최근 일본의 최대 가상화폐 거래소 코인체크에서 580억 엔(약 5660억 원)의 상당의 가상화폐가 해킹 당했다는 소식이 있었습니다. 돈이 모이는 곳은 역시 해킹의 위협에서 벗어나기 어렵다는 것을 다시 한번 확인시켜주는 사례였습니다.
돈이 모이는 대표적인 곳 중의 하나인 은행 역시 마찬가지라, 당사가 최근에 진행한 A은행 프로젝트 사례를 통해 BI(Business Intelligence)가 어떻게 보안 위협을 줄여줄 수 있는지 이야기 해볼까 합니다.  

 당사는 최근에 A은행 ‘정보보호 통합 플랫폼’ 구축 프로젝트에 참여했습니다. A은행은 ‘정보 보호부’를 통해 날로 증가하는 해킹 및 보안 위협에 대응하고 있습니다. 다양한 노력에도 불구하고 정보 자산의 중요성이 나날이 증가하다 보니, 하루가 멀다 하고 새롭게 생겨나는 운영 기술과 운영인력의 부족으로 인해 업무의 어려움이 가중되고 있었습니다. 그럴 만도 한 것이 5개 영역의 200여대 개별시스템에서 일어나는 각종 이슈가 워낙 다양하고 방대하여, 이들을 제때 대응하기에도 어려운 것이 현실이었습니다.
 이에 NBA(네트워크 행동 분석)과 UBA(사용자 행동 분석)을 기반으로 정보보호 통합 플랫폼 기획을 하고, 당사의 Qlik_Sense와 스타트업 기업인 ‘이디엄’의 Logpresso를 도입하여 ‘정보보호 통합 플랫폼’을 구축하였습니다.

 아래의 간략한 아키텍처를 통해 살펴보면, 네트워크 신호와 사용자 사용에 따른 실시간 로그를 바탕으로 사전에 정의된 정보 보안 시나리오를 시각화 하여 보여주는 시스템입니다. 즉, 로그 기록을 통해 보안 위협에 대한 이상 신호를 사전에 탐지할 수 있도록 하는 것입니다.
 조금 더 상세히 설명하면, 로그프레소(Logpresso)에서 ETL(Extraction, Transformation, Loading/추출, 변환, 적재) 과정을 거친 데이터 혹은 미들웨어에 적재된 데이터를 가져와 Qlik_Sense에서 시각화 하게 됩니다. 이 시각화를 통해, 데이터의 추이를 확인할 수 있고, 뿐만 아니라 관리자가 실시간으로 다차원 분석을 실행하여 내부에서 감지한 신호들간의 연관 관계를 찾아 신속하게 대응할 수 있도록 지원합니다.

 당사가 서비스하는 Qlik Sense에 대해서는 홈페이지 내에서 활용사례와 다양한 정보를 찾아 보실 수 있는데요, ‘정보보호 통합 플랫폼’에 사용된 로그프레소(Logpresso)의 개념은 조금 생소하실 것 같습니다.
 로그프레소(Logpresso)는 스타트업 ‘이디엄’에서 출시한 빅데이터 분석 솔루션으로, 여러 보안 장비의 로그 파일을 실시간으로 수집 후 파싱(Parsing, 내가 원하는 데이터를 특정 패턴이나 순서로 추출하여 정보로 가공하는 것을 의미) 작업을 통해서 자체적으로 적재하거나 미들웨어 단으로 데이터를 적재합니다. 관심 있으신 분들이라면 쉽게 스플렁크(Splunk)를 떠올리실 텐데요, 실제적으로도 빅데이터 분석에 있어서는 두 솔루션이 많이 비교되고 있습니다. 스플렁크(Splunk)를 직접 다뤄보지를 않아서 정확하게 비교할 순 없지만, 로그프레소(Logpresso)의 데이터 수집, 적재, Rule 정의 등의 성능 및 기능은 타의 추종을 불허한다는 평을 받고 있습니다. 그리고 이러한 점을 강점으로 인정받아 다양한 사이트에 적용되고 있습니다. 혹시 기회가 된다면, 로그프레소(Logpresso)와 스플렁크(Splunk)를 비교 정리해 보겠습니다.

향후 빅데이터, BI 영역의 강화를 위해 저희 이수시스템도 ‘이디엄’과 파트너 계약을 맺었습니다.
서로 각기 다른 시스템들간의 개별적 분석은 물론이고, 통합적인 분석도 할 수 있는 플랫폼에 대해서 궁금하신 분들은 언제든 연락을 주시기 바랍니다.