잇단 보안 사고에서 알 수 있듯 오늘날 사이버 위협은 더욱 지능화되면서 위험성을 더하고 있다. 이러한 보안 사고를 예방하고, 만의 하나 사고 발생 이후에도 원인을 분석, 효과적으로 대응하기 위해서는 다양한 상황에 대한 기록으로 각종 IT 장비가 생성하는 기초 데이터인 로그를 분석해야 한다. 아크원소프트는 높아진 사이버 위협에 대응하기 위한 진화된 SIEM 2.0을 내세운 로그리듬으로 시장 공략을 개시했다. <편집자>
기업의 보안 관리자는 수년간 네트워크 및 시스템, 운용체계 등의 로그를 통합, 외부의 지능적 해킹 시도에 대응하기 위해 노력해 왔다. 그러나 한정된 인력 자원과 시스템 성능의 한계로 인해 단순 통합, 검색 시스템 구현에 만족해야만 했다.
로그 통합 구축은 높은 비용과 적지 않은 시간을 들여야 하지만, 이를 구현한다고 해도 로그 통합을 통해 외부의 지능적 해킹 시도를 판별하기는 쉽지 않다. 지능적 사이버 공격은 다변화, 우회 공격 등의 다양한 형태를 복합적으로 사용해 분석을 쉽지 않게 만들고 있기 때문이다.
아크원소프트(www.archone.co.kr)는 ‘로그리듬(LogRhythm)’의 국내 총판으로, 보안 로그 분석의 차세대 시스템인 SIEM 2.0을 통해 지능적 사이버 공격에 대한 해법을 제시했다. 로그리듬은 가트너로부터 ‘보안 로그 분석의 선도 기업으로 정통성 있는 SIEM 벤더’라는 평가를 받고 있는 전문 기업이다. 또 SC매거진으로부터는 전세계 1200여 고객이 사용하는 최고 제품으로 선정되기도 했다.
SIEM 2.0 선도 주자
아크원소프트가 공급하는 로그리듬은 SIEM 2.0을 주장한다. 기존 로그 분석 시스템의 구축과 한계를 뛰어넘는 보안 로그 분석으로 지능화된 사이버 위협에 대한 보다 정교한 대응을 제공한다는 것이다.
기존 로그 분석 시스템은 보안, 네트워크, 서버, DB 등 각종 시스템 로그를 통합하고, 이기종 로그 포맷을 분석해 정규화 패턴화한 후 보안 정책에 맞춰 검색 조건과 기타 관리 기능을 설정하는 방식으로 프로젝트가 진행된다. 이러한 로그 통합 프로젝트에서 운용되는 시스템별 로그 특성의 차이로 인해 패턴 정규화에 가장 많은 시간이 소요된다.
반면 로그리듬은 자동 패턴화 기능을 탑재해 단기간에 통합 로그 분석 시스템 구축이 가능하도록 하며, 장비 교체나 업그레이드 시에도 신속한 프로젝트 진행을 지원한다. 또한 정교한 상관분석 기능이 탑재돼 내부 시스템의 교체, 혹은 업그레이드로 인한 추가 분석의 필요성 제거는 물론 지능형 외부 위협에 적극 대처할 수 있게 한다. 이외에도 드릴다운(Drill-Down) 방식으로 가능한 상관분석은 물론 환경설정도 마우스 클릭으로 진행할 수 있어 편리성이 높으며, 각 단계별 분석 결과를 대시보드로 집약시켜 보여줌으로써 직관적인 문제인식을 돕는다는 점도 로드리듬의 차별화되는 장점이다.
단기간의 시스템 구축은 비용절감 효과로 나타난다. 고가의 프로젝트 비용이 요구되는 로그 통합 프로젝트의 단점을 해소함은 물론 다양한 편의성 향상 기능이 탑재돼 더욱 효율적으로 활용할 수 있다. 나아가 대용량 로그를 분석하기 위한 분산 아키텍처로 구현돼 뛰어난 확장성을 지녔다는 점도 로그리듬의 장점으로, 기존 보안 로그 분석의 한계를 뛰어넘는 SIEM 2.0 구현 솔루션으로 평가된다.
로그리듬은 ▲500여 이상의 다양한 장비의 로그 패턴 분석 DB(M.P.E) ▲15만개 이상의 단위 위협 패턴 ▲단위 위협시도의 상관 분석 엔진(A.I.E) 탑재 ▲보안 위협 단계별 분류 ▲IT 운용 분석을 통한 최적화 및 비용 절감 ▲국제 회계 기준 보고서 자동 생성 ▲포렌직 기반의 로그 관리 ▲권한 분산 및 알림 기능 등의 특징을 지닌다. 로그리듬은 CC 인증, FIPS 인증 등 국제적인 보안인증을 획득해 높은 수준의 보안성을 공인받았다.
■ 메시지 처리 엔진 M.P.E
M.P.E(Message Processing Engine)는 다양한 장비의 로그를 식별하거나 일치 여부를 판별하는 로직이 포함돼 있는 로그 포맷 인식 단위 엔진이다. M.P.E는 500여 이상의 다양한 장비에 대해 사전 분석을 완료해 패턴화했으며, 국산 방화벽에 대한 연동까지 완료했다. 패턴이 정의돼 있지 않은 경우에도 손쉽게 새로운 패턴을 추가할 수 있어 신속한 로그 통합을 구현한다.
M.P.E의 강점은 서로 다른 장비에 대한 로그 통합에 대한 시간을 단축시킬 뿐 아니라 이를 이용한 단위적 위협 시도를 분석해 차단할 수 있다는 점이다. M.P.E의 다양한 단위 위협 시도 패턴화는 지속적으로 업그레이드가 이뤄지고 있으며, 나아가 M.P.E는 운용상의 치명적 에러를 분석, 사고를 사전에 방지할 수 있는 결과를 제시해 능동적 보안 체계 구축을 지원한다.
■ 상관 분석 엔진 A.I.E
A.I.E(Advanced Intelligence Engine)는 M.P.E의 단위 분석에 대한 상관 분석 엔진이다. A.I.E 엔진은 플로우 차트(Flow Chart)처럼 구성돼 관리자가 UI에서 드래그 앤 드롭 방식으로 손쉽게 설정할 수 있다. 기간, 시간, 행위, 제외조건 등의 다양한 필터와 대화형 마법사 형식을 사용해 설정을 수행할 수 있어 더욱 편리한 사용을 보장한다.
A.I.E는 사전에 정의한 시나리오를 기반으로 위협에 대한 사전 대응이 지원하며, 시간 간격 설정까지 할 수 있는 행동 기반의 엔진으로 더 세밀한 컨트롤이 가능하다. 또 실제 발생 시간을 기준으로 포괄적인 시간 정규화 및 순서에 어긋나는 이벤트 감지, 그리고 이벤트가 아닌 로그를 100% 상관 분석한다. 실시간 알림을 설정하면 이메일이나 휴대폰으로 확인이 가능해 즉각적으로 대응할 수 있도록 도와준다.
■ 정보 유출 감사 FIM
FIM(File Integrity Monitoring) 기능은 각 서버의 중요 파일에 대한 위법 접근 시도 및 변경, 유출 등을 감시한다. 특히 다양한 OS에 설치 가능한 에이전트 형식으로 제공돼 개인정보파일 및 중요 정보의 무단 변경 및 유출을 감사, 중요 데이터의 불법유출을 사전에 탐지·차단할 수 있다.
■ 다양한 권한 분산 기능
IT 로그 분석 결과는 업무별 특성을 고려해 분산돼야 한다. 경영, 감사, 운용, 보안 관리자별로 권한에 따른 차별화된 분석 결과를 제공함으로써 로그 분석 결과를 악용할 수 있는 위험성을 제거하고, 업무 효율성을 높이는 동시에 신속하게 대처할 수 있도록 지원한다. 더불어 즉각적인 보고서 제공은 업무 효율성을 높이는데 기여한다.
