클라우드 보안 스타트업 퍼미소 시큐리티(Permiso Security)가 클라우드 로그 표준화라는 오랜 과제를 해결하기 위한 오픈소스 도구 ‘P0LR 에스프레소(P0LR Espresso)’를 공개했다. 이 도구는 클라우드 환경의 로그 데이터를 실시간으로 정규화해 보안팀이 신속한 위협 분석과 대응을 할 수 있도록 설계됐다.

P0LR 에스프레소는 ‘Priority-0 Labs Live Response’의 약자로, 클라우드 러untime 환경에서 발생하는 로그 데이터를 일관된 포맷으로 구조화하는 기능을 제공한다. 이를 통해 각기 다른 클라우드 플랫폼 간 비표준적인 로그 명칭 문제를 해결하고, 보안 분석가들이 로그 구조를 일일이 해석하지 않고도 손쉽게 패턴을 파악할 수 있도록 돕는다.

기존에는 아마존웹서비스(AWS), 구글 클라우드 플랫폼(GCP), 마이크로소프트 애저(Microsoft Azure), 옥타(Okta), 깃허브 등 주요 서비스들이 서로 다른 로그 형식과 필드명을 사용해, 동일한 보안 이벤트에 대한 교차 분석이 매우 비효율적이었다. 예를 들어 AWS에서는 'eventName'으로 기록되는 필드가 GCP에서는 'protoPayload.methodName'으로 나타나기 때문에, 다양한 환경에 걸친 행위를 분석하려면 쿼리를 개별적으로 변환하는 작업이 필수적이었다.

P0LR 에스프레소는 이러한 비효율을 제거하고자 '아이덴티티', 'IP 주소', '유저 에이전트', '액션' 등 보안 분석에 핵심이 되는 필드를 공통 스키마로 정규화해 제공한다. 이를 통해 보안팀이 의심스러운 행위에 대한 정황을 빠르게 파악하고 침해 여부를 신속히 판단할 수 있게 된다.

퍼미소에 따르면, 이 도구는 P0 응답 시나리오, 즉 사용자 계정 침해 여부를 신속히 판별해야 하는 상황에서 특히 유용하다. ‘에스프레소를 추출하듯’ 정제된 로그 데이터를 실시간으로 제공함으로써, 중요 이벤트를 놓칠 위험도 최소화했다.

P0LR 에스프레소에는 세 가지 핵심 기능이 포함되어 있다. 하나는 이벤트 리스트로, 필터링과 검색 기능을 갖춘 정규화된 활동 기록을 제공하며, 또 하나는 IOC(Indicators of Compromise) 패널로, 위협 지표와 경보를 심층 분석할 수 있게 한다. 마지막은 아이덴티티 분석 인터페이스로, 시간 흐름에 따라 계정의 이례적 이상 행위를 시각적으로 파악할 수 있다.

퍼미소는 자체 블로그를 통해, 러untime 이벤트 수집 단계에서 로그를 정규화하면 이후 수동 포렌식이나 자동화 탐지 분석 과정을 크게 단순화할 수 있다고 강조했다. 향후 다양한 보안 툴과의 연동 가능성도 열어둬, 클라우드 기반 위협 대응 시스템의 또 다른 핵심 요소로 자리매김할 전망이다.