1987년, 미국 등 주요 정부기관을 해킹하여 정보를 유출시킨 해커의 침입 증거를 찾느라 클리포드 스톨(en.wikipedia.org/wiki/Clifford_Stoll)은 1년여의 시간을 시스템 로그를 분석하는데 할애해야 했다. 왜 그렇게 많은 시간이 걸렸을까?
 
세상에는 수 많은 컴퓨터 시스템이 동작하고 있으며, 네트워크를 통해서 많은 정보를 주고 받고 있다. 이 과정에서 당연히 많은 로그가 발생하는데, 이 로그를 일반로그라고 칭해보자. 일반로그에는 시스템의 상태나 동작을 표시하는 로그는 물론, 시스템끼리 정보를 주고 받으면서 발생하는 트래픽도 포함이 된다. 이러한 일반로그는 두 가지 특징을 갖는다.
①대량으로 발생한다.
②보안측면에서 정확도가 낮다.
 
크리포드 스톨이 1년 동안 분석을 한 이유는 보안측면에서 정확도가 낮은 대량의 일반로그에서 의미 있는 정보를 찾아야 했기 때문이다. 전수 검사의 어려움이 되겠다. 그리고 이러한 어려움을 극복하기 위해서 패턴매칭을 이용하여 일반로그를 좀더 효율적으로 검사하는 방법이 제시되기 시작한다. 왜 하필 패턴매칭이란 방법을 선택했을까?
 
에드워드 스노든의 폭로로 인해 전 세계의 네트워크를 감시하는 NSA의 프리즘이 화제가 된바 있는데, 그 기원은 1960년대 전 세계의 통신을 감청하기 위해 역시 NSA가 구축한 에셜론(ko.wikipedia.org/wiki/에셜론)으로 거슬러 올라간다. NSA가 정보를 수집하기 위한 방법으로 감청을 고집한 이유는 무엇일까?
 
사람들은 대화를 할 때, 패턴을 주고 받으면서 의사소통을 한다. 당연히 주고 받은 패턴에 따라 의사소통의 성격이 우호적인지, 또는 적대적인지에 대한 판단이 가능하며, 더 나아가 서로간의 관계까지도 유추할 수 있게 된다. 고대로부터 현대의 NSA에 이르기까지 정보를 수집하기 위해 누군가가 주고 받는 '패턴'을 엿듣는 것이 매우 이성적이며, 합리적인 판단임을 알 수 있다.
 
그런데 컴퓨터 역시 사람처럼 패턴을 주고 받으면서 의사소통을 한다. 그리고 컴퓨터의 의사소통은 컴퓨터 스스로 하는 게 아니며, 사람이 시켜서, 사람을 대신해서 이루어진다는 사실을 우리는 이미 알고 있다. 방식은 다르지만 패턴으로 우호적/적대적 판단을 할 수 있다는 특성은 똑같은 것이다.
 
이런 특성으로 인해 패턴매칭은 개념이 제시된 지 30여년이 지난 오늘날까지도 공격으로 정의된 패턴으로 일반로그를 필터링함으로써 검사 범위를 좁힐 수 있다는 장점을 기반으로, 최초의 보안솔루션으로 알려진 컴퓨터 백신부터 최근 핫이슈인 빅데이터 기반 보안솔루션까지, 대다수 보안솔루션의 핵심 동작 기반으로 자리잡고 있다.
 
물론 패턴매칭은 완벽하지 않으며, 7음계의 한계 때문에 발생하는 표절 음악처럼, 표현 기호의 한계로 인해 표절 공격 패턴이 발생하는 매우 큰 문제점을 가지고 있다. 그러나 이러한 문제를 해결하기 위해 패턴매칭 이후 이상징후, 연관분석(또는 상관분석, 요즘엔 시나리오란 표현을 쓰는 듯?) 등의 개념이 꽤 오래 전부터 제시되었지만, 패턴매칭을 대체할 기미는 보이지 않고 있다. 그 이유는 무엇일까?
 
국내외를 막론하고 많은 이들이 이상징후나 연관분석의 중요성을 강조하고 있고, 기술 구현에 대해서 강한 자신감을 내비치고 있음에도 현실에서 성공 사례를 접하기 힘든 이유는, 간단히 얘기하면 인류가 오랜 세월 공통의 경험을 통해 인정한 패턴매칭에 비해 그 효과가 미미하기 때문이다. 좀더 자세히 얘기하면 이상징후 분석은 패턴이란 기준을 가지고 있는 패턴매칭에 비해 정상 트래픽이란 기준을 갖고 있지 못하며, 패턴과 패턴의 조합을 의미하는 연관분석은 먼저 패턴매칭이 성공해야 한다는 전제가 필요하기 때문이다.
 
물론 이상징후나 연관분석에 집중해서 성공 사례를 만들어낼 수는 있다. 그러나 이른 새벽 양복을 입고 산에서 내려오는 거동수상자를 잡기 위해 휴전선 감시를 소홀히 하는 우를 범해서는 안 된다. 결국 충분한 자원을 바탕으로 패턴매칭과 이를 보완하는 기술을 병행할 때, 사이버 휴전선은 안전해질 수 있다. 자원이 부족하다면? ROE(Return on Equity)가 높은 것에 집중하면 된다. 마지막으로 한마디 더 하자면 패턴매칭은 이상징후나 연관분석에 비해 그나마 정확할뿐더러, 그나마 쉽다는 사실을 기억하기 바란다.
 
다음 편에서는 우리가 왜 네트워크 보안에 집중해야 하는지, 그 이유에 대해 얘기해볼까 한다.
 
(?편집자 주: 바쁘신 가운데 유용한 내용 기고 해 주신 강명훈 님게 감사드립니다. 다음 편에는 우리가 왜 네트워크 보안에 집중해야 하는지, 알아보도록 하겠습니다.)
 
글. <빅데이터 분석으로 살펴본 IDS와 보안관제의 완성> 저자 강명훈 truese@hanmail.net