기업의 내부 정보와 인프라에 대한 보안 침해위험은 언제나 상존해 있고 외부로부터의 위협은 날로 갈수록 고도화, 지능화되고 있으며 침해사고를 통한 시스템 장애 및 내부 정보 유출은 기업과 고객에게 큰 손실을 불러일으키고 있다. 많은 기업이 네트워크 및 엔드포인트 등 다양한 보안 솔루션을 도입하여 외부로부터의 지능화된 위협에 대응하고 있지만, 분산된 보안 솔루션 환경과 수동적인 관리 대응으로 인해 가시성 확보 및 선제적 위협 대응에 한계점을 나타내고 있다.
본 논문에서는 오픈소스인 ELK Stack(ElasticSearch, LogStash, Kibana, Beats)에서 Kibana 대체로 Grafana를 사용한 ELG Stack을 활용하여 보안관제 시스템을 구현하였다. 3 개월간 약 16억 개(약 660GB)의 시스템 로그, 웹서비스 로그 및 방화벽, IPS, Anti-DDoS, 등 보안솔루션의 탐지/차단 로그뿐만 아니라 허용 로그에 대해서도 수집, 저장, 분석하여 보안관제를 구현하였다. 또한, 사전에 정의한 규칙에 위반되면 Slack, 이메일 등을 통해 탐지 알림을 보내어 보안 담당자의 즉각적인 대응이 가능하다.
본 논문에서는 ESM 솔루션과 상용 통합로그관리의 구축이 부담스러운 기업과 보안담당자들에게 대체 방안으로 오픈소스만을 활용하여 통합로그관리 및 보안관제 시스템을 구축하고 기업에서 발생하는 보안 위협 및 이상 징후를 식별하여 선제적으로 대응할 수 있는 체계를 구축하는 방안을 제안한다.