본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

솔루션

보안 위협을 발견하는 명탐정, ‘통합보안관리 솔루션’

2015.04.14

여러분은 지금까지 살아오면서 큰 사고를 당했던 경험이 있으신가요?

그렇다면 사고를 당하기 전, 이를 미리 알려 주는 것 같은 사소한 징후들이 있었지만 혹시 그것들은 그냥 넘겨 버리지는 않으셨나요?

이런 상황은 보안 사고에도 적용될 수 있다고 하는데요. 오늘은 ‘LG CNS와 함께 하는 보안컨설팅 A to Z’ 두 번째 연재로 [사소한 징후로 보안 위협을 발견하는 통합보안관리 솔루션]에 대해 말씀 드리겠습니다.

● LG CNS와 함께 하는 보안컨설팅 A to Z (1편) : http://blog.lgcns.com/737

사고의 징후는 미리 찾아온다! ‘하인리히 법칙(Heinrich’s Law)’

1931년 미국 트래블러스 보험사(Travelers Insurance Company)의 엔지니어링 및 손실 통제 부서에 근무하고 있던 허버트 윌리엄 하인리히(Herbert William Heinrich)는 사고를 통계적으로 분석하는 작업을 했습니다. 분석 결과 큰 사고가 발생하기 전, 작은 징후들이 있었음을 밝혀 냈습니다.

그의 정리에 따르면 ‘1번의 대형 사고가 발생하기 전에는 29번의 경고가 있고, 그와 관련된 300번의 징후가 있다’고 하는데요. 이것이 바로 ‘하인리히 법칙(Heinrich’s Law)’입니다.

실제로 큰 사고는 갑자기 찾아오는 것이 아닙니다. 1912년에 발생한 타이타닉호의 침몰 사건도 과속 운행, 해상 감독 위반과 같은 작은 실수와 20여 차례의 경고를 무시한 결과 발생했는데요. 우리나라의 삼풍백화점 사고 역시 지반 갈라짐이나 기둥에 금이 가는 등 여러 조짐이 있었음에도 그것들을 무시하여 발생한 것입니다.

정보 처리 시스템 환경의 경우도 이와 다르지 않습니다. 사실 대형 보안 사고가 아니면 눈에 들어오지 않지만, 우리 주변에는 작은 위반 사례, 사소한 위반 징후가 빈번히 발생하고 있습니다. 그리고 이들은 모두 보안 취약점을 통해 나타나지만, 한정된 예산과 자원 때문에 우선순위에 밀려 어쩔 수 없이 흘려 보내는 경우가 종종 있습니다.

하지만 우리는 타이타닉호의 침몰처럼 큰 사고가 발생하는 것을 막기 위해서 사소한 300개의 보안 위반 징후에 주목하고, 이를 보완 및 감시해야 합니다. 그렇다면 이렇게 많은 징후들을 보다 편리하게 관리할 수 있는 방법에는 어떤 것이 있을까요? 다음에서 함께 살펴보도록 하겠습니다.

‘통합보안관리 솔루션’이란 무엇인가요?

우리가 이용하는 정보 처리 시스템은 하루에도 어마어마한 양의 업무를 수행하고 있습니다. 이들은 대부분 정상적으로 업무를 처리하지만, 가끔은 위협을 줄 수 있는 상황이 발생하기도 합니다. 그리고, 개별 행위 자체는 정상적인 업무 수행으로 보이지만 다른 행위와 인과 관계를 놓고 볼 때는 위협적인 일로 판단되는 경우도 발생할 수 있습니다.

예를 들어 권한자가 고객의 회원 정보를 조회하고, 문건을 출력 또는 복사하고, 업무를 위해 노트북을 들고 퇴근하는 것 등은 하나하나 보면 특별히 문제될 것이 없는 정상적인 행위입니다.

그러나 이를 통합해서 보면 그렇지 않을 수도 있는데요. 권한을 가진 직원이 고객의 개인 정보가 담긴 화면을 과도하게 조회하고, 이 정보를 출력한 후에 바로 퇴근하는 일이 연계되면 의심해 봐야 한다는 것이죠. 또한 이것이 1~2주 동안 지속되었다면 이는 위험한 일이라고 볼 수 있는 것입니다.

우리가 알아볼 ‘통합보안관리 솔루션’은 이렇게 개별적으로 발생하는 이벤트에 대한 자료를 한 곳에 모아서 전체적인 관점에서 분석하고, 보안에 위협이 될 수 있는 사안을 찾아내는 것을 목적으로 하는 솔루션입니다.

‘통합보안관리 솔루션’의 처리 방식 및 고려 사항

● 처리 방식

지금부터는 통합보안관리 솔루션에 대해 조금 더 자세히 알아보겠습니다. 우선 그 처리 방식에 대해 간단하게 이야기하면 주요 3단계 및 기타 사항으로 나눌 수 있습니다.

먼저 주요 3단계 기능은 (1) 여러 장비에서 발생하는 이벤트 정보를 수집하는 ‘자료 수집 기능’, (2) 수집한 자료를 공간 효율적으로 관리하는 ‘저장 및 관리 기능’, (3) 저장된 데이터를 분석하는 ‘분석 기능’입니다. 그리고 기타 법적 요구 사항 및 자체 보안 기능 등이 있습니다.

● 각각의 단계별 내용과 고려 사항

(1) 1단계: 이벤트 정보 수집

그렇다면 각각의 시스템에서 일어나는 이벤트 실행 정보는 어떻게 모을 수 있는 것일까요?

정보 처리 시스템에서는 어떠한 명령이나 프로그램의 실행에 대한 정보를 내부에 기록으로 남기는데, 이것을 ‘로그(Log)’라고 부릅니다. 비유해서 설명하자면, 항공기 사고가 났을 때 블랙박스를 찾아 운항 정보 기록을 살피는 모습을 보셨을 텐데요, 이 때 블랙박스에 남아 있는 모든 기록이 바로 ‘로그’인 것입니다. 그리고 이런 로그가 바로 통합보안관리 솔루션의 수집 대상입니다.

그런데, 이러한 로그는 수집 대상이 되는 장비별, 프로그램 별로 그 형태는 제각각입니다. 또한 외부로 전송하는 통신 방식도 모두 다르죠. 따라서 이에 대한 충분한 사전 검토가 필요합니다. 예를 들어 네트워크 장비는 네트워크 프로토콜만을 사용하고, 서버 등은 파일 시스템으로 로그를 관리합니다. 보안 장비들은 처리 기록을 데이터 베이스(DB) 형태로 갖고 있기도 하며, 외부 전송을 위한 로그 자체가 없는 경우도 있습니다.

또한, 기존에 생성하는 로그가 있다고 해도 분석 대상이 될만한 충분한 정보가 없다면, 기존 장비에서 생성하는 로그의 변경도 함께 고려해야 합니다. 뿐만 아니라 수집하는 로그의 내용도 수집 대상마다 상이하여 이를 받아들일 수 있는 형태인지 확인해야 하고, 로그 수집의 양적인 면이 네트워크와 성능에도 영향을 줄 수 있으므로 사전에 검토가 필요합니다.

따라서 ‘어떤 로그를, 어떻게 수집할 것인가?’는 통합보안관리 솔루션의 가장 중요한 고려 사항 중에 하나라고 볼 수 있습니다.

(2) 2단계: 로그 저장

수집된 로그는 분석을 위하여 통합보안관리 솔루션 내에 DB 형태로 저장되는데요. 데이터 저장 방식과 용량 관리 방법 등에 따라 다양한 형태의 제품들이 있습니다.

예를 들어 기존의 관계형 DB 형태로 저장하여 무결성을 추구하는 제품, 파일 DB를 사용하여 가용성을 우선하는 제품, 인메모리 DB를 시용하여 속도를 높이는 것에 주력하는 제품 등이 있습니다. 이러한 각 제품별 차이점들로 인해 추후에 로그 분석과 관련하여 차이점이 발생할 수 있기 때문에 미리 장단점을 파악하는 것이 중요합니다.

그리고 지속적으로 생성되는 로그에 대하여 보존 기간 및 관리 방식을 결정하고, 압축 적용 여부 등을 확인하여 충분한 저장 공간이 고려되었는지에 대한 사항도 검토가 필요합니다.

(3) 3단계: 로그 분석

통합보안관리 솔루션은 수집된 로그를 기준으로 보안 위협을 찾아내기 위한 2가지 분석 기준이 있습니다. 그 중 하나는 ‘룰셋(Rule Set)’으로 개별 보안 장비별 보안 위반 여부를 점검합니다. 그리고 다음은 ‘시나리오(Scenario)’로 여러 장비의 룰을 통합하여 상관 관계를 기반으로 시나리오를 수립하여 분석하는 것입니다.

<기존 방식인 ‘룰을 통한 단순 분석’>

다시 말해 ‘룰셋 분석 방식’은 특정 거래나 상태가 허용 가능한 범위 인가를 기준으로 식별하는 방식으로서 방화벽 등의 일반 장비에서 적용되는 기준과 동일합니다. 그런데, 개별룰들은 단지 임계치를 기준으로 위반 여부만을 점검하므로 임계치에 도달하지 못하는 ‘사소한’ 위협에 대해서는 확인할 수 없다는 단점이 있습니다. 또한 네트워크나 보안 등 위험이 명시적으로 드러나는 일부 장비에서만 검출되는 한계점도 갖고 있습니다.

이와 같은 룰셋 분석 방식의 한계를 극복하기 위한 방식이 ‘시나리오 방식’입니다. 이것은 임계치 이하의 정보를 무시하지 않으며 정상적인 거래도 다른 징후와 같이 검토하여 보다 구체적인 검토가 가능합니다.

예를 들어 임직원의 업무 중 개인 정보 조회는 아무런 문제가 되지 않습니다. 하지만 조회 선후 관계로 문서 암호화 해체나 출력 또는 메일 발송과 엮여 있다면 의심의 징후가 높은 것으로 보고 중점 점검을 하는 것입니다.

<통합보안관리 솔루션에서 지원하는 ‘시나리오 분석’>

위의 그림에서와 같이 시나리오 방식은 룰렛 방식에서 걸러내지 못하는 임계치 이하의 상황들이나 장기간에 걸쳐 수집된 특징적인 상황들을 찾아낼 수 있습니다. 그리고 다양한 장비와의 상관 관계를 통해 검토할 수 있는 장점이 있는 반면, 구성이 복잡하다는 단점도 있습니다. 따라서 시나리오는 단기간에 생성되지 않고, 통합보안관리 솔루션 구축 이후에도 시나리오 완성도를 높이는 활동은 지속적으로 이루어져야 합니다.

룰셋과 시나리오의 완성도가 높다는 것은 분석 결과가 보다 유용한 정보가 될 수 있다는 것을 의미합니다. 이 때문에 룰셋과 시나리오에 대한 완성도를 높이는 것은 통합 보안 관리 솔루션의 도입에 있어서 매우 중요한 요소입니다.

또한 너무 큰 대용량 데이터를 다루고 있기 때문에 분석 시 속도에 대한 부분도 중요한데요. 실시간 조회 방식 지원 여부, 장기/단기 기간에 대한 조회 가능 여부 등도 추가로 고려가 필요한 부분입니다.

● 기타 사항

그 밖의 기타 사항으로는 법적 요구 사항과 자체 보안 기능 등이 있습니다.

먼저 ‘법적 요구 사항’에 대한 부분은 주로 로그 저장 시에 개인 정보 포함 여부에 따라 법적 요구 사항을 수용해야 하는지 결정해야 하는 경우입니다.

로그 수집 시 대상을 선별하는 과정에서 웹 로그, DB 로그, 업무 프로그램 로그 등이 포함되는 경우, 수집되는 부분에 개인 정보가 포함될 가능성이 높다고 볼 수 있습니다. 또한 현재는 없다고 해도 추후 로그 수집 대상이 확장될 경우, 개인 정보 제외 여부를 보장할 수 없다면 법적 요구 사항을 검토할 필요가 있을 것입니다.

주요 검토 사항을 다음과 같습니다.

  • 개인 정보 보호법상 개인 정보 시스템 접속 이력: 6개월 보관
  • 개인 정보 보호법상 개인 정보 시스템 권한 변경 이력: 3년 보관
  • 위에서 언급한 저장 기간이 지나면 자동으로 삭제가 되어야 함 (용량 관리 측면)

두번째로 ‘자체 보안 기능’은 통합보안관리 솔루션의 기본적인 보안 적용여부 확인입니다.

통합보안관리 솔루션이 저장하는 로그에는 중요한 정보가 많이 담겨 있으므로 해당 솔루션이 해킹되는 위험을 막기 위하여, 접근하는 인원에 대한 식별 방식, 초기 패스워드 변경 및 복잡도 설정, 2차 인증 등을 고려해야 합니다.

통합보안관리 솔루션의 활용 사례와 한계점

1) 내부 정보 유출 탐지 관점에서의 사례

통합보안관리 솔루션은 기존에는 감사 증거자료 보관용으로 활용했는데요. 최근에는 내부 정보 유출 탐지를 목적으로 사용하는 경우가 많아지고 있습니다.

최근 사례를 보면 대부분의 보안 사고가 전/현직 직원의 내부 유출을 통해서 발생하고 있습니다. 이러한 유출 사고는 보통 정당한 권한을 갖고, 정당한 업무 행위를 통해 이루어 지고 있어서 적발해 내기 쉽지 않을 뿐만 아니라 유출이 발생하게 되면 막대한 피해로 이어지게 되는 특징을 갖고 있습니다.

<기술 유출의 주체 (출처: 국가정보원 산업기밀 보호센터, 전자신문 2014년 11월 24일자 기사 인용
http://www.etnews.com/20141123000016)>

이럴 때는 중점 관리 블랙리스트를 선정하여 통합보안관리 솔루션을 통해 그들의 행위를 집중 분석을 함으로서 사고를 사전에 예방하거나 피해를 최소화 할 수 있습니다.

또한 최근 법령에서도 로그 등으로 증거자료를 남기고 보관하는 것에 더하여 주기적인 점검 및 관리를 명시하고 있습니다. 이는 로그를 단지 쌓아 두는 감사 위주의 사후 활동에 더하여 로그에 대한 주기적 검토를 통해 사고 징후를 미리 발견함으로써 피해를 막거나 최소화하기 위한 선제적 활동을 요구하는 것입니다. 그리고 이러한 부분은 통합보안관리 시스템과 그 맥락을 같이 한다고 볼 수 있습니다.

실제로 법적 요구에 대응하기 위해서는 각각의 시스템에 산재된 개별적인 로그를 일일이 확인해야 하는데 이럴 때 통합보안관리 솔루션은 적합하고 효율적인 방안이 될 수 있습니다.

2) 통합보안관리 솔루션의 한계점

지금까지 살펴본 통합보안관리 솔루션도 한계점은 있습니다. 로그를 수집하여 그 데이터 안에서 결과를 추출해 내는 솔루션이므로 수집되는 데이터가 충분해야 합니다. 그렇지 못한 경우, 그 결과의 정확성이 떨어지게 됩니다. 따라서 이에 대응하기 위해 보안 수집 솔루션은 다양한 방식의 수집 기능을 지원해야 합니다.

또한 주변 솔루션의 수집 주기에 관한 이슈도 있습니다. 일반적으로 서버를 제외한 전용 장비들은 하드웨어 성능에 최적화된 기능을 제공하고 있는데요. 이때, 통합보안관리 솔루션에 로그를 보내는 과정에서 대용량 데이터 전송으로 인한 성능의 저하를 불러올 수도 있습니다. 따라서, 이러한 경우를 막기 위해 수집시간을 하루에 1회로 제한하는 등 수집 주기를 제한하고 있습니다.

이로 인해 통합보안관리 솔루션에서는 실시간으로 적시 분석이 곤란한 상황이 발생할 수도 있는데요. 이것을 해결하기 위해서는 적합한 수집 주기를 결정하고 그에 따른 시나리오와 분석 주기를 결정하는 것이 필요합니다.

지금까지 통합보안관리 솔루션에 대해서 기능과 고려사항 그리고 사례와 한계 등을 살펴보았습니다.

통합보안관리 솔루션에 대해서 설명드리다 보니, 어떤 사람의 이미지가 떠오르네요. 바로 ‘명탐정 홈즈’입니다. 그는 사람을 한 번 살펴 보고 그 인물의 과거 행적을 신기할 정도로 정확하게 맞춰냅니다. 겉으로 보기에 눈으로 척 보면 읽어내는 추리의 달인 같아 보이지만, 자세히 들여다보면 여러 가지 사소한 정보들을 종합하여 통합적인 시선으로 사안을 분석해 내는 능력이 탁월한 것이죠.

통합보안관리 솔루션 역시 중요한 정보는 물론 300가지 사소한 징후들을 엮어 내어서 의미있는 보안의 위협을 찾아내고, 이를 통해 큰 사고를 알아차리는 역할을 하는 측면에서 명탐정 홈즈와 비슷하게 보입니다.

보안 위협을 발견하는 명탐정, 통합보안관리 솔루션의 이야기는 여기서 마치겠습니다.

이어서 3편에서는 [의료분야 개인정보보호 위반사례 및 대응방안]에 대해서 알아보도록 하겠습니다.

LG CNS 페이스북 바로가기 : http://on.fb.me/1JSmz0M

글 l LG CNS 보안컨설팅팀

챗봇과 대화를 할 수 있어요