보안업계, 대량 로그 방치한 채로 ‘인력양성’ 구호만 외쳐선 안돼!
인력양성 위한 여건 마련과 함께 보안로그 분석기술 향상시켜야
‘인력난’은 정보보안 업계를 대표하는 단어가 된지 오래다. 특히, 보안관제업계는 ‘보안관제 전문업체 지정제도’의 2011년 하반기 시행이 발표되면서 너나할 것 없이 한 목소리로 인력부족 문제를 우려하기 시작했다. 왜 ‘인력난’이 발생했을까? 단순히 그 동안 소외되었다가 수요가 증가하면서 발생한 문제로 치부할 수도 있을 것이다. 그러나 그 이면을 들여다보면 노동집약화된 보안관제 분야의 현실을 발견할 수 있다. 현실을 정확하게 알기 위해서는 먼저 보안관제 업무에 대한 이해가 필요하다.
휴전선의 감시를 소홀히 하면서 국가안보를 논할 수는 없는 것처럼 감시는 가장 중요한 보안관제 업무이고 모든 보안관제 전문업체들이 이를 알기에 365일 24시간 감시를 기본으로 업무를 진행한다. 그리고 집집마다 뒤져서 간첩을 찾는 것보다 휴전선을 감시하는 것이 더 효율적인 것처럼, 모든 보호대상 정보자산을 검사해서 침해 흔적을 찾기란 현실적으로 어렵기에 보안솔루션을 사용하여 보호대상 정보자산을 감시하는 것이 일반적이다. 즉, 네트워크로 연결된 길목에서 정보자산을 향해 오고가는 데이터를 감시하는 것이다.
이때 사용되는 대표적인 보안 솔루션이 바로 IDS로 대표되는 ‘패턴 매치’ 기반의 ‘룰 기반 보안 솔루션’이다(참고로 ‘패턴 매치’ 기법은 DPI, 즉 ‘Deep Packet Inspection’과 같은 말이다). 다양한 보안 솔루션이 존재하고, 실제 현장에서 사용되고 있음에도 불구하고 왜 IDS가 대표로 언급됐을까?
IDS는 데이터 표현에 사용된 문자나 숫자 등의 기호를 검사하는 ‘패턴 매치’를 기반으로 동작한다. 그런데 IDS 이후 새로운 듯 소개된 IPS, 웹방화벽, UTM(Unified Threat Management, 방화벽/IPS 등의 기능을 통합한 보안장비), 일각에서 차세대 방화벽이라고 칭하는 애플리케이션 방화벽 등등 대부분의 보안 솔루션들 역시 ‘패턴 매치’를 기반으로 동작한다. IDS와의 차별화를 위해 솔루션별로 약간의 특성 차이가 있을 뿐 사실상 기반 기술은 동일하다는 얘기이며, 이들 솔루션의 효과는 ‘패턴 매치 기법’의 활용역량에 달려있다는 뜻이다.
IDS는 구식이란 인식이 업계에 팽배하지만 ‘패턴 매치’ 기법에 대한 활용 노하우가 없다면, IPS, 웹방화벽 등 ‘패턴 매치’ 기법을 사용하는 모든 보안 솔루션 역시 구식임을 명심해야 할 것이다.
그렇다면 실제 현장에서 로그는 과연 얼마나 발생할까? 서비스 구조나 성격에 따라 다르겠지만 경험상 100Mbps 네트워크 환경에서 상단의 방화벽이 가장 명확한 IP/Port 기준으로 트래픽을 1차 필터링해 줄 경우, 하단에서 2천개 내외의 룰로 운영되는 IDS 또는 IPS 등 ‘패턴 매치’ 기법을 사용하는 룰 기반 보안 솔루션은 하루에 만개 이상의 로그를 토해낸다. 상단에서 1차 필터링을 해주는 방화벽이 없다면 하루에 십만 개 이상의 로그 발생을 각오해야 할 것이다.
네트워크 규모가 커지면 당연히 로그 발생량도 증가하며, 1Gbps 이상의 네트워크 환경에서는 단 하나의 보안 솔루션에서 하루에 백만 개 이상의 로그가 발생하는 경우도 쉽게 찾아볼 수 있다.
도대체 어느 정도의 인력이 있어야 하루 만에 발생한 백만 개의 로그를 놓치지 않고 분석할 수 있을까? 밥도 안 먹고, 화장실도 안가고, 잠도 안자면서 1분에 하나씩 로그를 분석하면 하루에 1,440개의 로그 분석이 가능하다. 자 계산기를 두드려보자. 대략 700명의 초인(?)적인 인력이 필요하다! 반대로 얘기하면 700명의 인력 없이는 백만 개의 로그 분석은 불가능하며, 결과적으로 감시에 실패하게 된다는 얘기이다.
바로 이것이 정보보안, 특히 보안관제 업계의 ‘인력난’의 진실이다. ‘빅데이터’가 화두가 되기도 전에 보안업계는 이미 ‘빅데이터’에 파묻혀 있었던 것이다. 물론 현실에서는 공격유형, 공격자 등의 변수에 의해 많은 중복이 발생하지만 이를 감안하더라도 매우 많은 인력이 필요하다는 결론에 도달하게 된다.
결과적으로 대부분 보안관제 현장에서는 대량의 로그를 처리하기 위해 ‘동일 공격자가 동일 공격을, 예를 들면 10회 이상 발생’시켰을 경우에만 분석하는, 일종의 표본검사 방식을 사용하고 있다. 그런데 표본검사 방식은 전수(全數)검사에 비해 인력 및 시간 비용을 절약할 수 있다는 장점이 있는 반면, 다음과 같은 단점들이 있다.
1. 표본 검사는 동일 공격자에 의해 발생한 동일 공격의 패턴이 모두 동일하다는 전제하에 진행된다.
-> 정확한 공격 패턴 파악이 실패할 수 있다.
2. 임계치에 도달할 때까지 실시간 감시가 지연된다.
-> 공격 시도가 10회가 될 때까지 기다려야 한다.
3. 임계치에 도달하지 않을 경우 ‘1차 감시 누락’이 발생한다.
-> 공격 시도가 9회 만에 성공해 버린다면?
4. 표본검사 범위마저 인력에 의한 분석 역량을 초과할 경우 ‘2차 감시 누락’이 발생한다.
특히, 4번 단점은 치명적이다. 백만 개의 로그를 ‘동일 공격자+동일 공격’ 조건으로 분류하면 평균 만 개 정도로 축약된다. 검사 범위를 99%이상 줄였지만 여전히 7명의 초인(?)적인 인력이 필요하다. 현실적으로 전수검사가 불가능함을 알 수 있다. 전수검사의 실패는 감시 실패로 이어진다. 해킹 시도가 발생한 사실을 몰랐다가 피해가 알려지고 나서야 뒤늦게 대응하는 사례가 증가하는 이유이다.
여기서 의문을 제기해 보자. 왜 보안 솔루션에서 해킹 시도를 알리는 로그가 하루에 백만 개씩이나 발생하는 것일까? 백만 개의 로그는 과연 모두 정확할까? 만약 모두 정확하지 않다면 부정확한, 즉 불필요한 로그의 발생을 방지함으로써 적은 인력으로 더 많은 로그를 분석할 수 있지 않을까? 인력 부족을 우려하기 전에 보안업계는 먼저 이러한 의문을 가져야 하지 않을까?
분명 ‘인력 양성’은 필요하다. 그러나 동시에 로그 역시 줄여야 한다. 계속 증가하는 대량의 로그를 그대로 둔 상태에서 ‘인력 양성’에만 매달려서는 ‘밑 빠진 독에 물 붓는’ 상황을 벗어날 수 없기 때문이다. ‘인력 양성’이 가능한 사회적 여건을 마련해 나가면서 동시에 우리는 로그가 대량으로 발생하는 원인을 파악할 필요가 있다. 이번 연재기획의 마지막 회에서 그 원인과 해결책을 제시한다.
[출처] http://www.boannews.com
카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)
카페 주소 :http://cafe.daum.net/Security-no1클릭
교재 소개 : 알기쉬운 정보보안기사.산업기사(이론편,문제편[1,200제])