칼럼 | 보안 이벤트 정보, '정확도'가 전부다

하루 또는 초당 수집하는 정보의 양이 많다고 자랑하는 보안 이벤트 모니터링팀을 종종 본다. 이런 정보를 저장할 스토리지 어레이의 용량이 크다고 떠벌리는 업체도 있다. 그러나 많은 경우 정보가 적은 것이 더 좋다.



필자가 컨설팅했던 기업 대부분은 보안 로그 정보를 수집하지 않았다. 이 때문에 오랫동안 해킹을 당하기도 했다. 이 문제의 심각성은 버라이즌 데이터 유출 보고서(Verizon Data Breach Reports)에 잘 나타나 있다. 매년 해킹을 당한 기업 대부분(일반적으로 70% 이상)이 데이터를 분석하기만 하면 해킹 여부를 알 수 있는 보안 이벤트 로그 데이터를 보유하고 있었다. 고객과 주주의 해킹을 예방하거나 줄일 수 있는 정보가 있었지만 충분히 관심을 기울이지 않았다. 보안 업계 관계자 입장에서 꽤 수치스러운 조사결과다.

이제 상황이 많이 바뀌었다. 앞서 제시한 현황에 대한 반성 때문이겠지만 대부분의 보안 관련 규제와 법률은 기업이 로그 파일을 저장하고 분석하도록 강제한다. 그러나 안타깝게도 기업과 업계는 또 기대를 저버리고 있다. 그동안 아무 것도 수집하지 않다가 이제는 가능한 모든 것을 수집해 통합 저장하는 지경에 이르렀다. 너무 많은 정보를 수집한 나머지 네트워크 속도가 느려지고 더 큰 이벤트 메시지 스토리지 어레이를 구매해야 할 정도다. 치명적인 보안 해킹 기록은 수십억, 수 조 개의 이벤트 메시지 속에 묻혀 버린다.

분석해야 할 것만 분석하라
모든 이벤트 로그 메시지를 수집해 분석할 필요는 없다. 기업은 실제로 보안 이벤트 관련 메시지만 수집해 분석해야 한다. 메시지가 보안 이벤트를 나타낸다 하더라도 팀에서 손쉽게 확인해 대응할 수 없다면 수집해서는 안 된다.

특히 후자의 문제를 파악하는 것이 중요하다. 예를 들어, 마이크로소프트 윈도우 컴퓨터에는 시계 업데이트나 권한 작동 등의 매우 평범하고 일상적인 운영 이벤트 로그 메시지가 가득 저장된다. 업데이트나 권한 모두 악성 해킹 이벤트일 수 있다. 그러나 문제는 모든 윈도우 컴퓨터에 이런 이벤트가 매일 수십 개씩 발생하고 그 중 절대 다수는 악성 해킹 이벤트가 아니라는 점이다.

이런 상황은 보안 전문업체의 컴퓨터 보안 센터도 비슷하다. 센터 대부분이 각 컴퓨터에서 매일 보고되는 수만 개의 비 악성 보안 이벤트를 선별해 정리한다. 이유는 '혹시라도' 치명적인 보안 이벤트일 수 있기 때문이다. 그 결과, 실제로 조사가 필요한 모든 유사 이벤트를 위해 이런 수십억 개의 이벤트를 정리한다.

그래서 필자는 즉각 대응할 수 있는 보안 이벤트 로그 메시지만 단일 또는 집합적으로 수집하고 경고하는 것을 원칙으로 삼는다. 즉각적인 대응이 불가능한 이벤트 수십억 개는 내버려 둔다. 정부의 규제에 대응할 필요가 있다면 여러 이벤트를 생성하되 추가 분석을 위해 전달해야 할 것만 선별한다. 이벤트 대부분은 로컬 상태로 남겨두고 적절한 것만 중앙에서 통합해 분석하면 된다.


선별 기능이 있는 SIEM 업체를 선택하라
기업 대부분은 보안 메시지 통합 및 분석을 제공하는 보안 정보 및 이벤트 관리(SIEM) 제품과 서비스를 구매한다. 필자는 IT 보안 업무의 아웃소싱을 신뢰하는 편이 아니지만 보안 이벤트 로그 분석이라면 다르다. 기업이 직접 하는 것보다 무엇을 수집하고 분석할지 더 잘 이해하는 기업이나 서비스가 있다면 아웃소싱해도 무방하다.

선택할 수 있는 최고의 SIEM 업체는 적을수록 좋다는 것을 이해하는 업체다. 그 중 하나가 허자벡 그룹(Herjavec Group)이다. ABC의 중독성 있는 TV 시리즈 '샤크 탱크(Shark Tank)'의 스타 중 한 명인 로버트 허자벡가 설립했다.

허자벡 그룹은 독특한 철학을 갖고 있다. 허자벡 그룹의 글로벌 기술 운영 부사장 아이라 골드슈타인은 적을수록 좋다는 철학에 관해 이렇게 설명했다. 그는 "(현대적인 기업 인프라 보안 관리를 위해 데이터는) 무결성과 운영을 보호할 만큼 충분히 신속하게 분석하고 상관 관계를 파악해 경고, 평가, 분석, 조사, 상정 및 해결해야 한다. 유일한 방법은 많은 양의 신뢰성이 낮은 경고 대신 더 적고 구체적이며 중요한 사용례에 집중하는 것이다"라고 말했다.

골드슈타인에 따르면, 그동안 보안팀은 감사, 적합성 또는 이해당사자로부터 잘못된 성취감으로 이어지는 더 많은 알람을 생성하도록 압박을 받아 왔다. 일종의 '사기 기술'이 인기를 얻은 것도 이 때문이다. 대신 허자벡 그룹의 접근법은 보안 이상을 발견하기 위해 정상 행동의 기준을 제공하는 핵심 위협 프레임워크를 구축하는 것이다.

변경이 필요하면 비즈니스 맥락을 통해 구체적인 사용례를 추가한 후 다시 시작하면 된다. 이 접근방식은 보안팀이 조치 가능한 데이터에 집중하도록 하고 기술적 배경이 부족한 사람에게도 손쉽게 내용을 전달할 수 있는 장점이 있다.

골드슈타인은 "보안 프로그램에 대한 예산 제약이 있는 상황에서는 범위에 대한 결정을 내려야 한다. 항상 모든 시스템에서 모든 로그를 확보할 수는 없다. 그래서 우리는 중요한 자산에 집중하고 동시에 높은 순자산 데이터 소스도 대상으로 삼는다"라고 말했다. 이런 데이터 소스에는 IAM(Identity and Access Management)과 PIM(Privileged Identity Management) 시스템이 포함된다. IAM과 PIM 데이터를 인증, 경계, 종점 및 취약성 스캔 데이터 등의 기초 데이터 소스에 추가하면 SOC(Security Operations Center)가 경보 상정 시 더 광범위한 영향력 조사가 가능하다.

SIEM 업체를 선택할 때는 적을수록 좋다는 점을 이해하는 업체를 선택해야 한다. 하루에 수집하는 데이터의 수 또는 스토리지 어레이의 크기를 떠벌리는 업체라면, 수집하는 트래픽의 양에 비례해 악성 이벤트를 얼마나 잘 감지하는지를 묻고 확인해야 한다. 크기는 아무런 의미가 없다. 정확도가 전부이다. ciokr@idg.co.kr