“SIEM 벤더들은 표준없는 로그포맷 솔루션을 옹호한다”

정보보안·장애관리(SIEM)와 로그관리 도구들은 표준 로그포맷의 부재로 인해 미혹당한다. 결과적으로 벤더들은 시스코 시스템즈와 체크포인트 소프트웨어 테크놀로지스의 방화벽 같은 대부분의 비즈니스를 생성하는 것들과 함께 착수하는 각 지원 장비, 애플리케이션이나 OS에 대한 일종의 커넥터를 구축해야 하고 그 다음 가장 많은 것을 요구하는 다른 소비자들을 위해 커넥터를 추가해야 한다.

문제는 SIEM 제품과 그 요구사항이 정교한 사용자 추적, 감사, 보고 등을 위한 컴플라이언스에 의해 움직이는 도구에 대해 일어날지도 모를 네트워크 보안 사건을 감지하고 경고하기 위한 ‘IDS보다 나은 IDS’로부터 나오면서 키워졌다. 

아크사이트의 선임 제품관리자인 앤쉬 패트네이크는 “6~7년 전에 SIEM은 경계위험에 초점을 맞추고 있었다. 현재 컴플라이언스는 폭발하고 있고 더 많은 소스로부터 더 많은 로깅이 일어나고 있다. 우리는 애플리케이션 속의 스택 위로 더 높이 올라가고 있고 많은 경우 이것은 독점적 애플리케이션이다”고 말했다.

그러므로 진보된 SIEM 도구들은 디렉토리 서비스 속의 후크를 통해 수많은 상업적, 맞춤형 애플리케이션을 지원할 필요가 있다. eIQ네트웍스의 CEO 비제이 바사니는 “수천 개의 장비를 보유한 벤더가 수천 개 있다. 우리의 과제는 어떤 SIEM 벤더가 데이터를 관찰하려고 시도하고 특정 제품용 해독기나 파서를 작성해야 할 때이다. 대규모 기업으로 가면 고객은 입증되지 않은 제품으로부터 나온 데이터를 분석하기를 원한다”고 말했다.

따라서 다시 한 번 보안 업계는 스스로 표준의 필요성을 알게 된다. 2006년 아크사이트는 그 벤더가 개방형 로그관리 표준이라고 자랑하는 공통 이벤트 포맷(CEF)을 발표했다. 지금 그 경쟁자인 eIQ네트웍스는 ‘독점 표준’에 대항하는 ‘업계 최초의 개방형 소스 사건 로깅 표준’으로 묘사되는 개방형 로그 포맷(OLF)를 꺼내놓았고(하나라도 있으면 그것은 모순이 된다), 그것은 아크사이트에는 큰 충격이다.

다른 이니셔티브도 있는데 마이터의 일반 사건 익스프레션(CEE)이 여기 포함된다. 이것은 최소한 몇 개의 ‘표준’을 남기는데 이것은 말하자면 표준이 아니지만 그럼에도 불구하고 올바른 방향으로 발을 들여놓은 것이다.

가트너의 애널리스트인 마크 니콜렛은 “일반 포맷을 채택하는 것은 SIEM 벤더들이 지닌 엄청난 유지관리 문제들을 해결하고 SIEM 벤더들이 만들어낼 수 있는 분석의 품질을 향상시킬 것이다”고 말했다.

eIQ네트웍스와 아크사이트의 이니셔티브가 몇몇 벤더의 지원을 받고 있음에도 불구하고 진정한 표준과는 거리가 멀다. SIEM 벤더들은 제안과 최종 표준에 대한 비준이라는 긴 절차를 남겨두고 있다. NIST는 최종 표준에 배경을 제공하는 데 도움을 줄 컴퓨터 보안 로그 관리에 대한 안내서(특별출판 800-92)를 발간했다.

니콜렛은 SIEM 벤더의 그 누구도 스스로 표준을 밀어붙일 만한 시장 장악력을 가지고 있지 않지만 벤더들만이 그것을 좌지우지할 사람들이 아니라고 말했다.

“사건 제작자에 의한 채용은 또 다른 장애물이다. 어떤 종류의 압력과 노력을 기울이는 벤더들에 대한 경제적인 인센티브가 있어야 한다. 바로 지금, 나는 그것을 볼 수 없다. 그 모든 작업을 어떤 표준 포맷으로 만드는 애플리케이션, 데이터베이스 벤더에 대한 경제적 인센티브는 없다”고 니콜렛이 말했다.

<글: 닐 로이터[Neil Roiter]>

[월간 정보보호21c 통권 제88호(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>