중앙대병원, 통합로그관리로 보안 모니터링 강화… 빅데이터로 영역 확대

1968년 개원한 중앙대 병원은 893병상과 202개의 입원실을 보유한 대형병원으로 분류된다. IT부문에서도 지난 2000년 대 초 건국대병원, 신촌세브란스병원과 비슷한 시기에 종이, 차트, 필름 등을 없앤 풀 EMR(전자의무기록)을 선도적으로 도입하는 등 한발 앞서 대응해왔다.

일반 기업과 금융사와 마찬가지로 2011년 개인정보보호법이 시행되면서 병원들도 고객정보가 담긴 전산장비에 대한 보안과 관리가 중요해졌다. 법률에 따라 로그기록(접속기록)은 6개월간 보관하고 백신프로그램과 방화벽을 설치해 안전하게 관리해야할 의무가 생겼기 때문이다.

이후 2014년 8월 7일부터 개인정보보호법 개정안이 시행되면서 한층 강화된 컴플라이언스에 대해 대응할 필요성이 생겼다. 개인정보보호법의 시행으로 개인정보에 대한 접속이력 위변조 방지 저장 및 관리가 요구됐고 의료기관 개인정보보호 가이드라인의 시행으로 개인정보 유출사고 발생 시 전적으로 병원의 입증 책임성이 대두됐기 때문이다.

이에 따라 중앙대병원은 내부정보 및 고객정보 유출사고의 추적과 증거 확보가 가능한 자동화된 사후관리체계를 제공하는 통합로그감사시스템 구축이 필요하다고 판단했다.

중앙대병원 김영귀 전산정보팀장은 “개인정보보호법이 아니더라도 보안장비에 대한 일원화된 관리와 로그기록 관리가 필요하다고 생각했다. 이러한 목적을 위한 솔루션이 무엇이 있는지 조사하기 시작했다”고 설명했다.

개인정보보호 강화에 따라 중앙대병원엔 다양한 보안장비들이 들어와 있다. 그러다 보니 일원화된 관제 체계가 갖춰지지 못했는데 ‘통합로그관리’ 사업을 통해 한눈에 장비와 서버의 상황을 알 수 있도록 하는 것이 주된 목적이었다.

중앙대병원은 현재 HP슈퍼돔2 2대를 핵심으로 100여대의 서버와 네트워크 장비, 백본, 워크그룹 스위치 등을 운용하고 있다. 이러한 장비에서 하루에 발생하는 로그기록은 약 20기가 분량이다.

효율적인 로그관리를 위해 중앙대병원은 스플렁크(Splunk) 등 대용량 로그를 처리할 수 있는 플랫폼들을 테스트 해 왔다. 하지만 외산 제품의 경우 당시 유지보수와 실시간 지원에 약점을 보였다는 것이 김 팀장은 설명이다. 그는 “외산 솔루션의 경우 4-5개월 테스트해봤었다. 하지만 우리가 원하는 기능에 대해 국내 엔지니어가 답을 빨리 못줬다. 예를 들어 UI개선을 의뢰하면 본사까지 커뮤니케이션이 오고 가야 해 번거로운 점이 있었다”고 설명했다.

그 다음에 눈을 돌린 것이 바로 앤서의 ‘로그프레소’다. 앤서의 로그프레소는 금융권 FDS 등 도입 사례는 다수였지만 병원에 대한 구축 사례는 가지고 있지 못했다. 하지만 중앙대병원은 로그프레소가 중앙대병원이 원하는 기능을 제공할 수 있을 것으로 판단하고 오랜 기간 기능검증(POC)를 진행해 신뢰성을 타진했다.

김 팀장은 “그동안 서버, 네트워크 장비, 스위치 등 개별 장비 관리를 별도의 모니터를 통해 관리하다보니 번거워로 이를 통합할 필요성을 느꼈다. 여기에 서버의 상태까지도 모니터링 했으면 좋겠다고 생각했는데 로그프레소가 이를 다 지원한다고 설명해 기능검증을 통해 테스트를 했다”고 설명했다.

앤서의 로그프레소를 기반으로 한 로그관리시스템 구축 후 중앙대병원은 정보보호 장비에 대한 모니터링을 일원화할 수 있었다.

최근 중국발 랜섬웨어 공격 등이 활발해지고 있어 주의가 필요한 상황에서 로그관리시스템을 통해 효과적으로 대응할 수 있는 체계가 마련됐다는 설명이다. 김 팀장은 “모니터를 통해 이상 시그널이 발생하면 바로 원인을 파악할 수 있는 체계가 이뤄졌다. 향후에는 사용자 환경(UI) 등을 개선할 계획이다”라고 밝혔다.

한편 중앙대병원은 로그관리시스템 고도화도 타진하고 있다. 로그관리시스템을 기반으로 빅데이터 기술을 적용한 임상데이터 웨어하우스(CDW) 구축을 검토하고 있는 것. 김영귀 팀장은 “로그관리에 들어간 엔진을 기반으로 교수들이 편하게 연구자료를 찾아볼 수 있도록 시스템을 구축하는 것을 검토하고 있다”며 “병원의 빅데이터 사업은 대부분 의사들의 연구를 진행하는데 도움이 되는 쪽으로 발전하게 될 것”이라고 설명했다.

<이상일 기자>2401@ddaily.co.kr

https://www.ddaily.co.kr/news/article/?no=141522

둘러보기

더보기

이디엄 "빅데이터 분석 분야 공격적 확장"

가입자 스마트폰이 악성 앱에 감염될 경우 경고해주는 서비스가 지난해 한 통신사의 히트상품이 된 적 있다. 천만명 이상 전체 사용자의 15일간 데이터를 전수 검사해 15분 내에 악성 앱 감염 여부를 판단하는 성능은 웬만한 분석 능력으로는 불가능하다. 데이터 기반 인프라 솔루션 전문기업 이디엄(http://logpresso.com 대표 양봉열)은 이 같은 통신 빅데이터 분석 실력을 앞세워 올해 통신 분야뿐 아니라 금융, 유통, 공공 분야로 빅데이터 솔루션 적용을 공격적으로 늘릴 예정이다. 이디엄이 지난 연말 선보인 빅데이터 분석 솔루션 '로그프레소 3.0'은 기존 풀텍스트 대비 10배 이상의 검색 속도를 제공하는 필드 인덱스 기능을 도입하고 고급 분석을 위한 다양한 분석 기능과 데이터 제한 없는 중첩 조인 지원 기능도 탑재했다. 데이터 수집, 저장, 분석 및 관리에서 획기적으로 편의성을 높인 UX도 주목된다. 사실 2014년 4월 선보인 '로그프레소 2.0'은 뛰어난 성능에도 불구하고 UI와 UX에서 외산 솔루션에 비해 높은 평가를 받지 못했다. 이번에 이 점을 철저히 불식시키려 했다. 적극적인 마케팅도 계획하고 있다. 인지도에서도 외산에 밀리지 않겠다는 각오다. 구동언 이사는 "실시간 처리능력과 분석력에서 외산에 비해 오히려 더 빠른데, 그동안 국산이라서 디스카운트된 면이 있었다"며 "파트너사도 10여개로 늘리고 고객 지원도 강화할 계획"이라고 말했다. '로그프레소 3.0'은 우선 빅데이터 분석의 본류인 수집, 분석, 시각화에 충실했다. IT인프라에서 발생하는 다양한 데이터에 대해 수집부터 저장, 분석, 시각화에 이르는 전체 과정을 통합했다. 컴플라이언스 준수에서부터 서비스품질 데이터 실시간 분석, 개인정보 유출 탐지, 하루 20TB에 이르는 통신로그 분석까지 다양한 목적으로 활용되도록 했다. 로그프레소 3.0은 △수천만건의 이벤트 실시간 분석 △실시간 빅데이터 조인 분석 및 패턴매칭 △초고속 검색 성능을 제공하는 필드인덱싱 △고급 분석을 위한 다양한 분석 기능 제공 등이 장점이다. 이전에는 불가능했던 대규모 빅데이터 실시간 분석을 가능하게 해준다. 이를 통해 급변하는 비즈니스 환경에서 데이터 기반의 인사이트를 보다 빠르게 얻고 보다 신속하게 의사결정을 내릴 수 있게 했다. ◇ 필드 인덱싱으로 검색 성능 10배 이상 개선 로그프레소 3.0은 새로 도입된 필드 인덱싱을 기반으로 기존 풀텍스트 인덱싱 대비 10배 이상 향상된 검색 성능을 제공한다. 필드 인덱스는 I/O 감소, 타입 인코딩을 이용한 범위 검색 지원 등 다양한 기능을 통해 뛰어난 검색 성능을 제공한다. 통신사의 경우, 천만명 이상의 사용자로부터 매일 10TB 이상의 데이터가 생성되고 있다. 필드 인덱스를 도입해 15일치 데이터 분석을 분단위로 수행할 수 있게 됐다. 사용자 단말의 악성 앱 감염 여부를 보다 빠르게 진단할 수 있게 되어 악성 앱에 의한 피해를 최소화 할 수 있게 되었다. 양봉열 이디엄 대표는 "IoT 확산 등으로 IT 인프라에서 발생하는 데이터의 종류와 양은 이전과는 비교할 수 없을 정도로 급증하고 있다"며 "로그프레소는 데이터 수집에서 저장, 분석, 시각화까지 이르는 데이터 분석 전체 과정을 유연하게 통합하고, 차별화된 실시간 빅데이터 분석 기술과 혁신적으로 개선된 데이터 성능을 제공함으로써 각종 실시간 빅데이터 분석 요구를 만족시켜 줄 것"이라고 밝혔다. ◇ 스트림 조인, 멀티패턴매칭, CEP 엔진 도입 로그프레소 3.0은 데이터에 실시간으로 조인 분석할 수 있는 스트림조인 기능과 수천 가지의 패턴을 고속으로 매칭할 수 있는 멀티패턴매칭 기능, CEP(복합이벤트프로세싱) 엔진을 이용한 이벤트 분석 기능을 제공한다. 이를 이용해 실시간 빅데이터에 대한 조인 분석, 패턴 매칭 및 이벤트 분석을 할 수 있다. 은행의 경우, 이체 거래를 50종 이상의 패턴과 2년간의 행위이력과 대조해 0.1초 안에 이상 거래 여부를 탐지한다. 이를 통해 각종 금융사기로부터 발생하는 다양한 이상거래를 차단할 수 있다. 로그프레소 3.0은 또한 고급분석을 위한 다양한 함수를 제공해 빅데이터를 기반으로 다양한 예측 분석과 클러스터링 등을 수행할 수 있다. 데이터량에 제한 없는 조인 및 중첩 조인을 지원해 이기종 데이터를 기반으로 복잡한 시나리오 분석을 할 수 있다. 이를 통해 DLP 유출탐지, DRM 암호화 해제, 프린트 로그, 인사정보 등 각종 항목을 조합해 내부통제 이상탐지 룰을 작성하고 시나리오로 만들어 다양한 이상행위를 신속하게 탐지한다. ◇ 개선된 다양한 관리 기능 이디엄은 로그프레소를 활용하는 고객의 다양한 요구사항을 적극적으로 반영해 △에이전트 원격 업그레이드 △분산환경에 대한 권한 관리 △보안그룹 관리 등 데이터 수집부터 저장, 분석, 시각화, 관리까지 전체 과정을 개선했다. 개선된 환경을 이용해 고객은 데이터 분석 과정 전체에 대한 관리 비용을 줄임과 더불어 중요한 데이터를 더욱 더 안전하게 관리할 수 있다. 이규화 선임기자 david@dt.co.kr [http://www.dt.co.kr/contents.html?article_no=2016010502101352660001](http://www.dt.co.kr/contents.html?article_no=2016010502101352660001)

2016-01-04

앤서, 대한상공회의소에 통합 로그 시스템 구축 완료

빅데이터·보안 솔루션 업체 앤서(대표 박준형)는 대한상공회의소에 통합 로그 시스템을 구축했다고 4일 밝혔다. 앤서는 이를 통해 대한상공회의소는 회원들이 안심하고 홈페이지에서 정보를 이용할 수 있는 무결성 기반의 환경 구축과 개인정보보호법, 정보통신망법, 공공기관의 개인정보보호를 위한 기본지침 등 법정 준수사항 이행을 위한 안전장치를 갖추게 됐다고 설명했다. 앤서가 대한상의에 공급한 '로그프레소' 플랫폼은 △네트워크, 서버의 장애로 인해 로그수집이 불가능 할 시 에이전트가 마지막 전송 기록을 재전송해 로그수집 유실 방지 △로그 수집과 동시에 원본 대비 10% 크기의 용량으로 실시간 압축해 디스크 입출력(Input/Output) 비용 절감 △초당 5십만EPS 인덱싱 및 1TB 로그를 1초 이내 처리하는 빠른 검색 및 분석 △로그 포맷에 상관없이 사용자가 원하는 대시보드의 유연한 생성 등의 특징을 제공한다. 앤서는 앞으로 교육기관이나 의료기관 등 법적 규제에 따라 개인정보보호를 강화해야 하는 분야에 대한 영업을 강화할 계획이다. 박준형 앤서 대표는 "그동안 금융권을 중심으로 구축이 이루어지고 있던 통합로그 시스템이 기관이나 협단체를 비롯해 다른 산업분야로 확대되고 있다"며 "특히 기업, 교육기관, 병원 등 정부의 기본지침에 따른 법정 준수사항을 이행해야 하는 많은 유관기관에서 시스템 도입을 검토하고 있다"고 말했다. 이재운기자 jwlee@dt.co.kr [http://www.dt.co.kr/contents.html?article_no=2016020402109960813001](http://www.dt.co.kr/contents.html?article_no=2016020402109960813001)

2016-02-04

빅데이터 기반 실시간 모니터링… 대포통장 한달새 4건 적발 결실

증권업계 IT가 '확' 달라졌다. 과거 보안시스템 미비와 낙후된 인프라에서 벗어나 빅데이터부터 인공지능(AI), 오픈뱅킹, 클라우드, 블록체인까지 첨단 IT기술을 경쟁적으로 도입하며 금융혁신을 본격화하고 있다. 이에 주요 증권사의 IT담당 임원들을 만나 신기술 도입 계획과 최근의 성과 등을 직접 들어본다. 첫회로 빅데이터로 대포통장 사냥에 나선 NH투자증권의 백종우 정보보호최고책임자(CISO, 상무)를 만났다. "빅데이터로 수상한 계좌 정보를 실시간으로 자동 탐색하니 적중률도 높아지고 대포통장 적발에 투입됐던 인력이나 시간도 크게 줄었습니다." 13일 서울 여의도 NH농협재단 사무실에서 만난 백종우 NH투자증권 정보보호최고책임자(CISO, 상무·사진)는 최근 구축한 빅데이터 기반 대포통장 모니터링 시스템의 성과를 이 같이 소개했다. 백 상무가 이끄는 NH투자증권 정보보호부는 지난달 9일 빅데이터 기반의 대포통장 모니터링 시스템을 업계 최초로 구축, 이 시스템을 통해 최근 한 달 동안 4건의 대포통장을 적발하는데 성공했다. NH투자증권의 대포통장 모니터링 시스템은 지난 2014년 구축했던 이상거래탐지시스템(FDS)을 업그레이드한 것이다. 당시부터 NH투자증권은 타 증권사들과 달리 '빅데이터'를 접목하는데 주목했다. 갈수록 교묘해지는 이상 거래 징후를 실질적으로 포착하기 위해서는 단편적인 방식의 FDS가 한계가 있다는 판단에서다. 백 상무는 "대포통장의 특성상 기존 거래를 안 하던 계좌에서 갑자기 거래가 발생하거나 CD기에서 입금한 직후 자동이체 혹은 직접 지점을 방문해 바로 출금을 해가는 경우가 많아 계좌 중심으로 거래 데이터의 상관관계를 분석하는 빅데이터가 필요했다"고 말했다. 이어 "2014년 당시 6개 증권사가 공동으로 솔루션을 구매해 FDS를 구축하자는 논의를 금융투자협회 중심으로 진행했었으나 이때 제시된 솔루션에는 빅데이터가 빠져있었다"며 "우리는 빅데이터가 당시에도, 향후에도 굉장히 중요하다는 판단을 했고 독자 구축을 진행했다"고 덧붙였다. 대포통장 모니터링 시스템은 방대한 수집데이터에 대포통장의 특성을 반영한 자체 룰 30~40여개, 시나리오 10여개를 적용하고 의심 계좌로 여겨질 경우 업무지원부 모니터링 담당자에게 메시지를 통해 알린다. 담당자는 걸러진 계좌 정보를 확인하고 은행연합회 등에 계좌 정보를 전송하고 은행연합회는 해당 금융기관에 확인을 요청한 후 지급 정지 등의 조치를 내린다. 빅데이터 기반의 대포통장 모니터링 시스템은 무엇보다 기존 투입해야 했던 시간과 인력 등 비용을 대폭 줄였다. 기존 FDS의 경우 일 40만건의 이상거래 징후를 수집하는 반면, 대포통장 모니터링 시스템은 일 70만건 이상을 들여다 볼 수 있다. 이상 거래를 포착하기 위해 수집되는 데이터의 범위도 기존 비대면 채널 계좌 거래 정보에서 지점이나 CD·ATM 등 모든 계좌 거래 내용과 금융결제원 의심유의 계좌, 일시 인출정지 계좌 등 광범위하게 확대됐다. 탐지방법의 경우 이체 전 추가인증 단계뿐 아니라 본거래, 과거이력까지 동시 다발적으로 이뤄지기 때문에 정확도가 높아진다. 백 상무는 "기존에는 대포통장 모니터링이 업무지원부 2명이 하루 300~500건에 이르는 이상 징후 계좌를 하나하나 들여다보는 수작업으로 이뤄졌는데 하루 종일 매달려서 해도 다 보는 것은 무리가 있었다"며 "그러던 것이 자동화 시스템을 통해 한 명이 한 두 시간 정도 매달려 하루 평균 70건 정도만 확인해보면 되는 방식으로 바뀌었다"고 말했다. 앞선 기술 도입이 가능했던 배경은 전사적인 지원 덕분이다. 대포통장 모니터링 시스템을 구축하는 데 투입된 비용은 무려 10억원에 이른다. NH투자증권은 이달부터 각종 보안 솔루션에서 발생하는 로그 데이터 등의 상관관계를 하나의 시스템에서 분석할 수 있는 통합 모니터링 시스템 구축도 시작했다. 백 상무는 "금융권의 개인정보 유출 문제나 불법 거래 등이 만연해지면서 신뢰도가 하락했었는데 이를 극복하고 평판을 개선하기 위해 대대적인 투자를 했다"며 "12월 초 통합 모니터링 시스템을 개시해 더욱 강화된 보안 기술을 보여줄 수 있을 것"이라고 말했다. 김유정기자 clickyj@ [http://www.dt.co.kr/contents.html?article_no=2016061402100658759001](http://www.dt.co.kr/contents.html?article_no=2016061402100658759001)

2016-06-13