위험 정보·방어·보고 등 종합적 관리 … 표준 미비·출혈 경쟁 우려

취약성 정보와 국내외 네트워크 분석을 통해 인터넷상의 위협을 사전에 감지하고 조기 예·경보해 보안정책 설정 기준과 대처방안을 제공하는 위협관리 시스템 TMS(Threat Management System)에 업계의 이목이 집중되고 있다.
웜, 바이러스, 해킹 등 위험요소는 글로벌하게 시시각각 늘어나고 있지만 이에 대응할 수 있는 효과적인 보안 관리 방안이 부재하다는 데서 출발한 TMS는 기존 보안 관리 솔루션들의 단점을 극복하며 효율적인 대안으로 부상하고 있다. 그러나 아직은 TMS 솔루션의 정확한 표준이 없고 SI성으로 진행되는 경우가 대부분이라 정확한 기준에 대해 고객들이 혼란해하는 상태다. 또한 TMS와 비슷한 개념의 RMS(Risk Management System) 솔루션 등도 속속 출시되고 있어 TMS와의 동일성과 차이점에 대한 궁금증이 증폭되고 있다.
위협관리 솔루션이란 무엇인지, 관련 업체들의 동향과 향후 사업 전략 등을 통해 통합보안 관리를 위한 정답은 무엇인지 알아본다.
<편집자>

효율적 보안 관리 위한 대안 TMS ‘개화 임박’

‘TMS·RMS' 장점 부각 … 시장 선점 경쟁 과열 조짐

전사적이고 능동적인 보안 솔루션은 없을까? 시시각각 변하는 내 시스템의 위험들을 자동으로 분석하고 국내외의 위험정보들을 바로바로 시스템에 적용시킬 방법은 없을까? 이런 통합적이고 자동화된 보안 위험에 대응코자 하는 요구에 의해 탄생한 것이 바로 TMS 솔루션이다. 이름처럼 통합적으로 위험을 관리하고 예방한다는 TMS는 현재 IDS, IPS 기반의 정보보호기술, 윈스테크넷 등과 ESM 기반에서 발전시킨 TMS 솔루션을 내놓고 있는 제이컴정보, 인젠, 이글루시큐리티, 트래픽 기반의 분석솔루션 TAS를 내놓은 시큐리티맵 그리고 자산별로 위험을 분석하고 우선 순위별 위험에 대한 대응책을 적용하는 RMS 솔루션을 보유한 한국맥아피 등이 치열한 시장 선점 경쟁을 벌이고 있다.
진정 효과적으로 위험을 분석, 예방하고 효율적인 보안 관리 방안을 제시해 줄 수 있는 솔루션은 무엇인지, 관련 업체들의 제품과 사업현황을 통해 살펴본다. |장윤정 기자·linda@datanet.co.kr|

TMS는 각종 위협으로부터 내부 정보자산을 보호하기 위해 글로벌 위협 정보를 실시간으로 분석해 내부 정보 인프라에 능동적으로 적용함으로써 조기에 위협을 제거하고 관리할 수 있는 통합된 정보보호 기술 체계를 지칭하는 위협관리 시스템이다. 기존 ESM (Enterprise Security Management) 솔루션이 단순히 보안 위협에 대한 보고 기능을 수행했다면 TMS는 방화벽, IPS 등을 종합적으로 활용해 위협 감지뿐만 아니라 능동적인 방어를 제공한다.
TMS는 특정 정보 시스템으로 한정된 공격 패턴을 넘어선 전사적 인프라스트럭처에 대한 공격, 위협의 다양성 및 복합, 복잡성으로 관리자의 대응책 판단 곤란, 알려지지 않은 공격에 대한 보다 사전적이고 신속한 대응 체계 요구 등에 의해 출현하게 됐다.
정보 보안 사고의 급격한 증가, 수적, 질적으로 단기간내 기하급수적으로 증가하는 위협, 시스템 취약점, 소프트웨어 결합, 유해트래픽, 콘텐츠를 통한 공격 등의 다차원적인 공격 경로를 통한 공격 행태로의 진화, 다양한 단위 보안 제품에서 발생되는 이벤트의 중복 분석 곤란으로 보다 더 효과적인 보안 관리 필요성의 대두 등으로 인해 TMS의 필요성은 점차 증대되고 있는 추세다.

TMS란
이렇게 TMS는 보안 관리 인력 대비 다양한 보안 솔루션 운영에 따른 업무 효율성 저하를 해소할 수 있다는 측면에서 각광받고 있다. 한 업계의 관계자는 “단위 보안 솔루션의 한계와 위협을 사전에 인지함으로써 조기에 대응코자 하는 시스템의 필요성이 점차 증대되고 있다”며 “이에 통합보안 관제 및 전사적 위협관리가 가능한 TMS가 그 대안일 것”이라고 언급했다.
통합보안이 가능하다면 통합보안 관리를 위한 최선의 대안이라고 불리던 ESM과 TMS는 어떤 차이가 있을까? ESM(Enterprise Security Management)은 IDS, 파이어월, VPN 등 각종 네트워크 보안 제품의 통합 관리와 개별 침입에 대한 종합적인 대응을 위한 통합 보안 관리시스템을 의미한다.
통합 보안 관리는 서로 다른 기종의 보안 솔루션 설치에 따른 상호간 연동을 통해 전체 IT 시스템에 대한 보안 정책을 수립할 수 있는 장점을 지니고 있다. 하지만 기존 보안 솔루션에서 제공하는 정보에만 의존하므로, 제로데이 공격과 같은 새로운 공격에 대해 대응할 수 없고, 보안 정보를 취합하기 위해 정규화를 실시하게 됨으로써 특정 솔루션을 통해서만 얻을 수 있는 중요 보안 정보의 유실이 불가피하다. 한 관계자는 “공격이나 위험은 이상 징후를 나타내는 특정한 솔루션을 통해 발견할 수 있는 경우가 많지만 ESM은 보안 정보를 취합하기 위해 정보를 평준화, 정규화시키기 때문에 이상 징후를 나타내는 특정 솔루션이 사라지게 되는 경우가 많다”며 “이 때문에 제로 데이 공격 등 시시각각 생길 수 있는 보안 위협을 막아내기에는 역부족”이라고 말했다.
이와 비교해 TMS는 인터넷 웜, 바이러스, 해킹 등의 사이버 공격을 탐지하고 트래픽 이상징후 등 네트워크 상태 변화를 민감하게 감지해 대응할 수 있는 네트워크 트래픽 모니터링 및 분석 기능을 제공한다. 동시에 로컬 네트워크의 위협 상황을 글로벌 위협 상황과 비교, 분석해 사이버 위협의 단계별 적절한 의사 결정을 지원, 사이버 공격에 의한 피해의 확산 방지 및 완화를 위한 사이버 위협 관제 및 대응 시스템이다. 즉 TMS는 개별 고객 내부 시스템을 통해 수집된 위험에 대한 정보와 외부의 글로벌 위험정보 등을 통합해 실시간 위협 정보를 제공, 총체적인 보안 위협에 대비할 수 있도록 하는 솔루션이다.
다만 가장 큰 차이점이라면 ESM은 이기종 보안 솔루션들을 모두 수용할 수 있고 TMS는 이기종 보안장비를 서로 연동하는데는 아직 약간 무리가 있다는 것. 정보보호기술이나 윈스테크넷 등 TMS 솔루션 업체들은 반드시 자사의 IDS 등의 보안 솔루션과 TMS를 접목시켜 쓸 것을 권하고 있다.
이처럼 ESM과 TMS는 성격이 전혀 다른 솔루션이라고 볼 수 있지만 근본적으로는 보안위협에 대한 보고와 방어를 수행한다는 측면에서 태생은 비슷하다고도 말할 수 있다. 업계의 전문가들은 “TMS가 능동적인 방어를 수행한다는 측면에서 ESM보다 진화된 솔루션이라고 보는 시각도 있지만 반드시 그런 것은 아니다”며 “ESM은 이기종 보안장비들을 통합 관리할 수 있으나 TMS는 아직 TMS 솔루션을 가진 업체들에 종속돼 단일 장비의 모니터링에 한정되어 있다는 약점을 가진다. 또 ESM과 TMS가 필요로 하는 용도가 달라 당분간 시장에서 ESM과 TMS는 공존하며 발전을 지속할 것”이라고 내다봤다.
또한 IDS, IPS와 비교해 TMS가 가진 장점은 무엇일까? 앞서 언급한 것처럼 IDS, IPS를 비롯한 기존 보안 솔루션은 이미 알려진 사이버 공격을 위주로 탐지한다. 반면, TMS는 트래픽의 세부 구성 요소에 대해 각각의 프로파일을 생성한다. 이를 기반으로 비정상 탐지 기능을 제공함으로써 최근 발생 가능성이 고조되고 있는 제로 데이 공격 등과 같은 알려지지 않은 사이버 공격에 대한 대처가 가능하다.
또 기존 IDS는 사이버 공격의 근원지에 대해 조직의 내/외부 분류만을 제공하는 반면, TMS는 네트워크 분류 별로 위협 수준 측정 기능을 제공해 사이버 공격 발생 초기에 해당 공격의 근원지 및 피해지를 직관적으로 파악할 수 있다. 이를 토대로 문제 네트워크를 신속히 격리 조치함으로써 사이버 공격에 의한 피해의 확산을 예방하는 기능을 제공한다.
기존 방화벽, IDS를 비롯한 보안 솔루션 및 별도의 네트워크 모니터링 시스템을 사용하던 고객이 TMS를 도입하는 경우, 정보 보안 사고에 대한 인지, 분석, 조치, 보고 등의 업무 단계가 TMS를 통해 단일화됨과 동시에 원인 분석에 대한 심화 분석이 가능하다. 따라서 단순한 보안 솔루션의 도입이 아닌 ‘사이버 위협 대응 절차’ 전반에 걸친 서비스 도입 효과를 제공받게 된다.

TMS와 RMS의 차이점
한 업계의 전문가는 “TMS는 기존 IDS의 주요 기능인 알려진 사이버 공격에 대한 탐지뿐 아니라, 네트워크 이상 징후 감지를 통한 알려지지 않은 공격에 대한 탐지 기능도 제공함으로써 IDS 등 기존 보안 솔루션의 기술적인 한계를 극복했다”며 “또한 점차 거대화, 통합화 되어 가는 네트워크 환경에서의 사이버 위협을 관리할 수 있도록 조직의 관리 체계와 사이버 위협 모니터링 체계를 일원화할 수 있는 네트워크 분류 기능을 제공한다. 이를 토대로 사이버 공격 발생 시, 신속한 공격의 진원지 파악 및 피해 내역 집계가 가능한 특징을 갖는다”고 정의했다.
이러한 TMS의 특징으로 인해 현재, 국가 주요 기간 망을 대상으로 하는 통합보안관제센터에서 통합보안관제 도구로써 활용 중이다. 대규모 사이버 공격 발생 시, 초동 대처를 위해 혹은 상위 기관 및 본사의 네트워크를 통해 인터넷을 사용하는 소규모 네트워크를 보유한 소규모 지 자체 및 지사에서 도입이 용이하도록 차단 기능을 포함한 TMS 등이 속속 개발되고 있는 추세다.
그렇다면 위험관리 솔루션이라는 RMS와는 어떤 차이점이 있는 것일까? 한글로 번역하면 위협 관리, 위험관리라는 글자 하나 차이라 더욱 헷갈리는 TMS와 RMS의 차이점은 무엇일까? 혹자는 ‘조기예경보 시스템이 접목되면 TMS, 접목되지 않으면 RMS’라고도 하고 ‘TMS는 공격을 감지하고 방어하기 위한 것이고 RMS는 시큐리티 리스크를 줄이기 위한 것’이라고도 한다.
아직 그리 많은 종류의 RMS 솔루션들이 나와 있는 것은 아니여서 비교가 쉽지 않지만 RMS의 성격을 가진 제품으로 국내에 출시돼 있는 것은 한국맥아피의 ‘파운드스톤’과 인포섹 ‘위험관리 서비스’ 정도로 볼 수 있다. 컨설팅 서비스와 접목된 인포섹보다 솔루션으로 출시돼 있는 맥아피 솔루션을 중심으로 RMS와 TMS의 차이점을 찾아볼 수 있다. 우선 맥아피는 자사의 솔루션을 ‘IT자산의 가치, 취약점의 위험도, 위협의 심각성 등의 상관관계를 정확하게 산출, 최적의 보안 위험관리를 할 수 있도록 도와주는 위험 관리 솔루션’이라고 정의하고 있다.
즉 자산의 가치를 평가하고 우선 순위가 높은 자산에 따라 위험도를 산출해 발생할 수 있는 위험을 예방하도록 방안을 제시한다는 것이다. 내외부의 위험 상황을 총체적으로 감지하고 알려주는 것이 TMS라면 IT자산의 가치에 따라 위험을 방어할 수 있도록 정책을 설정해주는 것을 RMS라고 할 수 있다. 다시 말해 둘 다 내외부의 위험정보를 수집하고 예방하는 것이지만 자산관리 솔루션의 개념이 결합된 것이 RMS라는 것.
한 업계의 전문가는 “아직 TMS의 정확한 표준과 기능, 성능에 대한 기준이 없어 각기 자사 제품의 장점을 중심으로 설명하는 편”이라며 “각 고객사의 필요와 제품의 장단점을 잘 살펴보고 선택하는 지혜가 필요하다”고 조언하고 있다.
한편 현재 시중에 나와 있는 TMS 솔루션의 종류를 살펴보면 기존 ESM 솔루션을 보유한 제이컴정보, 인젠, 이글루시큐리티 등에서 자사의 ESM 솔루션을 이용해 출시한 TMS 솔루션, IDS, IPS 솔루션 기반의 정보보호기술과 윈스테크넷 등에서 내놓은 TMS 솔루션 등이 있다. 그리고 네트워크 트래픽 매니지먼트 솔루션 기반의 TMS 솔루션을 출시한 시큐리티맵과 RMS 기반의 한국맥아피, RMS 서비스 솔루션으로 볼 수 있는 인포섹 위험관리서비스 등이 있다.
아직 시장이 초기 단계라 관련 솔루션들이 많지는 않고 대기업 그룹망, 통신사업자, 공공 기관 등에서 일부 쓰이는 정도지만, IDS나 IPS를 보유한 업체들, ESM 업체들을 중심으로 점차 늘어나는 경향이다. 따라서 올해를 지나 내년경이면 현재의 ESM 만큼 인지도를 갖춘 솔루션이 될 수 있을 것으로 관련 전문가들은 전망하고 있다.
본지의 조사에 따르면 올해 국내 TMS 관련 솔루션 시장은 약 300억원 가량을 형성할 수 있을 것으로 기대되고 있다. 본지의 조사에 응답한 TMS 솔루션 업체들의 예상 매출액을 합산해 본 결과 약 300억원 가량의 시장을 형성할 수 있을 것으로 조사됐기 때문이다. <표>참조 지난해에는 약 90억원 가량의 시장을 형성한 것으로 추정되며 올해는 약 3배인 300억원대의 시장을 기대하고 있는 것. 관련 전문가들은 “지난해부터 공공, 통신사업자, 금융, 대형 그룹사 등을 중심으로 서서히 초기 시장을 형성해온 TMS가 올해를 거쳐 내년이면 본격 시장 성장기를 맞이할 것”이라고 전망하고 있다.

전 방위 위협 관리 ‘OK’
우선 IDS, IPS 기반의 TMS 솔루션은 여러 종류의 TMS 솔루션 중에서 가장 널리 쓰이고 있는 편이다. 이 TMS 솔루션은 IDS나 IPS를 센서로 활용해 요소별로 센서를 배치, 각 길목에서 들어오는 정보를 종합하고 분석한다. 현재 시중에 출시돼 있는 IDS, IPS 기반 TMS 솔루션은 아직 타사 장비와의 호환성은 지원하지 않는 것이 단점이지만 이미 IDS나 IPS를 보유하고 있는 고객들이 TMS 솔루션만을 찾는 경우도 있고 IDS, IPS 업체들과 TMS 솔루션 업체들과의 제휴 등도 속속 추진되는 상황이라 호환성에 대한 문제는 조만간 해결될 전망이다.
자사의 주력 제품군을 TMS로 정해 꾸준히 관련 시장을 개척해온 정보보호기술(대표 민병태)은 지난해 매출의 약 60% 이상을 TMS에서 달성할 정도로 TMS 솔루션에 주력하고 있다.
정보보호 기술의 ‘테스(TESS)’ TMS 솔루션은 위협관리시스템 ‘테스 TMS’, 위협분석시스템 ‘테스 TAS 매니저’, 트래픽 수집시스템 ‘테스 TAS 센서’ 등으로 구성되며 글로벌 및 로컬 네트워킹 상황 모니터링, 강력한 위협 분석 기능, 조기 예·경보 기능 등을 제공한다.
특히 테스 TMS는 다양한 네트워크 환경에 적용 가능한 센서 및 네트워크 가상화가 가능하다. 이 가상화 기능으로 각기 다른 네트워크 환경을 가진 지사 등을 운영하는 기업이나 공공 기관도 하나의 네트워크 환경처럼 관리가 가능해 관리의 편이성을 더한 것이 특징이다. 또 기관별, 사이트별 직관적 GUI로 관리 인터페이스가 편리하며 다양한 사이트에 몇 년간 적용해온 노하우 등을 장점으로 내세운다. 시만텍과의 제휴로 ‘시만텍 딥사이트(Deep Sight)’를 통한 글로벌 취약성 정보를 실시간으로 분석, 제공한다는 것도 타사와 차별화된 장점이다.
지난해 한국전산원, 정보통신부(IP 연동기반 1, 2차), 인터넷침해사고대응센터, 한국과학기술정보연구원, 한국무역정보통신, 한국통신하이텔, GS홈쇼핑, 데이콤 초고속국가망, 대한주택보증기금 등 약 30개 사이트 이상에 자사의 위협관리 시스템 ‘테스(TESS) TMS’를 공급한 정보보호 기술은 올해 SMB 시장에 적용가능한 패키지 제품을 출시, 사이트를 늘려간다는 방침이다.
정보보호기술 이상권 부사장은 “기존 대형 기관 및 통신사를 지속적으로 공략하는 가운데 올해는 SMB 시장 공략을 목표로 하고 있다”며 “SMB용 제품은 2/4분기내에 출시할 예정”이라고 밝혔다. 또 그는 “고객들이 ESM이 갖는 장점인 방화벽과 각종 보안장비들의 로그 분석 기능이 TMS에서는 지원되지 않는 다는 점을 아쉬워해 실시간 로그분석 시스템을 개발, 이기종 장비와 서버호스트의 이벤트까지 수용할 수 있는 기능을 연내에 추가할 방침이다”며 “이는 TMS에서 이기종 장비들을 수용할 수 있는 대안이 될 것”이라고 강조했다.
또한 정보보호기술은 중장기적으로 U시티 도시관제 시스템으로 자사의 TMS를 고도화시킬 방침으로 관련 솔루션 개발을 지속적으로 추진할 계획이다.
윈스테크넷(대표 김대연)은 위협관리시스템 ‘스나이퍼iTMS’와 침입방지시스템 ‘스나이퍼(Sniper)IPS 등을 연동, 제공하고 있다. 차단 센서 ‘스나이퍼 IPS’와 탐지센서 ‘스나이퍼 IDS’를 이용해 최근 증가하고 있는 웜, 바이러스, 해킹, 유해트래픽 등의 네트워크 위협에 보다 능동적으로 대응할 수 있다. 또 국내 1천200여개 센서와 해외 정보제공 사이트에서 수집한 글로벌 최신 취약성 정보를 국내 네트워크 인프라에 맞게 분석, 제공한다.
또 윈스테크넷의 위협 예·경보서비스 ‘시큐어캐스트’ 등을 종합, 위협 탐지와 차단, 분석, 관리까지 원스톱으로 제공하는 것이 특징이다. 윈스테크넷 전략사업팀 이인행 상무는 “자체 개발 솔루션을 적용해 커스트마이징이 가능, 고객의 요구에 맞춰 제공할 수 있다는 장점이 있다”며 “자체 위협 예·경보 서비스 ‘시큐어캐스트’를 통해 국내 환경에 적합한 위협정보를 신속하게 전달할 수 있다”고 밝혔다.
별도의 포트 DB관리로 포트별 유입되는 웜과 취약성 정보, 포트별 로컬/글로벌 트래픽 리스트, 실시간 활동현황 분석 및 대응도 지원하며 위협 예·경보, 공지, 헬프데스크, 자유게시판 등 사용자간의 커뮤니티를 통해 정보를 공유하고 위협의 판단을 용이하게 한다.
지난해 KT VPN망과 초고속정부망 유해트래픽 관리시스템, 데이콤 웹 하드의 비정상 트래픽 관리 서비스, 경찰청 경찰전산보호센터 통합전산망 보호 및 유해트래픽 관리시스템 등에 자사의 ‘스나이퍼 TMS’를 공급한 윈스테크넷은 이같은 공급성과를 바탕으로 TMS 영업을 강화시켜나갈 방침이다.
이 상무는 “TMS의 위협차단 센서 역할을 하는 IPS를 기반으로 서비스 차별화를 꾀할 것”이라며 “기존 윈스테크넷의 IDS, IPS 고객들을 대상으로 TMS 도입을 유도함으로써 고객사 대비 비용 절감 효과를 통해 시장에서 주도권을 가져갈 것”이라고 강조했다.
윈스테크넷은 현재 자사의 IDS, IPS에만 적용되는 스나이퍼 iTMS를 향후 이기종 센서(IDS, IPS) 및 이기종 분석시스템(ESM)까지 활용 가능한 연동 기능을 개발하고 적용 가능 시장을 확대한다는 방침이다. 또한 TMS를 기반으로 침해사고 발생시의 처리 과정과 조치 내역을 기록해 유사 사고 발생 시 이를 참조, 대응하도록 하는 능동형 종합보안관리시스템을 개발할 계획이다.

ESM의 장점 이어간다
한편 기존 ESM 솔루션을 보유한 업체들도 자사의 ESM 솔루션을 변형, 발전시켜 TMS 솔루션으로 속속 시장에 내놓고 있는 상황이다. ESM 기반의 TMS 솔루션은 특별히 센서를 활용하지는 않기 때문에 특정 제품에 종속된다거나 하지 않고 포괄적인 호환성을 제공할 수 있는 장점이 있다.
제이컴정보(대표 문재웅)의 ‘e펜타곤 TMS’는 ESM 기반의 위협관리 시스템으로 국내외부 정보보안 공인기관으로부터 글로벌 정보를 수집, 분석, 공유한다. 또 자사 서트(Cert)팀 운영을 통한 24시간 글로벌 정보 수집, 전사적 IT인프라 스트럭처를 대상으로 정보를 수집해 폴스 포지티브(False Positive)를 최소화하고 분석된 정보에 대한 신뢰를 바탕으로 조기 예·경보를 발령하는 것 등이 특징이다. 또 특정 보안 솔루션에 구애받지 않기 때문에 기존 보안 솔루션을 재활용한다는 측면에서도 고객들의 투자비를 절감시켜 줄 수 있다.
제이컴정보 보안기술연구소 민경원 소장은 “거의 모든 보안 제품과의 호환성을 보장해줄 수 있다는 것이 e펜타곤 TMS의 특징이지만 고객들이 IPS, IDS와 같은 센서를 장착한 모델을 원하는 추세라 국내 IPS 전문 기업과 제휴 체결의 마지막 단계에 와있다”며 “5월내로 IPS를 장착한 TMS 모델을 공급할 수 있을 것”이라고 밝혔다.
또 그는 “TMS는 기존 ESM과 달리 글로벌 정보를 최신으로 빠르게 받을 수 있어 보안 관리자 입장에서는 직접 정보를 수집해야하는 불편을 덜 수 있고 바로 방어책까지 받아 네트워크에 적용가능하니 편리해 한다”며 “제이컴정보는 ESM의 향후 발전 단계를 TMS로 보고 기존 자사의 ESM을 쓰고 있는 고객들은 물론 ESM을 고려하는 고객들을 중심으로 TMS 솔루션 확대를 지속해갈 것”이라고 강조했다.
인젠(임병동)도 기존 ESM의 기능중 고유 기능인 보안 이벤트에 대한 통계 분석 부분 등을 개선해 보안 위협을 체계적으로 분석해 고객이 기능을 재구성할 수 있는 ESM의 확장성으로 TMS를 개발, 공급하고 있다.
최근 위협관리시스템 사업을 강화하고 있는 인젠은 최근 KTF의 통합보안시스템 성능고도화 프로젝트를 수주, KTF 통합보안관제센터에 TMS를 구축했다. 인젠은 기존 ESM 솔루션과의 연계 차원에서 TMS를 영업하고 있으며, 고객 요구사항에 따라 자사가 보유한 여러 보안 관리 솔루션을 맞춤 형태로 제공할 방침이라고 밝혔다. 또 코스콤과의 업무 협약을 통해 지속적으로 각종 데이터 및 분석 자료에 대한 공유를 제공하고 있다.
인젠 임병동 사장은 “각 해당 고객군별로 보다 세분화된 TMS 제품 시리즈를 올 하반기경에 출시할 예정에 있으며 현재 코스콤과 함께 금융권용 ESM를 공동 개발해 사업을 진행하고 있다”며 “이를 통해 증권, 보험 분야에 서비스를 결합하는 형태로 통합 보안을 제공할 계획”이라고 언급했다.
이글루시큐리티(대표 이득춘)의 전사적 보안관리 시스템인 ‘스파이더(SPiDER) TM’도 이글루시큐리티의 대표적인 제품중의 하나다. 스파이더 TM은 기존의 ESM 솔루션의 핵심기술이라 할 수 있는 상호연관성(Correlation) 분석 기능을 강화시켜 보안 담당자들이 해킹 위협에 대해 정확히 판단할 수 있도록 의사결정 지침을 제공해준다. 스파이더 TM에서 제공되는 진보된 상호연관성 분석은 같은 종류는 물론이고 다른 종류의 보안시스템이 작동하는 상황에서 발생되는 이벤트의 패턴 상호간의 연관성 분석을 통해 위험 요소에 대한 예방 및 제거를 일관되게 수행해준다.
이글루시큐리티는 그간 주력해왔던 공공, 금융, 통신 시장에 대한 영업을 더욱 강화하고 최근 증가되고 있는 그룹사 시장에도 총력을 기울인다는 방침이다.

자산 관리·우선 순위 분석으로 ‘맞춤 위험 방지’ 가능
한편 외산업체인 한국맥아피(대표 문경일)는 위험관리솔루션(RMS) ‘맥아피 파운드스톤 엔터프라이즈(McAfee Foundstone Enterprise)’를 최근 출시, 올해의 주력제품으로 영업에 박차를 가한다는 계획이다.
이 제품은 지난해 맥아피가 인수한 취약성 관리 업체 파운드스톤의 솔루션으로 어플라이언스 형태에 IT 자산에 대한 식별, 목록 관리, 우선 순위 분석을 비롯해 이에 대한 위협 및 상관관계 분석, 향상된 문제 해결 트랙킹과 리포팅 기능을 갖추고 있다. 현재 파운드스톤은 기업 내에 장비를 설치하여 사용하는 어플라이언스 솔루션 ‘파운드스톤 FS1000 어플라이언스’와 온 디맨드 형태의 ‘파운드스톤 관리서비스’ 두 가지 형태로 제공되고 있다
또한 ‘파운드OS’라는 운영체제 식별기술을 가지고 있어, 각 운영체제에 맞는 99% 이상 정확한 결과를 산출하면서도 점검시간은 크게 단축해 1천600만개 이상의 IP주소를 가진 네트워크를 48시간 이내에 점검 가능하다. 특히 파운드스톤은 일반적인 시스템 취약성 외에도 점차 심각한 보안 문제로 대두되고 있는 무선 네트워크의 취약점 분석을 비롯해 윈도, 웹 애플리케이션 등의 취약성도 함께 분석, 기업 내 일어날 수 있는 모든 취약점에 완벽하게 대처 가능하게 해준다. 또한 대규모 분산 네트워크뿐만 아니라 각 네트워크의 규모에 따라 구현할 수 있는 장점도 가지고 있다.
한국맥아피 김현수 이사는 “한국맥아피는 파운드스톤을 올해 최우선 주력제품으로 선정하고, 해당 제품을 전담 판매할 협력업체를 대거 선정할 것”이라며 “또한 아직은 맥아피의 IPS인 인트루쉴드와 연동되지만 향후 타 IPS 및 PMS와 연동되도록 호환성을 강화해 타 제품과 차별화할 예정”이라고 밝혔다.
또 그는 “가트너 등 세계 유수의 조사기관들은 IPS의 향후 발전방향을 취약점 관리 솔루션인 RMS 기능 지원 등으로 보고 있다”며 “RMS는 스캐너 등의 포인트 솔루션이 아닌 위험관리라는 프로세스를 구현해주는 툴인데 RMS를 또 하나의 포인트 보안 솔루션으로 잘못 아는 경향이 있는 것 같아 안타깝다”고 언급했다. 더불어 그는 “자산에 대한 정의, 취약성, 취약성 평가의 지수화 등 각각의 포인트 솔루션을 연계해 프로세스를 정립해주는 RMS 솔루션의 필요성 자체를 올해 정립하고 알리는데 힘쓸 것”이라고 강조했다.
보안 컨설팅 전문업체인 인포섹(대표 박재모)은 솔루션 형태는 아니지만 컨설팅 서비스의 한 종류로 위험관리 서비스를 제공하고 있다. 인포섹의 위험관리 서비스는 크게 컨설팅을 위한 ISMS(Information Security Management System) 서비스와 관제의 IAM 서비스에 포함돼 있다. 별도로 서비스된다기보다 컨설팅과 관제 제안시 고객들이 선택하거나 함께 포함돼 제공된다는 것.
인포섹 ISMS 서비스는 기업에서 행해지고 있는 수작업 단계의 정보보호 관리 체계 유지 방식에서 기업의 적절한 정보보호관리 체계 활동 보장을 위한 전 단게의 테스크 및 증적 문서를 정보시스템을 통해 효과적으로 운영, 관리하는 시스템이다. 크게 위험관리와 이행관리로 구성되는 이중 위험관리는 식별된 자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류해야하며 이 정보자산의 가치와 위험을 고려해 잠재적 손실에 대한 영향을 식별, 분석한다.

TMS, 효율적 보안 관리 대안 부상중
한편 트래픽 분석 기반의 TMS 솔루션을 제공하는 시큐리티맵(대표 임채호)의 ‘트랜드 맵(Map) TAS(Traffic Analysis System)’는 각종 네트워크장비의 넷플로우(Netflow) 정보를 분석해 비정상 행위 탐지 기반(Anomaly Detection Based)의 트래픽 분석 시스템(Traffic Analysis System)과 방화벽, IDS, IPS와 연동해 네트워크의 시스템 위협을 사전에 방어하는 위협 관리 시스템이다.
공격 유형별 분포, 트래픽 통계와 실시간 트래픽 상태, 정보를 통한 일간·주간 패턴 및 사용자·애플리케이션별 정상행위 프로 파일링 후 인터넷 웜·DoS·DDoS 공격 등에 의한 일시적인 트래픽 급증(bps, pps), 속도저하(ttl) 등의 정상행위 패턴을 벗어난 것을 비정상행위로 탐지 및 경보한다.
트렌드 맵 TAS는 넷플로우 데이터를 수집 받고 경우에 따라 IDS, IPS 등과도 연동하고 연동한 데이터를 활용하여 평가 후 축약해 이를 통계적인 분석, 데이터마이닝 및 상관관계를 분석을 하게 된다. 이후 그 결과를 프로파일링해 비정상행위 분석(Anomaly Detection)을 수행하면 알려지지 않은 공격과 알려진 공격을 탐지해 공격을 약화시킬 수 있으며 또한 네트워크 트래픽을 분석한 결과로서 네트워크 재설계 및 정보보호 입장에서 네트워크 감시가 가능해 네트워크 트랙 감시 및 위협관리 시스템으로서 활용할 수 있다.
시큐리티맵 임채호 사장은 “지난해 제품 출시와 레퍼런스 확보에 주력한데 이어 올해는 여러 협력사와 같이 윈윈할 수 있는 다양한 마케팅 및 영업, 제휴 전략을 펼쳐나갈 계획”이라고 밝혔다. 또한 임 사장은 “현재 네트워크 게이트웨이 라우터에서 넷플로우 정보를 가져와 분석을 하지만 설치돼 운영중인 곳이나 영업이 진행되는 사이트에서는 각 지점에서 장비의 넷플로우 정보를 분석하기를 원하는 곳이 점차 증가하고 있다”며 “통신, 금융과 같이 내부(지점), 외부 트래픽이 많은 곳과 단일 게이트웨이 트래픽이 많은 대학, 공공 분야에 우선적으로 영업을 집중시킬 계획”이라고 밝혔다.
이렇게 다양한 TMS 솔루션들이 시장에서 경쟁을 펼치고 있지만 TMS는 아직 그 개념에 대해 초기단계로서 시장 형성을 논하기에는 이른 감이 없지 않다. 하지만 알려지지 않은 사이버 공격이 점차 증가하고 있는 최근의 경향을 고려하면 고객사 내부와 국내, 해외의 종합적인 보안위협 정보를 실시간 수집, 분석해 제공하는 TMS 솔루션의 중요성은 커질 수밖에 없을 것이다.
또한 TMS는 보안 사고에 대한 인지, 분석, 조치, 보고 등을 한번에 제공, 보안관리자의 업무를 덜어주기 때문에 업무 단계가 단일화돼 데모를 보거나 시험삼아 사용해본 관리자들이 선호한다는 것.
관련 전문가들은 “위협에 대한 파괴력이 커지고 피해 범위가 넓어짐에 따라 이를 대처하는 능동적인 방어능력이 요구되고 있다”며 “단순히 위험을 인지, 보고하는데 그치는 것이 아니라 탐지부터 분석, 능동적인 방어를 종합적으로 제공할 수 있는 TMS에 앞으로 더욱 큰 관심이 쏟아질 것”이라고 전망하고 있다.
또한 TMS가 아직 전사적 보안관리 솔루션이 되기에는 방화벽, VPN, 각종 서버 등 단일 보안 장비들의 로그를 통합적으로 분석하고 검색하기에 어려움이 있는 것이 사실이다. 이에 보안 시스템간 통합 관리에 필요한 요구사항에 부합한 능력을 가진 TMS, RMS 솔루션들이 나와줘야 하는 등 기술 발전 역시 갈 길이 멀다.
더군다나 TMS는 아직 초기 시장으로 특히 솔루션 개발보다 향후 서비스 체계에 더 중점을 둔 시장 개척 노력이 필요하다고도 관련 전문가들은 지적한다. 여기에 아직 정립되지 않은 TMS 솔루션의 표준, 기능 등을 두고 저마다 자사의 기존 제품을 기반으로 TMS라고 주장하는 업체들의 난립이 시간이 갈수록 더해질 전망이라 시장이 성장하기도 전에 저가, 출혈경쟁도 우려되는 상황이다.
효율적인 보안 관리 솔루션에 대한 대안으로 향후 중요성이 더해갈 TMS 솔루션의 발전을 위해서는 시장 자체를 확대하기 위한 공조가 절실한 시점이다.

각종 위협 상황 신속 대응 관리로 보안 취약성 완전 해소

국가기관에 품질이 보장된 정보통신서비스 제공을 위해 국가기관 전용의 통신 인프라인 전자정부통신망은 통신사업자 시설을 활용해 구성이 필요하다. 또 2005년 하반기 전자정부통신망 서비스 제공을 위해서는 전자정부통신망 구성 이전에 IP 연동기반의 선행 구축이 요구된다고 정부는 판단했다. 이에 전자정부통신망의 서비스 품질보장 및 보안성 확보를 위해 IP 연동기반을 정부가 직접 구축해 운영키로 결정했다.

IP 연동 기반 위협관리시스템 구축
현재 국가기관이 사용하고 있는 인터넷 환경은 대용량의 트래픽이 항상 흐르고 있어 빠른 감염 속도로 네트워크에 영향을 미치는 웜, 바이러스, 봇(Bot) 등에 의한 DoS(Denial of Service), 대량 전자우편을 통해 전파되는 다양한 위험들에 노출돼 있다. 또한 국가기관 전용의 인터넷 인프라 부재로 국가 트래픽과 민간 트래픽이 혼재돼 보안취약성이 존재하고, 국가기관별 다양한 인터넷망 이용으로 지능화되는 외부의 보안침해에 대한 국가차원의 종합적이고 체계적인 대응이 한계점으로 판단됐다. 더불어 기관규모별, 소속기관별 보안환경 및 전문성이 서로 상이해 국가기관별 보안성 확보가 상이하다는 문제점도 있었다.
이에 따라 인터넷 확산에 대비해 국가기관 전용의 인터넷 인프라를 구성해 국가기관간 안정적인 정보유통 기반을 마련하고, 상용 인터넷망 접속을 일원화하기로 결정했다. 또한 상용 인터넷망과의 접점지역에 위협관리시스템이 포함한 각종 보안 솔루션을 구축해 외부 침입에 대해 국가차원의 종합적이고 체계적인 대응책을 마련하기 위해 정보보호기술의 ‘테스 TMS’ 솔루션이 공급됐다.

상이한 환경에서도 통합 위협관리 가능
IP연동기반은 위협관리시스템 구축을 위해 총 2Gbps 정도의 트래픽이 흐르는 4개 회선, XX센터 내부 구간에 정보보호기술의 테스 TMS와 테스 TAS를 구축키로 결정했다.
따라서 인터넷 연동 구간, XX센터로 유입되는 구간에 유해트래픽 유입 여부를 확인하기 위한 유해트래픽 탐지 센서를 각 4식, 12식 설치했고, 탐지 센서의 관리를 위한 유해트래픽 관리 서버 및 데이터 보관을 위한 DB 서버 및 탐지된 유해트래픽 정보와 각종 보안 정보를 연계 분석할 수 있는 위협관리 서버를 설치했다.
초기 도입 설치 후 내부 네트워크의 유해트래픽 발생량과 각 국가기관별 트래픽 사용량을 분석해 프로파일을 작성하고 이상 징후 탐지에 적용할 수 있도록 했으며, XX센터 내부 네트워크에서 발생되는 웜, 바이러스 등을 파악하고 조치할 수 있도록 구성했다.
이처럼 위협관리시스템을 도입함으로써 인터넷 연동 구간, XX센터에 유입되는 각종 웜, 바이러스 등에 대한 위협 관리 방안이 마련돼 위협 상황에 대해서도 신속하게 대응 조치를 취할 수 있게 됐다.
또한 내부적으로 위협 상황이 발생되어도 국가기관별 전체 트래픽 및 유해트래픽에 대한 이상 징후를 관리함으로써, 위협관리시스템을 통해 해당 국가기관을 신속히 발견, 조치할 수 있게 됐다. 이로써 기관규모별, 소속기관별 보안환경 및 전문성이 서로 상이한 환경 내에서도 통합 위협관리를 할 수 있는 국가기관별 위협관리대응 모델을 구성했다.