클라우드 SIEM을 위한 XML 스키마 기반 경량화 기법

초록

본 논문은 클라우드 환경에서 SIEM 시스템이 교환하는 XML 기반 보안 이벤트 메시지의 전송 효율성을 높이기 위해 XML 스키마 기반 미니피케이션 기법을 제안한다. 의미 있는 태그명과 최소화된 태그명을 분리하여 코드 가독성을 유지하면서도 원본 XML 크기를 8 %~50 % 감소시켰으며, GZip 압축을 추가 적용하면 최대 66 %까지 용량을 줄일 수 있음을 실험을 통해 입증한다.

상세 분석

이 논문은 클라우드 서비스 이용 시 데이터 전송량이 비용에 직접적인 영향을 미친다는 전제 하에, 보안 정보 및 이벤트 관리(SIEM) 시스템에서 사용되는 복잡한 XML 메시지의 크기를 구조적으로 감소시키는 방법을 탐구한다. 기존 연구들은 주로 전송 후 압축(GZip, BZip2 등)이나 JSON·MessagePack 같은 경량 포맷 전환에 초점을 맞추었지만, 압축 과정은 CPU 사이클을 소모하고 실시간 처리에 부정적 영향을 줄 수 있다. 이에 저자들은 XML 스키마(XSD)를 사전 분석하여 각 요소와 속성에 대해 최소 길이의 식별자를 매핑하는 ‘스키마 기반 미니피케이션’ 방식을 제안한다. 핵심 아이디어는 두 단계로 구성된다. 첫째, 원본 스키마에서 의미 있는 이름(예: ‘sourceIP’, ‘classification’)과 그에 대응하는 짧은 토큰(예: ‘a’, ‘b’)을 자동 생성하고 매핑 파일을 생성한다. 둘째, 런타임에서는 이 매핑 파일을 참조해 XML 인스턴스를 직렬화할 때 토큰을 사용하고, 역직렬화 시 다시 의미 있는 이름으로 복원한다. 이렇게 하면 전송되는 XML은 태그 이름이 극도로 짧아져 전체 문서 크기가 크게 감소하지만, 애플리케이션 레벨에서는 원본 스키마와 매핑 파일을 통해 가독성과 유지보수성을 유지할 수 있다.

실험은 Microsoft Azure 상에 구축된 SIEM 환경에서 IDMEF(Intrusion Detection Message Exchange Format) 메시지를 대상으로 수행되었다. 다양한 시나리오(경보, 상태 보고, 로그 등)에서 원본 XML, 미니피케이션 적용 XML, 그리고 각각에 GZip 압축을 추가한 경우를 비교하였다. 결과는 미니피케이션만 적용했을 때 평균 30 % 정도의 크기 감소를 보였으며, 최악의 경우 50 % 이상 감소하였다. GZip과 결합하면 전체 감소율이 66 %에 달해 전송 대역폭과 비용 절감 효과가 크게 나타났다. 또한, 미니피케이션 과정은 단순 문자열 치환 수준이므로 기존 XML 파싱 라이브러리를 그대로 사용할 수 있어 추가적인 처리 지연이 거의 없었다.

한계점으로는 스키마가 빈번히 변경되는 환경에서는 매핑 파일 관리 비용이 증가할 수 있다는 점과, 미니피케이션된 XML이 인간이 직접 읽기에 어려워 디버깅 시 별도의 변환 도구가 필요하다는 점을 들 수 있다. 또한, 보안 측면에서 태그 이름이 축소되면 의미 추론이 어려워질 수 있으나, 이는 오히려 정보 노출을 감소시키는 부수 효과로 해석될 여지도 있다. 전반적으로 이 연구는 XML 기반 프로토콜을 그대로 유지하면서도 전송 효율성을 크게 개선할 수 있는 실용적인 방법을 제시했으며, 클라우드 비용 최적화와 실시간 보안 모니터링 요구를 동시에 충족시킬 수 있는 가능성을 보여준다.