제일 쉬운 거네 (예리하시다고 칭찬해드림 -_-)
음.. 솔직히 쉽다. 로그란 게 어차피 다 문자열이니 그냥 읽으면 된다. 책 읽는 거랑 비슷. 읽고 이해하면 끝. 이해가 어려워도 구글신께 물어보면 다 알려주신다. 그런데 2012년 SANS에서 재미있는 설문 조사 결과를 발표한 적이 있다.
로그 분석에 할애하는 시간이 주당 몇 시간에 불과하다는 응답이 가장 많다. 그 정도 시간만 투자하면 모든 로그를 분석할 수 있다는 뜻일까?
보고서는 로그의 양이 갈수록 증가하고 있고, 로그 분석의 중요성 역시 갈수록 커지고 있지만 정작 분석은 제대로 이루어지지 못하는 현실의 문제점을 지적하고 있다.
갈수록 로그 분석의 중요성이 커지고 있음에도 왜 제대로 이루어지지 않을까? 담당자들이 주당 몇 시간만 일하면서 게으름을 피고 있는 것일까?
아니, 바쁘기 때문이다
하루가 멀다하고 발표되는 취약점 패치해야지, 훈련 계획 세워야지, 훈련해야지, 훈련 성과 정리해야지, 교육도 받아야지, 사고나면 밤새가며 보고서 써야지, 이 사람 저 사람 만나서 회의도 해야지, 상사님 안심시켜야지(..)
많은 보안 담당자들은 주, 월, 분기, 반기, 년 단위로 시간을 쪼개서 업무 계획을 세우고, 그 실적을 채우느라 눈코 뜰 새 없이 바쁘다. 시간 정말 잘 간다. 로그 분석? 하고 싶어도 할 시간이 없다.
시간이 없다는 얘기는 다시 사람이 부족하다는 얘기로 돌아온다. 그리고 사람이 부족하다는 얘기를 뒤집어보면 결국 로그가 많다는 얘기가 된다. 현 정보보안 분야의 가장 심각한 문제는 바로 이것이다. 로그량이 처리 역량을 초과하다 보니, 그날에 쌓인 로그를 그날에 다 분석하지 못한다는 것.
사람이 분석하는 속도가 로그 쌓이는 속도를 따라가지 못하면서 분석하지 못한 로그는 계속 쌓이고 있다. 이런 상황의 반복은 어떤 결과를 불러올까? 분석하지 못한 로그는 고스란히 알려지지 않은 위협으로 남게 되며, 그 로그에서 무슨 일이 발생했는지, 무슨 일이 발생할지는 아무도 모른다. 결국 우리는 불안에 떨게 된다.
이런 상황임에도 왜 로그 분석이 쉽다는 선입견을 가지게 될까? ('로그 포렌식'이라고 했으면 쉽다는 생각을 안 했을까?) 로그 분석이 주로 사고 터진 후 이루어지기 때문이다. 사후 로그 분석은 쉽다는 얘기. 왜?
'피해자' 또는 '공격자'라는 힌트가 있기 때문
하루가 멀다하고 발표되는 취약점 패치해야지, 훈련 계획 세워야지, 훈련해야지, 훈련 성과 정리해야지, 교육도 받아야지, 사고나면 밤새가며 보고서 써야지, 이 사람 저 사람 만나서 회의도 해야지, 상사님 안심시켜야지(..)
많은 보안 담당자들은 주, 월, 분기, 반기, 년 단위로 시간을 쪼개서 업무 계획을 세우고, 그 실적을 채우느라 눈코 뜰 새 없이 바쁘다. 시간 정말 잘 간다. 로그 분석? 하고 싶어도 할 시간이 없다.
시간이 없다는 얘기는 다시 사람이 부족하다는 얘기로 돌아온다. 그리고 사람이 부족하다는 얘기를 뒤집어보면 결국 로그가 많다는 얘기가 된다. 현 정보보안 분야의 가장 심각한 문제는 바로 이것이다. 로그량이 처리 역량을 초과하다 보니, 그날에 쌓인 로그를 그날에 다 분석하지 못한다는 것.
그날의 피로는 그날에 풀어야.. |
사람이 분석하는 속도가 로그 쌓이는 속도를 따라가지 못하면서 분석하지 못한 로그는 계속 쌓이고 있다. 이런 상황의 반복은 어떤 결과를 불러올까? 분석하지 못한 로그는 고스란히 알려지지 않은 위협으로 남게 되며, 그 로그에서 무슨 일이 발생했는지, 무슨 일이 발생할지는 아무도 모른다. 결국 우리는 불안에 떨게 된다.
이런 상황임에도 왜 로그 분석이 쉽다는 선입견을 가지게 될까? ('로그 포렌식'이라고 했으면 쉽다는 생각을 안 했을까?) 로그 분석이 주로 사고 터진 후 이루어지기 때문이다. 사후 로그 분석은 쉽다는 얘기. 왜?
'피해자' 또는 '공격자'라는 힌트가 있기 때문
분석 범위를 좁힐 수 있다는 뜻이다. 사고가 없으면? 막막하지 뭐. 사전예방 차원의 로그 분석, 한마디로 알려지지 않은 공격을 막는 이상징후 분석이 잘 되지 않는 이유 되시겠다.
이 문제를 해결할 수 있는 방법은 무엇일까? 시간을 늘릴 수는 없는 노릇이고, 사람을 늘리는 건 절대적인 한계가 있다. 인건비도 아깝고(..)
그럼에도 해법은 사람을 늘리고, 그 늘어난 인력이 조직적으로 불필요한 로그를 줄이는 노력과 함께 효율적인 분석 방법을 찾기 위해 다양한 시도를 하는 것. 빅데이터를 하든, 노가다를 하든 다양한 분석 대상과 범위, 기준을 세워놓고 하나씩 해보는 것이다.
하루, 이틀에 끝날 일이 아니다. 로그에서 조직의 특성을 찾아내고, 정상 상태를 정의하고, 정의된 정상을 기준으로 비정상을 구분해내는 역량을 키워야 한다. 몇 년이 걸릴 수도 있다. 한정된 인력이 주, 월, 분기, 반기, 년 단위로 쉬지 않고 새로운 실적을 만들어야 하는 상황에서 누가 할 수 있을까?
그저 민간 기업들만의 문제일까? 공공 분야도 크게 다르지 않다. 오히려 돈을 안 벌어도 되는 조직이다보니 (이전보다 뭐가, 얼마나 더 나아지는지 증명하지 못하는) 업무의 가짓수 늘리는 데 집중하는 경우를 쉽게 볼 수 있다.
한 번 했던 업무는 실적으로 안 쳐주니 새로운 업무를 계속 만들어야 하는 (아니면 새로운 업무처럼 보이게 만들어야 하는) 딱한 신세.
포장을 좀 했겠지만 바다 건너 들려왔던, 7년 동안 한 우물만 팠다는 이야기는 그저 부럽기만 할 따름.
관련 글
어디서부터 손을 대야 할까? |
이 문제를 해결할 수 있는 방법은 무엇일까? 시간을 늘릴 수는 없는 노릇이고, 사람을 늘리는 건 절대적인 한계가 있다. 인건비도 아깝고(..)
그럼에도 해법은 사람을 늘리고, 그 늘어난 인력이 조직적으로 불필요한 로그를 줄이는 노력과 함께 효율적인 분석 방법을 찾기 위해 다양한 시도를 하는 것. 빅데이터를 하든, 노가다를 하든 다양한 분석 대상과 범위, 기준을 세워놓고 하나씩 해보는 것이다.
하루, 이틀에 끝날 일이 아니다. 로그에서 조직의 특성을 찾아내고, 정상 상태를 정의하고, 정의된 정상을 기준으로 비정상을 구분해내는 역량을 키워야 한다. 몇 년이 걸릴 수도 있다. 한정된 인력이 주, 월, 분기, 반기, 년 단위로 쉬지 않고 새로운 실적을 만들어야 하는 상황에서 누가 할 수 있을까?
그저 민간 기업들만의 문제일까? 공공 분야도 크게 다르지 않다. 오히려 돈을 안 벌어도 되는 조직이다보니 (이전보다 뭐가, 얼마나 더 나아지는지 증명하지 못하는) 업무의 가짓수 늘리는 데 집중하는 경우를 쉽게 볼 수 있다.
한 번 했던 업무는 실적으로 안 쳐주니 새로운 업무를 계속 만들어야 하는 (아니면 새로운 업무처럼 보이게 만들어야 하는) 딱한 신세.
(상사) 작년에 했던 룰 최적화를 왜 또 한다는 거야???
(나) 그동안 했던 룰 최적화는 룰 개수 늘리는 거였구요... 이제부터 정확도 좀 높여 볼려구요... (고자질하는 느낌? 한없이 구차해져서 말 못함 -_-)
포장을 좀 했겠지만 바다 건너 들려왔던, 7년 동안 한 우물만 팠다는 이야기는 그저 부럽기만 할 따름.
관련 글
댓글 없음:
댓글 쓰기