추가 적립 안내

데이터의 핵심을 한눈에 보여주는 최적의 기법

이 책은 각종 보안 데이터 분석에서 데이터 시각화 개념과 기법을 활용하는 방법을 다룬다. 데이터 시각화의 기본적인 개념부터 보안 데이터와 시각화 기법의 특성, 데이터 시각화를 활용한 각종 보안 분석 사례까지 보안 업무를 위한 데이터 시각화에 대해 자세히 설명한다. 컴퓨터 보안과 데이터 시각화에 관심 있는 사람에게 유용한 입문서가 될 것이다.

2016년 대한민국학술원 우수학술도서

이 책에서 다루는 내용

이 책의 대상 독자

이 책은 보안을 직업으로 하는 사람들을 대상으로 한다. 직접 업무를 수행하는 사람들에게 보안 데이터를 분석하는 새로운 방법들을 소개한다. 경계 침입 사건을 분석하든, 내부자 위협을 조사하든, 아니면 컴플라이언스 모니터링이나 리포팅에 책임이 있든 간에 이 책은 의미 있을 것이다.

이 책의 구성

이 책은 간단하게 구성되어 있다. 먼저 기본적인 시각화 및 데이터 도식화 개념을 다룬다. 그리고 이 개념과 보안 데이터를 합쳐 살펴보고, 보안 문제에 어떻게 적용할 수 있을지 알아본다. 각 장은 다음과 같은 내용을 다룬다.

1장, 시각화
시각화는 이 책의 핵심 주제다. 1장에서는 시각적으로 효과적인 그래프를 만들기 위해 기본적인 시각화 개념과 그래프 디자인 원칙을 소개한다.

2장, 데이터 소스
시각화는 데이터 없이 수행할 수 없다. 이 장에서는 컴퓨터 보안에 관련된 각종 데이터 원천을 다룬다. 다양한 장비가 생성하는 데이터 종류와 데이터를 파싱하는 방법, 각 데이터 소스와 관련된 몇 가지 문제를 다룬다.

3장, 자료의 시각적 표현
다양한 방법으로 데이터를 시각화할 수 있다. 이 장에서는 다양한 형태의 시각화를 자세히 다룬다. 먼저 그래프의 일반적인 특성을 살펴보고, 이 특성이 정보를 표현하는 데 어떻게 도움이 되는지 알아본다. 그리고 차트, 박스 플롯, 평행 좌표, 링크 그래프, 트리맵 등 개별 시각화 방법도 살펴본다. 데이터 시각화 문제가 닥쳤을 때 어떻게 적합한 그래프를 선택할 것인지를 논의하며 마무리한다.

4장, 자료를 그래프로 만들기
이 장에서는 정보 시각화 절차를 소개한다. 데이터를 어떻게 취하고, 시각적으로 표현할지를 단계별로 자세히 소개한다. 또한 시각적으로 표현된 결과를 해석하는 방법도 다룬다. 이어서 유닉스 스크립트와 펄 등의 여러 가지 툴을 이용해 데이터를 처리하는 다양한 방법을 살펴본다.

5장, 시각적 보안 분석
보안 데이터를 시각적으로 분석하는 것은 크게 세 가지, 리포팅, 과거 분석, 실시간 모니터링으로 분류한다. 과거 분석은 다시 시계열 분석, 상관관계 그래프, 인터랙티브 분석, 포렌식 분석 이 네 가지로 나눌 수 있다. 5장에서는 이 주제들을 다룬다.

6장, 경계 침입
이 장은 활용 사례 모음집이다. 먼저 트래픽 흐름 분석이 관련된 활용 사례를 다룬다. 웜을 탐지하는 것부터 서비스 거부 공격을 고립시키는 것, 트래픽 기반의 정책을 모니터링하는 것까지 모든 것을 다룬다. 이 활용 사례는 방화벽 로그로 이어진다. 방화벽 로그를 분석할 때엔 용량이 큰 방화벽 로그를 먼저 분석해야 한다. 두 번째로 방화벽 로그를 활용해 룰 셋을 평가하고, 잠재적인 보안 취약점 또는 잘못된 설정을 찾는다. 침입 탐지 시그니처 조정과 무선 접근 로그 분석이라는 두 가지 활용사례는 네트워크 계층에서 벌어진다. 마지막으로는 응용 계층의 데이터를 살펴본다. 먼저 이메일 서버 로그를 분석해 오픈 릴레이를 찾고, 이메일 기반 공격을 탐지한다. 그 다음 이메일 전달 기록을 이용해 소셜 네트워크 분석을 한다. 취약점 스캔 데이터 시각화를 살펴보는 것으로 마무리한다.

7장, 컴플라이언스
먼저 로그 분석의 측면에서 컴플라이언스를 설명한다. 통제 목표와 정책에 대한 기초를 다루고, 기업들에게 로그를 수집하고 분석하기를 요구하는 연방 또는 산업별 규제를 살펴본다. 그 다음엔 시각화가 어떻게 컴플라이언스를 위한 감사 데이터 분석에 도움이 되는지 살펴본다. 이런 절차들을 살펴보니, 각 업무 절차의 중요도를 평가하기 위해 각 절차에 대응하는 로그 파일을 연관 짓는 것이 필요해졌다. 이것은 위험 관리로 이어지고, 위험 중심의 보안 시각화를 어떻게 만드는지 보여준다. 컴플라이언스 활용 사례인 '응용 측면에서 직무 분리 시각화'와 '데이터베이스 모니터링' 이렇게 두 가지로 마무리한다.

8장, 내부자 위협
외부에서 내부로 공격하는 것을 살펴보는 대신, 내부자 위협은 경계 내부를 모니터링하는 것에 집중한다. 먼저 이 주제를 설명하고, 내부자 위협이 가진 다른 측면, 가령 누가 보통의 내부자인지 등을 살펴본다. 그리고 각 개인들을 평가하고 모니터링하는 데 도움이 되는 탐지 프레임워크를 소개한다. 전조증상을 사용해 잠재적인 악의적 내부자를 탐지하고 사용자의 수상한 행동을 찾아낼 수 있다. 내부자 탐지 절차에서 시각화는 핵심 요소다.

9장, 데이터 시각화 툴
시각화 툴에서 사용되는 데이터 포맷을 간단히 설명하고, 시각화 툴과 라이브러리를 살펴본다. 이어 프로그램에 내장할 수 있는 20가지 정도의 오픈소스 시각화 라이브러리를 소개한다. 여기에서 소개되는 모든 툴은 웹사이트(http://www.secviz.org/node/89)에서 DAVIX(the Data Visualization and Analysis Linux)로 제공된다.

"'들은 것은 잊어버리고, 본 것은 기억하고, 행한 것은 이해한다.'라는 공자의 가르침을 따르자면, 라파엘 마티가 집필한 이 책은 의심할 수 없는 지혜를 가져다 줄 것입니다. 마티는 보안 시각화에 대해 멋지고 우아하면서도 자세히 아우릅니다. 보안 시각화 전문가뿐만 아니라 입문자도 반드시 읽어야 할 책이라고 생각합니다."
- 러스 맥리(Russ McRee) / HolisticInfoSec.org

"로그 데이터를 수집하는 것은 하나의 일이고, 관련된 정보를 얻어내는 것은 또 다른 특별한 일입니다. 모든 종류의 로그 데이터를 의미 있는 보안 정보로 만들어내는 기술이 이 책의 핵심입니다. 이런 일을 어떻게 수행할지, 래피는 복잡하지 않은 방법과 더불어 직접 해볼 수 있는 예제를 이용해 설명합니다. 그럼 다 함께 살펴봅시다."
- 안드레아스 우슈너(Andreas Wuchner) / 노바티스(Novartis)

"이 책은 그래프와 시각화에 대한 기초적인 내용으로 시작해 그 위에 다양한 로그 분석 사례, 컴플라이언스 준수 사항을 보고하는 방법, 보안 정보를 전달하는 방법을 다룹니다. 보안과 컴플라이언스 데이터를 분석해 알아낸 것을 간결하고 확실한 방식으로 보고해야 하는 모든 사람에게 이 책을 추천합니다."
- 론 굴라(Ron Gula) / 테너블 네트워크 시큐리티(Tenable Network Security), 최고 기술 책임자(CTO)

"라파엘 마티는 기본적인 내용부터 포괄적인 사례까지 보안 시각화에 대한 내용을 한데 묶어 제대로 보여줍니다. 이 책에 담겨 있는 다양한 종류의 활용 사례, 직접 실행해볼 수 있는 풍부한 예제들을 통해 독자의 전문분야에 맞는 시각화 활용 아이디어를 지속적으로 얻을 수 있을 것입니다."
- 잰 먼치(Jan P. Monsch) / 보안 분석가

"몇몇 사람만이 이해하고 있던 주제를 제대로 다뤄주는 엄청나게 유용한 이 책은, 오랫동안 시각화에 대해 회의적인 입장을 취했던 사람이 쓴 것이다. 가장 인상적인 점은 독자가 일상적인 업무에 사용할 수 있는 예제들이 담겨 있어, 단순히 개념만 다루지 않고 '직접 해볼 수 있는 유용한' 책이라는 점이다. 내가 가장 마음에 드는 부분은 내부자에 대해 다룬 8장이다."
- 안톤 츄바킨(Anton Chuvakin) 박사 / 로그로직(LogLogic), 최고 로깅 에반젤리스트(Chief Logging Evangelist)

1장 시각화
__시각화란 무엇인가?
__왜 시각화를 하는가?
__시각화의 이점
__보안 시각화
__보안 시각화의 이분법
__시각화 이론
____지각
____표현력 있고 효과적인 그래프
____그래프 디자인 원칙
__정보 획득 만트라
__요약

2장 데이터 소스
__용어
__보안 데이터
__공통 문제
____불완전한 자료
____출발지/목적지 혼란
__패킷 캡처
__트래픽 흐름
____트래픽 흐름 수집
____트래픽 흐름 집계
____트래픽 흐름을 군집으로 만들기
____트래픽 흐름 익명화
__방화벽
__칩입 탐지/방지 시스템
__패시브 네트워크 분석
__운영체제
____실시간 운영체제 정보
____운영체제 상태 정보
____운영체제 로그 문제
__애플리케이션
____웹 프록시
____메일
____데이터베이스
__설정
__요약

3장 자료의 시각적 표현
__그래프 특성
____자료 형식
____색
____크기, 모양, 방향
____차트 축
__단순 차트
____파이 차트
____막대 차트
____선 차트
____3차원 막대 차트
__누적 차트
____누적 파이 차트
____누적 막대 차트
____누적 선 차트
__히스토그램
__박스 플롯
__산점도
__링크 그래프
__지도
__트리맵
__3차원 시점
____3차원 산점도
____3차원 링크 그래프
__상호작용과 애니메이션
____상호작용
____애니메이션
__적합한 그래프 선택
__과제
__요약

4장 자료를 그래프로 만들기
__정보 시각화 절차
__1단계: 문제를 정의한다
__2단계: 사용 가능한 자료를 평가한다
__3단계: 정보를 처리한다
____자료를 추가로 더하기
____로그 필터링
____통합
____자료 처리와 관련된 문제
__4단계: 시각적 변환
____자료 매핑
____크기와 모양
____색
__5단계: 시점 변화
____통합
__6단계: 해석 및 결정
__자료 처리를 위한 툴
____엑셀, 오픈오피스, 문서편집기
____정규표현식
____유닉스 툴
____펄
____파서
____기타 툴
__요약

5장 시각적 보안 분석
__리포팅
____리포팅 툴
____쟁점과 문제들
____예제로 살펴보는 장비 접근 기록 보고서
__이력 분석
____시계열 시각화
____상관관계 그래프
____인터랙티브 분석
____포렌식 분석
__실시간 모니터링 및 분석
____대시보드
____상황 인지
__요약

6장 경계 침입
__트래픽 흐름 모니터링 및 분석
____서비스 특성
____서비스 이상 행위
____웜 탐지
____서비스 거부
____봇넷
____정책 기반 트래픽 흐름 분석
__방화벽 로그 분석
____방화벽 시각화 절차
____방화벽 룰 분석
__침입 차단 시스템 시그니처 조정
__무선 스니핑
__이메일 자료 분석
____이메일 서버 분석
____소셜네트워크 분석
__취약점 자료 시각화
____위험 상태 시각화
____취약점 상태 변화
__요약

7장 컴플라이언스
__정책, 목표, 통제
__규제 및 산업별 준수 사항
__IT 통제 프레임워크
__로깅 요구사항
__감사
____감사 자료 시각화
__업무 절차 모니터링
__컴플라이언스 모니터링
__위험 관리
____통제 목표 우선순위 매기기
____위험도 시각화
__직무 분리
____시각화를 사용한 직무 분리 감사 예제
____직무 분리 그래프 만들기
__데이터베이스 모니터링
__요약

8장 내부자 위협
__내부자 위협 시각화
__악의적인 내부자란 무엇인가?
__내부자 범죄의 세 가지 종류
____정보 탈취
____부정 행위
____사보타주
__누가 악성 내부자인가?
____정보 탈취
____부정 행위자
____파괴범
__악의적 내부자 탐지 프레임워크
____전조증상
____전조증상에 점수 부여
____내부자 탐지 절차
____내부자 탐지 절차 요약
____내부자 탐지 절차 실전 활용
__개선된 내부자 탐지 절차
____감시 대상
____내부자 탐지 절차에 감시 대상 추가
____전조증상을 종류별로 묶기
____전조증상을 종류별로 묶어 후보자 그래프 만들기
____개선된 내부자 탐지 절차 정리
____확장된 내부자 탐지 절차 실전 활용
__남은 과제들
__사전 완화
__전조증상 예제
__요약

9장 데이터 시각화 툴
__자료 입력
____쉼표로 구분한 값
____TM3
____DOT
____GML
__무료로 사용할 수 있는 시각화 툴
____정적인 그래프
____독립 실행형 애플리케이션
__오픈소스 시각화 라이브러리
____자바 라이브러리
____비자바 라이브러리
____차트 라이브러리
__라이브러리 요약
__온라인 툴
____스위벨
____매니 아이즈
____구글맵과 구글어스
____구글 차트 API
__상용 시각화 툴
____어드바이저
____기타 상용 시각화 툴들
__요약

이 책은 컴퓨터 보안 데이터 시각화에 관한 내용을 담고 있다. 전자적으로 생성된 보안 데이터를 시각적으로 분석하는 방법을 단계별로 보여준다. GRC(거버넌스, 위험, 컴플라이언스)와 더불어 내부자 범죄 및 외부의 침입으로부터 보호하거나 완화하기 위해 IT 데이터들은 반드시 수집되고 분석되어야 한다. 다양한 사례에 활용하기 위해 로그 파일, 설정 파일, 그 외의 많은 IT 보안 데이터들은 분석되고 모니터링되어야 한다. 문자 형태로 데이터를 다루는 것에 비해, 시각화는 매일 생성되는 수백만의 로그를 새롭고, 더 효율적이며, 간단한 방식으로 분석할 수 있다. 시각적으로 표현하면 빠르게 이상치를 식별하고, 이상 행위를 탐지하며, 잘못된 설정이나 변칙적인 행위를 찾아내거나, 일반적인 추세를 알아내고, 데이터들 간의 관계를 파악하는 데 도움이 된다. 데이터 시각화(보안 데이터를 그림으로 변환하는 과정)는 이 문제를 해결하는 데 다른 어떤 것보다 가장 효율적인 툴이다.

"그림 하나가 1,000건의 로그만큼 가치가 있다."

현존하는 보안 및 위협 문제를 다루기 위해서는 새로운 분석 방법이 필요하다. 범죄 행위들은 이제 네트워크상에서 일어난다. 네트워크 기반의 공격들은 더욱 복잡해지고, 응용 계층에서 일어나는 공격들은 점점 더 증가하고 있다.
범죄 기법은 환경에 적응한다. 이런 발전된 기법을 다룰 수 있는 준비가 되었는가? 여러분의 내부 네트워크와 애플리케이션에서 어떠한 일이 일어나고 있는지 알고 있는가? 네트워크를 모니터링하는 것에서 더 나아가 애플리케이션에서 어떤 일이 벌어지고 있는지 면밀히 알 수 있어야 한다. 방대한 양의 데이터를 분석해야 하기 때문에, 데이터 분석을 위한 새로운 방법이 필요하다. 시각화는 이렇게 복잡한 분석에서 발생하는 문제를 해결하는 데 도움이 된다.
(/ '지은이의 말' 중에서)

데이터 처리 기술은 하루가 다르게 빨리 변하고 있다. 이 책이 미국에서 처음 출간될 때만 하더라도, 하루에 한 장비로 수십 기가를 수집해 분석하는 것은 엄청난 일이었다. 하지만 이제는 하루에 서버 한 대에서 테라바이트 단위의 데이터를 수집하고, 다양한 분석을 실시간으로 수행하는 것도 가능해졌다.
데이터 처리 기술의 발전은 더 많은 영역의 데이터를 수집하고 분석하도록 이끌었다. 이렇게 다양한 데이터를 수집하고 분석할 수 있게 되었지만, 여전히 중요한 의사결정은 사람의 몫으로 남아 있다. 복잡한 데이터의 특징을 이해하는 것부터 시작해 관계를 파악하고, 업무의 맥락에 따른 이상치, 이상 행위 등을 판단하는 건 사람이 직접 데이터를 보고 결정해야 하는 것들이다.
이렇게 데이터를 직접 보고 판단함에 있어, 데이터 시각화는 데이터의 핵심을 빠르게 전달하고 이해시킬 수 있는 가장 효율적인 도구다.
이 책은 보안 업무를 위한 데이터 시각화를 자세히 설명한다. 데이터 시각화의 기본 개념부터 시작해 다양한 원천 데이터의 특성, 각종 시각화 방법의 특성, 데이터를 그래프로 만드는 절차, 다양한 보안 데이터 분석 기법 등 기본 개념과 지식을 알려준다. 더불어 내외부의 보안 위협, 컴플라이언스 등 보안과 관련된 다양한 업무 사례에서 시각화를 이용해 중요한 내용을 어떻게 간결하고 빠르게 전달할 수 있을지도 알려준다.
이 책에서 다루는 각종 개념과 지식은 특정한 툴을 활용하기 위한 것이 아닌, 보편적인 보안 데이터 시각화를 하기 위해 필요한 것이다. 기술의 발전, 새로운 서비스의 등장, 각종 규제의 변화 등으로 인해 보안 분석의 사례는 더욱 다양해지고 있다. 하지만 보안 데이터 시각화의 근본 개념은 변함이 없다. 그러므로 이 책에서 다루는 지식을 잘 익히고 변주할 수 있다면, 각종 보안 분석 업무를 잘 해낼 수 있을 것이라 생각한다.
(/ '옮긴이의 말' 중에서)