Solution Bank:the need for network log analysis
From 컴플라이언스 & 클라우드컴퓨팅 기업 이너버스
- 정부 주도의 보안지침 준수방안 마련
- 주요 시스템 및 장애에 대한 로그보관, 백업 및 분석지침을 수립하고, 로그는 최소 6개월 이상 백업 유지관리
- 주요 시스템 및 정보제공 시스템은 주1회 이상 로그를 분석하고, Firewall, IDS, VPN 로그는 매일 분석해야 함
- 로그는 비 인가된 자에 의해 수정될 수 없도록 관리되어야 함
- 이기종 복수방화벽에서 생성되는 다양한 포맷의 로그파일 분석방법론 부재
- 방화벽 자체 분석기능은 방화벽의 방대한 로그를 분석이 아닌 단순 트래픽 정보와 로그정보를 검색하는 수준
- 사용자/서비스/프로토콜/내부 부서별 현황의 세부적인 통계에 대한 구체적인 리포팅 불가
- 이기종의 복수 라우터/방화벽 구성시에 통합분석을 할 수 없으므로 전체 보안현황 및 취약점의 파악이 어려움
- 보안 활동을 위한 인적자원의 부족
- 전문화된 보안 운영요원이 실시간 상주하여 네트워크 감시를 해야 하나, 현실에서는 인력 및 예산부분이 절대 부족함
- 보안 문제 징후를 발견했을 때의 원인 규명을 위한 현실적 한계점
- 실제 보안사고의 징후가 발견되었을 때, 해당 시점의 원본로그를 분석하여 원인을 파악해야 하는데 이를 위한 적절한 대안이 없음
- 대규모 이기종 방화벽을 구축한 경우, 서로 다른 포맷의 원본로그를 분석하는데에는 상당한 시간이 소요되어 조치를 취하기까지 위협상황에 장기간 노출되는 취약점이 발생함
