By Anton Chuvakin, Loglogic
Computerworld, July 16,2007

손꼽히는 데이터 침해 사건 또는 새로운 규정으로, 보안 중요성은 전통적인 “나쁜 사람 멀리하기” 성향으로부터 IT활동들의 층층의, 심도 깊게, “ 여기서 무슨 일이 발생하고 있나?”를 조사하는 성향으로 바꾸어진 듯하다. 조직들은 그들의 IT 시스템 들 그리고, 더욱 중요하게는, 그들의 데이터와 발생하는 모든 일들의 연속적인 증적 을 제공하기 위해 로그들에 주의를 돌리고 있다.

여러 종류의 로그들은 매우 놀라운 속도로 세부적인- 때로 애매한 경우- IT 활동의 청사진을 보여주면서 여러 소스들로부터 생성된다. 만약 의도적으로 데이터를 도난하려는 불만을 가진 직원이 기밀정보가 있는 데이터베이스에 접근한다면, 누가, 무엇을, 언제를 판단할 수 있도록 누군가 검토할 수 있는 활동들의 로그가 있을 것이다. 로그는 조직들이 악의가 있는지 없는지를 판단하는 모든 사용자들의 행로를 추적하는데 사용될 수 있는 빵 부스러기(흔적)를 제공한다.

이 로그들을 관리하면 여러 가지 면에서 조직에게 이득이 뒤따른다. 그것들은 상황적 인식을 제공하고 조직들이 효과적인 조사를 가능하도록 해줄 뿐 아니 라 새로운 위협들을 정확하게 지적하도록 돕는다. 일상적인 로그 검토와 저장된 로 그의 심도깊은 분석은 문제들을 해결하는데 유용한 정보를 제공할 뿐만 아니라 보 안 사고, 정책 위반, 부정 활동 그리고 운영 문제들을 이것들이 발생한 직후에 식별 하는데 매우 유익하다.

로그관리의 고유 이점을 고려할 때, 로그 데이터 수집과 분석이 일반적으로 보안업 계의 “best practice” 로 여겨지는 것이 가히 놀랄 일은 아니다. 그러나, 다수의 규정들이 “해야 한다”에서 “해야만 한다”는 로그 관리로 집중하면서 명확하게 로그들의 수집, 저장, 유지와 검토를 요구하고 있다. 이 규정들의 일부는 세부적인 로깅 요건을서술한 NIST SP(National Institute of Standards and Technology Computer Security Special Publications)에 의존하고 있다.

나의 이전 기사에서는, 세가지 규정들(FISMA,HIPAA,PCI-DSS)이 사고대응 절차에 영향을 미치는 맥락을 설명했다. 이 3가지 규정들은 또한 로그 검토 뿐만 아니라 로 깅을 하도록 요구함에 따라 로그 관리에도 영향을 미친다.

The Federal Information Security Management Act of 2002 (FISMA)
많은 이들이 모든 것이 documentation이고 실행이 없는 FISMA를 비평한다 해도, 이 법은 단지 운영과 자산을 지원하는 정보 시스템을 보호하기 위해 각 연방 기관들이 조직 전반의 프로그램을 개발, 문서화, 구현해야 할 필요성을 강조한다. [NIST SP 800-53, Recommended Security Controls for Federal Information Systems] 는 감사 기록들의 생성, 검토, 보호 및 보존 그리고 감사 실패의 경우에 추가 조치사항들을 포함한 로그 관리 통제들을 서술하고 있다.

[NIST 800-92, Guide to Computer Security Log Management]는 또한 FISMA 컴플라이언스를 간략화하기 위해 만들어졌는데, 전적으로 로그 관리에 공헌하고 있다. 이것은 로그 생성, 분석, 저장 그리고 모니터링을 포함한 연방기관들에서의 로그 관리 필요성과 성공적이고 효율적인 로그 관리 인프라를 설립 및 유지하는 방법을 묘사하고 있다.

NIST 800-92는 다른 소스들로부터의 다른 종류의 로그를 분석하는 것과 로그 관리 와 연관된 팀과 개인들의 역할과 책임을 명확하게 정의하는 것의 중요성을 논의하 고 있다. Section 4.2는 로그들의 보호뿐만 아니라 로그 생성, 전송, 저장 그리고 처 분을 포함하여 로깅을 수행하고 로그를 모니터링하기 위한 정책 요구사항(적절한 규정들에 기반)들을 조직들이 명확히 정의할 필요성을 강조하고 있다.

HIPAA
1996년 The Health Insurance Portability and Accountability Act(HIPAA-미국 의료정보 보호법)는 의료정보를 위한 관련 보안 표준을 기술한다. [NIST SP 800-66, An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act Security Rule]은 전자보호된 의료정보를 보호하기 위한 로그 관리 요건을 상세히 다룬다. NIST 800-66의 Section 4.1은 감사 로그, 접근 리포트, 보안 사고 추적 리포트와 같은 정보 시스템 활동의 정기적 검토의 필요성을 다룬다. 또한 Section 4.22는 행위와 활동들의 문서가 최소 6년간은 보존되어야 할 필요가 있음을 열거하고 있다.

로그들이 문서로 고려될 수 있는지에 관한 논쟁이 끝나지 않았지만, 일부 조직들은 다른 비즈니스 문서만큼 오랫동안 로그를 저장하는 것을 선택하고 있다. 이 문서의 Appendix A는 시스템 성능 모니터링이 활동 중인 공격과 같은 가용성 문제를 발견 하기 위해 실시간으로 시스템 성능 로그를 분석하는데 사용될 수 있는지의 여부를 포함하여 조직들이 로그와 관련된 다양한 질문들을 하도록 격려하고 있다.

PCI-DSS
신용카드 거래를 다루는 조직들에게 적용되는 The Payment Card Industry Data Security Standard(PCI-DSS)는 신용카드 데이터를 저장, 처리 또는 전송하는 회사들 에서의 신용카드 사기, 해킹 그리고 다른 관련된 문제들을 보호하기 위해 세부적인 절차들의 로깅과 로그 검토 절차들을 의무화했다.

로깅이 모든 PCI 요건에 나타나 있는 반면, PCI DSS는 로깅과 로그 관리에 전념한 Requirement 10을 또한 포함하고 있다. 이 요건에 의하면, 모든 시스템 구성요소들 의 로그들은 적어도 매일 검토되어야 하고, 이 로그들의 검토는 침입탐지 시스템, authentication, authorization 그리고 accounting protocol server와 같은 보안 기능들 을 수행하는 서버를 포함해야 한다.

게다가, PCI-DSS는 조직들이 현존하는 로그 데이터가 경고 발생 없이 변경될 수 없 다는 것을 확신하도록, 로그들에 관한 파일 무결성 모니터링과 변경탐지 소프트웨어를 구현함으로써 로그들의 무결성을 확신해야 한다. 또한 범주에 포함된 시스템들로부터의 로그들은 최소 1년간은 저장되어야 함을 지시한다.

이 외
앞서 언급한 3가지보다 덜 명확하긴 하지만, 로그 관리 능력을 요구하는 다양한 다 른 규정들이 있다. 예를 들어, California Bill 1386 과 향후 연방법안은 개인 정보를 포함한 전산화된 데이터를 소유 또는 허가해주는 주(state) 부처, 개인 또는 사업체 들이 모든 데이터 보안 침해사건을 비인가된 사람에 의해 획득된 암호화되지 않은 개인 정보를 소유한 모든 캘리포니아 주민들에게 공개하도록 요구하고 있다.

본질상 IT 인프라 활동을 추적하도록 하는 로그들은 어떻게, 언제, 어디에서 데이터 침해가 발생하였는가를 평가하는 최선의 방법이다. 그러므로 이 로그들의 관리는 어떤 데이터가 접근이 되었고 또는 도난 되었는가, 따라서 누가 통보를 받을 필요 가 있나를 평가하는 최선의 방법이다.

로그관리에 영향을 미치고 있는 컴플라이언스 시대의 주요 영향은 로그관리가 단지 권고사항이 아니라 요구사항으로 변했다는 것이고, 이 변화는 확실히 이 규정들에 구속 받는 모든 조직들에게 이점이 되었다. 로그 수집과 관리가 왜 중요하며, FISMA, HIPAA 그리고 PCI-DSS와 같은 주요 규정들에서 명확하게 포함된 로그관리 활동들이 폭넓은 위험 관리의 필요성뿐만 아니라 기업 보안에서 얼마나 핵심으로 부각되는지를 아는 일이란 쉬운 일이다.