비즈니스의 활성화와 더불어 정보시스템은 내·외부자에 의해 노출되고 있다. 이에 따라 기업의 신뢰도와 서비스 가용성이 더불어 위협받고 있는 게 사실이다.
최근 정보통신부가 조사한 ‘정보보호 실태조사’에 따르면 국내 기관들의 정보보호 투자비율은 선진국에 비해 크게 부족하다. 특히 보안 솔루션의 도입 패턴을 두고 볼 때, 통합보안관리와 취약점 분석 등 침해 사고에 대한 예방 부분에 있어서는 그 준비가 매우 저조한 것으로 나타났다. 올해 초에 발생했던 1.25 인터넷 대란이나 복합적인 사이버 침해 사고들의 원인이 관리자가 시의 적절하게 대응하지 못했기 때문이라는 사실을 감안하면 심각한 문제가 아닐 수 없다.
하지만 현실적으로 각 보안 솔루션들을 운영하면서 상호연관성 분석을 통해 이상 징후를 찾아낼 수 있는 수준의 정보보호 전담조직 및 전문인력을 갖추기란 쉽지 않다. 방화벽, 침입탐지시스템(IDS), 가상사설망(VPN), 안티 바이러스와 같은 다양하고 전문화된 보안 솔루션의 도입은 증가하는 반면, 보안 솔루션에 대한 전문지식 보유 인력은 여전히 부족하기 때문이다. 그렇다고 보안만 전담하는 관리자를 두면 사전 방지 및 대응 조치가 가능한 것도 아니다. 각 보안 솔루션이 처리하는 방대한 양의 보안 이벤트와 분석작업은 결코 수작업으로 처리할 성질의 것이 아니다.
보안 관리의 중요성이 강조되면서 점차 도입하는 기업이 늘고 있는 전사적보안관리(ESM, Enterprise Security Management) 솔루션은 다양한 이기종 보안 솔루션을 중앙집중 관리하고, 보안 솔루션 이벤트의 상호간 연관성 분석을 통해 오탐지(False Positive)를 최소화하는 기능을 갖고 있다. 또한 기업의 보안 관리자들이 행하는 단순하고 반복적인 업무(모니터링/로그 분석, 보고서 산출)의 자동화로 정보보호정책 및 지침 수립 등의 중요도 높은 업무에 집중할 수 있게 도와 기업의 비즈니스 연속성을 확보한다.
“3세대 ESM 시대가 왔다”
기업의 IT 보안 수요가 급증하던 지난 2000년 처음 등장한 ESM(해외 시장에서는 통합보안관리[ISM, Integrated Security Management] 혹은 통합보안환경[ISE, Integrated Security Environment]이라고도 부른다)은 초창기에는 주로 한 종류의 제품을 여러 대 통합 관리하는 도구 정도로 인식돼 왔다. IDS 전문업체인 윈스테크넷을 비롯해 어울림정보기술과 시큐아이닷컴이 여기에 해당된다. 이들은 자사의 보안 솔루션 관리 기능 강화가 1차 목표이기 때문에 아직까지 이기종 보안 솔루션 지원이나 성능 업그레이드 면에서 경쟁사 제품에 비해 크게 뒤진다.
자체 장비의 관리를 주된 목적으로 하는 ESM을 1세대 제품이라고 한다면, 보안 솔루션의 종류와 대수가 모두 급속히 증가해 여러 이기종 보안 솔루션의 로그를 중앙에서 취합하는 기능을 제공한 ESM 솔루션은 2세대 제품이라고 할 수 있다. 지난해 초까지 국내에 출시된 대부분의 ESM 솔루션이 여기에 해당된다.
지난해 말부터 이기종 보안 솔루션간의 연동이 주요 이슈로 부각되면서 각 보안 솔루션으로부터의 로그를 보다 깊이 있게 분석하는 기능을 지원하는 ESM이 등장했는데, 업계 전문가들은 이 제품을 3세대 ESM이라고 부른다. 최근 출시된 ESM 솔루션은 모두 3세대를 표방하고 있지만, 분석 수준에 있어서는 제품간 상당한 차이가 있다.
그렇다면 3세대 ESM을 구현하는데 가장 중요한 부분은 무엇인가? 실전 경험을 바탕으로 어느 로그와 어느 로그를 어떻게 상관관계를 분석하고, 또 어떠한 현상으로 예측하느냐가 매우 중요하다. 기업마다 전산 환경이 매우 상이하고, 애플리케이션에 따라 환경 또한 달라지기 때문에 경험치가 가장 중요한 요인(factor)인 셈이다. 각 사마다 강조하는 부분이 다르기는 하지만, 전문가들이 지적한 3세대 핵심 기능은 대략 3가지로 요약된다. 실시간 로그 상호 연관성 분석 기능(로그가 수집되는 즉시 분석), 동일/유사한 공격 로그를 축약 보고 기능, 연동 보안 솔루션의 정책 설정 및 구성 변경 지원이다.
이글루시큐리티, 매출·기술력에서 단연 으뜸
현재 국내 ESM 시장에서 가장 적극적인 활동을 보이고 있는 업체는 이글루시큐리티(대표 이득춘)다. 이글루시큐리티는 자사의 관제서비스 제공을 목적으로 개발한 관제툴을 ESM으로 발전시켜, 별도의 보안관제시스템을 구축하려는 금융권과 대기업을 우선 공략하는 방식으로 초기 시장의 주도권을 잡는 데 성공했다.
보안 솔루션 특성상 많은 고객이 도입하고, 여러 산업에 적용됐다는 사실은 굉장한 인센티브가 아닐 수 없다. 시장의 리더답게 이글루시큐리티는 가장 많은 고객들을 확보하고 있으며, 고객층 또한 공공, 금융기관에서부터 일반기업에 이르기까지 다양하다. 올해에도 가장 최근에 도입한 한국중부발전을 비롯해 강원랜드, 한미은행, 국민건강보험공단, LG투자증권 등이 이기종 보안 솔루션 관리를 위해 이글루시큐리티의 ESM 솔루션 ‘스파이더-1’을 선택했다.
이글루시큐리티는 기술력에 있어서도 시장을 주도한다. 이미 검증된 안정성, 기능, 사용자 편이성은 말할 것도 없고, 최근 주요 대규모 공공 프로젝트 BMT에서 이벤트 처리 건수가 초당 1만건을 기록하는 등 성능 면에서도 여타 업체들을 크게 앞지르고 있는 상태다. 특히 이글루시큐리티가 올해 발표한 ‘스파이더-1/TM’은 다양한 이기종 보안 솔루션의 중앙 집중 관리는 물론, 단순한 모니터링 수준 이상으로 잠재적인 보안 위협 요소나 취약점을 사전에 발견, 조치해 줄 수 있는 제품이라는 점에서 또 한 차례의 기술적 진전을 일궈냈다는 평가를 받고 있다. 이 제품은 ‘스파이더-1’의 프레임워크를 그대로 사용하면서 ESM에서 진보된 형태의 위협 관리 템플릿을 제공한다.
진정기 이글루시큐리티 마케팅전략팀 부장은 “기대만큼 ESM 시장이 폭발적인 성장을 기록하지 못해 기술 발전도 더디게 진행되는 게 사실이다. 하지만 이글루시큐리티는 요즘 최고 관심사인 이기종 보안 솔루션간 상호 연관성 분석에 있어 상당한 발전을 이끌어냈다. 여기에 고객들의 요구사항까지 계속해서 제품에 반영하고 있다. ‘스파이더-1/TM’만 하더라도 금융권에서 요구한 자산 관리 기능이 새롭게 추가됐다. 고객이 원하는 기능을 제공하는 제품이 시장을 선도하는 것은 당연한 결과다”라고 말했다.
이글루시큐리티는 올 상반기에는 KTF를 제외하고는 대형 프로젝트가 거의 없어 시장이 다소 위축됐다고 평가했다. 하지만 하반기에는 총 27억원 규모의 정보통신부 프로젝트와 농협과 같은 대규모 사업이 대기하고 있어 시장 분위기가 크게 달라질 것으로 내다봤다. 이글루시큐리티는 일부 사업에서 이미 최종 사업자로 확정돼 하반기 시장에서도 가장 돋보이는 성적이 기대된다.
한국IBM, 신기술 개발에 가장 적극적
이글루시큐리티와 함께 3세대 ESM 시장을 이끌고 있는 업체는 다름 아닌 한국IBM(대표 신재철)이다. 한국IBM의 ‘티볼리 리스크 매니저’는 보안 이벤트에 대한 상관 관계 분석 알고리즘을 통해 관리자에게 중요한 보안 관련 정보만을 정제, 특정 이벤트에 따른 자동 조치를 구현할 수 있는 환경을 제공한다는 점에서 3세대 ESM의 특징을 모두 내포하고 있다. 여기에 이 제품 역시 IBM의 비즈니스 키워드인 ‘온 디맨드(On -Demand) 컴퓨팅 환경’을 지향, 기술 주도권에 있어서도 충분히 유리하다.
한국IBM의 한 관계자는 “빠르게 변하는 기업의 비즈니스 환경에 맞춰 IT 환경 또한 신속한 대응성과 가변성, 그리고 안정적인 통합을 갖춰야 한다는 목표 아래 IBM은 온 디맨드 컴퓨팅 환경을 주창해 왔다. 온 디맨드 컴퓨팅 환경에서 가장 중요한 요소는 통합과 자율이다. 티볼리 리스크 매니저는 온 디맨드 컴퓨팅 환경 실현을 위한 솔루션 중 하나로, 통합과 자율이라는 목표 아래 모든 기술 개발을 집중하고 있다”고 밝혔다.
실제로 티볼리 리스크 매니저는 잠재적인 보안 위협요소를 알아내 서버 재구성, 보안 패치 적용, 계정 임시 폐기 등의 자동적인 조치를 알아서 할 수 있는 자율컴퓨팅 기능을 조만간 추가할 예정이며, 일부 기능(특정 보안 이벤트 발생 시 자동 대응 기능)은 내장돼 있는 상태다. 또한 외산 보안 솔루션 및 국산 제품의 지속적인 연동 작업도 추진중이다.
지난 2001년 안철수연구소, 펜타시큐리티, 어울림정보기술, 인포섹, 데이타게이트인터내셔널 등 6개사와 이미 연동 패키지를 선보인 바 있는 한국IBM은 국내 보안 솔루션 업체들과의 전략적인 제휴를 점차 늘려, 컨트롤 및 자동 조치 기능을 확장 연동한다는 계획이다.
이 밖에 IT 분야에서의 통합 보안 관리뿐만 아니라, 전사적인 보안 관리(출입 통제, 자산 보안 관리 등) 시스템과의 연동 요구사항이 늘고 있다는 점에 착안해, ESM 관리 대상 범위도 더욱 확장시켜나갈 방침이다.
