최근 뉴스에서는 'A사 디도스 공격으로 서버 먹통'이나 'A 국가에 의한 해킹시도'와 같은 내용을 어렵지 않게 찾아 볼 수 있습니다. Microsoft 한국에 따르면 매년 규모가 있는 회사에서 보안관련 문제로 직/간접적으로 손실되는 비용이 평균 300억원 이상이라고 합니다. 4차 산업혁명 시대에 IT 인프라 환경이 지속적으로 성장하고 있는 상황에서 기업들은 손실되는 비용을 줄이기 위해 보안관련 로그관리에 관심을 기울여야 합니다.

​

다양한 이기종 IT 장비에서 생성되는 로그 데이터의 형태는 각자 다르기 때문에 효율적인 분석이 어렵고, 24/7 주야 없이 생성되는 모든 로그를 관리자가 일일이 감시 및 탐지하기는 불가능합니다. 따라서 고도화된 사이버 공격이나 보안성 문제 등을 예방하고 복잡하게 구성되어 있는 로그 관리의 효율성을 높이기 위해서는 하나의 로그만 분석하는 것은 무의미하기 때문에,이기종 장비들에서 발생하는 로그를 통합하고 쉽게 관리하는 특별한 방법이 필요합니다.

​

​

​ 자율운영 로그 관리 시스템 '와치로그'

전문지식 없이 쉽게 운영하고 통합/자동으로 분석하는 단 하나의 솔루션을 제공합니다. 

대규모 IT 환경 이기종 장비 통합 분석

​

복합 이벤트 처리 (CEP, Complex Event Processing) 기반 인메모리 실시간 처리기술은 대규모 IT 인프라 환경에서 발생되는 수십만 건의 로그 데이터를 실시간으로 통합/분석하여 더 정밀한 위협 탐지를 가능하게 하고 이기종 장비들의 로그 데이터를 빠르게 처리해 보안에 위협되는 상황을 빠르게 판단할 수 있습니다.

​

예를 들어, 최근 디도스 공격의 패턴은 한 개의 IP주소를 대상으로 공격하는 과거 볼륨 기반 디도스 공격과는 다르게 발생합니다. 수백 개의 IP 주소에 작은 양의 정크를 지속적으로 보냄으로써 정상 트래픽을 오염시킬 수 있습니다. 트래픽 양이 너무 작아 탐지가 되지 않을 때 이기종 네트워크 장비들에서 발생하는 각각의 수 많은 트래픽 로그들을 연관시켜 분석함으로써, 관련된 범위를 좁혀 신속하게 공격 여부를 판단하고 상황에 맞는 대처 방안을 찾아야합니다.

​

와치텍의 자율운영 로그 관리 시스템 ‘와치로그’는 복합 이벤트 처리와 빅데이터 기술을 적용함으로써 로그와 관련된 이기종 시스템/장비를 손쉽게 통합/분석하고, 보안 위협에 직접적으로 연계된 주요 항목을 중심으로 원인을 파악하여 상황에 맞는 대처 방안을 신속하게 찾을 수 있도록 도와줍니다.

​시나리오 기반 자동 보안 위협 탐지

다수 개로 구성된 복합룰 기반 시나리오로 신속한 위협요소 해결 환경을 제공합니다.

시나리오 기반 분석은 로그 메시지의 전후 관계를 파악해 신속하고 자동화된 위협 로그 탐지 환경을 제공합니다. 단일화된 시나리오 구성이 아닌 복합 고도화된 시나리오를 구성해 개별적인 로그에서는 판단할 수 없던 보안 위협의 형태를 치밀하게 대응할 수 있습니다. 따라서 One-step 시나리오가 아닌 multi-step을 기반으로 세분화되고 정확한 판단이 가능하게 됩니다.

보안, 데이터 유출, 서비스 장애 등 다양한 복합 룰셋 기반 시나리오 제공

와치로그는 22년 노하우를 통해 얻은 정보와 경험을 바탕으로 '보안 시나리오‘, ‘데이터 유출 시나리오’, ‘서비스 장애 시나리오＇와 같은 수 백개 이상의 시나리오를 기본으로 제공합니다. 또한, 수집/보존/분석의 효율성을 높여주는 포렌식 분석을 로그관리에 적용함으로써, 시간대 별, 장비 별로 로그 발생 흐름을 한 화면에 제공하게됩니다. 이를 통해서 처음보는 이벤트 상황에 대해 대처/분석하고, 해결한 정보를 기반으로 사용자의 환경에 맞는 맞춤형 시나리오 제작이 가능하기 때문에 추후 같은 이벤트가 발생했을 때 다른 조치 없이 자동으로 대처 및 분석이 가능합니다.

​

따라서 기존의 발생하는 로그 이벤트를 사용자가 이기종 장비들에서 발생하는 로그들과 하나하나 연관시켜 위협을 탐지하는 수동적이고 비 효율적인 업무환경을 개선시킬 수 있습니다. 기본적으로 제공되는 시나리오 설정을 통해 자동으로 탐지부터 판단까지 전문 지식 없이도 쉽게 관리하고 복합적이고 고도화된 분석을 통해 안전하고 정밀한 로그 관리가 가능합니다.

​

​

​

자동화를 위한 와치로그의 3가지 핵심 기능

 

'와치로그'는 보안 위협 형태를 자동으로 대처하고 한 단계 진화된 자동화를 위해 핵심적인 3가지 기능을 제공합니다. 

​

첫번째, 로그 라이프 사이클 과정 자동관리

로그 수집/저장 부터 조회, 분석, 폐기의 로그 라이프 사이클 과정을 자동으로 관리해줍니다. 수집된 데이터를 실시간으로 가공하고 모든 데이터에 위변조 방지를 위해 데이터 암호화 과정을 거치게 됩니다. 또한, 원본/가공 로그에 대해서 별도의 보존 기간을 설정하여 기간을 넘겼을 경우 사용자가 수동으로 진행하지 않고 자동으로 폐기해줍니다.

​

​

​

​두번째, 자동 패턴 감지를 통한 베이스라인 자동 생성

로그가 발생하는 평소 패턴을 감지하고 머신러닝을 통해 스스로 학습하여 자동으로 베이스 라인을 생성합니다. 단일 이벤트 기반의 이상징후 뿐만 아니라, 로그의 이상 패턴을 가시화하여 상한/하한선을 넘어서는 이상패턴 발생 시에는 즉시 탐지하여 이벤트 알람을 즉시 통지해줍니다. 또한, 이상 패턴에 대해 기간 비교를 수행하여 과거 패턴을 분석함으로써 보안 위협을 빠르게 탐지할 수 있습니다.

​

​세번째, 공통필드 기반 목록 자동 생성

​

​

ECS(Elastic Common Schema)기반 필드 목록을 자동으로 제공하고 사용자 정의 기반으로 데이터를 구조화 합니다. 여러 다른 데이터 소스에서 비롯된 로그의 상관 관계를 간편하게 자동으로 지정하고, 구조화된 로그 필드를 통해 처음 사용자도 손쉽게 대화형/자동화 분석을 가능하게 합니다.

​

저희 와치텍은 가트너가 언급한 '초자동화'시대 흐름에 따른 발전을 위해 다양한 분야에서 자동화 기술을 발전시키고 있습니다. 4차 산업 혁명 시대에 대규모 IT 인프라 환경이 증가하고 있는 상황에서 업무의 효율성을 높이고 보안의 안정성을 확보하기 위해서는 와치텍의 '와치로그'가 최선의 선택​입니다.