침해사고 대응 위해 네트워크, 엔드포인트, 인증 로그, 위협정보 등 로그 수집해야
축적된 로그 정보 쉽게 검색 구현 환경 중요, 이상 징후 효율적 탐지 가능

[보안뉴스 김경애 기자] 요즘처럼 사이버공격이 거세게 몰아치는 상황에서 침해사고 대응예방은 무엇보다 중요하다. 하지만 지능적으로 진행되는 사이버공격에 대해 기업에서는 어떻게 효율적으로 대응해야 할지 막막하기만 하다. 특히, 기업에서 침입 분석을 위해 수집하는 로그데이터 관리가 제대로 이뤄지지 않고 있는 실정이다.


이에 대해 이베이 서진원 매니저는 기업에서 침해위협 대응방안으로 로그 정보 수집의 중요성과 수집된 로그정보 분석을 통해 효율적인 탐지방안을 제시했다.

수집 대상 로그로는 △네트워크 증적 추적을 위해 DHCP와 방화벽과 같은 네트워크 △사용자와 서버 행위 분석을 위해 호스트 IDS와 백신과 같은 엔트포인트 △사용자 추적성 확보를 위해 사용자 인증 로그 △최신 위협 동향 수집과 적용을 위해 위협정보 로그가 해당된다.

이어 계층별로 유실 없는 로그 정보를 수집해야 한다. 이에 대해 서진원 매니저는 한국인터넷진흥원이 주최한 ‘4분기 사이버 침해사고 정보공유 세미나’에서 “어떤 걸 수집하느냐에 따라 분석할 수 있는 환경이 달라진다”며 “침해사고 대응을 위해서는 정보수집이 중요하기 때문에 로그 정보 수집은 반드시 필요하다”고 강조했다.

이렇게 수집된 로그 정보의 저장소는 관계형 데이터베이스 보다는 NO-SQL 기반의 저장소를 서진원 매니저는 권장했다. 이는 수집과정에서 발생하는 대기시간을 최소화할 수 있고, 이기종 로그 수집의 용이성 때문이다. 또한 로그소스 연동과 관련해서는 인터넷을 통한 수집은 반드시 암호화하고, 로그 수집의 안정성을 위해 로그 전송은 TCP 사용을 권장했다.

특히, NTP(NETWORK TIME PROTOCOL) 서버 운영은 필수라고 강조했다. 이는 모든 장비의 시간 정보가 동일해야 분석 활용이 가능하기 때문이다. 이와 관련 서진원 매니저는 “컴퓨터, 네트워크 장비 등 모든 IT 장비는 시간정보를 운영한다. 장비가 로그를 남길 땐 시간정보를 함께 저장한다. 이 때문에 수천대 장비의 시간이 다 다르면 효율적인 분석을 할 수 없기 때문에 NTP를 표준 시간 서버로 구축하고, 모든 장비의 시간을 맞추는 것이 분석하는데 편리하다”고 설명했다.

이러한 로그 수집을 기반으로 분석하다 보면 이상 징후를 탐지할 수 있다. 이를 테면 공격자가 사용하는 파일명이 숫자로만 이뤄져 있거나 비정상적으로 짧을 경우는 의심해봐야 한다. 또한, 공격자는 감염 호스트를 기반으로 외부로 데이터를 유출하기 때문에 트래픽 방향이 내부에서 외부로 향하고 있다면 반드시 점검해 봐야 한다. 또한, 이러한 로그 검사 주기는 수시로 하는 것이 바람직하다.

또 다른 이상 징후로는 일반적으로 컴퓨터 사용자들은 파일이나 그림, 동영상 등을 다운로드를 받는 경우가 대부분으로, 파일을 업로드 하는 경우는 기본적으로 많지 않다는 점이다. 이러한 측면을 고려해 볼 때 보내는 데이터가 더 많다는 건 비정상으로 구분될 수 있다는 게 서 매니저의 설명이다.


특히, 사용자 PC에서 내부망 PC 스캔이 된다는 건 공격의 전조 증상이라는 것. 이는 출발지 IP에서 목적지 포트를 시각화해 분석할 수 있으며, 이를 통해 특정 대역에 집중적으로 접속한 것을 파악할 수 있다.

서진원 매니저는 “새로운 위협정보를 확인하기 위해서는 축적된 로그 정보를 쉽게 검색할 수 있는 창을 만드는 것이 중요하다”며 “새로운 위협이 나올 때마다 우리 회사는 어떤지 현황 파악이 즉시 이루어질 수 있다. 물론 이러한 방법들이 침해사고 예방 대응에 정답은 아니지만 적어도 위험 확률이 농후하다는 걸 가늠할 수 있으며, 이를 통해 전문가가 효율적으로 점검할 수 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>