[디지털데일리 이민형기자] 최근 보안시장에서도 ‘빅데이터’와 관련된 이슈가 서서히 부상하고 있다. 고도화된 보안위협에 따른 고성능 보안솔루션의 등장으로 이들 솔루션이 쏟아내는 로그가 천문학전인 분량에 달하고 있기 때문이다.

기업의 입장에서 로그는 단순히 수집만을 위한 대상은 아니다. 이벤트의 상관관계를 분석해 문제점을 발견하고, 업무효율을 높이는 등 다양하게 활용한다.

그러나 이러한 로그데이터를 제대로 관리, 처리하지 못한다면 고성능 보안솔루션도 그 빛을 잃을 수 있다.

보안업계에서는 이러한 로그를 수집하고 분석하는 방법으로 ESM(Enterprise Security Management)을 사용해왔다.

ESM은 보안장비에서 나오는 로그를 바탕으로 보안관제의 두뇌역할을 담당하는 솔루션이다. 그러나 ‘관제’라는 측면에 포커스돼 있다보니 로그를 저장, 분석하는 능력은 부족하다. 즉, 최근 등장한 ‘빅데이터’ 이슈를 해소하기 위해서는 ESM만으로는 한계가 있다.

실례로 최근에 등장한 방화벽은 대부분이 10G급 방화벽이다. 이들은 초당 2만여 건의 로그데이터를 내놓는다. 문제는 로그관리시스템이 이러한 데이터를 처리하지 못하는 경우가 많다.

기업 실무자들도 보안솔루션이 내놓는 ‘빅데이터’에 관심을 가지고 있다. 과거 로그의 단순한 수집과 저장에 관심을 가졌다면 현재는 정규화, 카테고리화, 검색, 리포팅 분석 등 필요한 정보를 효과적으로 추출해 활용하는 방법을 찾고 있다. 또 IT인프라가 복잡해지고 있는 상황에서 방화벽, 침입방지시스템 등의 어플라이언스를 넘어 새로운 솔루션으로의 대상 확대도

등 보안 장비를 넘어 IT인프라 전반의 로그로의 대상 확대는 막대한 양의 로그 수집 및 분석을 의미한다. 즉, 보안관리 영역에서도 빅데이터가 화두가 되고 있는 것이다.

보안 담당자들은 로그 데이터에 대해서도 단순 수집ㆍ저장이나 원본 로그의 수집ㆍ저장이 없는 일부 보안 장비로그에 대한 분석만이 아닌 대용량 로그에 대한 실시간 수집ㆍ저장ㆍ검색ㆍ분석ㆍ관리를 요구하고 있다.

이러한 변화와 요구에 의해 등장한 제품이 바로 유넷시스템의 통합로그분석시스템 ‘애니몬플러스(Anymon Plus)’다.

이 제품은 통합 로그 분석 기술을 기반으로 복합 이벤트 처리 시스템을 지향하고 있다. 로그의 종류에 상관없이 분석에 필요한 필드만 자동으로 추출하는 ‘동적 필드 추출’ 기능을 갖춘 것이 가장 큰 특징이다.

기존 기술은 사전 정의된 특정 필드(로그 발생 시간 IP 주소, URL 등)만 기준으로 해 검색 결과 한계가 존재했다. 특히 추출된 로그의 필드 중 관리자에게 필요한 필드만으로 실시간 모니터링, 상관분석, 리포팅이 연동 가능하게 한다. 앞서 소개한 빅데이터 이슈를 이 제품으로 해소할 수 있을 것으로 기대된다.

애니몬플러스는 보안인프라(방화벽, IPS, NAC, UTM), 네트워크인프라(스위치, 라우터, AP, UC), 서버‧애플리케이션 단에서 나오는 로그와 이벤트를 수집, 저장과 동시에 상관분석을 실시한다. 상관분석을 실시해 데이터를 생성하면 이를 기반으로 보안관제 등 모니터링 업무에 활용할 수 있는 것이다.

특히 애니몬플러스는 초당 4만여건의 원시 데이터를 처리할 수 있다. 통상 10G급 방화멱이 초당 2만여건의 데이터를 내놓는 것을 가정하면 한 대의 어플라이언스로도 충분히 대응이 가능하다. 또 순차 처리를 지원하기 때문에 N대 이상의 어플라이언스를 병렬연결 할 경우 더 큰 데이터 연산이 가능하다.

원시 데이터 저장, 데이터 압축 기능, 필드 추출 기능 등 관리적 편의와 컴플라이언스 이슈 해소를 위한 기능도 탑재했다.

그러나 통합로그관리시스템이 기존 ESM을 대체하기엔 힘들다. ESM의 핵심기능인 데이터 시각화 기능이 통합로그관리시스템에는 현저히 부족하기 때문이다. 이는 반대로 생각하면 ESM과 상호보완할 경우 더욱 견고한 보안관제시스템을 구축할 수 있는 것으로 해석할 수 있다.

한편 애니몬플러스는 현재 대전통합전산센터, 삼성그룹, 롯데IDC 등에 납품돼 운영되고 있다.

<이민형 기자>kiku@ddaily.co.kr