본문 바로가기

Work Log/As Cybersecurity Consultant

보안로그관리에 대한 가이드 (NIST SP 800-92 Guide to Computer Security Log Management)

로그 관리 업무에 대하여 정리가 잘 된 자료입니다. 


Special Publications (800 Series)

NIST SP 800-92에 대하여 소개 하기 전에 NIST와 SP에 대해서 간단하게 설명을 드리겠습니다 ^^

미국의 국립표준기술원(NIST, National Institute of Standards and Technology)의 ITL(Information Technology Laboratory)에서는 Special Publications (800 Series)을 지속적으로 릴리스 하고 있습니다.

SP 800 Series는 ITL(Information Technology Laboratory)에서 컴퓨터 보안에 대하여 수행한 연구 결과물들인데요. 보안 활동에 대한 표준 가이드라인으로 전세계적으로 널리 사용이 되고 있죠.

아마도 정보보안에 관련된 업무를 하고 계신 분이라면 한 번쯤 웹사이트에 방문해보셨을 것입니다. SP 문서를 보려고 방문하신 분들 외에도 암호모듈을 구현하거나 암호알고리즘에 대한 FIPS(Federal Information Processing Standards) 문서를 참조하느라 방문하신 분도 계실 것입니다. 


SP 800-92

SP 800-92는 로그관리의 필요성과 효율적인 로그관리 인프라 구축 및 유지에 대한 방법을 가이드해주는 문서로 2006년 9월 26일에 발간 된 자료입니다. 다운로드는 아래의 URL에서 하시면 되구요
가끔 다운로드가 잘 안되는 경우가 있어서 별도로 파일을 업로드 합니다.
미국의 경우 FISMA, GLBA, SOX, HIPAA, PCI-DSS 등의 법률에서 로그를 관리하도록 요구를 하고 있는데요, 그냥 로그를 관리하라고 항목으로만 들어가 있으면 '어떻게' 관리하라는거냐? 라는 의문이 생기게 되겠지요. 여기에 대한 가이드를 주는 문서가 SP 800-92라고 할 수가 있겠습니다.

본적적인 이야기는 2장에서부터 시작이 됩니다.

2. Introduction to Computer Security Log Management 
컴퓨터 보안 로그에 대한 기본 정보를 제공합니다. 보안 소프트웨어, 운영 시스템, 어플리케이션에서 발생하는 로그에 대하여 설명하고, 로그 관리의 필요성을 이야기 합니다. 로그 관리에 대한 저장이나 보호, 분석 등의 도전과제에 대하여 설명을 하고, 이러한 어려움을 극복하기 위한 솔루션을 간단하게 설명합니다.

3. Log Management Infrastructure
로그의 생성, 분석 및 저장, 모니터링 등 로그 관리 인프라의 기본적인 세가지 계층을 설명하고, 로그 관리에 필요한 기능들을 정리합니다.
그리고 가장 기본적인 Syslog 베이스의 로그 관리에 대하여 설명하고, 일반적으로 로그 관리에 사용되는 SIEM(Security Information and Event Management) 등의 솔루션에 대하여 설명하고 있습니다.

4. Log Management Planning
로그 관리를 위한 시스템이나 네트워크관리자, 보안 관리자, CERT, CIO, 감사자 등의 역할과 책임, 실행가능한 로깅 정책의 수립, 로그 관리 인프라의 설계에 대하여 설명합니다.

5. Log Management Operational Processes
로그를 발생하는 관리대상시스템에서의 발생 설정, 로그 분석, 식별된 이벤트에 대한 대응. 그리고 로그 관리 인프라가 구축이 된 이후에도 정책의 변경이 필요한지에 대해서 주기적으로 점검하는 등의 운영 상의 관리 프로세스에 대하여 설명합니다.


상용 솔루션의 도입

국내 및 해외의 통합로그관리제품의 경우 SP 800-92에서 설명하고 있는 로그 관리에 필요한 기술적인 부분과 운영 하는 데에 필요한 관리적인 프로세스를 지원하는 것을 기본으로 설계가 되고, 구현이 되어 있습니다.

로그를 잘 관리하는 것이 매우 중요한 일입니다만, 발생하는 로그의 용량도 너무 많고, 포멧도 제각각이라 저장을 하더라도 지속적으로 검토하기가 어려운 것이 사실입니다. SP 800-92의 내용을 잘 살펴보고, 담당하고 있는 조직에서 필요한 로그 관리의 요구를 파악한 후 상용 솔루션을 검토해보시기를 바랍니다 ^^

하지만 'No Silver Bullet'이라는 말처럼 솔루션이나 신기술이 모든 것을 해결해주지는 못합니다. 가장 중요한 것은 담당자의 지속적인 관리와 노력이겠지요 ^^