기업들의 보안 관리의 중요성이 강조되면서 단순 로그 관리에 그치는 통합보안관리(ESM) 솔루션보다 한 차원 높은 분석 및 대응책을 제시하는 포렌직(Forensic) 솔루션에 대한 관심이 늘고 있다. 이미 해외에서는 금융, 제조 업체 및 사이버 수사기관을 중심으로 시장이 형성되고 있으며, 국내에서도 학계를 중심으로 이 솔루션에 대한 분석이 시도되고 있다.
“ESM과는 노는 물이 다르다”
포렌직 솔루션이란 네트워크상의 모든 원시 데이터 및 타 보안시스템의 로그 데이터를 수집, 과학적인 분석을 통해 네트워크 남용, 내부 자료 도난, 보안 혹은 인력 정책 위반이 기업 자산에 어떤 영향을 미치는지 보여주는 효과적인 솔루션이다. 방화벽, 침입탐지시스템, 네트워크 탐지기와 같은 다양한 소스로부터 정보를 통합하고 분석해 보안 관리 절차를 단순화시키고, 직원들의 네트워크 및 컴퓨터 자원 오/남용을 예방한다는 차원에서는 ESM 솔루션과 유사하지만, 실제로는 기능과 용도에서 큰 차이가 있다.
우선 포렌직은 단순 보안 툴간 상호연관분석 외에 네트워크 성능 분석, 트래픽 및 기록 분석, 위험 평가, 지적재산권 보호와 같은 다양한 기능을 갖고 있으며, 무엇보다 단순 로그 관리가 아닌 당시 상황을 재연할 수 있어 법적 증빙자료로도 사용이 가능하다.
ESM 솔루션이 보안 관리자가 스스로 오판하거나, 초기에 기능적으로 잘못 세팅할 경우, 그리고 관리자 임의로 수정 및 변경했을 경우 발생할 수 있는 문제에 대해 효과적인 답변을 할 수 없는 반면, 포렌직 솔루션은 이러한 문제를 사전에 차단할 수 있다.
따라서 로그를 통한 사후 분석 성향이 강한 ESM과는 달리 실시간으로 네트워크 현황을 파악할 수 있어 오히려 취약성 분석 솔루션과 유사하다. 시장조사 전문업체인 IDC도 이 솔루션을 별도의 시장으로 구분하기보다는 취약성 분석 솔루션 분야에 포함시키는 형편이다.
금융·반도체·R&D 기관 확보가 ‘관건’
현재 포렌직 솔루션을 시장에 선보인 업체는 CA, NA, DISUN 정도다. 이 중 가장 활발하게 시장 개척에 나서고 있는 업체는 지난해 5월 포렌직 솔루션 전문업체인 사일런트러너를 인수한 CA. 이 회사는 최근 사일런트러너의 포렌직 제품군에 일부 기능을 추가한 신규 버전인 ‘이트러스트 네트워크 포렌직스’와 ‘이트러스트 네트워크 포렌직스 모바일 에디션’을 국내 시장에도 새롭게 선보였다.
이 제품군은 네트워크 사용 패턴, 비정상 현상, 심지어는 특이한 이벤트까지도 신속하게 발견해 시각적으로 보여줌으로써 네트워크 관리자가 문제의 근본 원인을 재빨리 파악할 수 있도록 하며, 최상의 네트워크 아키텍처를 적극적으로 유지할 수 있도록 함으로써 조직의 목표와 비즈니스 목적을 달성할 수 있도록 해 준다. 특히 ‘이트러스트 네트워크 포렌직스 모바일 에디션’은 ‘이트러스트 네트워크 포렌직스’상의 솔루션을 모바일 형태로 만든 모바일 솔루션으로, 포렌직 조사 및 네트워크 문제 해결 요구에 신속하게 대응할 수 있다.
CA는 경쟁 제품이 현재 국내에 소개되지 않은 상황에서 포렌직 시장을 홀로 개척하기보다는 우선적으로 취약성 분석 솔루션 시장에 접근할 방침이다. 전 세계적으로 보유하고 있는 100여개 이상의 고객사가 주로 정부기관, 제조업체 및 R&D 기관인 만큼, 국내 시장에서도 금융, 반도체, 자동차의 첨단 제조업체 및 텔레콤, R&D 기관을 우선적으로 공략한다는 계획이다.
한국CA의 한 관계자는 “CA는 올해를 경제 회복과 함께 보안 시장의 성장을 예측하고, 서버 보안 제품인 ‘이트러스트 액세스 컨트롤’과 연계해서 통합계정관리를 위한 ‘이트러스트 어드민’과 ‘이트러스트 포렌직스’를 주력 제품화할 것이다. 특히 ‘이트러스트 포렌직스’의 경우 CA의 온 디맨드 컴퓨팅 전략과 가장 잘 어우러진 제품이라 그 기대가 크다”라고 말했다. 
