대우증권

통합로그관리시스템 구축사례

2007. 10. 23

대우증권 네트웍보안파트 김정혁secure@bestez.com

2

목 차

1. 기존 로그관리 문제점

2. 통합로그관리 구축 배경

3. 통합로그관리 운영 현황

4. 구축 후 개선사항

3

고객

로그인 및 시세정보

증권거래시스템

인터넷

무선망

F/W 접속서버

DB/인증투자정보

계좌정보

호스트

매매주문

거래소

FEP

매매체결시스템

접속서버

통신망장애

주문체결장애

시스템장애

계좌평가시세

F/W

온라인증권거래시스템 장애 현황

4

기존 로그관리시스템 특징

백업 위주의 단순 로그 정책

시스템별 로그 백업관리 혼재

대용량 로그 검색 솔루션 부재

장애원인 분석 인력 및 시간 과다

로그 데이터 무결성 보장 불가

애플리케이션 로그

HTS WTS Mail DB Middleware

시스템 로그

IBM SUN HP NT

보안 로그

F/W IDS VPN IPS WAF Virus

5

각각 다른 솔루션 및 OS에서 발생하는 로그를 통합으로 저장 및 관리가 필요

산재되어 있는 개별 로그의 통합관리가 필요

대용량 로그의 저장 및 복원에 과도한 시간 소요

감독기관의 거래내역 및 감사자료 제공시 소요시간 과다* 5일 데이터 분석 시 10일 이상이 소요

다수의 방화벽에서 발생하는 로그를 한곳에서 저장 및 모니터링이 필요

방화벽 구간에서 발생한 로그에 대한 검색 뷰어가 필요

법적 근거 자료로 사용 할 데이터 확보가 시급

기존 로그관리시스템 문제점

6

시스템 중요 로그의 위.변조를 방지하여 로그의 무결성 및 안정성 강화

실시간 금융거래 로그 저장 및 개별 시스템 로그의 통합관리 구현

기존 저장매체 대비 HTS 로그 검색 소요시간이 10배 이상 향상 (1년 로그 기준)

전자금융감독규정 및 정보통신기반시설물 규정 준수

금융감독원 전자금융감독규정 및 전자금융거래법 준수사항 이행

정보통신부의 정보통신기반시설보호법의 침해사고 관련 규정 이행

정보통신부의 개인정보의 기술적, 관리적 보호 조치 기준 준수

HTS 및 중요 로그의 보안성 강화 및 관리효율 향상

통합로그관리시스템 도입 배경

7

Storage (4TB) Storage (4TB)

INTERNET

ScheduleAgent ScheduleAgent

logschNet

logschNet

logschNet

logschNet

logschNet

logschNet

viewer

통합로그관리시스템 구성도

logschNet

ScheduleAgent 로그수집 Sever 프로그램

거래로그/방화벽 전용 뷰어

로그전송 Agent

viewer

DB접근통제 DB감사

Web HTS Media

사이버망 방화벽

내부망 방화벽

대외기관 및 유저망 방화벽

IDS IPS

관리자로그수집서버-1 로그수집서버-2

8

통합로그관리시스템 구조

logschlist 등록

/백업 받을 디렉토리/*

Crontab에 백업이 수행할 시간을 등록

1차 백업 저장장치(대용량 디스크)

로컬 디스크2차 백업 저장장치

(DVD-R)

백업 프로세스

1. 백업 대상서버

logschNet 프로세스에 의한 스케줄백업 (crontab, 윈도우 예약된 작업)

2. 로그세이버 E2000D

ScheduleAgent 프로그램이 백업 대상서버에서 전송한 데이터를 하드디스크에 저장

SDVDsaver 프로그램으로 하드디스크에 저장된 내용을 DVD 매체로 저장

logschlist 등록

/백업 받을 디렉토리/*

logschlist 등록

/백업 받을 디렉토리/*

9

관리 PC

로그세이버 E2000D

관리 및모니터링

TAPE보관실백업 대상서버

Logsaver

DVDLabel 부착

HDD/스토리지

DVD-RW

백업 ScheduleAgent

DVD보관

스케줄 전송

logschNet

스케줄 단위DVD 교체/보관

모니터링, DVD교체/보관

에이전트

관리자

에이전트설치/관리

로그복구

모니터링, 로그대상 설정, 로그조회, 로그복구

관리서버

운영자

거래로그, 방화벽 로그 검색

업무 프로세스 흐름도

10

거래 로그의 저장 및 검색

운영프로세스 흐름도

여러 대의 HTS 거래로그 서버에서 발생된 로그를 특정 수집 서버로 전송

수집된 로그는 logschNet 프로그램을 통해서 스케줄 단위로 로그세이버 서버로 전송

네트워크를 통한 전송으로 데이터의 무결성을 확보하기 위해 암호화 데이터 전송

4TB(userable 3.2TB)의 대용량 디스크에 1차로 보관하고, DVD 매체에 2차 백업으로 구축하여, 3개월 이내에 발생한 로그는 대용량 디스크에서 검색을 하고,이전 데이터는 DVD에 저장된 데이터를 복원

거래 로그 전용 뷰어(logviewer)를 통해 거래로의 HOST, DB, TR로그를 분석한다. 고객의 요청이나 감사자료로 제공 시 1차 저장장치(대용량 스토리지)에서 검색하여 결과를 확인하고, 리포트로 출력이 가능

ScheduleAgent

viewer

logschNet

11

운영프로세스 흐름도

이기종 방화벽 장비에 설치된 logschNet Agent를 통해 스케줄단위로 로그를 전송

일정 기간 동안 보관하기 위해 원본로그를 대용량 스토리지에 저장하고, 스케줄에 따라 DVD-R에 영구 보관용으로 저장

방화벽 전용 뷰어를 통해 서버 단위 및 구간별 방화벽 장비의 로그를 검색

logschNet

ScheduleAgent

viewer

방화벽 로그의 저장 및 검색

12

1

17

7

7

1

6

거래로그수집서버 Secuworks 방화벽 NXG 방화벽 IDS DB 보안서버 기타

56%

41%

3%

sun linux windows

로그세이버 적용 현황

OS별 분포(%)

업무별 분포(대수)

13

로그 백업 및 DVD 저장 현황

업무별 분포(대수)

DVD 사용량(일주일 평균)

HTS로그 S-방화벽 N-방화벽

220G

43G

5G

일 평균 주 평균

38G

7G0.8G

HTS로그 S-방화벽 N-방화벽

14

로그 뷰어 검색

거래로그 검색기

방화벽로그 검색기(I) 방화벽로그 검색기(II)

15

구축 후 개선사항

분산되어 관리한 로그를 로그세이버를 통해 통합 관리가 가능함

고객의 거래내역 검색 및 감사자료의 제공 시간 단축

방화벽 로그 뷰어를 통한 검색의 불편함 및 작업 시간 단축

무결성 저장 매체(DVD-R)에 로그데이터 보관으로 법적 근거 자료 확보

전자금융거래법 증명 데이터를 보관하고 분쟁시 증빙 데이터로 활용