보안 로그 관리가 중요한 이유

최근 뉴스에서는 A사 디도스 공격으로 서버가 먹통이 되었다거나, 특정 국가에 의한 해킹 시도와 같은 내용을 어렵지 않게 찾아볼 수 있습니다.

IT 인프라 환경이 지속적으로 성장하는 상황에서 기업은 보안 문제로 인한 손실을 줄이기 위해 보안 관련 로그 관리에 더 많은 관심을 기울여야 합니다.

다양한 이기종 IT 장비에서 생성되는 로그 데이터는 형태가 서로 다르기 때문에 효율적인 분석이 어렵습니다. 또한 24시간 생성되는 모든 로그를 관리자가 일일이 감시하고 탐지하는 것은 현실적으로 불가능합니다.

따라서 고도화된 사이버 공격과 보안 이슈를 예방하고 복잡한 로그 관리의 효율성을 높이기 위해서는, 이기종 장비에서 발생하는 로그를 통합하고 쉽게 관리할 수 있는 체계가 필요합니다.

자율운영 로그 관리 시스템, 와치로그

와치로그는 전문지식 없이도 쉽게 운영하고, 로그를 통합·자동 분석할 수 있도록 지원하는 자율운영 로그 관리 시스템입니다.

복합 이벤트 처리(CEP, Complex Event Processing) 기반 인메모리 실시간 처리 기술을 통해 대규모 IT 인프라 환경에서 발생하는 수십만 건의 로그 데이터를 실시간으로 통합·분석합니다.

이를 통해 더 정밀한 위협 탐지가 가능해지고, 이기종 장비의 로그 데이터를 빠르게 처리하여 보안에 위협이 되는 상황을 신속하게 판단할 수 있습니다.

대규모 IT 환경 이기종 장비 통합 분석

디도스 공격 사례로 보는 연관 분석의 필요성

최근 디도스 공격은 한 개의 IP 주소를 대상으로 대량 트래픽을 보내는 과거의 볼륨 기반 공격과 다른 형태로 나타나기도 합니다.

수백 개의 IP 주소에 작은 양의 정크 트래픽을 지속적으로 보내 정상 트래픽을 오염시키는 방식은 트래픽 양이 작아 단일 지표만으로는 탐지가 어려울 수 있습니다.

이럴 때는 이기종 네트워크 장비에서 발생하는 수많은 트래픽 로그를 서로 연관시켜 분석하고, 관련 범위를 좁혀 공격 여부를 빠르게 판단해야 합니다.

와치로그는 이러한 상황에서 로그 간 연관성을 분석해 보안 위협에 직접적으로 연결된 주요 항목을 찾고, 상황에 맞는 대응 방안을 신속하게 찾을 수 있도록 돕습니다.

시나리오 기반 자동 보안 위협 탐지

시나리오 기반 분석은 로그 메시지의 전후 관계를 파악해 신속하고 자동화된 위협 로그 탐지 환경을 제공합니다.

단일화된 시나리오가 아니라 복합 고도화된 시나리오를 구성하여, 개별 로그만으로는 판단하기 어려운 보안 위협의 형태까지 더 치밀하게 대응할 수 있습니다.

즉, One-step 시나리오가 아닌 multi-step 기반의 분석을 통해 더 세분화되고 정확한 판단이 가능해집니다.

보안, 데이터 유출, 서비스 장애 등 다양한 복합 룰셋 기반 시나리오 제공

복합 룰셋과 포렌식 분석

와치로그는 보안 시나리오, 데이터 유출 시나리오, 서비스 장애 시나리오와 같은 수백 개 이상의 시나리오를 기본으로 제공합니다.

또한 수집, 보존, 분석의 효율성을 높여주는 포렌식 분석을 로그 관리에 적용하여 시간대별, 장비별 로그 발생 흐름을 한 화면에서 제공합니다.

이를 통해 처음 보는 이벤트 상황에 대해서도 분석과 대응이 가능하며, 해결한 정보를 기반으로 사용자 환경에 맞는 맞춤형 시나리오를 제작할 수 있습니다.

같은 이벤트가 다시 발생할 경우에는 별도 조치 없이 자동으로 대처하고 분석할 수 있어, 수동적이고 비효율적인 로그 분석 업무 환경을 개선할 수 있습니다.

자동화를 위한 와치로그의 3가지 핵심 기능

와치로그는 보안 위협 형태를 자동으로 탐지하고 대응하기 위해 세 가지 핵심 자동화 기능을 제공합니다.

• 로그 라이프사이클 자동관리: 로그 수집, 저장, 조회, 분석, 폐기까지 이어지는 과정을 자동으로 관리합니다.
• 베이스라인 자동 생성: 평소 로그 발생 패턴을 감지하고 머신러닝을 통해 학습하여 자동으로 기준선을 생성합니다.
• 공통필드 기반 목록 자동 생성: ECS(Elastic Common Schema) 기반 필드 목록을 자동으로 제공하고, 사용자 정의 기반으로 데이터를 구조화합니다.

로그 라이프사이클 자동관리

로그 라이프사이클 자동관리

와치로그는 로그 수집과 저장부터 조회, 분석, 폐기까지 이어지는 로그 라이프사이클 과정을 자동으로 관리합니다.

수집된 데이터를 실시간으로 가공하고, 모든 데이터의 위변조 방지를 위해 암호화 과정을 거칩니다.

또한 원본 로그와 가공 로그에 대해 별도의 보존 기간을 설정할 수 있으며, 보존 기간이 지난 로그는 사용자가 수동으로 처리하지 않아도 자동으로 폐기할 수 있습니다.

자동 패턴 감지를 통한 베이스라인 자동 생성

자동 패턴 감지를 통한 베이스라인 자동 생성

와치로그는 로그가 발생하는 평소 패턴을 감지하고, 머신러닝을 통해 스스로 학습하여 자동으로 베이스라인을 생성합니다.

단일 이벤트 기반의 이상징후뿐만 아니라 로그의 이상 패턴을 가시화하고, 상한선이나 하한선을 벗어나는 이상 패턴이 발생하면 즉시 탐지하여 이벤트 알람을 통지합니다.

또한 이상 패턴에 대해 기간 비교를 수행하고 과거 패턴을 분석하여 보안 위협을 더 빠르게 탐지할 수 있도록 지원합니다.

공통필드 기반 목록 자동 생성

공통필드 기반 목록 자동 생성

와치로그는 ECS(Elastic Common Schema) 기반 필드 목록을 자동으로 제공하고, 사용자 정의 기반으로 데이터를 구조화합니다.

서로 다른 데이터 소스에서 발생한 로그의 상관관계를 간편하게 지정할 수 있으며, 구조화된 로그 필드를 통해 처음 사용하는 사용자도 손쉽게 대화형·자동화 분석을 수행할 수 있습니다.

초자동화 시대의 로그 관리

와치텍은 초자동화 시대 흐름에 맞춰 다양한 분야에서 자동화 기술을 발전시키고 있습니다.

대규모 IT 인프라 환경이 증가하는 상황에서 업무 효율성을 높이고 보안 안정성을 확보하기 위해서는, 로그를 단순히 수집하는 것을 넘어 통합 분석하고 자동으로 탐지하는 체계가 필요합니다.

와치로그는 이기종 장비 통합 분석, 시나리오 기반 탐지, 라이프사이클 자동관리, 베이스라인 자동 생성, 공통필드 기반 분석을 통해 보안 로그 관리의 효율성을 높일 수 있도록 지원합니다.