IT강국, 전 세계적 정보통신 인프라 구축 그 이면에는 각종 침해사고대란, 개인정보유출 등 인터넷 환경에서의 보안위협은 증가하고 매일 새롭게 발전하는 기술에 따른 각종 위협 공격이 기업의 존폐여부를 결정할 정도의 중요한 이슈가 되었다.
이에 위협에 대응하기 위한 방화벽, IDS/IPS, DDoS, 백신 등을 비롯한 다양한 보안장비는 나날이 발전하고 늘어나며 보안장비로부터 발생하는 보안이벤트는 갈수록 증가하지만 보안관제 업무를 수행하는 자원은 과거와 비교해 크게 증가하지 않았다. 한정된 관제 자원으로는 보안관제 수행에 한계가 있어 이에 시스템을 통한 효율적인 관리의 필요성이 요구 되었다.
이러한 배경에 의해 통합 보안 관리 시스템인 ESM이 도입되기 시작했으며 일반적인 로그 수집 시스템과는 달리 보안이벤트를 수집하고 저장, 검색하는 기능만이 아닌 실시간으로 수집된 이벤트를 분석하여 발생한 경보를 통해 공격 발생 시 최단시간 내에 제한된 자원으로 대응할 수 있도록 경보 기능을 제공하여 사이버공격 발생 시 경보 발생을 통한 신속한 분석 및 대응으로 효율적인 보안관제 업무가 가능하게 되었다.
하지만 ESM은 보안이벤트를 수집하여 분석하는 시스템으로 보안 장비에서 발생하는 이벤트에 절대적인 영향을 받는 태생적 한계가 존재하게 되었다. 시간이 흐를수록 발생하는 보안이벤트 양이 증가함에 따라 비례하여 대응해야 할 경보 발생 건수가 증가하고 분석 성능의 제약으로 APT와 같은 지속적인 기간 동안 발생하는 공격 이벤트에 대하여 제한된 분석 주기로 발생하는 단편적인 경보만으로 공격 발생 시 대응해야 하는 어려움이 발생하였다. 또한 보안이벤트의 수집과정에서 정규화 과정을 통한 제한적인 형태로 수집되어 IP, Port 등 공통적인 정보만으로 상관 분석 기능을 제공하는 구조적 문제로 경보 이벤트의 공격여부 판단을 위해 추가적인 분석과 대응에 많은 자원이 필요하게 되어 ESM의 도입 목적인 보안관제 업무의 효율성이 떨어지는 문제가 발생하였다.
이에 본 논문에서는 ESM의 중요기능인 경보 기능에 대한 문제점을 검토 및 개선하여 효과적인 공격 탐지를 통한 효율적인 보안관제 업무를 위한 방안을 제시하고자 한다.