IT 인프라 관리자라면
트러블슈팅이나 보안 관리, 컴플라이언스 준수를 위해
로그 관리를 빼놓을 수 없습니다.
그러면 로그란 무엇이고,
어떻게 관리해야 하는지 소개합니다.
1. 로그의 개념과 로그 분석의 필요성
로그란 인프라 및 시스템에서 발생하는 모든 내용이 기록된 자료, 로그 분석을 통해 보안 공격 등의 사고에 대한 원인 파악
IT에서의 로그란, 인프라 및 시스템 운영 과정에서 발생하는 모든 시스템 내용과 사용자의 활동내용 등이 발생시간과 함께 기록된 자료를 뜻합니다. 모든 내용이 보관되어 있기 때문에 자동차의 블랙박스 역할을 합니다. 사고의 원인을 찾을 수 있는 단서가 되기 때문입니다.
보시는 화면은 네트워크 스위치 장비에서 발생한 로그입니다. 로그는 이렇게 복잡한 문자열로 이루어져 있는데요. 위의 로그가 어떤 의미인지 살펴보면, IP [192.168.20.251]에서 IP [192.168.121.1]을 향하는 접속이 거절되었다는 의미입니다.
위의 로그가 어떤 의미인지 파악했다면, 이제 그 로그가 발생한 이유를 파악할 차례입니다. 이러한 과정을 '로그 분석'이라고 합니다. 만약 접근 권한이 제한되어 있고 강력한 보안을 유지하는 IP에 접속을 시도했다면 더욱 면밀한 분석이 필요합니다. 보안 공격일 가능성도 있으니까요.
2. 로그 분석 방법
보안 위협이나 장애에 대응하기 위한 주요 항목(필드) 중심으로 분류, 시각화 기능을 통해 신속하게 필드 분석
로그는 모든 활동 내역을 기록하기 때문에 한 개의 장비에서도 방대한 양의 로그가 발생합니다. 관리자가 일상적인 로그까지 모두 분석할 필요는 없습니다. 주로 보안이나 장애와 연계된 로그에 대해서만 확인합니다. 예를 들면 유해 사이트 접속을 방지하기 위한 도메인 로그, 비정상 세션을 탐지하기 위한 세션시간 로그, 비정상 트래픽을 찾기 위한 패킷 로그 등의 주요 항목을 중심으로 분석하게 됩니다.
[그림 1] 다양한 로그를 통합해 필드별로 분류하여 확인할 수 있도록 제공하는 통합로그관리 솔루션
(그레이로그 예시 이미지)
도메인, 세션시간, 패킷와 같은 주요 항목별로 로그를 분석할 때 사용하는 툴이 통합로그관리 솔루션입니다. 예를 들어 '세션시간'을 통합로그관리 솔루션의 '필드'로 설정하면, 세션시간과 관련된 로그만 모아서 한 번에 확인할 수 있도록 제공합니다.
특히 로그는 장비에 따라 서버에는 어플리케이션 로그(application log), 네트워크나 보안 장비에는 시스로그(syslog), 트랩(trap) 등 다양한 형태로 생성되어 관리가 까다로운데, 통합로그관리 솔루션은 다양한 형태의 로그도 형태 분석을 통해 통합관리할 수 있도록 제공합니다. 세션시간 필드 내에서 서버 A 장비와 스위치 B 장비, 방화벽 C 장비에서 발생한 모든 세션시간 로그를 한 번에 확인할 수 있습니다.
예를 들어, 미국 변호사 시험에서 ChatGPT3.5는 시험 하위 10%의 성적을 받았지만, ChatGPT4의 경우 상위 10%의 시험 성적을 받을 정도로 기능이 향상되었습니다. 또한, 의학지식에 대한 자가 진단 문제 정답률도 53%에서 75%로 크게 향상되었습니다.
이런 향상된 성능을 토대로 많은 기업에서 ChatGPT를 활용한 다양한 기능과 서비스를 제공하고 있습니다. 스냅챗(Snapchat)은 ChatGPT를 탑재한 AI 챗봇 ‘My AI‘를 출시해, 스냅챗만의 재미있고 경쾌한 어조로 대화를 이어갈 수 있도록 학습해, 이용자에게 친근하고 맞춤 설정이 가능한 챗봇 사용 환경을 제공하고 있습니다.
또한, 글로벌 학습 플랫폼 퀴즐렛(Quizlet)은 적응형 AI튜터 Q-Chat을 공개해, 교육 콘텐츠를 챗봇과 결합해 사용자들에게 가상 튜터의 경험을 제공하고 있습니다. 실제 교육 콘텐츠 라이브러리 내 포함된 수십억 개의 질문과 정답을 통해 사용자들은 AI와 대화를 진행하며 다양한 퀴즈를 경험하고 지식을 향상시키고 있습니다.
[그림 2] 통합로그관리솔루션 '와치로그' 시각화 기능
(와치로그 예시 이미지)
먼저 문자열 기반의 로그를 필드별로 분류한 이후에는 필드 분석을 위한 시각화 기능이 자주 사용됩니다. 관리자 입장에서는 일일이 로그 메시지를 읽는 것보다, 시각화된 정보를 통해 필드 내 로그는 어떤 장비로 구성되어 있는지, 어떤 이벤트가 많이 발생하는지 등을 신속하게 파악할 수 있기 때문입니다.
와치로그(WatchLog) 같은 상용 통합로그관리 솔루션이나, 그레이로그(GrayLog) 같은 오픈소스를 활용해 보다 쉽게 위와 같은 로그 분석을 할 수 있습니다.
3. 통합로그관리 솔루션 선정 시 유의할 점
관련 법규에 따라 로그의 수집, 저장, 분석 폐기 등의 라이프사이클을 관리할 수 있도록 컴플라이언스를 만족시키는 통합로그관리솔루션을 선택하는 것이 중요
로그 관리는 위에서 말씀 드린 로그 분석 뿐만 아니라 유의해서 관리해야 할 또 다른 영역이 있습니다. 바로 로그 라이프사이클 관리입니다. 로그 라이프사이클은 '수집 > 저장 > 분석 > 폐기'의 과정을 거치는데, 개인정보보호법, 정보통신망법 등의 법규에는 로그의 수집, 저장, 분석, 폐기를 어떻게 해야하는지에 대한 컴플라이언스 가이드가 제시되어 있습니다.
[그림 3] 컴플라이언스에 맞춰 라이프사이클을 관리하도록 검증된 통합로그관리 솔루션에 대해 CC인증 부여
국내에서 판매되는 상용 통합로그관리 솔루션은 컴플라이언스 가이드를 만족하는지에 대한 검증을 거쳐 CC인증을 획득하게 되어 있습니다. CC인증을 획득한 통합로그관리 솔루션을 도입한다면 로그 분석 뿐만 아니라 컴플라이언스 가이드에 맞게 로그 라이프사이클 관리까지 할 수 있다는 장점이 있습니다.
4. 와치로그 하나로 로그 분석부터 라이프사이클 관리까지
와치로그는 다양한 관점의 자동 분석을 통해 신속한 위협 탐지 보장, 컴플라이언스에 맞춘 라이프사이클 관리를 위한 자율운영을 통해 로그 관리의 편의성 제공
쉽게 운영하고 자동으로 분석하는 자율운영 로그관리시스템 '와치로그'는 다양한 분석 방법을 통해 신속하게 로그 이벤트의 원인을 탐지하고, 컴플라이언스에 맞춘 라이프사이클 관리까지 한 번에 해결할 수 있는 통합로그관리 솔루션입니다.
[그림 4] 쉽게 운영하고 자동으로 분석하는 자율운영 로그관리시스템 '와치로그'
와치로그는 복잡한 로그 문자열에 대한 초규모 빅데이터 처리 기술을 통해 위에서 설명한 필드 분석 외에도 시나리오 분석, 포렌식 분석, 키워드맵 분석, 성능 연계 분석 등 다양한 관점으로 자동 분석하여 빠르게 위협을 탐지합니다.
컴플라이언스를 만족시키는 로그 라이프사이클 관리를 위해 수집된 원본 로그 파일에 대한 정합성을 검증하여 위변조 여부를 확인하고 무결성을 보장합니다. 또한 원본 로그를 암호화하여 로그 내 주요 정보에 대한 보안을 강화합니다. 로그 보관 시에는 압축 저장을 통해 저장 공간의 효율성을 확보하고, 보존기간이 지난 로그 파일은 자동 폐기하여 자율운영 기반의 로그 라이프사이클 관리를 제공합니다.