By Stephen Northcutt, SANS Technology Institute
January 28th,2008

Loglogic의 Dr.Anton Chuvakin이 SANS 보안 연구소와의 인터뷰에 응했다. 그가 시간을 할애해준 것에 너무 감사한다. 그는 시스템 로깅에 관한 한 세계최고의 권위자이며 그가 근무하는 회사는 로깅의 일류 벤더사이므로, 우리는 그의 식견을 공유할 기회를 가진 것에 감사를 표한다.

Dr. Chuvakin씨, 전체 로깅 분야에 많은 관심이 있어 왔습니다; 우리는 두 세개의 벤더사에서 10개 혹은 그 이상의 벤더사들로 관심이 증가했습니다. 이것은 일시적인 현상인가요 아님 우리가 향후 10년 혹은 그 이상 동안에 집중해야 할 그 무엇으로 기대할 수 있는 건가요?

나를 그냥 Anton, Stephen으로 불러주세요. 로그 관리의 위상은 현재 확고하고 사실상 다른 보안이나 IT 기술과 달리 모든 사람들이 필요로 합니다. 그래서 규정에서부터 운영에 이르기까지 로그데이터의 가능한 모든-현재 그리고 미래!-것을 이용가능하도록 만드는 공개 로그 관리 플랫폼으로 로그에 접근하는 것이 알려진 logjam에 매장되지 않는 유일한 방법입니다.

Anton씨..저는 logjam이라는 용어를 좋아합니다, 이 맥락에서는 많은 의미가 통하니까요. 왜 감사자와 컴플라이언스 집단들이 그토록 로그 분석에 집중하는지에 관한 의견이 있으신가요?

Log=accountability(책임추적성). 로그를 중하게 생각하지 않으면, 여러분은 책임성에 관해 방심하는 것임을 잊지 말아야 합니다. 그것이 여러분의 조직이 전달하고자 하는 메시지입니까? 실제로 로그를 생성하고, 보존하고 검토하기를 요구하는 최근의 대부분의 규정과 법규들은 로그를 무시함으로써 법을 어길 수 있음을 명심해야 합니다.

말씀 감사합니다. 안톤씨, 로그를 무시하는 것이=법을 어기는 것이라는 말에 대해 부연 설명해주실 수 있나요?

물론이죠, 쉽습니다: 유서 깊은 Sarbanes-Oxley와 같은 일부 법(폭넓게는 “외부 규정들”을 의미하는데 사용)이 로그를 가지는 것(예를 들어, 그것들을 감사하기 위해 통제와 필요성에 관해 얘기할 때)을 함축했다면, 다른 것들은 더욱 명백합니다 : FISMA (연방기관용)는 로그 검토를 의무화하고 HIPAA(의료용)는 또한 직접적으로 그것을 언급하고 있습니다.

심도깊은 방어를 달성하는 수많은 접근법이 있는데, 이것들 중 하나는 중요 정보를 식별하고 그것이 확실히 보호되는데 중점을 두는 것일 겁니다. 과거에는 이것이 훌륭한 소리로 들렸지만 비현실적이었습니다: 누가 그들의 정보를 성가시게 식별하고 조사하려고 했을까요? 2006년 이래로, 디지털 발견(digital discovery)으로의 움직임이 일어났고, 그리하여 일부 작업들이 행해졌습니다. 이제는 우리가 원하면, 중요 정보를 위해 면밀한 방어를 달성하는 작업을 강화할 수 있습니다. 제가 로그 수집과 로그 분석에 관해 생각을 할 때, 바로 떠오르는 생각입니다. 정보 중심의 보호 아키텍처에 더 많은 관심으로 바라보고 있습니까?

네트워크와 시스템 중심에서 정보 중심으로 보안이 급속히 발달하는 최근의 징조들은 전체 조직을 통틀어 세분화된 모니터링과 감사 능력들이 더욱 더 필요해 질 것임을 보여줍니다. 어떻게 그것을 달성하나요? 로그들로, 당신은 이미 그 능력을 가지고 있습니다! 사람들은 로그 관리 아키텍처를 배치함으로써 단지 이용하기만 하면 됩니다.

그러한 혁명이 실제로 발생하고 있다(그리고 마켓 분석가의 마음속에 단지 존재하는 것이 아니다)는 몇 가지 증거들이 있습니다:

-전년도와 비교해서 데이터베이스 보안에 많은 관심이 집중되고 있다. 데이터베이스 보안은 인프라에 관한 것이라기 보다 대부분 데이터에 관한 것입니다.

-최근의 많은 데이터 유실과 데이터 도난 사고들 또한 사람들이 보안이 단지 “웜과 싸우는 것” 뿐만 아니라 데이터를 안전하게 보관하는 것임을 상기시켜주었습니다.

-⊙추가적으로, ID 도용이 데이터 보안에 집중되는 관심의 양을 증가시켰다: 사람들은 악의적인 해커들이 “ 그들의 네트워크로 재미를 느끼려는 것(실제로는 거의 아니다!) 뿐만 아니라, 실제로 데이터로 이익을 착취하려는 의도가 더 강하다는 것을 알기 시작했습니다

이와 같이, 데이터 보안으로의 네트워크/시스템 보안의 오래도록 약속된 진화가 실제로 발생하고 있습니다. 이것은 파일과 데이터베이스에서; Desktop과 서버에서; 웹에서 그리고 데이터 센터에서; 데이터의 세밀한 감사를 수행할 필요성을 만들었습니다;

안톤씨, 여러가지 이유로 저에게 로그에 관해 생각하게 되는 주가 되네요. 저는 NIST SP 800-92, Guide to Computer Security Log Management 를 어제 읽었는데요, 로그들의 일반 소스에 관한 섹션이 있었습니다. 모든 게 훌륭하고 좋았습니다, 그러나 저는 수많은 다른 로그 소스들이 있다는 것을 알고 있습니다. 모든 것들이 로그를 생성한다고 생각을 한다면, 어떻게 조직들이 그것을 처리할 수 있을까요?
NIST SP 800-92: http://crsc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf

우리는 사람들이 다루어야 할 로그 소스들의 “폭”이 증가하고 있다는 국면을 조사하였습니다: 단지 방화벽과 IDS 로그들에서, 서버들로, 그리고 지금은 모든 종류의 로그 소스들-데이터베이스, 어플리케이션들 기타 등- 로 확장되고 있습니다.

엄밀히 말하면, 몇 년 전에, 급료 값을 못하는 방화벽 또는 네트워크 관리자는 최소한 그의 관심사인 PIX 또는 Checkpoint가 로깅하는 단순한 커넥션의 요약을 살폈습니다. 실제로, 방화벽 로그 분석은 로그 관리 벤더사에게 많은 초기 비즈니스를 선사했습니다. 표준 syslog 포맷의 많은 방화벽 로그들과 그와 같은 로그들은 수집과 검토가 쉬웠습니다.

다음으로, 시스템 관리자들이 문제 발생 시 항상 로그들을 조사하는 것을 알았었을 지라도, 거대한 서버 운영 시스템(Windows와 Unix/Linux 종 둘 다) 로그 분석은 최근까지 실현되지 못했습니다. 예를 들어, 모든 중요한 (그리고 많은 중요하지 않은) 윈도우 서버들로부터 로그를 수집하는 것은 LASSO와 같은 agentless 로그 수집 툴의 부재로 방해를 받았습니다. 반면, 유닉스 서버 로그 분석은 syslog 기록에서 로그 컨텐츠를 위한 통일된 포맷의 결여로 심하게 약화되었습니다.

유사하게는, 이메일 서버 로그를 통한 이메일 추적은 다소 유사한 방식으로 맥을 못 추었습니다: 사람들은 뭔가 잘못되거나(이메일 실패) 또는 심각하게 잘못(외부자가 당신의 로그를 소환)될 때 이메일 로그에 주의를 돌리게 됩니다. Native centralization의 부족 그리고 어느 정도는 복잡한 로그 포맷들이 이메일 로그 분석 실행을 느리게 했습니다.

그 다음에, 데이터베이스 로깅은 아마도 작년까지 대부분의 IT 종사자들의 레이더에 들어오지 않았었습니다. 이것은 지금 부상하고 있습니다! 사실, IT 집단들은RDBMS들이 포괄적인 로깅 그리고 데이터 접근 감사 기능들을 가지고 있다 할지라도, 그것들의 대부분이 적절히 작동한 적이 없다는 사실에 완전히 만족해 했습니다. 아주 가까운 시일내에 이것은 유행할 것입니다. 어떻게 가능토록 하는지 안다면(그리고 결과값인 데이터의 맹습으로 무엇을 해야 하는지를 안다면), Oracle, MS SQL, DB2, MySQL 모두 훌륭한 로깅을 제공합니다.

다음은 무엇일까요? Web application과 large enterprise application framework는 대게 자체적으로 존속하고 있지만, 현재 사람들은 마침내 그것들의 로그 데이터가 내부자 공격, 내부자 데이터 도용 그리고 다른 신뢰받은 출입 남용에 대한 유니크한 통찰을 제공한다는 것을 깨닫기 시작했습니다. 저는 훨씬 많은 그런 로그들이 로그 관리 솔루션으로 들어오는 것을 보기를 기대하고 있습니다. 추가적으로 desktop 로그 분석도 너무 뒤쳐져서는 안됩니다. 좀 더 먼 미래에, 다양한 난해한 로그 소스들이 혼합물에 추가될 것입니다. 커스텀 어플리케이션, 물리적 센서 그리고 다른 많은 비범한 장치들과 소프트웨어들 또한 “들리기를” 원할 것입니다.

이렇게, 우리는 사람들이 전형적으로 먼저 방화벽 로그에, 그 다음 서버 로그들 그런 후 이메일과 웹 로그들, 그 다음에 데이터 베이스(지금 관심이 쏟아지고 있다), 그 다음 다른 어플리케이션들과 심지어 비 IT 로그 소스들까지 관심을 쏟는 것을 주시했습니다.

좋습니다. 그러나 이 모든 소리가 훌륭하고 중요하게 들리지만..이끌어 내는 원동력은 무엇인가요? 왜냐면 상당한 비용이 추가되는 것으로 보이거든요? 엄청난 로그를 수집하고 저장하는 배후의 비즈니스 논리는 무엇인가요?

노골적으로 들릴 수도 있겠지만 이것은 주요한 트렌드입니다; 더 많은 규정, 거버넌스 프레임워크와 표준들이 로그와 로깅을 다룰 것입니다. 최근의 PCI, NIST 800-92, ITIL 업데이트와 몇 개의 다른 것들을 보세요. 일반적인 규정들은 조직들이 로그를 가지고 그것들을 보존하고 정기적으로 검토하는 것을 의무화하고 있습니다.

“컴플라이언스 이후”에 일어나는 것은 무엇일까요? 물론 더 많은 컴플라이언스입니다. 그러나 지금 당장 나타나는 한가지가 있는데, 그것은 직접적으로 로그와 관련되어 있습니다: e-discovery. 로그들은 때로 증거로서 만들어질 필요가 있고 로그 관리 플랫폼 없이 그 일을 성공적으로 해내는 것은 불가능이라 할만합니다.

- 다음 뉴스에서 계속 -