실제로 로그전문 기업 이너버스(대표 이을석)에서도 ISMS-P 인증 관련 질문을 많이 받고 있다고 한다. 이에 이너버스는 고객사들이 완벽하게 로그 관리 항목을 준비할 수 있도록 로그 관리의 주요 결함사례를 기반으로 대응 방안을 전했다.
◇중요 서버의 로그를 안전하게 백업하지 않은 경우
이 경우, 비인가자에 의해 로그가 임의로 수정-삭제될 수 있기 때문에 인증 항목을 준수할 수 없다. 그래서 로그를 안전하게 수집하고 암호화 저장 및 해시값 추출로 로그 데이터의 무결성, 기밀성이 보장될 수 있도록 별도로 백업하는 것이 필요하다.
또한, 로그에 대한 접근권한은 최소로 부여하여 비인가자가 로그를 위,변조 및 삭제처리 하지 못하도록 모니터링해야 한다.
◇정기적인 침해시도 모니터링 체계를 갖추지 않은 경우
수많은 로그를 개별 분석하여 모니터링 체계를 갖추기는 현실적으로 어렵기 때문에 로그관리 솔루션이 필요하다. 주요 정보시스템의 로그를 함께 분석하여 내-외부 침해시도, 개인정보유출 시도 등을 신속하고 효율적으로 탐지하여 모니터링 체계를 구축할 수 있기 때문이다. 예를 들어 VPN, FW, DB 장비의 시간, IP, 로그인 성공/실패 등을 상관 분석하여 ‘공격자가 VPN 내부계정을 탈취하여 DB 서버에서 중요 정보가 담긴 파일을 조회했는지’ 등의 침해시도를 파악할 수 있다. 또한, 임계치/탐지 패턴 기반의 탐지 알림으로 미처 파악하지 못했던 이상행위를 기민하게 확인하고 대응할 수 있다. 이를 통해 여러 IT 인프라 로그를 함께 관리하며 이상행위에 대한 내부 정책을 수립하여 주기적인 모니터링 체계를 갖출 수 있다.
◇이상징후 검토내역 등 증거자료가 확인되지 않는 경우
이 사례 역시 로그관리 솔루션에서 쉽게 진행할 수 있다. 탐지된 이상징후 알람을 즉시 공유하여 진행상황별로 검토내역을 남길 수 있어서 증적 자료로 활용할 수 있다. 특히, 로그센터는 연동된 시스템의 이슈도 함께 카테고리별로 관리할 수 있어 ISMS-P 운영/갱신심사를 위한 Plan, Do, Check, Act 사이클도 수립할 수 있다.
이너버스 측은 “로그 관리는 가장 기본이 되는 만큼 놓치기 쉬운 항목이기도 해서 인증 심사 시, 보완 조치를 받는 곳도 많은 편이다. 그렇기 때문에 로그와 인증에 대해 잘 아는 전문가와 함께 하는 것이 중요하다”라고 말했다.
★정보보안 대표 미디어 데일리시큐!★