컴퓨터의 블랙박스, '로그' 관리가 뜬다

최근 들어 대규모 전산망 침해사고가 잇달아 발생하면서 ‘로그파일(Log File)’ 관리 문제가 핫이슈로 떠오르고 있다.

‘1.25 인터넷 대란' 당시 원인 분석이 힘들었던 것도 로그가 남아 있지 않았기 때문이란 지적이 제기되면서 이같은 추세가 가속화되고 있다. 이에 따라 KT 등 통신업체에서는 시스템 안정화를 위한 로그파일 관리방안을 수립하고 있다.

‘로그파일’이란 컴퓨터 시스템의 모든 사용 내역을 기록하고 있는 파일. 항공기의 운항내역을 기록하는 블랙박스와 비슷한 개념이다. 항공시 사고때 블랙박스를 통해 사고의 원인을 밝혀내고 법적책임을 묻듯이, 전산망 사고때에는 로그파일을 점검해서 사후대책을 만드는 것이다.

하지만 이처럼 중요한 ‘로그파일’은 그동안 천덕꾸러기 신세를 면치 못했다. 인터넷 서비스제공업체(ISP)의 경우 시스템 보안보다 서비스를 중요시했기 때문에 시스템 로그를 저장하지 않는게 관행이었던 것. 그나마 로그를 관리했던 기업들도 대부분 고객관계관리(CRM)용 로그들에 집중했다.

그러나 ‘1.25’인터넷 대란을 계기로 이른바 보안로그 관리가 뜨고 있다.

특히 국내 기업인 디지털시큐(대표 인을식 www.digitalsecu.com)는 관련기술(통신망의 로그데이터 저장장치 및 방법)을 특허등록하고 실시간 로그저장 솔루션 ‘로그세이버’을 개발, 영업을 본격화하고 있다.

이 제품은 ▲ 로그파일을 실시간으로 저장해서 해커가 해킹후 로그를 삭제해도 아무 소용이 없도록 하고 ▲ 전산전문가가 아니더라도 로그파일 분석을 쉽게 하도록 지원하며 ▲ HDD나 테이프 등을 이용한 기존 SAN(스토리지에어리어네트워크)보다 구축비용도 저렴해서 주목받고 있다.

◆왜 실시간 로그관리가 중요한가

보안관리자가 로그파일을 저장하려는 이유는 사고시 접속기록을 증거자료로 제출하거나, 원인을 파악하는데 이용하기 위해서다. 일부에선 정기적인 로그분석을 통해 비정상적인 행위나 징후를 파악하기 위해 로그를 모으기도 한다.

그런데 이때 로그가 해커에 의해 변조돼 있다면? 저장해봤자 아무 소용이 없을 것이다. 이런 문제점을 해결하려면 로그 저장의 ‘무결성’이 보장돼야 한다. 해커 또는 전산관리자 등에 의해 불법적으로 변경되지 않는 순결한 데이터가 저장돼 있어야 한다는 말이다.

그러나 현재의 로그파일 백업 체계로선 문제가 생길 요지가 적지 않다. 대부분의 기업들이 적용하고 있는 HDD(하드디스크드라이브)나 테이프를 이용한 주기적인 백업은 편리하지만 무결성을 100%보장하지 못한다.

인을식 디지털시큐 사장은 “스케줄링에 의한 주기적인 백업은 편리하지만, 만약 해커가 아주 짧은 시간에 해킹후 로그파일을 삭제하고 나갔을 경우 이에 대처하지 못한다”고 말했다.

또 “HDD나 테이프 장치의 경우 삭제나 변조가 쉽게 이뤄질 수 있어 법정에서 증거자료로 채택되기 힘들다”고 말했다.

이런 문제점을 해결하기 위해 디지털시큐는 실시간 무결성 저장을 보장하는 ‘로그세이버’를 개발했다. 이 제품은 운영시스템서버(웹, 방화벽 등)에 연결돼 실시간으로 로그를 저장하며, 저장된 데이터를 1회 기록이 가능한 매체(CD)에 암호화시켜 저장하기 때문에 ‘무결성’이 보장된다.

◆기존 로그관리 체계보다 장점은 무엇인가

오래전부터 로그파일을 보호하기 위한 방안으로 제시됐던 것은 별도의 로그수집서버를 이용하거나, 대용량 스토리지 제품을 이용해서 각종 데이터와 함께 백업하는 방식이었다.

하지만 ▲ 전자의 경우 네트워크를 이용, 실시간으로 백업하기 때문에 시스템과 네트워크에 영향을 줄 수 있고 ▲ 후자의 경우 로그파일이 아니라 다른 데이터들(도큐멘테이션, DB, 영상, 오디오, 프로그램 등)에 초점이 맞춰져 있기 때문에 로그파일 저장용으로 사용하는데 한계가 있다는 지적이다.

인을식 디지털시큐 사장은 “우리 제품은 로그파일의 무결성을 보장할 뿐 아니라, 기존 방식보다 저렴하며, 로그분석도 수월하게 지원한다”며 “누군가 로그파일을 지우면 통보한다던가, 로그분석을 통해 비인가된 접속자를 추적하는 정보를 제공한다던가 하는 기능은 보안관리자들에게 어필할 수 있을 것”이라고 말했다.

또 “압축알고리즘을 이용해서 650메가바이트 CD 한 장에 최대 5기가바이트의 로그데이터를 저장한다”며 “이를 다른 백업장치와 비교하면 테이프(4기가용)하나에 1만원의 비용이 드는 반면, CD는 500원선이기 때문에 1/20의 가격경쟁력을 갖고 로그파일을 저장할 수 있다”고 말했다.

◆시장은 올해부터 열린다…올 해 50억원 목표

로그파일 저장에 대한 관심이 싹트기 시작한 것은 지난 2001년부터. 금감원의 ‘금융기관전자금융업무감독규정시행세칙’이나 공정위의 ‘금융거래기본약관’을 보면 금융기관은 무결성의 로그저장으로 정보시스템 가동 기록을 보존하고, 사고 발생시 소비자에게 이를 근거로 잘못이 없다는 것을 증명해 내야 하기 때문이다.

전자서명 공인인증기관의 ‘전자서명인증업무지침’이나 정보통신기반보호법 등에도 로그데이터를 관리해야 한다는 규정이 들어있다.

하지만 ‘보안 로그 관리’ 시장은 본격적으로 열리지 않았다. 스토리지 시장의 일부로 취급됐기 때문이다. 하지만 올해부터 이 시장은 '보안 로그 관리'란 컨셉으로 본격화될 것으로 예상된다.

인을식 디지털시큐 사장은 “지금까지 경찰청 사이버테러대응센터, 한국정보인증, 행자부 정부전산관리소 정부망보안센터, 한국정보보호진흥원 전자서명인증관리센터, 철도청 등 공공쪽과 LG카드, 삼성 생명 등 금융권 일부에 시스템을 공급했으나 올 해부터는 본격적으로 통신시장을 비롯한 민수시장이 열릴 것으로 본다”고 말했다.

디지털시큐는 헥사테크놀로지(전 그린정보통신)와 에이쓰리시큐리티컨설팅, 시큐아이닷컴, 인포섹 등 보안업체를 리셀러로 두고 있다.

헥사테크놀로지의 경우 엑스큐어넷의 메일모니터링 제품과 함께, 에이쓰리의 경우 자사의 로그분석솔루션과 함께 영업하고 있으며, 시큐아이는 삼성계열사를 대상으로, 인포섹은 SK계열사를 대상으로 영업을 집중한다.

디지털시큐는 이를통해 올 해 50억원의 매출을 기대하고 있다.