이트의 데이터를 온라인으로 저장하며, 이 모든 것을 실시간 분석과 과거 기록 보고 니즈를 충족시키기를 원하고 있다. 게다가 모든 조직이 같은 것을 요구하는 게 아니기 때문에 문제는 한층 더 복잡해진다.
어떤 조직들은 규정준수(compliance)와 보고 기능(reporting)에 초점을 두는 반면, 모니터링과 사건 처리에 더 관심을 기울이는 조직들도 있다. 어떤 이들에게는 힘든 도전이 기다리고 있긴 하지만, 오늘날의 보안정보관리 플랫폼 업체들은 대부분의 상황을 관심있게 다루고 있는 것 같다.

8개 업체 테스트 참가
SIM 부문에 익숙한 사람들은 우리 리뷰에 수많은 새 사업자가 있지만 몇몇 낯익은 벤더들이 홀연히 사라졌다는 사실을 주목하게 될 것이다. 우리는 13개 업체들에게 최신 제품을 네오햅시스 리얼월드 랩으로 보내도록 요청했다.
제품들은 최소한 12개의 로그 포맷을 네이티브로 지원해야 하며, 로그 데이터를 집중화하고, 오퍼레이터를 담당하는 사람이 처리해야 하는 정보의 양을 줄일 수 있는 분석 컴포넌트를 제공해야 했다. 아크사이트(ArcSight), 하이 타워소프트웨어(High Tower Software), 로그로직(LogLogic), 네트워크인텔리전스(Network Intelligence), 오픈서비스(OpenService), 큐원랩스(Q1 Labs), 센세이지(SenSage) 및 시만텍(Symantec)이 요구를 수락했다.
장기 사업자인 이시큐리티(eSecurity 현재 노벨 소속), 인텔리택틱스(Intellitactics), 넷포렌식스(netForensics) 및 가디드닷넷(Guard.Net, 현재 IBM 소속)은 시스코와 마찬가지로 거절을 했다. CA는 관심을 표하긴 했지만 제품을 보내지는 않았으며, 이아이큐네트웍스와 트리지오 네트워크시큐리티(TriGeo Network Security)로부터는 테스트 마감이 끝날 때까지 아무런 소식이 없었다.
원래 SIM으로 유명했던 업체들 가운데는 아크사이트와 네트워크인텔리전스만이 참가했으며, 우리는 이를 선도주자와 후발주자 사이의 기능성 갭이 넓어지고 있는 징후로 받아들였다. 더 이전의 일부 SIM 업체들은 훨씬 뒤쳐지고 있는 듯 보이기도 했다.
우리의 평가 필요조건은 데이터 전송, 스토리지, 보고, 그리고 실시간 및 포렌직 분석 툴에 초점을 맞췄다. 테스트 환경은 윈도 2000, 2003 및 리눅스 시스템에서부터 방화벽, VPN 컨센트레이터, IDS, 그리고 라우터 및 스위치 같은 인프라 장비에 이르기까지, 다양한 종류의 장비들로 구성됐다.
우리 계획은 각각의 시스템을 랩으로 가지고 와서 업체측 대표들로 하여금 이것을 설치 및 구성하게 한 다음, 제품을 우리의 일일 운영 활동에 포함시키는 것이었다. 이 프로세스가 수월하기를 바라는 마음은 간절했지만 서로 다른 UI, 용어, 아키텍처, 스크립팅 언어, 상호연관 전략 및 조사 툴세트 등을 익히는 동안 몇 개월의 시간이 지나야만 했다.

지형도 변화
분명하게 눈에 띈 변화 한 가지는 일부 SIM 제품은 하루만에 배치가 가능해, 인프라가 준비되도록 할 수 있었다는 점이다. 장비는 로깅이 지원 및 구성됐으며, 로그는 이미 중앙 목적지로 전송됐다. 3년 전 SIM을 테스트했을 때만 해도 하루, 심지어 이틀이 지나도 설치를 끝내지 못했다. 물론 수십 개의 장비를 로깅 인프라로 가져가는 것과, 수백 수천 개 장비를 다루는 것과는 큰 차이가 있긴 하지만, 기본적인 제품들이 8시간 내에 로그를 설치, 가동·수신 및 처리할 수 있는 것만 해도 전율을 느낄 만큼 엄청난 진보다.
또 한 가지 주목해야 할 점은 턴키를 택한 업체들 수다. 3년 전에는 상당수가 완전 소프트웨어 모델을 제공했는데, 오늘날에는 대부분의 업체들이 시스템이나 어플라이언스로 제품을 보내 왔다. 덕분에 고객들은 추가 하드웨어, OS 및 데이터베이스 라이선싱 비용을 줄이면서, 동시에 골치 아픈 설치 문제도 대폭 덜 수 있게 됐다. 대형 멀티 테라바이트 SAN 지원 배치에서는 소프트웨어 기반 시스템이 바람직하겠지만, 이런 상황이 얼마나 존재할지는 의문이다. 우리 관점에서 볼 때는 OS 패칭만 효율적이고 시기 적절하게 처리가 되면 턴키 모델이 낫다는 생각이다. 이것이 더 확실하기 때문이다. 아크사이트와 센세이지만이 턴키 제품이 없는 걸 보면 이런 생각은 분명 우리만 하는 게 아닌 듯하다.

익숙한 문제들
우리가 SIM을 테스트하기 위해 로깅 환경을 만든 것은 이 번이 세 번째며, 이런 경험 덕분에 우리는 몇 가지 함정들을 미리 피할 수 있었다.
우선 우리는 시스로그-ng와 UDP 시스로그 중계기(relayer)를 함께 사용함으로써 장애관리에 필요한 절차를 줄일 수 있다는 사실을 알고 있었다. 초보자들을 위한 시스로그-ng는 원래의 유닉스 시스로그 데몬(daemon)에 대한 보다 기능적인 대체품으로서 발레이즈샤이들러(Balazs Scheidler)가 만든 오픈소스 패키지다. 시스로그-ng는 시스로그 프로토콜을 사용하긴 하지만 상당한 추가 기능을 제공하며(예를 들어 TCP에서의 시스로그 지원), 많은 인기를 얻고 있는데, 이는 시스로그 메시지를 라우팅 및 재전송할 때의 유연성 때문이다.
시스로그-ng를 이행하고, 모든 로그 데이터를 중계 호스트로 전송함으로써 우리는 모든 SIM 제품이 같은 데이터를 받도록 했으며, 그 장비의 데이터가 제대로 수신됐는지를 확인했다. 자신들의 장비가 로그를 받고 있지 않다고 주장하는 업체들과 옥신각신 하는 일은 피하고 싶었기 때문이다.
전송 부문에서는 너무도 익숙한 딜레마에 봉착했는데, 그것은 대행자를 우리의 모든 로그 소스에 배치시켜 이들로부터 데이터를 안전하게 이동시키느냐, 아니면 UDP에서의 시스로그를 이용하는 전통적이고 신뢰할 수 없는 경로를 택하느냐 하는 것이었다.
시스코 PIX 방화벽과 같은 어플라이언스의 경우에는 선택의 여지가 없었다. PIX에서는 에이전트를 돌릴 수 없기 때문이다. 우리는 마지못해 시스로그를 택했는데, 그 이유는 에이전트를 모든 곳에 배치하려 한다는 생각을 소화해낼 수가 없었기 때문이었다. 하지만 만약 에이전트 쪽을 택했더라면 아크사이트 ESM이 최고의 선택이 됐을 것인데, 그 이유는 이 제품의 콜렉터(collector)는 트래픽을 암호화할 뿐만 아니라 대역폭 억압(bandwidth throttling)과 배치 전송(batch transfer) 기능까지 수행하기 때문이다.
이러한 기능들은 원격 사이트와 한정된 왠 접속성에서 편리하게 사용될 수 있다. 규모가 정말 큰 조직이라면 어떤 곳에서는 에이전트 없이, 어떤 곳에서는 에이전트를 사용하는 게 유리할 것이다. 어느 한 가지 모델이 더 뛰어나다고 주장하는 업체들은 신빙성이 없다. 각각 거기에 맞는 때와 장소가 있기 때문이다.

로그 볼륨크기 평가
스토리지 쪽에서 우리가 가장 먼저 한 것은 우리의 로그 볼륨 크기를 평가하는 일이었다. 많은 SIM 배치를 괴롭히는 멀티 테라바이트 수준이 되는지는 의심스러웠지만 분명하게 해두고 싶었기 때문이다. 일단 모든 장비가 시스로그를 말하게 한 다음, 우리는 임시 리포지토리로 쓰기 위해 시스로그-ng 리눅스 시스템을 가동시켰다. 로그 수집 후 몇 주가 지나자 주별 평균 로그 볼륨 크기의 추산이 가능했다. 로그 데이터를 만들어 내는 장비는 40개가 채 되지 않았으며, 이들은 초당 평균 40~60개 이벤트를, 일주에 약 3GB 데이터를 내놓았다.
회사에서 얼마나 많은 데이터를 갖게 될지 파악하기 위해서는 이러한 작업을 거쳐야만 한다. 우리가 이야기 해 본 조직들 가운데는 월 1TB 이상의 데이터를 만들어 내는 곳도 있었다. 얼마나 많은 데이터를 갖게 될지, 그리고 이것을 얼마나 오래 보관해야 할지를 알고, 온라인 대 오프라인을 얼만큼 유지해야 할지를 아는 것이 성공적인 SIM 배치에 있어 필수다. 우리는 이번 리뷰를 시작하면서 500GB~1TB의 백엔드 스토리지면 우리 필요에 맞을 것임을 알고 있었다.
또 한 가지 중요한 점은 백엔드 시스템의 한계를 아는 일이다. 네트워크인텔리전스와 센세이지는 여기서 어느정도 이점을 갖고 있는데, 그 이유는 이들이 전통적인 관계형 데이터베이스 기술에서 보다 전용의 웨어하우징 메커니즘으로 이동했기 때문이다. 값비싼 테이블 리인덱싱(reindexing)을 피하고, 레코드 록킹(record locking)과 같은 불필요한 RDBMS 기능을 제거함으로써 멀티 테라바이트 데이터에서 훨씬 더 나은 성능을 낼 수가 있을 것이다. 우리 환경 규모에서는 사용한 어떤 제품에서든 성능 문제는 없었다.
일단 SIM 제품을 설치하고 데이터를 자유롭게 흘려보낸 후 우리는 운영적인 필요쪽으로 시선을 돌렸다. 우리 필요조건은 두 가지 행동 영역을 중심으로 했는데, 하나는 우리의 기간 자산에서 일정 수를 모니터링하는 것이고, 다른 하나는 조사 및 질의 툴을 이용해 우리 모니터링 작업에 따른 이벤트 ID가 실제로 위협이 되는지를 파악하는 일이었다.
모니터링 능력은 상호연관 능력에 따라 크게 좌우되는데, 이는 특히 초당 수백 건의 이벤트를 처리하고 있을 때 더욱 그러하다. SIM이 당신의 콘솔로 들어오는 방대한 이벤트를 요약 및 무시할 수 없다면 이미 싸움에서 진 것과 다름없다.
좋은 상호연관 규정은 방화벽, IDS, 인증 서비스 및 시스템 호스트로부터 오는 정보를 분석함으로써 무엇이 걱정할 만한 것이고 무엇이 아닌지를 가려낼 수 있게 도와준다. 상호연관 부문에서는 아크사이트 ESM의 규정 세트가 가장 강력하지만, 이용이 간편하기로는 큐원랩스 큐레이더의 상호연관 로직이 가장 앞선다. 네트워크인텔리전스의 인비전과 시만텍의 시큐리티 인포메이션 매니저 9500 또한 상당량의 실시간 상호연관을 수행할 수가 있다. 이에 비해 센세이지의 엔터프라이즈 시큐리티 애널리틱스에서 규정을 저작하는 일은 아주 힘들거나 불가능한 수준이었다. 사실 이용 편의성 면에서 이 제품은 가야 할 길이 매우 멀어 보였다.
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr