최근 잇달아 발생한 보안사고는 기업 내 데이터베이스(DB) 무단 접근, 웹사이트나 애플리케이션(앱) 취약점 악용 등 광범위한 영역에서 발생했다.
기업들마다 방화벽, 침입방지시스템(IPS), DB보안 솔루션 등과 같은 보안 솔루션을 구축해 방비해놨지만 피해를 막지 못했다. 몇몇 기존의 보안 솔루션만으로는 외부에서 들어오는 공격자나 내부자의 이상행위를 탐지해 내지 못했다는 지적도 나오고 있는 이유다.
이에 따라 보안업계에서는 ‘빅데이터’를 활용해 이상행위를 탐지하는 방법을 모색하기 시작했다. 앱·어플라이언스에서 도출되는 로그를 각각 분석하는 것이 아니라, 빅데이터 분석 기술을 활용해 상관분석을 실시하는 것이 요지다.
방화벽에서 내놓는 로그가 단편적인 시각에서는 무의미한 기록에 불과할 수 있으나 전사적자원관리(ERP), DB보안 솔루션과 결합하면 새로운 사실을 유추해낼 수 있다는 것이 보안업계의 주장이다.
보안업계 관계자는 “기존에 탐지하지 못했던 보안위협과 이상징후들은 통합로그분석시스템의 도입으로 해결할 수 있다”며 “로그는 거짓말을 하지 않는다. 무의미한 데이터를 유의미하게 만드는 것이 통합로그분석시스템의 존재 이유”라고 설명했다.
통합로그분석시스템은 기업에서 사용되는 모든 앱과도 연결된다는 장점도 가지고 있다.
기업 앱이 내놓는 로그들과 데이터베이스매니지먼트시스템(DBMS) 솔루션, DB보안솔루션의 로그를 받아서 분석한 뒤 정상적인 접근여부를 파악할 수 있다. 권한에 맞지 않거나 필요 이상으로 DB에 접근할 경우 이에 대한 규칙(룰 셋)이 있다면 즉각 탐지할 수 있다.
최근 금융권의 뜨거운 감자인 이상거래탐지시스템(FDS)의 원활한 운영도 통합로그분석시스템이 있어야 가능하다. 초당 10만건 이상 발생하는 금융거래 이벤트를 실시간으로 분석해 FDS에 던져주기 위해서는 기존의 로그관리시스템으로는 불가능하다.
현재 통합로그분석시스템 도입이 제일 활발한 곳은 금융권이다. 잇달아 발생한 개인정보유출 사건의 재발을 막기 위해 내부통제 강화, 이상거래탐지를 위한 대책으로 통합로그분석시스템을 도입하는 것으로 알려졌다.
이들은 통합로그분석시스템을 보안솔루션, 시스템, 애플리케이션과 결합을 검토하고 있으며, 궁극적인 목표는 금융거래 로그 분석을 통한 이상거래탐지다.
이들 외에도 내부정보유출과 기업전사보안을 위해 통합로그분석시스템을 도입하고 있는 곳이 점차 증가하고 있다.
현대차그룹, 삼성그룹, LG그룹 등은 이미 해당 솔루션을 도입해 활용하고 있다. 대기업들은 임직원들의 권한과 업무패턴을 규칙으로 만들고 이에 대한 통제는 보안솔루션과 통합로그분석시스템으로 하고 있다.
올해는 이와 같은 도입사례가 더욱 많아질 것으로 보인다. 보안위협이 광범위해짐에 따라 이에 대한 관리영역이 증가했기 때문이다.
현재 IBM, 스플렁크, KT넥스알, 유넷시스템, 이너버스 등이 통합로그분석시스템 시장에서 활발히 영업에 나서고 있다.
