[보안 정보 관리(SIM)②] SIM 툴 6개제품 비교분석
상태바
[보안 정보 관리(SIM)②] SIM 툴 6개제품 비교분석
  • Network Computing
  • 승인 2002.05.30 00:00
  • 댓글 0
이 기사를 공유합니다

현재 SIM 솔루션들은 폭풍우 속에 부분적인 항해도만 제시
전문가 서비스·파일럿 수행 필수 … ‘넷포렌식스’가 가장 다재다능
처음 엔터라시스 네트웍스(Enterasys Networks), e-시큐리티(e-Security), 가디드넷(GuardedNet), 아이비엠, 인텔리택틱스(Intellitactics) 및 넷포렌식스(netForensics)의 SIM(Security Information Management) 솔루션 배치 작업을 시작했을 때는 정말 흥분된 상태였다. 우리가 기대했던 것은 방화벽, IDS(Intrusion Detection System) 및 시스템 데이터의 바다를 통과하도록 안내해줌으로써, 사나운 풍랑을 문제없이 지날 수 있게 해줄 항해도였다. 불행히도 이러한 설렘은 오물에 뒤덮인 채로 해변가에 널부러져 있는 우리 자신을 발견했을 때의 환멸감으로 끝이 났다.

SIM의 폭풍우 속을 항해하는 일이 가능할지는 모르지만, 현재의 솔루션들은 부분적인 항해도만을 제시한다. 이들은 당신의 항로에 따라 가치를 추구할 수도 있겠지만, 완벽한 안내를 바라고 이들에게 의지해서는 안 된다. 아직 이들은 그 수준에 이르지 못했기 때문이다.

제품에만 의지는 안돼

확실한 승자를 가려내기는 어려웠는데, 그 이유는 이 영역에서 모든 것을 만족시키는 한 가지란 정말 없기 때문이다. 하지만, 막강한 보고 능력과 불만사항이 가장 적었다는 이유로, 우리는 넷포렌식스에게 에디터스 초이스 상을 주었다. 이는 즉, 이런 제품들이 유사한 모델을 기반으로 할지는 몰라도 그 설계 목표는 명백히 다르다는 얘기다. 예를 들어, 가디드넷의 뉴시큐어(neuSecure)에는 실제 운영자용으로 설계된 웹 기반 인터페이스가 있다. 실시간 콘솔은 소스, 목적지 및 이벤트 유형을 기반으로 중요한 경보들을 보여주며, 하부 메뉴들은 더 많은 분석을 위한 툴을 제공한다. 뉴시큐어에는 심지어 장애티켓 시스템이 있으며, 이것은 네트워크 운영상의 필요와 보안 조사상의 필요 사이에 놓인다.

반면에, 넷포렌식스와 같은 제품들은 실시간 모니터링에서는 한정적이지만, 데이터 조작을 위한 방대한 보고 툴들을 제공한다. 인텔리택틱스의 접근 방식은 이것과는 또 다르다. 이 업체의 NSM(Network Security Manager)에는 독특한 시각화 및 자산 분류 툴이 있어 기술력이 부족한 운영자라도 이벤트들을 구분할 수 있게 해준다.

뛰어난 데이터 마이닝 및 트렌딩(trending) 툴을 찾고 있다면 넷포렌식스가 좋을 것이다. 기술력이 부족한 운영자에게 능력을 부여하는 데는 NSM이 확실한 선택이다. 뉴시큐어는 소규모의 MSSP(Managed Security Service Provider)들에게 좋은 툴이 될 수 있을 것이다. 마지막으로, 이미 아이비엠 티볼리나 엔터라시스 드래곤의 고객이라면, 필요에 따라 기존의 배치를 토대로 구축하는 것이 보다 비용효율적이다.

우리가 보는 이상적인 솔루션은 넷포렌식스 제품 기반에다 NSM의 시각화 요소를 추가하고, 뉴시큐어의 보다 유용한 컴포넌트를 이용하며 여기에 e-시큐리티의 윈도 기반 규정 생성 엔진을 추가한 것이다.

절망의 바다

우리의 목표는 간단했다. 즉, SIM 솔루션을 배치하고 잡다한 라이브 보안 장비들을 통합시키며, 약간의 시간을 들여 제품을 맞춤화해서 보안 종사자들에게 있어서의 이들의 유용성을 평가한다는 것이었다. 하지만, 이런 생각을 실천에 옮기는 일은 그리 간단하지 않았다.

우리의 항해는 최초의 제품들이 도착했을 때부터 시작되었으며, 처음부터 쉬운 일은 하나도 없었는데, 그 이유는 수십 개 시스템과 장비를 별도로 설정해야 했기 때문이다. 시카고에 있는 네오햅시스 파트너 랩의 장비 목록은 실제 상황과 상당히 유사하다. 즉 시스코시스템즈, 넷스크린 테크놀로지스 및 노키아의 방화벽, 시스코, 엔터라시스 및 ISS(Internet Security Systems)의 IDS가 있었으며, 라우터, 스위치, 아파치에서 X 윈도에 이르는 수십 개의 운영시스템 및 애플리케이션은 말할 것도 없다. 심지어 우리는 가능한 한 많은 데이터를 사용하기 위해 생산 네트워크에 있는 수많은 방화벽, IDS 및 기타 보안 장비들을 수거해오기까지 했다.

테스트한 모든 솔루션에는 유사한 디자인 모델이 따라 왔는데, 즉 보안 장비는 데이터 수집기나 집합기에 공급을 하고, 집합기들은 데이터베이스 주도식 백엔드로 공급을 한다. 그리고 모니터링과 질의를 위해 콘솔이나 인터페이스가 데이터베이스 뒤로 연결되는 식이다.

첫 번째 작업은 우리의 보안 장비로부터 SIM 솔루션의 집합기 컴포넌트로 데이터 출력 흐름을 공급하기 위한 계획을 짜는 일이었다. 이것은 까다로운 작업인데, 그 이유는 장비들마다 다양한 전송 메커니즘을 사용하는 다양한 유형의 데이터를 출력하기 때문이다. 예를 들어, 체크포인트 소프트웨어 테크놀로지스 방화벽은 보통 OPSEC이나 SNMP를 이용해 로그 정보를 출력하도록 구성돼 있다. 이에 비해 시스코 시큐어 IDS 장비는 전용 시스코 POP를 사용하는 것이 기본값이지만, SNMP를 전송 수단으로 사용하도록 구성될 수도 있다.

SNMP와 시스로그는 장비간 통신용으로 가장 드물게 거론되지만, 보안 관점에서도 이들은 가장 바람직하지 못한데, 그 이유는 이들이 UDP(User Datagram Protocol)에 의존하기 때문이다. UDP는 TCP보다 스푸핑이 훨씬 더 쉬우며, 신뢰성도 훨씬 떨어지는 것으로 인식되고 있다. 우리는 이 문제에 대해 걱정하느라 많은 시간을 보내지 않았지만, 철저한 보안 관리자라면 여기에 주의를 기울일 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.