[케이스스터디]수많은 로그에서 바늘찾기? 통합로그분석으로 OK
2017-09-25 김인순 보안 전문 기자
사이버 침해 사고가 발생하면 가장 먼저 확인하는 게 '로그 데이터'다. 모든 정보 기록이 남아 있는 로그 데이터는 사고 원인 규명에 결정적 역할을 한다. 과거 네트워크나 보안 장비, 서버 등의 로그를 수집하는 정도에 그쳤지만 최근에는 비즈니스 애플리케이션과 모바일 디바이스, 클라우드 서비스 로그까지 모은다.
통합로그분석시스템이 주목받게 된 이유다. 통합 로그관리가 가능하면 이기종, 대용량 로그를 손쉽게 분석한다. 언제라도 발생 가능한 외부 보안위협도 로그분석으로 원인을 찾는다.
통합로그분석시스템에서 가장 중요한 것은 '대용량 로그를 빠르게 처리하는 성능'이다. 고성능 분산처리기술과 상관분석 알고리즘으로 결과를 빠르게 산출한다.
인터리젠(대표 정철우)은 통합로그분석시스템 디파인더-LMS에 빅데이터 플랫폼 디파인더(Dfinder)를 접목했다. 디파인더는 이상금융거래탐지시스템(FDS) 분야에서 대용량 데이터 처리와 실시간 데이터 분석 효과를 보인 빅데이터 플랫폼이다. 실시간성을 보장하는 지속 시간 분석기능으로 시스템 부하를 낮추고 분석에 대한 실시간성을 제공한다. 수집된 원본 로그 기반으로 실시간 이벤트 처리를 위해 인 메모리(In Memory) CEP 엔진을 도입했다. 복잡한 시나리오를 처리하기 위해 복합 룰엔진을 제공한다.
파일시스템 저장방식 자체가 원본로그파일 구조를 변경한다. 한번 저장되면 수정이 불가능하다. 수집된 로그 해시코드를 저장해 향후 데이터 훼손 여부를 감사하는 무결성 감사 기능을 제공한다.
다양한 보안시스템에서 대량의 데이터가 발생하다 보니 로그 라이프사이클 관리가 중요하다. 로그 생성·수집, 탐지, 저장, 분석·통계, 폐기에 대한 전체 사이클관리가 가능해 정보시스템 관리와 침해사고 대비, 관련 지침에 대해 체계적으로 대응한다.
기존 로그분석제품은 복잡한 쿼리스크립트 방식을 쓴다. 디파인더-LMS는 위저드 방식을 채택해 이상징후 탐지와 사용자 중심 분석 기능을 제공한다. 사용자 정의 분석과 대시보드, 레포팅, 데이터 증가에 따른 확장성을 보장한다. 일반 기업, 금융권은 물론 공공기관에서도 통합로그분석 요구가 높다. 디파인더-LMS는 최근 CC인증도 획득했다.