Investigating multi-vector attacks in Log Explorer

Context

현대의 다중 벡터 공격은 API 탐사, 네트워크 트래픽 범람, 도용된 자격증명을 통한 침투 등 여러 경로를 동시에 사용한다. 기존에는 HTTP 요청, DDoS 로그, 방화벽 로그, Zero Trust 접근 이벤트 등이 분산되어 있어 공격 전체를 가시화하기 어려웠고, 로그 수집 과정의 병목으로 인해 한 고객의 데이터 증가가 다른 고객의 가시성을 지연시키는 '떠들썩한 이웃' 문제가 발생했다.

Technical Solution

• HTTP Requests, Firewall Events, DNS Logs, NEL Reports, Spectrum Events 등 응용 계층 및 네트워크 계층 데이터를 통합: 14개의 신규 데이터셋을 Log Explorer에 추가해 edge에서 인프라까지 전체 스택 가시화
• Access Requests, Audit Logs, CASB Findings, Magic Transit/IPSec Logs, Browser Isolation Logs, Device Posture Results, DEX Application Tests, DEX Device State Events, DNS Firewall Logs, Email Security Alerts, Gateway DNS, Gateway HTTP, Gateway Network, Magic IDS Detections를 Cloudflare One 포트폴리오에 추가: Zero Trust 및 내부 보안 이벤트를 중앙 집중식 인터페이스로 통합
• 수집 경로의 동시성(concurrency) 증가: 병목 현상을 제거해 한 클라이언트의 데이터 증가가 다른 클라이언트의 로그 가용성에 영향을 주지 않도록 격리
• SQL 기반의 통합 쿼리 인터페이스 제공: 14개 데이터셋을 동일한 SQL 문법으로 상호 연관 분석 가능하게 설계
• 미래 확장성을 위한 아키텍처 기반 마련: 현재는 Cloudflare 포트폴리오 완성에 초점, 향후 제3자 데이터 소스 및 커스텀 스키마 통합 예정

Impact

• P99 수집 지연시간 약 55% 감소
• P50 수집 지연시간 25% 감소
• edge에서 발생한 이벤트가 SQL 쿼리로 조회 가능해지기까지의 시간 단축

Key Takeaway

다중 벡터 공격 대응에서는 공격 시간 차이가 방어적 전략을 재동적으로 결정하므로, 로그 수집 병목 제거와 상관 분석 중앙화가 MTTD(Mean Time to Detect) 단축의 핵심이다. 로그 수집 경로의 동시성 격리는 멀티테넌트 환경에서 개별 고객의 데이터 폭증이 전체 시스템 응답성에 미치는 영향을 차단하는 실질적인 솔루션이다.