보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

[주말판] 더 나은 로그 관리를 위한 실전 어드바이스 9

  |  입력 : 2021-04-10 14:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
로그가 모이면 맥락이 되고, 이 맥락이 있어야 사건을 일으킨 범인들을 추적할 수 있다. 그러나 로그란 걸 모은다고만 해서 갑자기 수사가 쉬워지는 건 아니다. 로그에도 관리의 묘라는 것이 존재한다. 전문가들에게서 노하우들을 얻어본다.

[보안뉴스 문가용 기자] 포렌식 수사에 있어 로그의 존재란 알파와 오메가이며 핵심이자 중추이다. 충분한 기간 동안 충분한 정보를 수집해 저장해 왔으며, 공격자들이 이러한 정보에 전혀 손을 대지 못한다면 말이다. 문제는 이것이 꽤나 성립되기 어려운 전제 조건들이라는 점이다.

[이미지 = utoimage]


구글 클라우드(Google Cloud)의 보안 솔루션 부문 수장인 안톤 츄바킨(Anton Chuvakin)은 “로그 관리를 전문적으로 하는 도구를 사용해야 한다”고 말한다. 하지만 그것만으로는 충분하지 않다. 오날 날 IT 구조에서 생성되는 로그 데이터의 양이 너무나 많기 때문이다. 사업상 다뤄야 할 데이터도 수두룩한데, 로그 데이터까지 관리한다는 건 분명 버거울 수 있다. 이번 주말판을 통해 로그 관리와 보안의 중요한 조언들을 공개한다.

로그는, 로그가 생성되는 장비와 시스템으로부터 분리시킨다
사이버 범죄자들은 특정 장비와 시스템을 겨냥한 공격을 실시할 때가 많다. 그런 후 자신들의 흔적을 감추기 위해 로그를 지운다. 때문에 공격의 대상이 될 만한 장비와 시스템에 로그를 저장하는 건 공격자의 노력을 덜어주는 꼴이 된다. 글로벌 로펌 호간 로벨즈(Hogan Lovells)의 수석 파트너인 네이선 살미넨(Nathan Salminen)은 “로그가 생성되는 곳과 저장되는 곳을 분리하는 것부터 로그 관리를 시작해야 한다”고 설명한다.

“그리 어려운 일은 아닙니다. 일반적인 SIEM 도구나 간단한 로그 통합 도구만 사용해도 기업 내 네트워크 여기저기에 흩어져 있는 로그들을 모아서 따로 관리할 수 있죠. 이 절차만 잘 수행해도 공격자가 로그를 따로 찾아서 지우도록 할 수 있습니다. 수고를 강제시킬 수 있다는 것이죠. 심지어 공격자가 ‘따로 로그가 저장된다’는 걸 모르고 지나치기도 하기 때문에 나중에 수사할 때 도움이 됩니다.”

여러 지점들에서 로그를 저장한다
컨설팅 업체인 알릭스파트너즈(AlixPartners)의 수석 부회장인 케빈 마두라(Kevin Madura)는 “가능한 모든 곳에서 로깅을 진행하는 것이 좋다”고 말한다. “물론 규정을 준수하는 선에서 수집을 하라는 것입니다. 애플리케이션, 애플리케이션 서버, 웹 서버, 로드 밸런서, 방화벽, 스위치, 라우터, 엔드포인트 등 모든 곳에서 로그 정보를 수집할수록 좋습니다.”

마두라는 “최대한 많은 곳에서 로그 정보가 취합되어야 사건 조사에 도움이 되고 시간을 단축시킬 수 있다”고 그 이유를 말한다. “일부에서만 조금 모은 로그는 사실 쓸모가 없습니다. 로그가 진정으로 힘을 발휘하려면 데이터 규모가 크고 다양해야 합니다. 특히 최초 침투 경로를 파악하려면 네트워크 전체를 아우르는 로깅이 필요합니다. 또한 어떤 장비가 이상 현상을 보이는지 알아내는 일도 쉬워집니다.”

클라우드를 활용하라
로그를 클라우드에 저장하는 것도 좋은 방법이다. 이렇게 함으로써 공격자들은 한 번 더 로그를 찾아내야 하며, 더구나 클라우드에 있다는 건 방어의 벽을 한 번 더 뚫어내야 한다는 뜻이 된다. 보안 업체 카토 네트웍스(Cato Networks)의 보안 책임자인 엘라드 메나헴(Elad Menahem)은 “클라우드를 기반으로 한 로깅 솔루션을 구축하면 꽤나 간단하게 공격자들을 난처하게 만들 수 있다”고 설명한다.

“로깅 서버를 클라우드로 옮겼을 때 공격자는 강제적으로 두 개의 네트워크를 공략해야 합니다. 특히 공공 클라우드의 경우 서비스 제공 업체가 보안에 큰 투자를 하고 있지요. 따라서 공격자들 입장에서 마냥 쉽게 공략할 수도 없습니다.” 비슷한 개념으로 로깅 서버를 온프레미스에 구축해 두더라도 공격자가 찾아내거나 침투하기 어렵게 만들어도 비슷한 효과를 낼 수 있다고 그는 덧붙였다.

스토리지 미디어의 이미지를 포렌식 데이터에 추가하라
“로그 자체가 아니라 스토리지 미디어의 포렌식 이미지를 검사하는 것만으로도 포렌식 전문가들이 많은 도움을 얻습니다. 실제 사건 해결이 되는 경우도 많습니다. 가상기계들의 스냅샷을 주기적으로 확보하는 건 첩보 수집 측면에서 큰 가치를 지닙니다. 그림이 수만 마디의 말을 한다는 것이 여기에도 적용이 되는 것이죠.” 호간 로벨즈의 피터 마르타(Peter Marta)의 설명이다. “시간의 흐름을 보여주는 스냅샷들이 주는 통찰은, 사건이 일어난 후 시스템에서 채취하는 스냅샷보다 훨씬 많은 정보를 줍니다.”

침해된 시스템을 급하게 끌 필요는 없다
사이버 공격이 탐지된 순간 많은 조직들이 시스템부터 차단한다. “물론 일리 있는 움직임이고, 이해할 수 있습니다. 하지만 거기에는 단점도 존재합니다. 공격이 탐지된 그 시스템에서 어떤 일이 일어났는지 정확히 파악할 기회가 영원히 사라질 수 있다는 겁니다. 게다가 요즘은 하드드라이브에 전혀 기록을 남기지 않는 파일레스 공격이 성행하고 있으니 말이죠. 메모리에서 일어난 일들은 시스템이 꺼지는 순간 전부 사라집니다.”

실제 현대 사이버 공격들 중 많은 경우가 메모리와 관련되어 있다. 따라서 메모리의 특성을 이해하고, 메모리에 대한 관리를 해주는 것도 좋은 ‘로깅 수집’의 일환으로 분류될 수 있다. “보안 팀이라면 메모리 분석도 수행할 수 있어야 합니다. 이른 수행 능력이 바탕이 되어야 외부 포렌식 전문가들에게 유효한 도움을 줄 수 있습니다. 하드드라이브만 넘겨주는 ‘조사 협조’는 쓸모가 없을 때가 점점 많아지고 있습니다.” 딜로이트(Deloitte)의 스티븐 베이커(Steven Baker)가 설명한다.

로그 파일 중 어떤 정보가 유용한지 파악한다
로그에 남은 정보라고 해서 다 유용한 건 아니다. 물론 사건에 따라 유용한 정보와 그렇지 않은 정보가 달라지긴 하지만 거의 모든 경우에 쓸모 있는 정보는 다음과 같다.
1) 인터넷과 연결된 시스템의 IP 주소 관련 로그
2) 인증 시도 실패와 관련된 로그
3) 파일 생성과 관련된 로그
4) 원격 데스크톱 프로토콜 및 psexec 연결과 관련된 로그
5) 데이터베이스 쿼리와 관련된 로그

로그의 유용성도 주기적으로 시험해야 한다
로그는 마냥 쌓아놓고 묵힌다고 해서 향기를 발하지 않는다. 실제 사건이 벌어졌을 때 로그에 의존해도 되는지 주기적으로 점검할 필요가 있다. “그럴 때 필요한 게 워게임(wargame)입니다. 실전과 같은 워게임을 통해 실제 필요한 로그와 보유하고 있는 로그 사이의 간극을 줄일 수 있습니다.” 베이커의 설명이다. “매체들에 등장한 보안 사고들을 시뮬레이션 해보는 것으로도 충분할 수 있습니다. 사고 소식은 풍성하니까, 워게임 소스도 풍성하다고 볼 수 있습니다.”

또한 다른 기업들이 소중히 다루는 로그가 어떤 것인지 파악해 비교 분석하는 것도 좋다. 예를 들어 구글 클라우드의 추바킨은 “서버와 엔드포인트, VPN과 원격 접근, 다양한 보안 솔루션 및 장비들, 클라우드 서비스에서 발생되는 로그를 많이 중요하게 여긴다”고 말한다.

제거는 신중하게
관리해야 할 로그의 양은 갈수록 늘어나고 있고, 줄어들 기미는 전혀 보이지 않는다. 그렇기 때문에 언젠가, 어느 정도의 로그는 버려야만 한다. “영원히 로그를 저장할 수 있는 조직은 그리 많지 않을 겁니다. 정보의 스토리지는 모든 조직들을 괴롭히는 문제이거든요. 따라서 전략적으로 로그를 삭제하는 것이 양질의 로그를 보호하는 차원에서 오히려 현명한 선택입니다.” 보안 업체 인포섹(Infosec)의 키트론 에반스(Keatron Evans)의 설명이다.

베이커는 “어떤 로그를 어떤 시점에, 어떤 방식으로 삭제할 것인지는 사건 대응 계획과 밀접하게 관련되어 있다”고 설명한다. “강력한 보안 아키텍처 및 대응 방안을 가진 팀일수록 어떤 로그가 중요하고, 어떤 로그를 삭제해도 될지 판단하기 쉽습니다. 이 부분은 보안 사고가 터지기 전에 수립해 놓는 것이 좋은 게 당연하고요.”

과도한 투자는 금물이다
마두라는 “로그 관리에 대해 ‘모든 걸 저장하면 된다’고 생각하는 조직은 높은 확률로 로깅에 실패한다”고 말한다. “정말 성실하게 모든 걸 저장하는 경우에는 쓸데없는 스토리지 비용이 크게 들어가게 됩니다. 또한 모든 걸 비효율적으로 저장하다 보면, 정작 필요할 때 필요한 정보를 찾아내지 못하게 되기도 하고요. 과도하면 해가 됩니다.”

플로리다대학 교수인 맷 러델(Matt Ruddell)의 경우는 “그래도 로그는 지나친게 없는 거 보다 낫다”는 입장이다. “로그 관리를 잘 하고 있다는 게 반드시 로그의 양을 뜻하는 건 아니라는 점에서는 동의합니다. 또한 이 로그라는 걸 정리해두지 않으면 ‘의미없는 정보의 홍수’만 일으킬 뿐이라는 것도 이해합니다. 그렇지만 일단 풍성히 저장해 두어야 좋은 정보를 찾아서 정리할 수도 있습니다. 어느 정도의 볼륨은 확보가 되어야 함은 분명합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북