통합로그관리, 빅데이터·보안이슈 맞물려 상승 곡선

로그관리 솔루션 수요가 커지고 있다. 기업의 IT인프라 복잡성, 대형화되는 추세로 인해 로그의 양도 폭발적으로 증가하고 있기 때문이다.
이러한 현상에서 데이터로서의 로그 가치 또한 동반 상승되고 있는 추세다. 또한 각종 법규 등에서 로그 수집과 저장, 보관 등을 의무화하고 있는 것도 시장 확장의 요인이다.
법적 규제를 제외하더라도 사고 장애 원인에 대한 즉시 파악과 감사 자료로 활용하기 위한 생명주기 전반에 걸친 로그데이터는 기업에 필수적인 요건으로 자리 잡았다는 것이 업계 내 의견이다. 통합로그관리 시장현황과 관련 업계 대응 방안 및 계획에 대해 알아봤다.

이지혜 팀장 jh_lee@ciociso.com

기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징 (유넷시스템, 이너버스)

1. 시장동향  

개인정보보호법으로 권고 사항 높아지며 관심 모아

로그관리는 개인정보보호법/전자금융거래법 등 다양한 법규, 컴플라이언스 준수에 대한 각 산업군의 관심도와 보안사고로 인해 인식 수준이 높아지고 있다.
특히 개인정보보호법이 시행됨에 따라 개인정보 분실/도난/유출/변조 또는 훼손되지 않도록 안전성 확보에 힘쓰며 로그관리 솔루션의 도입 역시 필수적으로 자리잡아가고 있다.
일례로 바이러스/웜 피해로 인한 내부 업무시스템 장애가 발생할 경우, 개별 네트워크/보안장비 로그를 활용해 상관분석이 어렵게 되는 경우가 발생할 수 있다.
KISA자료에 의하면 국내 로그관리/분석 툴의 경우 2010년 194억 원에서 2011년 243억 원으로 매출액이 25.5% 증가했으며 올해는 약 265억 원 규모의 시장이 될 것으로 전망되고 있다.
특히 공공 및 금융기관에서 전체 70% 이상의 매출이 발생하고 있으며, 금융감독원에서 로그관리/분석 툴을 구축을 권고한 것이 기폭제가 돼 향후 5년 약 9.5%의 성장률을 보일 것으로 나타났다.
업계에서는 로그관리 솔루션을 구축함으로 인해 해킹사고 발생 시 로그데이터를 법적인 증거자료로 제시할 수 있어 빠른 초동대응이 가능하다고 전한다.
또한 감사와 포렌식 분석으로 조직 내부 조사가 가능하며 침해사고 및 장애발생, 내부 중요기밀 정보 유출 등 각종 보안 사고를 해결하는 원인분석과 신속 대응도 이뤄질 수 있다.
결국 통합로그관리 솔루션 구축으로 로그수집/분석/폐기에 이르는 라이프사이클 관리가 가능해진다는 의미로 해석할 수 있다.
IT인프라 대형화로 빅데이터 시대가 도래하며 로그 중요성과 활용성이 극대화됨과 동시에 대용량 처리기술, 실시간 처리 및 검색/분석의 중요성이 높아지며, 기존 SIEM/ESM 등의 보안 장비로는 한계를 드러내며 통합로그관리 시스템이 부각되고 있는 것이다.
이에 따라 기존 로그 수집을 위주로 하던 솔루션과 실시간 분석기능을 지닌 빅데이터 솔루션이 혼재돼 출시되고 있는 경향이 늘어나고 있다. 외산 대용량 로그분석 솔루션들 뿐 아니라 국내 솔루션들도 관련 시장에 진입하고 있는 것이다.
사용자들이 실시간 로그 수집/분석을 하며 새로운 로그를 즉각적으로 연동할 수 있는 기능을 요구하면서 기존 로그 수집 솔루션과 새로운 대용량 실시간 로그분석 솔루션이 시장에 공존하며 경쟁하는 모습도 발견할 수 있다.
각 산업군에서의 로그관리 솔루션 접근 방법도 다르게 이뤄져야 한다. 일반기업의 경우 기존 기업 구축 경험과 BMT, POC를 통해 입증된 제품권을 기반으로 대용량 로그의 완벽한 처리와 실시간 빠른 분석/검색 성능을 주요 요구사항으로 검토해야 한다.
금융권의 경우 거래로그 등 주요 로그가 포함돼 있기 때문에 안전성과 처리성능이 검증된 제품 및 고객환경에 안정적으로 적응할 수 있는 사항을 살펴봐야 한다.
공공기관의 경우는 관리 편의성, 운영비용 절감, 관리자 환경을 고려한 자동화, 부가기능 등 제공에 최적화된 제품을 선택해야 한다.
또한 인증 획득 및 법규 준수 등 컴플라이언스에 최적화해 대응하고 안정적 운영능력을 주요 요구사항으로 검토해야 할 필요가 있다.

2. 기술동향  

보안장비 로그뿐 아니라 애플리케이션 로그도 분석 대상

과거 로그관리 솔루션이 단순한 로그수집과 저장에 초점을 맞췄다면 현재는 정규화/카테고리화/리포팅 분석 등 필요한 정보를 효과적으로 추출해 활용하는 점에 중점을 두고 있다.

①로그확장  사용자들이 보유하고 있던 로그를 실시간 분석할 시 기존 별도 보안제품을 이용해 탐지하던 위험요소들을 파악할 수 있게 되면서, 분석대상 로그가 보안장비 로그에서 다양한 시스템과 애플리케이션 로그까지 확장되고 있는 추세이다.

②다양한 장비  IT인프라가 복잡해지고 있는 상황에서 과거 방화벽과 침입방지시스템과 같은 일부 보안장비 및 네트워크 장비/서버 분야의 로그데이터를 활용해 ESM을 운영하거나 로그저장/검색 포렌식 기능을 수행해 왔던 것에 반해, 현재는 모바일 기기/클라우드/공조 및 SCADA와 같은 물리적 통제시스템 등 다양한 장비의 로그를 관리 및 분석해야 할 필요성이 늘어나고 있다.

③빅데이터  또한 기존 정형 데이터들이 3V로 요약되는 빅데이터 특성인 규모(Volume), 다양성(Variety), 속도(Velocity)를 요구하면서 로그데이터 분야에도 변화가 일고 있다. 대용량 로그의 안정적인 수집 및 신속한 검색 분석이 요구되는 것이다.
로그관리 분야는 과거보다 월등하게 확장성/고가용성/통합로그 관리 시스템 자체의 보안성이 중시되는 부분이다.
즉 사용자들이 원하는 기술은 대용량 로그 수집 및 처리가 원활하며 다양한 이 기종 시스템 로그 수집의 원활함, 대용량 로그의 단시간 내 검색 및 분석 등으로 압축된다. 또한 로그 위·변조 방지 등 각종 법규와 컴플라이언스 준수에 적합한지와 침입탐지 모니터링 시 사후 감사체계를 확립할 수 있는지도 살펴봐야 한다.

3. 각 사별 솔루션 특징

유넷시스템 - “로그관리 범위 명확히 정해야 실패확률 적어”

유넷시스템은 ‘애니몬 PLUS’로 업계를 공략하고 있다. 이는 분석/DB/수집서버 등을 따로 구매, 설치, 운영, 유지 보수하는 구조가 아닌 통합형 시스템이다.
이상준 유넷시스템 전무는 “애니몬 PLUS의 기능은 크게 정보수집 및 관리/인시던트 조회 및 분석/모니터링 및 리포팅/실시간 분석/시스템 관리 및 성능으로 구성된다”며 “여러 프로토콜을 통한 이벤트 및 로그 수집과 함께 축적한 데이터와 원시데이터를 저장함과 동시에 수집정보에 대한 암호화 및 무결성 수행을 지원한다”고 말했다. 또한 관리주기에 대한 자동 데이터 삭제가 가능하다.
수집된 모든 로그/이벤트 등 원하는 조건으로 검색 및 표형식의 요약 정보와 함께 검출된 사건에 대한 원본 데이터 조회가 가능해 진다.
이 전무는 “이렇게 각 장비에서 수집된 이벤트 및 로그 실시간 모니터링은 사용자 정의 대시보드를 통한 직관적인 화면으로 제공되며 사건에 연관된 인시던트 만을 별도 관리해 보고서를 생성한다”고 설명했다.
또한 복합 이벤트 속의 특정 패턴 인식 및 통계를 분석함과 동시에 상관 분석과정을 거치며 데이터 분석 조건 및 필드 조합을 설정지원하며, 인시던트 발생 시 해당 인시던트 발행시킨 관련 데이터를 원클릭 조회 되는 다이어그램을 제공하고 있다.
시스템 관리자에 대한 롤 기반 접근 권한과 계층적 관제 대상 장비 관리를 위한 도메인 관리 기능 등으로 시스템 관리 또한 유용하다는 설명이다.
이 전무는 “이렇게 내부 정보 유출 모니터링과 외부 공격에 의한 시스템 가용성 피해규모를 파악할 수 있으며 트래픽 예측 모델에 의한 설비 증설과 웜 및 바이러스 발생 패턴을 인지할 수 있는 작업이 가능하다”고 말했다.
유넷시스템 측은 사용자들의 로그관리 필요성 인지가 우선적으로 이뤄져야 한다고 조언했다. 이에 따라 로그 수집과 저장, 분석 등의 단계에서 어디까지 구축할 예정인지 결정해 POC를 통한 모의훈련이 중요하다고 강조했다.

관련 솔루션 : ‘애니몬 PLUS’
로그 분석 기술을 기반으로 복합 이벤트 처리 시스템을 지향하고 있다. 로그의 종류에 상관없이 분석에 필요한 필드만 자동으로 추출하는 ‘동적 필드 추출’ 기능을 갖춘 것이 가장 큰 특징이다. 보안인프라, 네트워크인프라, 서버겲例첩?抉?단에서 나오는 로그와 이벤트를 수집, 저장과 동시에 상관분석을 실시한다.

이너버스 - “빅뱅식 로그관리보다 자사 특성에 맞는 순차적 도입”

이너버스의 로그관리 솔루션은 ‘LogCenter HXC’로 크게 대용량 로그 수집/원보로그 무 결성/로그검색/실시간 로그분석/로그자동폐기/통합관리가 주요 기능이다.
이을석 이너버스 대표는 “이 기종 시스템 로그를 실시간 또는 주기적 방법으로 기본에이전트 없이 또는 에이전트를 통해 유연한 접근이 가능하며 수집된 로그 저장 시 무결성 보장 및 기밀성을 유지할 수 있는 압축 저장이 포함된다”며 “HXC 엔진을 통해 최대 초당 1억 건 이상의 분석과 실시간 및 주기적으로 수집된 로그데이터를 하이브리드 엔진을 이용해 실시간 분석 처리하게 된다”고 말했다.
이렇게 저장된 로그들은 보존기간 설정으로 일정 기간 경과 시 자동폐기되며 분산처리 환경에서의 통합관리 기능과 관리자접근 권한관리 기능을 지원한다.
‘LogCenter HXC’는 단일 장비 초당 30,000EPS 로그 수집이 가능하며 초당 1억 건 이상 검색 성능과 Smart Analysis로 통합 분석 및 상관검색, 검색 대상 마우스 더블클릭 검색, 검색 결과 비교분석을 통한 멀티 뷰를 제공한다.
이 대표는 “HICF(Hyper Index Compression File)의 100% Full Text Indexing 검색 및 분석 기능과 모든 로그 데이터 수용, 로그 포맷 자동 탐지, 실시간 탐지 보고기능, Alert 제공, 유연한 보고서 제공이 가능하다”고 덧붙였다.
또한 위젯 기능을 통한 대시보드와 메뉴통합 및 상세보고서, 지원으로 사용자 위주의 편리성을 지원한다.
이너비스 측은 사용자가 로그관리 솔루션을 도입할시 고려해야 할 사항에 대해 강조했다. 대용량 로그 수집 및 처리가 원활한지, 다양한 이 기종 시스템 로그 수집을 원활히 처리하는지, 대용량 로그를 빠른 시간 내에 검색 및 분석이 가능한지, 로그 위·변조 방지 등 각종 법규와 컴플라이언스 준수에 적합한지, 침입탐지 모니터링 시 사후 감사 체계를 확보할 수 있는 지가 그것이다.

관련 솔루션 : ‘LogCenter HXC’
기존 고속검색과 대용량 분석을 위한 하이퍼서치(HS) 모델을 개선, 클라우드 및 빅데이터 컴퓨팅 환경에 최적화된 HXC(Hybrid eXtension Cloud) 로그관리 엔진을 탑재했다. 초당 최대 30GB에 초고속 검색엔진과 수TB에 이르는 환경에서도 병렬분산을 통해 처리가 가능하며, 위젯기능 맞춤형 대시보드 구성과 메뉴 통합, 재설계를 통해 40% 이상 성능을 개선시킨 엔진이다.