인프라/로그 현황ㆍ보안 요구사항ㆍ기존 인프라와의 통합 등 다각적인 측면에서 검토해야







IT 및 보안 환경이 복잡해지면서 보안 정보 및 이벤트 관리(SIEM: Security Information and Event Management) 솔루션은 조직 내의 보안 인프라에서 필수 요소로 부상하고 있다. SIEM은 효율적인 통합 로그관리, 위험탐지, 사고대응, 포렌직(Forensic) 및 보안 관련 컴플라이언스에 중요한 역할을 하고 있다.

SIEM, SEM, SIM 등으로도 불리우는 보안 정보 및 이벤트 관리는 최근 많은 조직들이 보안과 관련해 최우선 도입 순위로 꼽고 있는 분야다. 시장조사기관인 포레스터리서치가 보안관련 의사결정자 259명을 대상으로 실시한 조사에 따르면, 조사 기업 중 3분의1 이상이 2008년 중순까지 보안 정보 관리 기술을 도입한 것으로 나타났다. 도입 이유에 대해서는 32%의 응답자들이 리포팅과 컴플라이언스 향상을 꼽았으며, 이어 20%의 응답자들이 보안사고 파악을 이유로 들었다.

가트너에 따르면 SIEM 시장의 성장률은 2006년 50%, 2007년 30%로 매우 빠르게 성장하고 있다. 현재 시장에서는 RSA(EMC 정보보안사업부)를 비롯해, 시만텍, 아크사이트, 시스코시스템즈 등의 업체들이 SIEM 시장을 선도하고 있다.

한편, 한국 정보보호진흥원(KISA) 자료에 따르면, 2008년 SIEM 시장은 약 100억 원, 2010년에는 120억 원 규모로 성장할 것으로 전망되고 있다. 특히, 디지털 범죄의 증가로 로그 관리 및 분석의 중요성이 부각되면서 꾸준한 성장이 기대되고 있다.

이 기고는 효과적인 SIEM 솔루션 도입을 위해 고려해야 할 7가지 사항에 대해서 살펴보고자 한다. 특히, 이벤트 데이터의 완벽성, 솔루션 통합의 수준, 주변 인프라 환경 등 솔루션 평가 시 초점을 맞춰야 할 내용들을 상세히 살펴보겠다.

#1. 현재의 보안운영 모델을 정의하고 핵심 솔루션 요건에 대한 정보를 파악하라.
기업이나 조직은 매우 다양한 형태의 보안 운영 모델을 갖추고 있다. SIEM 솔루션 평가 시에는 우선 어떤 보안 운영 모델에 속하는지 파악한 후 현재의 요구사항에 적합함은 물론, 점진적으로 운영 환경 확장을 위한 유연성을 제공하는 솔루션을 선택해야 한다.

현재 적용하고 있는 모델과 관계없이, SIEM 솔루션의 목표는 기술로 인력의 역할을 대체하는 것이 아니라, IT 인력의 업무 수행을 좀더 생산적이고 효과적으로 지원하는 것이다. 따라서 적합한 솔루션을 선택하기 위해서는 현재의 책임사항들과 업무 흐름 프로세스에 대한 이해가 필요하다.

임직원들의 업무효율에 제약을 줄 수 있는 현재 환경 내 결함에 대해 이해하는 것도 중요하다. 예를 들면, 직원들이 오탐지(False Positive)나 우선순위가 낮은 경고 등에 너무 많은 시간을 할애한다면 상관관계 규칙(correlation rule)이 불분명하게 작성되었거나 자산 및 취약성 등과 관련한 데이터를 고려하지 않아 부정확한 경고를 발생시킬 수도 있다.

이러한 이슈들은 SIEM 솔루션 자체의 기본적 결함 또는 실제 상관관계를 적용하기에는 많은 관리비용이 필요로 하는 현실적인 문제로 인해 발생하는 경우가 많다.

#2. 보안 운영에 필요한 핵심 솔루션 기능들을 고려하라.
보안운영 지원과 관련해 SIEM에서 가장 흔히 발생하는 오류 해결을 위해서는 ▲실시간 데이터 캡처 및 분석 ▲모든 보안 및 운영 이벤트 데이터 캡처 ▲효과적인 포렌직(Forensic) 툴 등 세가지 핵심 솔루션기능을 고려해야 한다.

SIEM 솔루션은 다음의 두 가지 핵심 기능을 모두 수행할 수 있어야 한다. 첫째, 실시간 위험탐지 및 대응을 위해 이벤트로그 데이터의 실시간 캡처 및 분석 기능, 둘째, 포렌직, 네트워크 운영, 컴플라이언스 또는 법적 조사를 위해 해당 데이터의 신속한 검색 및 리포팅을 통한 사전 분류 기능이 그것이다.

대부분의 솔루션들은 현저한 성능 저하가 초래될 것을 우려해 원본 이벤트 정보(raw event data)를 분석하기 보다는 데이터를 표준화하고 사전 가공해 예외상황 서브세트로 줄인 후에야 분석 업무를 수행하는 방식의 정규화(Normalization) 과정을 거친다. 일부 솔루션들은 나머지 데이터를 폐기해 해당 데이터가 향후 조사, 감사 혹은 리포팅 활동에 사용될 수 없게 한다. 물론 원본 이벤트 정보(raw event data)를 저장하는 솔루션도 있지만 쿼리(query)와 리포팅 기능들과 연관성이 없는 별도의 리포지터리(repository)를 사용해 저장한다.

이러한 특성은 이력 데이터에 대한 분석 및 리포팅 업무에 적잖은 어려움을 준다. 따라서, 솔루션을 선택할 때 유입되는 모든 이벤트 데이터를 수집하고 향후 사용 목적을 위해 저장 기능을 갖춰 이러한 문제점을 방지할 수 있는 지를 반드시 확인해야 한다.

포렌직 및 업무 흐름(workflow) 툴은 보안운영자의 생산성을 향상시키는 데 매우 중요한 요소로서 보다 많은 장애를 성공적으로 해결해 주며 조사에 필요한 평균 해결시간을 감소시킨다. 사용자 친화적인 강력한 포렌직 툴은 관련 이벤트의 재현, 다양한 변수에 대한 이벤트 데이터 필터링, 보안 및 운영 이벤트의 재구성에 필요한 가시성, 유연성 및 완벽한 처리능력을 제공한다.

#3. 솔루션 선택 과정에 전략적 요구사항을 반영하라.
SIEM 솔루션을 선택할 때에는 당면한 요구사항에 대한 해결뿐만 아니라 비즈니스의 전략적 요구와도 부합하는지의 여부도 고려해야 한다. 해당 솔루션은 SIEM과 관련해 보안, 컴플라이언스 및 네트워크 운영 등을 포함하는 충분한 기능을 제공해 하나의 솔루션으로 앞서 언급한 세가지 목표 달성을 비롯해 비용 절감 및 복잡성 감소를 지원할 수 있어야 한다. 전략적 고려사항들은 다음과 같다.

–신규 비즈니스 활동: 기업 인수, 주요 인터넷 상거래 사업, 파트너 네트워크 확장 등 신규 비즈니스 활동으로 인해 네트워크의 용량 및 운영에 대한 요구가 새롭게 생겨나고, 새로운 영역의 보안 위험도 발생한다.
–컴플라이언스: 새로 규정되거나 예상치 못한 컴플라이언스 요건에 대응하기 위한 유연성을 갖춰야 한다. –정보 위험관리: 점점 더 많은 조직들이 정보와 관련해 가장 중대한 리스크가 존재하는 지점(예: 가장 중요한 데이터 또는 가장 취약한 데이터가 존재하는 곳)을 파악, 측정하기 위한 접근방법을 개발 중이며 이러한 정보를 토대로 보안 관련 투자에 대한 우선순위를 결정하고 있다.

이러한 광범위한 요건을 고려한다면, 경쟁 솔루션 평가에 필요한 전략적 체계를 갖출 수 있으며, 선택 프로세스에 보안 운영기능과 기업의 우선순위의 모든 측면이 적절히 반영될 수 있다.

#4. SIEM은 모든 기능과 쉽게 통합될 수 있어야 한다.
고객들은 주요 기술 벤더들이 제공하는 패키지 서비스 중 일부 제품인 SIEM 솔루션을 선택하고 있다. 가트너는 "보안 제품 포트폴리오 확장을 위해 대형 업체들이 유수의 업체들을 인수함에 따라 SIEM 시장은 중대한 변화를 겪고 있다. 이러한 시장 변화는 구매 경향에도 영향을 미쳐 보안 제품 패키지의 일부 품목으로 SIEM을 구매하는 최종사용자의 수가 점차 증가하고 있다"고 말했다. 가트너에 따르면, 제품 선택에 있어서 설치의 용이성과 기존 인프라와의 호환이 핵심적인 요소로 그 중요도가 높아지고 있는 것으로 나타났다.

다수의 SIEM 솔루션들은 전체 환경에서 네트워크나 운영체계, 또는 서버와 같은 일부분에 대한 정보만을 제공하고 있다. 이 경우, 기업들은 어쩔 수 없이 사각지대의 존재를 감수하거나, 보안 및 네트워크 운영 이벤트에 대한 폭넓은 시각을 갖추기 위해 높은 비용이 소요되는 통합 작업을 진행해야 한다.

#5. 다른 정보 소스를 사용해 이벤트 상관관계 분석을 보완하라.
이벤트 상관관계(Event Correlation)는 SIEM 솔루션의 중요한 특성으로서 이벤트 로그 데이터의 끊임없는 유입으로 초래되는 정보 과부하 문제를 해소해준다. 상관관계 분석 엔진은 상관관계 분석 규칙 적용을 통해 덜 중요한 이벤트를 필터링하며, 정상이 아닌 패턴을 인식하고, 보안분석가 또는 네트워크 관리자들이 처리할 수 있도록 관련 데이터를 종합해 실행 가능한 이벤트(actionable event) 정보로 정리한다.

솔루션을 선택할 때에는 모든 로그가 수집되는지, 상관관계 분석 엔진이 유입되는 모든 이벤트 데이터를 모든 위치에서 실시간으로 처리할 수 있는 지의 여부를 검토하는 것이 매우 중요하다. 백로그(backlog)와 기능 지연은 위험요소를 즉각 인식하고 이에 대응할 수 있는 능력을 저하시킨다. 심지어, 상관관계 설정이 일부 데이터 서브세트에 국한되는 경우에 중대한 보안 경보를 완전히 지나쳐 버릴 위험도 있다.

#6. 로그 데이터의 정보수명주기를 관리하라.
로그데이터 저장은 SIEM 솔루션의 핵심 요소이다. 시간이 경과함에 따라 로그데이터는 기하급수적인 속도로 축적되는데 이는 네트워크 상의 장비 및 애플리케이션의 증가, 보안 이벤트 데이터 저장에 대한 규정 요건을 주요 요인으로 볼 수 있다.

일부 솔루션들은 이벤트 분석 지원을 위해 광범위한 선행 처리(Pre-processing), 인덱싱 및 메타데이터를 요구하는데, 이는 잠재적으로 스토리지의 부하를 가중시키게 된다. 이러한 양상은 스토리지 용량 수요를 최대 10배까지 높일 수 있어 솔루션의 수명주기 동안 스토리지 관리비용이 현저히 늘어나게 된다. 따라서 선택한 솔루션이 데이터 수명주기 옵션을 잘 설계해야 한다. 잘 설계된 솔루션이라면 NAS(Network-Attached Storage) 또는 SAN(Storage Area Network)을 지원해야 하며, 이를 통해 보다 유연하고 비용 효율적이며 동시에 가용성과 재해복구 측면에서 뛰어난 복원력을 제공할 수 있다.

#7. 실제 소요되는 솔루션 비용을 파악하라.
특정 솔루션을 선택하기에 앞서 필요한 것은 초기 및 유지 비용에 대한 예측이다. 선택하는 솔루션은 초기 요건을 최소의 비용으로 충족시킬 수 있어야 하며 초기 투자비용 이외에 추가로 발생하는 요구사항에 대한 추가 지출이 없도록 주의해야 한다. 또한 해당 솔루션을 전사적 차원에서 확장 도입할 때 소요되는 비용이 합리적인 지에 대해서도 파악해야 한다. 앞서 언급한 바와 같이 스토리지 관리 비용뿐만 아니라 다른 비용 요소도 고려해야 한다.

맺음말
IT 환경의 진화에 따라 보안 관리 솔루션도 통합보안관리(ESM)에서 위험관리시스템(RMS), 보안정보 및 이벤트관리(SIEM)에 이르기까지 발전을 거치며 상호 보완 및 진화하고 있다. 이 가운데 보다 철저하고 통합적인 보안 관리/대응 및 통합 로그관리를 위해 등장한 정보 및 이벤트 관리(SIEM) 솔루션은 이기종 환경의 인프라/로그를 효율적으로 통합 운영하고 리스크를 낮추기 위한 대안이 되고 있다.

IT 인프라 환경이 복잡해지면서 통합적인 보안/로그 관리는 생각처럼 쉽지만은 않은 과제이다. 때문에 효과적으로 SIEM 솔루션을 도입하기 위해서는 해당 조직의 인프라/로그 현황 및 보안 목표, 사용자의 보안 요구사항, 기존 인프라와의 통합 및 지원, 투자비용에 이르기까지 다각적인 측면에서 철저한 검토가 선행되어야 하며, 또한 보안 성과를 보장할 수 있는 검증된 솔루션을 선택해야 할 것이다

저작권자 © 아이티데일리 무단전재 및 재배포 금지