"웹로그, 앱로그, ID로그, 심지어 자동차나 공장 등에서 나온 데이터들까지 하나의 장소에 모아두고 다양한 렌즈로 볼 수 있어야 합니다."
빅데이터 분석 플랫폼을 제공하고 있는 스플렁크에게 보안은 수많은 로그들을 분석해 그들 중 의미있는 로그를 뽑아내 필요한 조치를 취하는 것이다. 이를 위해 방화벽 등 네트워크 보안장비는 물론 사물인터넷(IoT), 클라우드, 기업 내 데이터센터 등으로부터 빅데이터 수준에 달하는 로그를 빠르게 수집해 처리하는 역량이 필수다.
3일 서울 삼성동 코엑스 그랜드볼룸에서 개최된 국제해킹방어대회 코드게이트2016에 참석한 스네할 안타니 스플렁크 최고기술책임자(CTO)는 "빅데이터 기반 로그를 수집해 저장한 뒤에는 다양한 렌즈를 써서 해결해야할 문제를 발견해내는 것이 중요하다"고 강조했다.
빅데이터 수준의 로그를 수집하더라도 이들을 어떤 렌즈로 보느냐에 따라서 분석할 수 있는 역량이 달라진다는 뜻이다. 보안 영역에서는 IT운영팀, 보안센터, 사기감시센터 등에 따라 같은 빅데이터 로그를 어떤 형태로 상관관계분석 방식에 차이가 난다.
관련기사
- "AI 보안, 지능형 공격 막기는 아직 무리"2016.05.03
- 포티넷-스플렁크, 기업 보안 위해 기술협력2016.05.03
- 스플렁크, 머신러닝 기반 보안 스타트업 인수2016.05.03
- 빅데이터 활용한 보안 기술 확대일로2016.05.03
이런 맥락에서 그는 "스플렁크의 경우 데이터를 보고하는 것이 아니라 조사하는 플랫폼"이라고 밝혔다. 수집된 데이터 중 전월대비 실적이 얼마나 개선됐는지를 확인하기 위해서는 지정된 데이터들만 분석해 결과값을 보여주면된다. 그러나 보안위협에 대한 분석과 같은 것은 보안분석가들이 직접 수많은 데이터들 중 이상징후를 파악하기 위해 어떤 질문을 날리는가에 대한 역량이 중요해진다. 사냥꾼이 사냥하듯 분석가들은 숨어있는 위협을 찾아내야하기 때문이다. 이를 두고 그는 '스키마-온-리드(Schema-on-read)'라고 부른다.
그의 설명에 따르면 보안분석가들 입장에서는 하루에 20개 정보 보안이벤트에 대한 분석만 가능하다. 하루에 2만여건 이상 보안이벤트를 받았을 때 이들 중 어떤 이벤트가 중요한 것인지를 추려내는 작업이 필수다. 스플렁크와 같은 빅데이터 분석 플랫폼이 이러한 작업을 도와준다고 안타니 CTO는 설명했다.