로그관리, '더 나은 로깅을 위한 3단계'

로그관리의 가장 어려운 점은 로그들이 서로 혼란을 일으킨다는 것이다. 모든 데이터를 통제할 수 있는 방법을 찾아보자.

기업은 로그의 바다에서 헤엄치고 있다. 서버, 방화벽과 IDS와 같은 보안 시스템, 라우터와 출입문 등 네트워크 구조 장치, 심지어는 다양한 소프트웨어와 진행된 서비스에서도 로그가 발생한다. 로그의 대 홍수이다. 기업을 더 위협하는 것은 로그정보가 실시간으로 보안사건을 해결하기 위해 사용되거나 기업 네트워크 구조의 다양한 상황을 조정하는데 필수적인 방법으로 여겨지지 않는다는 것이다.

그러나 IT관리자는 점점 더 많은 로그관리를 조절하고, 모든 로그 데이터를 관리하라는 압력을 받는다. PCI 데이터 보안기준에서는 특별히 로그검토가 필수적인 단계로 포함된다. SOX와 HIPAA 등 컴플라이언스 규정을 증명할 수 있는 로그관리를 만드는 감사추적이 필요한 때도 있다. 또한 FRCP에서 합법적인 증거를 위해 로그수집을 보다 철저히 할 것을 주문한다.

넷아이큐(NetIQ)의 생산과 마케팅 부사장 크리스 픽(Chris Pick)은 “로그관리 시스템 구입을 조정하는 것은 정부가 지정한 규정이다. 우리는 이를 조정할 수 있는 시장의 움직임에 주목하고 있다”고 말한다. NetIQ는 기업의 전체적인 관점에서 로깅을 살펴보고 모든 로깅 데이터를 저장할 수 있도록 제안한다. 이 작업의 궁극적인 목표는 소송을 당했을 때 이길 수 있는 증거를 준비하고, 실시간 보안위협을 분석하며, 네트워크 조정을 돕는 등 여러 가지 면에서 사용되는 하나의 저장소를 갖는 것이다.

노키아의 IT보안서비스 회사 매니저인 제이 릭(Jay Leek)은 “로깅 기준과 수행은 전형적으로 조직 전역에 존재하지 않으며, 존재한다 해도 강화하지는 못한다”고 말했다. 릭은 통합을 조정하는 내부 직원이 적극적으로 참여해야 한다고 제안한다. 다양한 시간주기로 로그 유지를 요구하는 규정 때문이며 개인적인 이유로 인해 다른 기간 이후에 처리되는 경우 때문이기도 하다. HIPAA가 요구하는 유지기간은 7년이지만, PCI는 1년만 유지하면 된다.

유럽법과 아시아법의 적용을 받는 국제적인 회사들은 더 복잡한 상황에 직면하게 된다. 로그는 어떤 시민이나 범죄소송절차에서 증거로 사용될 때 다른 요구사항으로 인해 변하게 되면 안된다. 법의 요구사항이 기본적으로 모순되기 때문에 이를 해결해 줄 수 있는 변호사가 있어야 한다.

릭은 “이 작업에는 기업의 전체적인 IT 로깅기준을 마련하기 위해 IT와 연관된 부서들이 참여해야 한다”고 덧붙였다. 그는 “변호사는 기술자가 아니기 때문에 보안 담당자가 로깅을 단순하게 하면, 변호사는 그것을 더 단순하게 만든다. 보안 담당자가 로깅 프로젝트를 하게 해서는 안되지만, 담당자들의 의견을 추가하고, 전문적인 언어를 사용하도록 해야 한다”고 설명했다.

EMC RSA 시큐리티에서 사건관리 그룹과 정보 CTO인 매트 스티븐스(Matt Stevens)는 “최초의 비즈니스 목표는 각 부서가 그들의 로그관리 장치를 지정하는 다양한 정보 저장고를 보호하는 것”이라고 말했다. 스티븐스는 “기업 전역에 거쳐 분석할 필요가 있고 모든 사용자들을 위해 접근이 가능하도록 해야 하며, 로그관리 전반의 관리구조의 요소가 필요하다”고 제안했다.

로그 관리는 전반적인 네트워크 보안구조의 한 부분이다. 조직간 공용해야 할 부분이 많아지며, 업무 전반에 걸쳐 인터넷과의 연결이 이뤄지면서 위협은 더 복잡해지고 빈번해진다. 로그 정보를 통합된 장소에 저장하는 것은 기업정보를 보호하기 위한 장치가 된다.

포레스터 리서치(Forrester Reaserch)의 분석가 로버트 화이틀리(Robert Whiteley)는 “아버지 시대의 보안정책이 미래의 보안정책이 되어서는 안된다”며 “최근의 위협에 대응하기 위해서는 네트워크 깊숙한 곳 까지 보호할 수 있어야 한다. 정보를 보호하기 위해 환경을 설정하고, 유지방법을 만드는 것은 데이터 분석을 위해 관련된 정보가 어떻게 노출되고 조정되는지 광범위한 곳에서 검토해야 한다”고 강조했다.

새로운 전자 발견 규칙을 다루는 방법

“기업이 규칙은 유지하고 관리하는 방법을 연구해야 한다.”

갈수록 복잡해지는 컴플라이언스를 만족시키기 위한 방법을 찾기 위해 기업들이 다방면의 노력을 하고 있다. 로그관리와 이와 관련된 다양한 기술이 그 방법의 하나가 될 수 있다. 최근 미국의 연방법이 전자화된 증거를 의무화하고 있기 때문에 이를 만족시킬 수 있는 방법으로 로그관리 장치가 제안되고 있는 것이다. 최근 오스터맨(Osterman)이 조사한 바에 의하면 IT관리자 절반 이상이 전자화된 증거를 만드는 것 보다 충치가 생기는 편이 낫다고 답했다고 한다.

지난해 12월 민사소송과 관련된 연방법이 공판 전 증거를 수집하는 과정에서 전자화된 정보를 입수하는 것을 의무화했다. 이를 통해 기업이 정당한 방법으로 접근하지 않았거나 일반적인 운영문제로 유지하지 않은 문제에 대응할 수 있게 했다.

우선, 현재 기업에 어떤 종류의 장치가 있는지, 어떤 종류의 정보가 수집되었는지, 증거로 사용되기에 적합한 것인지 고려해야 한다. 포레스터 리서치(Forrester Research)의 분석가인 로버트 화이틀리(Robert Whiteley)는 “미국의 38개 주가 전자증거를 필수적으로 공개하도록 규정하고 있다. 기업들은 타협된 자산관리와 법적인 행동 사이에서 심각하게 고려를 해야만 하는 시점에 와 있다”고 말했다.

어떤 형태의 법적인 규제라도, 기본적으로 타임 프레임을 포함해 기업이 갖고 있다고 생각하는 데이터가 실제로 존재하는지 확인하는 작업이 필요하다. 여러 가지 시스템을 구축하고 변경하며 조작하는 과정에서 일부 데이터는 삭제되었을 수도 있다.

오스터맨 조사를 살펴보면 25%의 기관이 90일 전후로 수동이나 자동으로 이메일 필터링을 한다고 답했다. 그러나 이메일 필터링은 EU의 컴플라이언스와 SOX, HIPAA 등 여러 가지 규제에 적합하지 않을 수도 있다. 이들은 몇 년 동안의 정보를 보관하도록 의무화하고 있다. 이메일 시스템이 규제에 맞추기 위해 어떻게 장기간 보관소를 만들 수 있을까? 오스터맨이 조사한 기관 중 3분의 1은 “1년 이상 지난 이메일은 복구할 수 없다”고 답했다. 보안컨설팅 회사인 탈 글로벌(Tal Global)의 래리 디츠(Larry Dietz)는 “기록을 파괴하거나 잃어버리는 경우, 기업에 벌금이 부과된다”고 말했다.

라이브오피스 매니지드 메시징 서비스(LiveOffice Managed Messaging Services)와 같은 제품은 마이크로소프트 익스체인지 이메일(Microsoft Exchange Emails)을 색인하고 저장한다. 미리 설정된 보존기간에 따라 관리하고, 이메일 서버를 정리한다.

어떤 종류의 데이터가 실제 증거로 요구되는지 이해하는 것도 중요하다. 이메일이 가장 먼저 기억되지만, 다른 데이터는 임시로 메시지 로그를 포함한 정보를 기억한다. 로이터는 메시지 통신 기록을 7년 동안 기억할 수 있는 메시징 컴플라이언스 매니저(Messaging Compliance Manager)를 내놓았다.

탈 글로벌의 디츠는 “보안로그는 지적재산권의 도용이나 재정적으로 부정행위를 할 경우 문제가 될 수 있다”고 지적한다. 컴플라이언스에 의한 합법적인 요구라 해도 기업에 적용할 수 있는 범위를 넘어설 수 있기 때문이다. “SIM이 실제적인 증거를 갖는 것은 아니다. 소송이 발생했을 때 어떤 정보가 필요한지에 대해 조언을 해 줄 뿐”이라고 디츠가 지적했다.

세 번째로 로그관리를 위해 기업에 필요한 것은 기업이 실제로 갖고 있는 데이터가 증거력을 확보하기 위한 로그보호 단계를 거쳐야 한다는 점이다. 소송에 휘말렸을 때 기업이 수집한 로그데이터가 위·변조, 훼손되지 않았으며, 전자기호 역시 변하지 않았다는 것을 보여주어야 한다.

로그로직(LogLogic)의 생산관리 담당자인 안톤 슈배킨(Anton Chuvakin)은 “법에는 로그정보를 수집하는 방법이 명확하게 규정된 것은 아니다. 소송이 발생하면 판례와 법원의 해석에 따라 결정된다”면서도 “그러나 로그가 일반적인 기업 경영과정에서 수집되었으며, 위·변조가 되지 않고 보호되었다는 사실이 입증되면 증거로 효력을 발휘할 수 있다”고 말했다.

글·데이비드 스트롬(David Strom)

SIM과 로그관리자

로그관리자를 위한 장치는 분석단계에서 가장 처음 수행해야 할 업무로 여겨지는 때도 있다. 그러나 이러한 장치는 정보보호 관리분야로 나뉘는 로그관리 벤더와 로그관리를 위한 다른 버전을 생산하는 SIM 벤더라는 이중의 생산품 라인을 갖게 돼 더 혼란스러워지고 있다.

넷포렌식(NetForensics)에서 마케팅과 생산품 개발부을 담당하고 있는 트레이시 헐버(Tracy Hulver) 부사장은 “중소규모의 소비자 중에서는 제3자가 참견하는 것을 원하지 않으며, 본격적인 시뮬레이션이 반드시 필요하다고 생각하지 않는다는 견해가 점차 늘고 있다”고 말했다.

로그관리에서 SIM과 로그관리 장치라는 두 가지 방향의 접근은 상호관계를 맺고 있다는 것이 문제이다. SIM은 실시간 경고에 초점을 맞추고 있으며 두 개의 다른 생산품에 다른 결과를 제공한다. 로그관리자들이 장기간 파일과 증거를 보관하는 것을 돕는 것도 SIM이다. 아크사이트(ArcSight) 엔지니어링 CTO인 휴 엔지맨즈(Hugh Njemanze) 부사장은 “SIM은 문제에 반응하는 보안팀에게 지시해 비즈니스 규칙을 정하는 것에 관심을 갖고 있다. 반면 로그관리는 사실을 조사하는 등 특별한 목적을 위해 쓰인다”고 말했다.

SIM과 로그관리 제품은 같은 벤더에 의해 생산된다 해도 각각 독립적으로 발달되어왔다. 넷포렌식과 넷아이큐(NetIQ)가 올해 말 까지 저장소 통합을 추진한다 해도 두 개의 제품라인이 다르기 때문에 공동의 저장소를 제공하지 않는다.

넷아이큐의 픽은 “예전에 SIM과 로그관리를 통합하는 저장소가 있었지만, 몇 가지 문제가 발생했다. 지금은 SIM을 위한 실시간 SQL DB로 로그보존 서버를 나타내는 고정된 파일을 갖고 있다”고 설명했다.

로그관리 장치와 SIM 사이의 또 다른 차이점은 데이터를 분석하는 방법에 있다. 로그관리자는 합법적인 증거로 사용될 수 있는 특정한 기록을 찾기 위해 텍스트 조사를 하는 반면, SIM은 네트워크 사건을 표준화하고 분석하며, 사건해결이나 위업을 탐지하는데 유용한 컴퓨터나 IP 주소 사이에서 다양한 대화를 통합할 수 있다.

SIM과 로그관리 장치 사이에서 어떤 것을 선택하는가는 기업의 로그관리 목표에 따라 다르다. 컴플라이언스와 감사 요구사항이 시급하다면 로그관리 장치가 필요하고, 침해사고 예방이 더 중요하다면 SIM이 있어야 할 것이다. 그러나 결국은 기업의 정보보호를 위해 두 가지 장치가 다 필요하다는 것을 알게 될 것이다.

필수적인 특징

로그관리와 SIM 어느 쪽을 선택하든지 장치의 수행능력을 기준으로 판단하는 것은 바람직하지 않다. 넷포렌식의 헐버는 “대부분의 고객이 제시하는 리포트에는 다양한 아이템에 대한 주문이 있다. 그래서 벤더들은 몇 가지 예시를 제공한 후 고객들이 선택하게 한다”고 말한다.

사용자가 지정한 리포트는 컴플라이언스를 위한 것이지만, 어떤 경우에는 보고과정의 실시간 위협분석이 필요하다. 센세이지(SenSage)의 CEO인 짐 플래징(Jim Pflaging)은 “온라인에 모든 정보를 입력하면 보안전문가가 즉시 문제를 해결한다”고 말한다. 그는 “규칙을 정하고, 로그기록을 검토한 후 장기간 경향을 분석해 침해인지 아닌지를 구분할 수 있다. 컴플라이언스에서 중요한 부분이다”고 덧붙였다.

상품이 네트워크 소통의 흐름을 조정하는지 밝혀내는 것도 중요하다. 넷포렌식의 ‘nFXLog One’이나 RSA의 ‘enVision’과 같은 상품은 이러한 정보를 제공하지 않는다. 보안 목적에서는 연관된 특정한 네트워크 이벤트를 더 어렵게 만들기도 한다. 게다가 IT직원들은 습관적으로 중앙저장소나 기록보관서를 통해 조사하며, 질문을 조회하는 장치를 이용하기도 한다.

이 과정에서 다른 종류의 로그를 들여올 수 있는 로깅적용 프로그램 인터페이스를 필요로 한다. 넷아이큐의 픽은 “ERP를 적용해 로그를 모아야 하는 NET이나 J2EE를 사용하는 경우가 있었다. 이를 위해 API를 갖춰야 할 의무도 있다”고 말한다.

측정이 가능하고 기간에 구애받지 않는 방법이 될 것인가, 새로운 로그가 유입되거나 더해질 때 현존하는 저장소에 어떤 일이 일어날 것인가를 고려하는 것은 결론을 도출하는데 필요한 또 다른 요소이다. 이러한 접근방식은 벤더가 문제를 해결하는데 적용되는 방법이다. 센세이지의 플래징은 “DB나 정보를 수집하는 과정을 변화시키지 않고 우리의 데이터 계획을 쉽게 연장할 수 있다. 관련 있는 DB와 연관된 오버헤드 없이 연관있는 접근을 가능하게 했다”고 설명했다.

RSA의 스티븐스는 “우리는 매일 10억 건의 사건을 측정할 수 있는 목적지향성의 DB를 개발했다. 새로운 데이터 소스가 더해질 때 메타데이터를 쉽게 일으킬 수 있다”고 자신했다.

SYSLOG냐, 아니냐

로그관리 프로그램으로 오랜기간동안 사용해 온 것이 시스로그(Syslog)이다. 시스로그는 로그데이터를 고르고 저장할 수 있는 체계를 제공하지만, 작업을 수행하면서 네트워크 사용기간이 길어지면 일부 데이터를 누락시키기도 한다. 어떤 벤더들은 UDP 대신 TCP를 사용해 전달하는 것을 포함하는 최신버전 ‘Syslog-ng’를 애용하기도 한다.

아크사이트의 엔지맨즈는 “Syslog-ng는 안전한 경로를 통해 접근함으로써 문제를 해결하지만, 정보를 수집하는 과정이 느리다”고 지적했다. 실시간 수집 기능이 약해 로그사건을 놓치는 경우가 있지만, 위협을 완화하기 위해 소통하는 정보에 대한 분석 기능은 뛰어나다는 것이 엔지맨즈의 평가이다. 덧붙여 RSA의 스티븐스는 “모든 로그데이터를 검색하면 시스템의 수행속도가 떨어지기 때문에 하나도 남김없이 모든 것을 표준화 해서는 안된다”고 조언했다.

로그로직(LogLogic)은 이러한 문제를 해결하기 위해 로그관리 제품을 두 가지 다른 라인으로 공급한다. 하나는 SQL DB에서 로그를 저장하고, 다른 하나는 원래의 파일을 사용하는 것이다. 로그로직의 생산품 관리 담당자인 안톤 슈배킨(Anton Chuvakin)은 “두 가지 방법을 사용하는 것이 중요하다. 일부 로그데이터 사용자들은 리포트와 시각화를 위해 유연한 대응을 하기를 원하며, 다른 사람들은 최대한 철저하게 조사하기를 원하기 때문이다”고 말했다.

엔지멘즈는 “실제로 대부분의 고객들은 수집과정에서 데이터를 조금 잃어버리는 일이 있어도 현재 메시지를 보기 원하기 때문에 전통적인 시스로그를 요구하는 경향이 있다”며 “어떤 방법을 사용하든지 로그추적을 위해 사용하는 시스템이 메시지 소통 유지능력을 갖고 있다는 점을 명심해야 한다”고 충고했다.

추베이킨은 “시스로그가 많은 문제를 갖는 것은 사실이지만, 일반적인 조직에 보편적으로 사용되고 있으며, 시스로그를 기본 포맷으로 하는 수 백 가지 장치가 있다”며 “때로는 편리함 때문에 보안에 대한 우려를 무시하는 경우도 있다”고 지적했다.

로그관리는 다루기 어려운 문제이지만, 보안강화 등 로그관리를 통해 얻을 수 있는 이점이 있는 것은 분명하다. 또한 로그관리를 보다 쉽게 할 수 있는 도구가 셀 수 없이 많이 출시되어 있으며, 제품을 사용하는 사람들의 평가를 통해 제품을 더 명확하게 알 수 있다. 로그 관리자와 SIM 모두 수행하는 과정에서 정보를 수집하면서 기능을 확장할 것이다. 앞으로 몇 년간도 IT와 보안 매니저들은 다양한 요구를 충족시키기 위해 두 가지 기능을 모두 사용하게 될 것이다.

데이비드 스트롬은 IT기술을 전문으로 하는 자유기고가이며, 프리랜서 작가, 상품 테스터, 스피커, 블로거, 컴퓨터 네트워크에 관한 책 2권을 저술한 공공방송 아나운서이다. 그는 <네트워크 컴퓨팅(Network Computing)>의 편집장이었고 ‘디지털랜딩(DigitalLanding.com)’의 편집장이다.

<글: 데이비드 스트롬(David Strom)>

[월간 정보보호21c 통권 제88호(info@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)