[논문]로그 데이터를 이용한 통합모니터링 시스템

전병진; 윤덕병; 신승수

doi:10.22156/cs4smb.2017.7.1.035

로그 데이터를 이용한 통합모니터링 시스템
Integrated Monitoring System using Log Data 원문보기

융합정보논문지 = Journal of Convergence for Information Technology, v.7 no.1, 2017년, pp.35 - 42

전병진 (동명대학교 정보보보학과) , 윤덕병 (동명대학교 경영학과) , 신승수 (동명대학교 정보보보학과)

초록
AI-Helper

본 논문에서는 정보보안 담당자의 분석 업무 부하를 줄이고, 신속한 정보유출 감지를 위해 로그 데이터를 이용한 통합모니터링 관리시스템을 구현을 제안한다. 이를 위해 개별 보안시스템(MSSQL)에서 발생하는 대용량의 로그 데이터를 통합모니터링 관리시스템(ORACLE)으로 전송하는 이(異)기종 DBMS간의 전송 모듈을 개발하고, 전송된 로그 데이터를 일자별, 개인별로 수치화하는 방법에 대해 연구하고, 수치화된 데이터를 이용해 정보유출 징후감지 시 악의적인 사용자에 대한 검사와 조치 방법에 대해 연구했다.

Abstract ▼ AI-Helper

In this paper, we propose to implement an integrated monitoring system using log data to reduce the load of analysis task of information security officer and to detect information leak in advance. To do this, we developed a transmission module between different model DBMS that transmits large amount of log data generated by the individual security system (MSSQL) to the integrated monitoring system (ORACLE), and the transmitted log data is digitized by individual and individual and researches about the continuous inspection and measures against malicious users when the information leakage symptom is detected by using the numerical data.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 다음과 같은 기능을 수행하여 효과적으로 악의적인 정보유출을 확인할 수 있는 실시간 통합 모니터링 시스템을 제안하고자 한다. 악의적인 사용자 구분을 위한 시나리오를 등록해서 발생한 로그 데이터를 개인별로 수치화된 값이 사내 보안 규정에 정한 임계치를 초과하면 위험관리 인물로 등록할 수 있게 하며[10], 위험관리 인물로 등록될 경우 출입 지역을 통과할 때 집중적으로 소지품을 검사하여 정보유출을 탐지할 수 있도록 한다.
본 논문은 악의적인 사용자에 의한 정보 유출을 사전에 예측하고 분석하기 위해 개별 보안시스템에서 통합모니터링 시스템으로 전송되는 로그 데이터를 기반으로 일자별, 개인별 수치화 기능을 추가하여 시스템의 처리 속도를 개선하고, 정보보안 담당자의 주관적인 판단을 최대한 배제하여 악의적인 사용자의 정보 유출을 관리할 수 있는 시스템을 제안하였다. 제안한 방식은 오프라인으로 관리되던 악의적인 사용자들의 검사 결과와 조치 내용을 온라인으로 관리하여 정보보안 담당자가 부재중일 때도 악의적인 사용자의 정보 유출을 상시 관리 가능토록 하였다.
보안 근무자는 악의적인 사용자의 가방, 핸드폰 등을 검사하여 검사 결과를 검사 등급 확인 후 위험인원 관리 화면에 저장한다. 정보보안 담당자는 위험인원 관리 화면에 저장된 검사 결과 값을 기준으로 조치 내용을 저장후 보고서를 작성하여 상급자에게 보고한다. 이와 같은 시스템 구성과 데이터 흐름은 Fig.

가설 설정

두 번째, 저장 장치를 통한 자료 유출 방지 기능. 세 번째, 네트 워크를 통한 유출 방지 기능이다. 네트워크를 통한 내부 정보 흐름의 확인할 수 있게 되어 사용자의 실수 또는 잘못된 판단으로 인해 발생할 수 있는 내부정보 유출 경로를 사전에 예방할 수 있는 정책을 수립할 수 있다.

제안 방법

본 절에서는 IMSD 시스템의 구현 환경은 하드웨어와 소프트웨어로 구성된다. 그리고 IMSD 시스템의 프로토콜 구현을 위해 단계별 모듈을 정의하고 오라클 프로시져와 JAVA APPLICATION으로 모듈을 구현한다.
세 번째, 상위 5명의 로그 데이터를 시간별로 확인했다. 네 번째, 상위 5명의 로그 데이터를 요일별로 확인해서 악의적인 사용자의 정보 유출 감지 현황을 분석했다.
셋째, 선택된 상위 5명의 직원들이 사용한 개별 보안시스템의 심야시간 로그 데이터를 확인했다. 넷째, 선택된 상위 5명의 직원 들이 공휴일에 사용한 개별 보안시스템의 로그 데이터를 확인하여 정보유출 감지 현황을 분석했다.
첫째, 개별 보안시스템을 많이 사용하는 직원들 중 상위 5명의 직원들을 선택했다. 둘째, 선택된 상위 5명의 직원들의 시나리오 사용 현황을 확인했다. 셋째, 선택된 상위 5명의 직원들이 사용한 개별 보안시스템의 심야시간 로그 데이터를 확인했다.
본 장에서는 통합모니터링 시스템(IMS : Integrated Monitoring System)의 사용자들이 악의적인 목적으로 데이터를 유출할 수 있는 방법이 다양하게 존재하기 때문에 이러한 문제점을 해결하고자 로그 데이터를 이용한 통합모니터링 관리시스템(IMSD : Integrated Monitoring System using Log data)을 제안한다.
둘째, 선택된 상위 5명의 직원들의 시나리오 사용 현황을 확인했다. 셋째, 선택된 상위 5명의 직원들이 사용한 개별 보안시스템의 심야시간 로그 데이터를 확인했다. 넷째, 선택된 상위 5명의 직원 들이 공휴일에 사용한 개별 보안시스템의 로그 데이터를 확인하여 정보유출 감지 현황을 분석했다.
제안하는 IMSD의 시스템 구성은 5개의 개별 보안시스템(PC Plus, 메일, VPN, 복합기, FAX)과 통합모니터링 시스템으로 구성된다. 제안된 시스템의 데이터 흐름은 다음과 같다.
본 논문은 악의적인 사용자에 의한 정보 유출을 사전에 예측하고 분석하기 위해 개별 보안시스템에서 통합모니터링 시스템으로 전송되는 로그 데이터를 기반으로 일자별, 개인별 수치화 기능을 추가하여 시스템의 처리 속도를 개선하고, 정보보안 담당자의 주관적인 판단을 최대한 배제하여 악의적인 사용자의 정보 유출을 관리할 수 있는 시스템을 제안하였다. 제안한 방식은 오프라인으로 관리되던 악의적인 사용자들의 검사 결과와 조치 내용을 온라인으로 관리하여 정보보안 담당자가 부재중일 때도 악의적인 사용자의 정보 유출을 상시 관리 가능토록 하였다. 그러나 제안한 시스템은 합법적인 사용자의 업무상 정상적인 데이터 전송행위 또한 탐지될 수 있어 불필요한 로그 데이터를 DB에 저장하게 되므로 정상 적인 데이터 전송행위도 DB에 저장하게 되고 추가적인 하드웨어 비용이 발생하는 단점이 있다.
통합 로그분석 시스템은 정보유출 행위 탐지를 위해 각 단위시스템을 연동이 필요하다. 제안한 시스템은 크게 3가지 모듈로 구성되며, 연동된 단위시스템 으로부터 로그들을 수집하는 로그수집 모듈, 사전에 분석한 위협 시나리오를 기반으로 작성된 규칙을 이용하여 유출행위를 탐지하는 로그분석 모듈, 로그분석 모듈에 의해 산출된 각종 결과들을 데이터베이스에 저장하고 관리자가 이를 모니터링하거나 분석할 수 있도록 콘솔 정보에 맞게 가공하여 보고서를 생성하는 보고서 생성 모듈로 구성된다.
이와 같은 야근 없는 기업 문화가 정착되어 가고 있음에도 불구하고 심야시간 (22:00∼04:00)에 근무하는 직원들이 아직도 있다. 주․ 야간 중에서 특히 야간에 정보유출이 많이 발생하는 사례를 바탕으로 직원 1인당 평균(33.66건)보다 개별 보안 시스템을 많이 사용한 직원 5명의 심야시간 로그 데이터 사용량을 분석한다. 악의적인 사용자 검증에 사용된 분석방법은 다음과 같다.
분석한 시스템들은 직원 수가 작은 소규모의 기업체를 대상으로 했으며, 사내 보안 규정에서 허가한 정상적인 데이터의 이동 또한 모니터링 대상에 포함시켰다. 직원 수가 많은 대기업과 악의적인 사용자의 데이터 이동만을 모니터링 대상으로 포함하는 로그 데이터를 이용한 통합모니터링 관리시스템을 제안한다.

대상 데이터

평균보다 개별 보안시스템을 많이 사용한 직원들 중 상위 5명을 분석대상으로 선정하고, 익명성을 보장하기 위해 직원들 5명을 각각 사용자 A∼E로 명명한다. 그리고 분석 데이터 167,496건, 시나리오 수 4,976건, 로그 TYPE 16건, 시나리오 종류는 3건을 대상으로 분석했다. 구체적인 시나리오 이름, 로그 TYPE, 시나리오 종류는 Table.
L사를 선정한 이유는 정보유출을 방지하기 위한 개별 보안시스템과 통합모니터링 시스템이 구축되어 있기 때문이다. 로그 데이터를 이용한 통합모니터링 관리시스템의 검증을 위해 사용된 로그 데이터는 2016년 9월 1일부터 30일까지 한 달간 개별 보안시스템에 저장된 167,496건이다. 167,496건의 로그 데이터는 실제 운영 중인 L사의 로그 데이터이기 때문에 상세히 표시할 수는 없다.
로그 데이터를 이용한 통합모니터링 관리시스템의 분석대상은 사무직·생산직·협력업체까지 포함한 사용자 수가 12,000명이 넘는 L사 선정했다.
이재용 등[6]과 백민경 등[7]은 각각의 위협 규칙에 의하여 탐지된 위협 행위에 관한 다양한 정보를 실시간으로 관리자에게 알려주어 정보가 수집되는 단계부터 실제 정보가 외부로 전송되는 전체 유출 경로를 파악할 수 있다. 분석한 시스템들은 직원 수가 작은 소규모의 기업체를 대상으로 했으며, 사내 보안 규정에서 허가한 정상적인 데이터의 이동 또한 모니터링 대상에 포함시켰다. 직원 수가 많은 대기업과 악의적인 사용자의 데이터 이동만을 모니터링 대상으로 포함하는 로그 데이터를 이용한 통합모니터링 관리시스템을 제안한다.
본 논문에서 제안한 로그 데이터를 이용한 통합모니 터링 관리시스템에서 악의적인 사용자 검증을 위해 사용된 분석방법은 다음과 같다. 첫 번째, 시스템 사용량이 많은 상위 5명을 선택했다. 두 번째, 상위 5명의 시나리오 사용 현황을 확인했다.
첫째, 개별 보안시스템을 많이 사용하는 직원들 중 상위 5명의 직원들을 선택했다. 둘째, 선택된 상위 5명의 직원들의 시나리오 사용 현황을 확인했다.

성능/효과

66건이다. 그러나 상위 5명의 건수는 1인당 로그 데이터 사용량 평균대비 89배(사용자 E)에서 141배(사용자 A)에 이르는 것이 확인됐다. 개별 보안시스템을 많이 사용하는 직원들 중 상위 5명과 사용 현황은 Fig.
네 번째, 선택된 상위 5명의 직원들의 공휴일 개별 보안시스템 사용 현황은 사용자 A는 1,665건, 사용자 B는 513건이고, 사용자 C는 1,422건, 사용자 D는 207건, 사용자 E는 194건이 확인되었다. 공휴일에 선택된 상위 5명의 직원들이 사용한 개별 보안시스템의 로그 데이터를 확인한 결과는 Fig.
네 번째, 악의적인 사용자 관리 로직 : 악의적인 사용자 관리 로직은 통합모니터링 시스템에서 사용한 시나리 오를 기준으로 시스템에서 자동 등록한 악의적인 사용자 이외에 정보보안 담당자가 위험인원관리 메뉴에서 악의 적인 사용자 관리하는 것이다. 악의적인 사용자 관리를 위해 조회, 추가, 수정 작업이 이루어진다.
두 번째, IMSD의 로그 데이터를 일자별, 개인별 수치화 로직：로그 데이터 수치화 로직은 IMSD의 로그 데이터를 일자별, 개인별로 수치화하는 것이다. IMSD의 로그 데이터 수치화 프로시저의 실행 조건은　오라클의 내장 함수인 SYSDATE이다.
두 번째, 선택된 상위 5명의 직원들이 정보보안 담당 자가 악의적인 사용자를 선별하기 위해 등록한 시나리오를 사용한 현황 중 ‘가’인 경우는 사용자 E가 관련키워드 포함 시나리오를 사용한 것이고.
그러나 제안한 시스템은 합법적인 사용자의 업무상 정상적인 데이터 전송행위 또한 탐지될 수 있어 불필요한 로그 데이터를 DB에 저장하게 되므로 정상 적인 데이터 전송행위도 DB에 저장하게 되고 추가적인 하드웨어 비용이 발생하는 단점이 있다. 또한, 제안한 시스템으로도 일정 부분 정보 유출이 발생한 후 사후 조치를 하다 보니 악의적인 사용자에 대한 징계는 이루어지지만, 유출된 정보는 회수하더라도 이미 경쟁사에 넘어간 경우도 확인되었다. 이렇게 경쟁사로 넘어간 유출된 정보를 회수하기 위해 법적인 소송에 상당한 시간이 걸린다.
심야시간 개별 보안시스템 사용량이 많은 사용자 B는 3교대를 하는 작업 라인의 심야 근무자였다. 세 가지 사용 현황에 공통적으로 나타나는 사용자 D는 임원 승진이 늦어지고 있는 부서장이며, 사용자 E는 퇴직을 신청한 인원인 것으로 확인되었다.
세 번째, 선택된 상위 5명의 직원들의 심야시간 개별 보안시스템 사용 현황은 사용자 A, C는 0건이고, 사용자 B는 711건, 사용자 D는 73건, 사용자 E는 109건이 확인 되었다. A기업의 730 업무지침이 준수되고 있다는 전제 하에 심야시간(22:00∼04:00)에 상위 5명의 로그 기록을 확인한 결과는 Fig.
여섯 번째, 정보 유출 검사 및 조치 관리 로직 : 정보 유출 검사 및 조치 관리 로직은 악의적인 사용자의 출입이 감지되면 보안근무자가 검사등급 및 검사결과를 입력 하고 정보보안 담당자는 검사결과에 따른 조치내용을 저장하는 것이다. 악의적인 사용자의 정보유출 관리를 위해 조회, 추가, 수정 작업이 이루어진다.
제안하는 로그 데이터를 이용한 통합모니터링 관리시스템의 목적은 개별 보안시스템(MSSQL)의 로그 데이터를 수치화해서 통합모니터링 관리시스템(ORACLE)로 전송 후 사내에서 정보유출 징후가 감지되면 사전에 악의적인 사용자의 출입을 막고 짧은 시간(5초 이내)에 정보유출 이력을 확인 후 검사 결과와 조치 결과를 입력해서 실시간으로 정보보안 담당자나 보안 근무자가 악의적인 사용자를 관리할 수 있다[12].
첫 번째, 분석기간 1개월의 총 로그 데이터 건수는 167,496건이며, 사용자 1인당 평균 33.66건이다. 그러나 상위 5명의 건수는 1인당 로그 데이터 사용량 평균대비 89배(사용자 E)에서 141배(사용자 A)에 이르는 것이 확인됐다.

후속연구

악의적인 사용자 구분을 위한 시나리오를 등록해서 발생한 로그 데이터를 개인별로 수치화된 값이 사내 보안 규정에 정한 임계치를 초과하면 위험관리 인물로 등록할 수 있게 하며[10], 위험관리 인물로 등록될 경우 출입 지역을 통과할 때 집중적으로 소지품을 검사하여 정보유출을 탐지할 수 있도록 한다. 또한 악의적인 사용자에 대한 검사 내용, 조치 내용을 관리할 수 있는 메뉴를 개발해서 정보유출 탐지의 연속성이 보장될 수 있도록 한다.
이렇게 경쟁사로 넘어간 유출된 정보를 회수하기 위해 법적인 소송에 상당한 시간이 걸린다. 이러한 단점은 향후 연구가 더 필요한 부분으로 제안한 시스템과 진화된 문서관리시스템(DMS : Document Management System)을 병행하는 방법으로 해결될 수 있을 것이다[10].

질의응답

핵심어	질문	논문에서 추출한 답변
	IMSD의 특성은?	IMSD는 통합모니터링 시스템에서 악의적인 사용자의 정보유출 감지를 위해 등록한 시나리오 조건에 의해 생성된 개별 보안시스템의 로그 데이터를 일자별, 개인 별로 수치화해서 정보보안 담당자가 악의적인 사용자의 정보유출에 대해 신속하게 대응하고 오프라인으로 관리 되던 악의적인 사용자의 검사 및 조치 현황을 온라인으로 지속적인 관리를 가능하게 한다.
	보안시스템을 도입은 어떠한 위험에 대비하기 위함인가?	기업의 내부정보 유출 사고는 기업의 이미지 손실뿐만 아니라 금전적인 손실을 발생시킬 수 있어 다양한 데이터 유출 방지 시스템이나 방화벽 등 보안시스템을 도입하여 이러한 위험에 대비하고 있다. 직원들의 개인적인 금전적 이득과 내부 직원들의 의도적인 정보유출로 기업들은 몸살을 앓고 있다[1].
	정보유출 방지 시스템의 한계점은?	한편, 대부분의 정보유출 방지 시스템들은 정보의 보안과 내부 인원의 정보유출에 대한 탐지 기능을 제공한 다. 그러나 정보보안 담당자의 휴가·출장 등의 이유로 자리를 비울 경우 실시간 정보유출에 대한 모니터링을 할 수 없어 정보유출 탐지의 연속성이 보장되지 않는다. 그리고 정보유출 모니터링 대상 직원들이 많을 경우 정보 보안 담당자의 모니터링 업무가 증가한다[8,9]. 이러한 정보유출 탐지의 연속성 보장과 정보보안 담당자의 효율적인 모니터링을 위해 새로운 시스템이 필요하다.

참고문헌 (13)

G. H. Lee and C. G. Lee, "A Study on Building Leakage Prevention System using Analysis of Information Leakage Signs," Korea Institute Of Information Security And Cryptology, REVIEW OF KIISC, Vol. 19, No. 3, pp. 70-79, Jun. 2009.
J. H. Kim and H. J. Kim, "Prevention of information leakage and privacy violation," Korea Institute Of Information Security And Cryptology, REVIEW OF KIISC, Vol. 21, No. 5, pp. 45-49, Aug. 2011.
A. B. Garba, J. Armarego, D. Murray and W. Kenworthy, "Review of the information security and privacy challenges in BYOD environments," Journal of Information privacy and security, pp. 38-54, 2015.
D. S. Choi, G. J. Mun, Y. M. Kim and B. N. Noh, "An Analysis of Large-Scale Security Log using MapReduce," Journal of KIIT, Vol. 9, No. 8, pp. 125-132, Aug. 2011.
Y. H. Kim, E. N. Huh, "Personalized Analysis System for Enterprise Log Data Analysis," Korea Institute Of Information Security And Cryptology, Korea Institute Of Information Security And Cryptology, Vol. 23, No. 6, pp. 1149-1150, Jun. 2014.
J. Y. Lee and S. Y. Kang, "Design and Verification of the Integrated Log Analysis System for Enterprise Information Security," Journal of Digital Contents Society, Vol. 9, No. 3, pp. 491-498, Sept. 2008.
M. K. Baek and G. S. Lee, "A Study of Influence of Data Loss Prevention based on Contents", Department of Information and Communications Graduate School of Konkuk University, 2011.
S. J. Park and J. I. Lim, "A study on the development of SRI(Security Risk Indicator)-based monitoring system to prevent the leakage of personally identifiable information," Journal of the Korea Institute of Information Security & Cryptology, pp. 637-644, Jun. 2012.
D. S. Kim and S. R. Kim, "A Study on Monitoring Method about Information Leakage Sign using Application Log," Journal of Korean Institute of Information Technology, pp. 83-91, 2013
M. B. Hyun, S. J. Lee, "The Proactive Threat Protection Method from Predicting Resignation Throughout DRM Log Analysis and Monitor," Journal of the Korea Institute of Information Security & Cryptology, Vol. 26, No. 2, pp. 369-375, Apr. 2016.

원문보기 상세보기
H. S. Ahn, E. J. Yoon, K. D. Bu, I. G. Nam, "Secure and Efficient DB Security and Authentication Scheme for RFID System," Korea Institute Of Communication Sciences, The Journal of The Korean Institute of Communication Sciences, Vol. 36, No. 4, pp. 197-206, Apr. 2011.

원문보기 상세보기
K. S. Yu, S. H. Im and H. B. KIM, "Technology trend and development direction of integrated log management system," Journal of the Korea Institute of Information Security & Cryptology, Vol. 23, No. 6, pp. 90-99, Dec. 2013.
D. H. Seo, J. M. Baek, M. K, Lee, M. Y. Yoon and D. S. Cho, "Secure Knowledge Management for Prevent illegal data leakage by Internal users," Journal of Internet Computing and Services, Vol. 11, No. 2, pp. 73-84, Apr. 2010.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증