로그프레소, '빅데이터 암호화 기술' 美 특허 취득… “해외진출 기반 마련”

로그프레소가 독자 개발한 빅데이터 기술로 한국에 이어 미국에서 특허를 취득, 해외시장 진출 기반을 마련했다.

빅데이터 전문기업 로그프레소(대표 양봉열)는 빅데이터를 실시간으로 압축·암호화해 저장하는 기술과 암호화된 빅데이터를 고속으로 복호화하고 분석하는 기술로 미국 특허를 취득했다고 7일 밝혔다.

기존 데이터베이스 암호화 방식은 페이지 단위 블록암호화(TDE, Transparent Data Encryption)를 지원하거나, 정형 데이터에 대한 컬럼 단위 암호화를 지원한다. 그러나 빅데이터는 가변성이 크기 때문에 스키마를 고정할 수 없어 암복호화 과정에서 성능 저하가 발생하는 한계를 안고 있다.

로그프레소가 취득한 미국 특허 기술은 정형화된 스키마가 없는 빅데이터를 컬럼 단위로 압축·암호화할 수 있고, 분석 과정에서는 쿼리에서 필요로 하는 분석대상 컬럼만 복호화할 수 있도록 한다. 이를 통해 개인정보, 신용정보 등 기밀성이 중요한 정보를 암호화해 저장하더라도 기존 관계형 데이터베이스 대비 수십배 이상 분석 성능을 발휘하고 암복호화로 인한 성능 저하를 최소화하는 것이 특징이다.

양봉열 로그프레소 대표는 “빅데이터 원천기술을 확보하기 위해 연구개발(R&D)에 많은 투자를 해왔다”면서 “빅데이터를 안전하게 활용하기 위한 핵심 기술로 미국시장에서 특허를 취득했다는 의미가 있다”고 전했다.

그는 또 “지속적인 R&D를 통해 국내를 넘어 해외시장에 진출할 수 있는 기반을 마련했다”면서 “세계 시장에서 어깨를 나란히 할 수 있는 빅데이터 기술 경쟁력을 가질 수 있도록 앞으로도 최선을 다하겠다”고 덧붙였다.

2013년에 설립한 로그프레소는 독자 개발한 빅데이터 기술을 활용해 범용 빅데이터 분석 플랫폼 '로그프레소 엔터프라이즈', 통합로그 분석 솔루션 '로그프레소 스탠다드', 정보보호 통합 플랫폼 '로그프레소 소나'를 출시했다. 최근 업종별 전문기업과 협업을 강화해 다양한 산업으로 빅데이터 기술 공급을 확대하고 있다.

이준희기자 jhlee@etnews.com

둘러보기

더보기

로그프레소, AI 기반 SOAR 기술 특허 등록

[데이터넷] 로그프레소(대표 양봉열)는 AI 기반 SOAR 기술 특허를 등록했다고 18일 밝혔다. 이 특허는 보안 담당자의 의사결정을 학습하여 AI 모델을 생성하고 이를 기반으로 위협 탐지, 분석, 대응의 전 과정을 완전히 자동화하는 데 목적을 두고 있다. 로그프레소는 본 특허를 SOAR 플랫폼인 ‘로그프레소 마에스트로(Logpresso Maestro)’에 적용할 계획이다. 기업에 도입되는 단위 보안시스템의 유형과 수량이 늘어나고 5G 초연결 시대에 진입하면서 보안 로그와 경보가 급격히 증가하고 있다. 수집, 저장, 분석, 탐지는 AI·빅데이터 기반 플랫폼에서 지원되지만, 위협 탐지 이후의 대응 조치는 수작업으로 진행되기 때문에 보안 담당자의 업무 부담이 과중해지는 문제가 있다. SOAR는 API를 통해 각종 위협 인텔리전스, 네트워크 보안 장비, 엔드포인트 솔루션 등을 연동하여 자동화함으로써 단순 반복적인 업무를 줄여준다. 그러나 IP 차단 등 중요한 의사결정은 장애 발생 가능성 등으로 인해 여전히 수작업으로 남아 있으며 이는 보안 운영 자동화의 효율이 극대화되지 못하는 요인으로 작용한다. 로그프레소의 특허 기술은 플레이북 수행 과정에서 취합된 정보를 기반으로 보안 담당자에게 승인을 요청할 때 플레이북에서 취합된 변수와 의사결정 결과의 쌍을 기록하며, 이를 바탕으로 AI 의사결정 모델을 생성하여 보안 담당자의 개입 없이 플레이북의 모든 과정이 완전히 자동화하므로 분석 및 대응 속도가 극대화된다. 양봉열 로그프레소 대표는 “이번 특허 기술을 통해 보안 운영 초자동화의 새로운 전기를 마련했다”며 “지속적인 기술 개발을 통해 보안 운영 효율을 더욱 극대화하겠다”고 말했다. [http://www.datanet.co.kr/news/articleView.html?idxno=157330](http://www.datanet.co.kr/news/articleView.html?idxno=157330)

2021-03-18

[PASCON 2020] 양봉열 로그프레소 대표 “단일 빅데이터 플랫폼만이 안정적 보안 운영 담보”

데일리시큐 주최 하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020이 11월 10일 더케이호텔서울 가야금홀에서 방역수칙 준수하에 성황리에 개최됐다. 이 자리에서 양봉열 로그프레소 대표는 ‘보안관제를 지탱하는 기술’이란 주제로 강연을 진행했다. 양봉열 대표는 2005년 인젠의 시큐플랫ESM으로 통합보안관제 시스템 개발을 시작한 이래, 15년 간 관제 기술을 연구해왔다. 초기 관제 시스템들은 관계형 데이터베이스와 ISAM 파일을 기반으로 설계되었다. 로그는 정규화해 ISAM 파일에 쓰고, 이벤트는 데이터베이스에 저장했다. 그러나 이런 데이터 시스템은 스키마가 고정되어 있어서 원본 로그를 저장하기 어려웠다. B-TREE 기반 스토리지 엔진은 잠금으로 인해 고속 쓰기에 불리했고, 트리 노드에 항상 여유 공간이 존재하기 때문에 디스크를 낭비하게 되고 압축하기에도 어려운 구조적 문제가 있었다. 엘라스틱과 하둡 양쪽으로 데이터 저장하는 땜질 처방…지금도 계속 당시에 부상하던 인메모리 DB를 비롯해 여러가지 대안들이 실험되었지만, 근본적으로 보안 로그의 특성을 염두에 두지 않은 OLTP 위주의 데이터 시스템은 성능 문제를 해결하기에 역부족이었다. 2010년 이전의 시스템은 성능 문제로 로그 수집, 저장부터 누수되는 경우가 빈번했고, 로그를 조회하거나 검색하면 저장 속도가 급격하게 떨어질 뿐 아니라 수 시간을 대기해야 겨우 결과를 보거나 시스템 자체가 다운되는 경우도 흔했다. 이러한 상황에서 단순 조회 이상의 연관 분석은 최근 수 분 정도의 최근 데이터에 대해 인메모리에서만 가능한 일이었기 때문에, 대규모 데이터를 연관 분석하는 일은 상상하기도 어려웠다. 많은 아키텍트들은 관계형 데이터베이스에 데이터마트를 정의해서 TOP N 통계를 미리 생성하고, 텍스트 로그 자체는 일 단위로 압축하는 설계를 했는데, 이는 주어진 여건에서 최소한의 통계 보고서라도 빠르게 조회하고자 하는 땜질 처방에 불과했다. 미리 정의되지 않은 통계는 조회 자체가 불가능했기 때문에, 가능한 많은 조합의 데이터마트를 정의해야 했고 이는 다시 많은 디스크 공간 소모로 이어졌다. 압축된 텍스트 파일은 전체를 압축 해제해 조회 및 검색해야 했기 때문에 디스크 공간은 덜 사용했지만 사실상 조회 검색이 불가능한 상황을 야기했다. 2010년 대 이후 루씬, 하둡과 같은 오픈소스 빅데이터 기술이 등장하자 많은 사람들이 기존의 성능 문제가 해결되지 않을까 기대했으나, 풀텍스트 고속 검색과 대규모 통계 및 연관 분석을 모두 지원하는 시스템은 존재하지 않는다는 사실을 깨닫게 되었다. 엘라스틱은 조인을 지원하지 않고, 하둡은 실시간 검색을 지원하지 않는다. 이에 엘라스틱과 하둡 양쪽으로 데이터를 저장하는 땜질 처방이 2020년인 지금도 계속되고 있다. “로그프레소, 자체 기술로 단일 빅데이터 플랫폼 개발…기존 기술들 문제 해결” 로그프레소는 이 문제를 근본적으로 해결하려면 직접 밑바닥부터 빅데이터 플랫폼을 설계해야 한다고 믿었고, 결국 실시간 스트리밍 분석, 실시간 인덱싱과 고속 풀텍스트 검색, 드릴다운을 포함한 실시간 통계 분석, 대규모 분산 통계와 조인, AI 머신러닝까지 완전하게 자체 기술로 구현한 단일 빅데이터 플랫폼을 만들어냈다. 많은 시스템들이 유행에 따라 아키텍처 스타일이 변화하는데, 빅데이터의 성능에 초점을 맞추지 않으면 근본적으로 해결하기 어려운 성능 병목을 맞게 된다. 로그프레소는 I/O를 극단적으로 줄이기 위하여 머신별 단일 프로세스, 인코딩과 압축 효율 극대화, 데이터 파이프라인의 병렬화를 모든 영역에서 구현했다. 빅데이터의 핵심은 로직이 있는 곳으로 데이터를 옮기는게 아니라, 데이터가 있는 곳으로 로직을 옮기는 것이다. 예를 들어 분산 통계나 조인을 수행한다면, 전송해야 하는 데이터량을 최소화하도록 쿼리 플래너가 자동으로 쿼리를 재작성해 데이터 노드로 내려보낸다. 검색 고속화에는 역인덱스(inverted index)와 블룸필터(bloom filter)가 활용된다. 특히 블룸필터는 최소의 용량으로 키워드가 존재하지 않는 블록을 완전히 건너뛸 수 있도록 지원함으로써 장기간 데이터 검색에서 최적의 성능을 도출한다. 통계 분석은 스키마리스 컬럼스토리지 엔진이 실시간 분석을 가능하게 한다. 대규모 분석 쿼리를 실행할 때 필요한 컬럼은 일부분이므로, 기존의 OLTP 시스템이 사용하는 행 단위 레코드 레이아웃을 열 단위로 바꾸게 되면 반드시 필요한 데이터 영역만 읽고 처리할 수 있게 되므로 성능이 수십 배 향상된다. 여기에 벡터 단위의 쿼리 실행은 단일 인스트럭션으로 여러 개의 데이터를 동시에 연산하는 SIMD를 활성화하기 때문에 기존 시스템 대비 100배 이상의 성능을 낼 수 있게 된다. 이는 예전에 불가능하던 자유로운 데이터 통계와 연관 분석을 가능하게 한다. 암호화된 데이터에서 컬럼스토리지는 더욱 빛을 발하는데, 특허 등록된 로그프레소 기술은 분석 쿼리에서 요구하는 컬럼만 복호화를 수행함으로써 암호화 된 데이터에 대해서도 최상의 분석 성능을 도출한다. 로그프레소는 여기에 그치지 않고 쿼리 실행 시점에 비정형 데이터의 타입을 추론해 쿼리를 실행 시간에 컴파일한다. 이는 인터프리터 방식의 쿼리 엔진에서 발생하는 모든 오버헤드를 제거한 머신 코드를 런타임에 생성해 대규모 분석 쿼리 실행의 성능을 최적화한다. 이러한 근본적인 데이터 처리 기술의 발전은 매일 수백 기가에서 테라바이트 단위의 데이터가 유입되는 상황에서도 이전에 불가능하던 검색과 분석을 사용자가 원하는대로 수행할 수 있도록 지원하게 되었다. 양봉열 대표는 “오픈소스 기반의 빅데이터 플랫폼이 여러 컴포넌트의 조합으로 높은 복잡도, 낮은 성능, 많은 장애 포인트, 장기적 데이터 호환성 문제를 가진다”는 점을 지적하며 “완전하게 구현된 단일 빅데이터 플랫폼만이 안정적 보안 운영을 담보한다”고 강조했다. 로그프레소 양봉열 대표의 PASCON 2020 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. [https://www.dailysecu.com/news/articleView.html?idxno=116401](https://www.dailysecu.com/news/articleView.html?idxno=116401)

2020-11-12

[차세대 보안관제②] 모든 환경서 위협 가시성 제공해야

[데이터넷] 보안관제조직은 증가하는 보안 시스템에서 발생하는 이벤트를 관리하기위해 ESM, RMS, TMS 등을 사용해왔으며, 2010년 경부터 SIEM 도입에 속도를 내기 시작했다. SIEM은 보안 시스템에서 발생한 로그를 수집·분석해 위협을 탐지한다. 방대한 로그를 분석해야 하기 때문에 비정형 데이터에 대한 고속 분석 성능이 요구됐으며, 빅데이터 처리에 강점이 있는 솔루션도 SIEM 시장에 뛰어들었다. 초기 SIEM은 실시간 위협 탐지가 아니라 발생한 위협을 조사하는데 필요한 증거를 수집하기 위해 사용됐다. 그래서 빅데이터 기반 검색 기술이 뛰어난 기업들 도 주목을 받아왔는데, 실시간 탐지와 대응, 사이버 보안에 대한 노하우가 부족하다는 한계를 갖고 있다. 공격 유형과 방어 방법에 대한 상세한 시나리오와 탐지 경보를 울리는데 있어 필요한 임계치 설정, 위협 우선 순위를 매기고 관리자에게 경보를 울리는 수준을 정하 는 등의 위협 대응 기능이 충분하지 않았다. 황원섭 마이크로포커스코리아 부장은 “현재 관제조직에서 사용하는 SIEM은 대부분 SIM 수준을 넘지 못하고 있다. 로그를 디스크에 저장한 후 분석하는 방식으로, 실시간 경보를 스케줄 쿼리로 구현해 실시간 보안위협을 효과적으로 탐지·분석·대응하지 못한다”고 지적했다. 단일 플랫폼서 완벽한 보안 가시성 제공 기존 보안관제의 한계를 해결하는 방법으로 통합, 지능형 분석, 위협 인텔리전스가 제안된다. 발생하는 모든 이벤트를 통합 플랫폼을 통해 연계분석하며, 발생한 모든 행위에서 정밀하게 이상행위를 찾아내고, 위협 인텔리전스 연동, SOAR를 통한 자동화된 대응까지 가능해야 한다. 토종 솔루션 중 ‘로그프레소’가 SIEM과 사용자 행위 분석(UBA)을 통합시킨데 이어 SOAR와 포렌식까지 통합시키면서 발전해나가고 있다. 올해 하반기에는 위지윅(WYSIWYG) 방식의 플레이북 편집기와 워크플로우 엔진을 통합시킬 예정이다. 로그프레소는 통합 로그관리 솔루션 ‘로그프레소 스탠다드’, 미션 크리티컬 환경을 위한 ‘로그프레소 엔터프라이즈’, 정보보호 통합 플랫폼 ‘소나(SONAR)’로 구성되며, 국민은행, 부산은행을 비롯한 금융 시장에서 호평을 받고 있다. 이외에도 공공·엔터프라이즈 등 다양한 산업군에 공급돼 시장 점유율을 높이고 있다. 로그프레소는 분석과 고속 배치 분석을 유기적으로 통합했으며, 통합로그, 외부침해관제, 이상징후탐지, 이상금융거래 등을 단일 플랫폼으로 지원해 완전한 가시성과 위협 분석, 운영과 유지보수의 편의성을 제공 한다. 클라우드, 애플리케이션, 사용자 행위 분석 등 모든 영역으로 확대된 통합 분석체계를 제공하며, 하루 1TB, 수십종, 수백대의 시스템을 실시간 통합분석 한다. ![▲로그프레소 정보보호 통합 플랫폼](/media/ko/2020-07-03-next-generation-siem-observability/preview.png) 또한 현장에서 적용 가능한 SOAR 기능을 지원, 위협·장애 탐지 시 티켓이 자동으로 등록돼 관제요원의 분석 대응을 원활하게 한다. 기업·기관에서 사용하는 다양한 앱을 지원하며, AI·머신러닝 알고리즘을 자체 개발해 쿼리로 내장해 실제 관제 현장에서 효과가 검증 된 위협 헌팅 기술을 제공한다. 구동언 로그프레소 상무는 “전통적인 SIEM은 자산, 취약점, 위협 인텔리전스를 수작업으로 관리하거나 자사 인텔리전스·취약점 스캐너만 연동돼 활용이 제한적이다. 클라우드 전환으로 IT 복잡도가 크게 증가하는 상황에서 기존의 SIEM은 맞지 않으며, 온프레미스·클라우드 전반에서 로그 수집과 저장, 분석, 탐지, 대응 까지 완전히 통합돼야 한다”며 “로그프레소 플랫폼은 강력한 빅데이터 원천 기술과 앱 확장성으로 최고의 단 위 보안시스템을 효과적으로 오케스트레이션하는 보 안 운영의 기반이 될 것”이라고 말했다. 로그관리 시장에서는 와치텍이 ‘IT 관리자를 위 한 자율운영 관리시스템’을 표방하며 시장 개척에 나서 주목된다. 와치텍은 로그 관리를 위한 ‘와치로그 (WatchLog)’, 인프라 관리를 위한 ‘와치올(Watch All)’로 구성된다. 관리자가 전문 지식이 없어도 자율 적으로 운영하며, 로그 데이터에 대한 높은 수준의 시 각화를 제공해 관리 용이성을 높인다. 임주형 와치텍 이사는 “와치텍은 자율운영 시나리오 분석 외 다양한 자율운영 기능을 선보이고 있으며, 빠르고 안정적인 빅데이터 기술로 고객의 대규모 인 프라를 관리할 수 있다는 장점을 적극 살리고 있다”며 “관리자의 업무를 줄이고 중대한 위협 이벤트를 놓치 지 않도록 지원하는 자율운영 로그 분석 기술을 통해 보안관리 시스템을 업그레이드 할 것을 제안한다”고 밝혔다. [http://www.datanet.co.kr/news/articleView.html?idxno=147815](http://www.datanet.co.kr/news/articleView.html?idxno=147815)

2020-07-03