지난 5월 15일 보안 분야에서 의미 있는 책 한 권이 출간됐다. 바로 <빅데이터 분석으로 살펴본 IDS와 보안관제의 완성>이란 책이다. 이 책은 시스템 엔지니어가 바라본 IDS, 좀 더 정확히는 ‘패턴 매치 기법’을 사용하는 ‘룰 기반 보안솔루션’이 정보보안에서 차지하는 비중과 역할에 관한 이야기다.
 
책의 저자 강명훈 씨는 “이 책을 통해 우리가 보고 싶어하는 보안과 현실의 차이를 설명하고 있으며 그 차이를 좁히고자 보안솔루션의 기술 현황을 소개하고 보안솔루션과 제대로 융합되지 못하고 있는 보안관제 분야에 대한 해결의 실마리를 제시하고자 책을 쓰게 됐다”고 말한다.
 
데일리시큐는 강명훈 저자(사진)와 얼마 전 직접 만나 그가 이 책을 쓰게 된 동기와 그가 생각하고 있는 보안관제의 문제점 그리고 개선방향에 대해 들어보는 시간을 가졌다.
 
-보안업무는 언제부터 시작했고 책을 쓰게 된 동기는 무엇인지?
2000년부터 시스템 엔지니어로 4년 정도 일했다. 그 와중에 2003년 1.25 대란을 경험하면서 보안에 관심을 가지게 됐고, 2005년 보안관제 분야로 전직했다. 1년 반 정도 보안관제 업무를 하면서 보안솔루션의 한계를 많이 느꼈는데, 이 때 보안솔루션 개선에 직접 참여해야겠다는 생각을 갖게 됐다. 이후 정보보호기술(현 코닉글로리)로 이직해서 5년간 IDS를 기반으로 한 위협관리시스템 TMS 구축 및 기술지원 업무를 담당했다. 그때 공공/민간 등 많은 보안관제 현장을 경험하면서 가장 중요한 감시, 즉 로그 분석이 제대로 이루어지지 않고 있다는 것을 몸소 느꼈다. 그래서 이에 대한 개선의 필요성을 느끼다가 2011년 11월부터 본격적으로 집필을 시작했다.
 
-구체적으로 어떤 문제점을 개선하고 싶은 것인가?
보안솔루션을 사용하는 이유는 솔루션에서 발생하는 로그를 분석해서 공격시도를 찾아내 예방하기 위함이다. 그런데 보안솔루션에서 발생하는 로그가 너무 많다. 해외의 경우 보안로그의 양이 1주일에 11~15TB에 달한다는 보고(dailysecu.com/news_view.php?article_id=4754)가 있으며, 하루 발생하는 보안로그 양이 70GB에 달한다고 발표한 국내 보안관제 업체도 있다(www.youtube.com/watch?v=AkGkiUk5PB0). 수천만 개의 로그로 환산할 수 있는 양이다. 물리적으로 분석이 불가능하다. 즉 발생하는 보안로그 중 분석하는 로그보다, 분석하지 못하는 로그가 압도적으로 많은 상황이다. 아무나 휴전선을 통과하는 위험한 상황인데도 간과하고 있다.
 
현재는 사고가 발생하면 그 시간대 로그를 분석, 즉 뒷수습에 집중하는 수준이다. 이미 피해가 발생했고, 공격자를 밝힌들 피해가 사라지지 않는다는 점에서 사고 발생 이후에 나오는 분석보고서는 무의미하다. 미국을 예로 들면서 역추적/역공격 등이 거론되기도 하는데, 조작이 가능한 디지털 정보를 토대로 내린 추정을 가지고 행동해서는 더 큰 화를 불러올 수도 있다. 휴전선의 감시를 소홀히 하면서 국가 안보를 논할 수 없는 것처럼, 결국 사이버 보안은 철저한 감시를 통해 예방 체계를 확립해 나가는 것이 최선이다. 피해가 발생한 후에야 로그를 분석할 게 아니라, 실제 로그가 발생할 때 공격인지 아닌지 파악할 수 있어야 신속하게 대응할 수 있는 것이다. 이 부분에 현재 많은 문제가 있다.
 
-보안로그를 분석하는 방법을 이야기하고 싶었던 것인가?
그렇다. 보안로그가 너무 많기 때문에 제대로 분석을 못하고 있다. 그런데 그 많은 로그가 다 공격일까? 라는 의문을 가질 필요가 있다. 대부분의 보안솔루션은 특정 패턴으로 만들어진 룰로 트래픽을 필터링해서 로그를 만든다. 일명 패턴 매치 기법을 사용하는데, 정상 트래픽과 공격 트래픽은 모두 문자 등 동일한 기호 패턴의 범위 내에서 표현되기 때문에 정상과 공격의 구분이 어렵다. 7음계의 한계 때문에 표절 시비가 끊이지 않는 음악계를 떠올리면 금방 이해가 될 것이다. 보안로그는 모두 정확하지 않으며 매우 많은 부정확한 로그, 즉 오탐을 포함하고 있는 것이다.
 
패턴 매치 기법의 한계인데 이런 한계에도 불구하고 아직까지 더 우수한 기술이 없다. 그렇기 때문에 패턴 매치 룰을 정확하게 만드는 방법에 대한 연구가 이루어져야 하는데 국내외를 막론하고 그러지 못하는 것이 문제다. 공격 초기 분석을 통해 피해를 줄이는 것 보다 공격이 끝나고 나서야 공격자나 공격 방법 등을 밝히는 사후 분석에 관심이 집중되는 현상에는 이런 배경이 있다. 책을 쓴 이유도 룰을 정확하게 만드는 방법을 공유하고 싶어서다. 개인적으로 대량의 보안로그를 효과적으로 분석하고 그 결과를 토대로 룰을 정확하게 만드는 방법을 체득했지만 업계가 치열하게 경쟁하는 상황에서 공유하기가 힘들었다. 어떻게 하면 많은 로그를 쉽게 분석하고, 룰의 정확도를 쉽게 높일 수 있을까를 경험에 입각해 설명했다.
 
-책을 쓰면서 어려웠던 점이 있다면?
보안이 민감하다 보니 경험을 전달하면서 출처를 노출하지 않고 작성하는 부분이 많이 힘들었다. 하지만 개인의 작은 경험이 공유를 통해 더 큰 지식이 될 수 있다는 생각에서 끝까지 마무리 할 수 있었다. 집단 지성을 이끌어낸다는 차원에서 더 많은 경험들이 공유되기를 바란다. 기존의 문제를 제기하다 보니 비판적인 논조가 흐르는 것도 피하기 어려웠다. 하지만 단순히 문제 지적이 목적이 아니며, 국내 업계가 국제적인 경쟁력을 갖게 되기를 바라는 마음이 담겼음을 알아줬으면 한다.
 
-이 책은 어떤 독자에게 도움이 될 수 있을까?
보안관제 실무, 보안솔루션 개발 등등 보안솔루션과 관계된 업무를 하고 있다면, 그런 업무를 희망한다면 누구나 도움을 얻을 수 있다. 특히 보안로그 발생 현황을 정량적으로 계측하고 이를 보안 수준 측정 및 향상의 근거로 만들고 싶어하는 분들에게 실제 경험을 토대로 한 이 책이 많은 도움이 될 것이다.
 
-보안로그 분석의 현실에 대해 좀더 자세히 설명해달라.
환경에 따라 다르겠지만 일반적으로 1Gbps 네트워크 환경에서 TMS기준으로 10~100만개 사이 로그가 발생한다. 10Gbps 이상의 네트워크 환경에서 하루에 1000만개 이상의 로그 발생도 경험한 바 있다. 보안솔루션에서 발생하는 로그는 공격의 가능성을 의미할 뿐 확정된 결과가 아니다. 자동 대응하지 못하고 보안관제 파트에서 일일이 확인하는 이유이다. 그런데 현재 많은 보안관제 현장에서는 관제 인력 몇 명이 표본검사 방식으로 보안로그를 분석하고 있다. 동일한 공격자가 동일한 공격을 10번 시도하면 분석하는 식이다. 표본 검사는 표본의 범위나 품질에 따라 결과가 달라진다. 이래서는 정확한 공격 현황을 파악하기 힘들다.
 
책에서 전수 검사의 중요성을 강조했다. 발생한 로그를 모두 분석해야 한다는 것이 핵심이다. 그래야만 공격을 놓치지 않으며, 공격과 오탐 패턴의 정확한 발생 분포를 파악함으로써 룰 정확도를 높일 수 있다. 룰이 정확해지면 오탐이 줄면서 전체 로그 발생량이 줄어든다. 그러면 전수 검사는 더 쉬워지고 룰의 정확도를 높이는 작업 역시 더 쉬워진다. '로그 전수 검사->룰 정확도 향상->로그 발생량 감소'라는 선순환 체계가 만들어지면서 공격로그를 더 쉽고 더 빠르게 찾을 수 있게 되는 것이다. 그러나 부정확한 룰에 의한 대량 오탐, 그로 인한 대량 로그의 문제들이 제대로 언급되지 않으면서 보안관제 분야의 발전이 더뎌지고 있어 안타깝다.
 
-보안관제 업무 인력들의 역량을 강화하려면 어떻게 해야 할까?
오래 전부터 정부나 학계, 업계의 보안인력 양성 노력은 해커에만 집중되어 왔다. 해커는 간단히 말하면 공격 전문가다. 그런데 누구를 공격할 것인가? '최선의 방어는 공격'이란 말도 있지만 적을 정의하기 힘든 가상 공간, 즉 사이버 세계에서는 통하기 어렵다. 결국 해커 역시 방어 분야에서 일을 해야 하는데, 단기간에 해킹 기술만을 익혀서 로그 분석을 잘하기는 힘들다. 보안관제 분야가 발전하려면 로그/데이터 분석에 능력 있는 시스템 엔지니어 등의 인력이 필요하며, 해킹 기술만이 아닌 전반적인 IT 기반의 지식과 경험이 필요하다. 그러나 교대근무로 알 수 있듯이 업무 환경이 너무 열악하다. 지금 일하는 인력들도 기회만 주어진다면 다른 분야로 옮기고 싶어 한다. 최정예 화이트해커들은 더욱 보안관제 업무를 하고 싶어 하지 않을 것이다. 이 부분에 대한 관심과 지원이 필요한 시점이다. 하지만 해커 양성 일색의 정책으로 인해 어린 학생들도 운영체제부터 차근차근 공부하기 보다는 해킹 분야에 집중하려는 경향이 있다. 우려되는 부분이다. 
 
-빅데이터 이야기가 나오는데 보안로그 분석과 연관성은 어떤가?
오래 전부터 보안로그는 표본 검사에 의존해야 할 만큼, 즉 제대로 활용하지 못할 만큼 양이 많았다는 의미에서 빅데이터를 언급했다. 데이터가 많을수록 분석 과정에서 새로운 통찰이 생길 가능성이 높아진다. 그런데 결정적으로 정확한 데이터가 많아야 한다. 하지만 보안로그는 분석이 까다로운 비정형 데이터일뿐더러 정확한 로그와 그보다 훨씬 많은 부정확한 로그가 섞여 있다. 하둡 등의 기술로 그저 모아만 놓으면 그 안에서 정확한 공격로그를 찾기는 더 힘들어진다. 최근 빅데이터를 활용하자는 목소리가 커지고 있는데 기존 보안로그를 활용해서 룰을 정확하게 만드는 경험을 먼저 쌓을 필요가 반드시 있다.
 
-앞으로 계획이 있다면?
벤더가 제공해주는 룰만을 그대로 사용하기 보다는 자신의 환경에 맞는 룰을 직접 만들려는 시도가 늘고 있으며, 보안솔루션의 효용성에 대해 고민하는 사례 역시 늘고 있다. 이러한 요구와 고민을 해결하기 위해서는 사이버 보안의 최전방인 보안관제 분야가 좀더 발전해야 한다. 그런 의미에서 보안관제 컨설팅 시장을 만들고 활동해 보고 싶다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com