네트워크 복잡성·취약점 정비례 … 보안 위협 확산 속도 증가로 사후대응 방식 한계 노출
1. 오늘날의 보안 위협 동향
2. CTM의 정의와 필요성(이번호)
3. CTM의 보안 구현방안
기업의 비즈니스에서 IT의 중요도가 증가한 만큼 IT 네트워크의 복잡성 또한 지속적으로 증가하고 있다. 어떤 부분이나 마찬가지지만, 기업 보안에 있어 복잡성 증가는 결코 반가운 소식이 아니다. 공격 루트가 더욱 증가함에 따라 취약점 증가를 필연적으로 발생시키기 때문이다. 변화된 비즈니스 환경과 더불어 보안 위협의 발견 및 확산이 점점 더 가속화되고 있는 오늘날의 현실은 기업 보안에 있어 사후 대응적 방법이 한계에 봉착했음을 경고하고 있다. 다양한 방법의 보안 위협이 빠르게 확산되고 있는 지금, 적절한 보안 솔루션 구현을 위한 방안을 알아본다. <편집자>
디지털 생활 영역이 확장되면서 보안 위협도 함께 양적·질적 팽창을 거듭하고 있다. 변종 바이러스, 웹 애플리케이션 및 브라우저 취약성 공격, 인스턴트 메시징을 통한 공격 등 보안 위협은 다각도에서 행해지고 있으며, 그 피해도 확산되고 있는 실정이다.
정보 보안에 한정해서 보았을 때 오늘날 대부분의 기업은 취약한 환경을 유지해 오고 있다. 특히 보안 환경이 제공하는 보호 수준과 실제 리스크에 적절히 대응하기 위해 필요한 보안 수준의 격차가 점점 더 심해지고 있는 것이 현실이다. 기업의 꾸준한 노력에도 불구하고, 기업 환경에 대한 보안 공격의 성공 사례가 놀랄만한 속도로 증가하고 있다는 결과는 이러한 주장을 뒷받침해 준다.
여러 가지 정보들을 종합해 보았을 때 2005년 한 해 동안 전체 기업 중 3분의 2 가량이 최소한 한번 이상의 보안 사고를 경험했으며, 절반 이상이 1년 동안 최소한 3번의 사고를 경험한 것으로 추정된다.
빠르게, 그리고 지속적으로 변화하는 보안 환경과 새로운 법률 규정, 사후 대응적인 보안 환경의 한계 등은 효율적 위협 관리 솔루션을 필요로 하는 오늘날 기업이 당면한 많은 문제 중의 일부분이다. 오늘날의 기업 환경에 상존하는 이러한 이슈들을 방치한다면 문제가 더욱 악화되는 결과만을 초래하게 될 것이다. 따라서 기업은 적절한 정보 보안 솔루션을 구현하기 위한 투자를 진행해야만 한다.
적절하면서 효과적인 보안 관리는 바로 사전 예방적이고 전체적인 멀티 보안 환경을 조성하는 것이다. 보안 솔루션에 대한 패러다임을 전환할 필요성이 커지고 있는 상황에서 기업들의 고민을 해결하기 위해 시만텍이 제시하는 것이 바로 ‘CTM(Comprehensive Threat Management)’이다.
CTM이란
CTM은 ‘포괄적 위협 관리’로 해석할 수 있으며, 최신 보안 공격을 효과적으로 차단하기 위해 시만텍이 제시하는 개념이다. 이는 사전 예방적이고, 인터넷 경계 지점에 한정되지 않고 전체 컴퓨터 환경을 포괄할 수 있는 멀티-티어 보안 환경을 제공하는 것을 뜻한다.
사전 예방적이란, 명시적으로 파악되지 않은 보안 위협에 효과적으로 대응하고 차단할 수 있음을 의미한다. 사전 예방적 보안 환경에서는 각 보안 위협별로 시그니처를 만들어 관리하는 대신 패턴에 추가되지 않은 바이러스 및 악성코드의 검사능력을 향상시킬 수 있는 신기술인 휴리스틱, 취약점 기반 시그니처, 프로토콜 어노멀리 알고리즘과 같은 메커니즘을 이용해 대응한다. 이러한 메커니즘은 이미 알려진 위협뿐 아니라 알려지지 않은 위협에 대한 대처를 가능케 한다.
강화된 보안 환경 하에서 기업이 보다 체계적인 방법으로 보안 취약점에 대처할 수 있게 하거나, 혹은 보안 위협 및 취약점에 대한 조기 경보 환경을 제공함으로써 사전에 조치를 취할 수 있도록 하는 것을 사전 예방적인 대응으로 분류하기도 한다. 예를 들어, 한국의 일부 기업에서 최초로 감지된 신종 웜에 대한 경고를 접수한 전세계의 고객들은 방화벽의 해당 포트를 차단해 문제의 가능성을 조기에 차단할 수 있을 것이다.
한 걸음 더 나아가 잠재적인 보안 위협의 발생 가능성을 예측하는 것 또한 ‘사전 예방적’ 대응으로 분류된다. 이러한 접근 방식은 포괄적 보안 솔루션의 핵심 컴포넌트로 활용된다.
멀티-티어(multi-tier)란, 기업 네트워크의 경계 지점만이 아닌 기업 전체의 리소스를 보호할 수 있는 솔루션을 의미한다. 기업은 인터넷 경계 지점 이외에 내부 네트워크, 원격 사무실, 엔드유저 워크스테이션, 중요 서버와의 네트워크 연결에 대한 감시를 강화할 필요가 있으며, 이를 통해 내부에서 발생하는 보안 위협을 차단할 뿐만 아니라 경계 지점의 보안 체계를 우회해 침투한 악성 코드를 차단하는 효과 또한 기대할 수 있다.
그러나 한 가지 솔루션으로 모든 문제를 해결할 수 있으리라 기대하는 것은 곤란하다는 점을 주지의 사실이다. 다시 말해 경계 지점에서 효과적으로 사용해온 보안 솔루션을 전체 인프라스트럭처에 그대로 적용하는 식의 접근법으로는 확실한 보안을 보장할 수 없는 것이다. 인프라스트럭처의 각 계층은 각기 다른 요구사항을 가지며, 커뮤니케이션 트래픽의 규모와 유형 또한 서로 상이하다. 따라서 계층별로 독자적인 보안 기능을 구현해야만 한다.
보안 솔루션의 기본 요구사항
포괄적 위협 관리가 보안 솔루션에 대한 근본적인 패러다임 전환을 내포하고 있더라도 보안 솔루션에 기본적으로 요구되는 사항들은 필수적으로 충족시켜야 한다. 기업은 당면한 개별적인 문제의 성격과는 무관한, 범용적인 보안 솔루션을 적용해야 하기 때문이다. 범용적인 보안 솔루션 적용은 실제로 모든 IT솔루션에 대해 요구되는 기본적인 요구사항이다. 따라서 보안 솔루션은 효율적이고, 효과적이고, 유연하고, 검증된 것이어야만 한다는 전제를 갖는다.
효율적(efficient)이란, 쉽게 설치하고 운영할 수 있으며, 그 효과를 단기적으로나 장기적으로 확인할 수 있음을 의미하며, 효과적(effective)이란 말은 보안 위협을 완벽하게 차단함은 물론, 정당한 접근 요청을 보장하고 핵심 비즈니스 정보의 가용성을 보장할 수 있어야 함을 의미한다. 또한 유연성(flexible)은 오랜 기간에 걸쳐 변화하는 요구사항에 대응할 수 있음을 뜻하며, 검증된(proven) 솔루션이란 오랜 기간에 걸쳐 성공적으로 보안 솔루션을 제공해 온 기업으로부터 기대할 수 있는 안정성을 말한다.
오늘날 보안 환경에서 가장 큰 문제는 대부분의 기업이 구축하고 있는 사후 대응적 보안 솔루션으로는 보안 위협 환경의 빠른 변화속도에 대처하는 것이 불가능하다는 사실이다. 어느 때보다도 보안 위협의 발견과 확산이 신속하고 효율적인 형태로 수행되고 있으며, 그 피해 범위 또한 꾸준히 증가하고 있다는 사실은 이를 반증한다. 하지만 이러한 상황에 대처하기 위한 예산은 극히 제한적인 수준에서만 집행되고 있다.
언스트앤영(Ernst & Young)의 ‘글로벌 정보 보안 서베이 2005’란 자료를 보면, 기업은 전체 보안 예산의 절반 이상을 ‘일상 업무 및 보안사고 대응’에 할당하고 있으며, 17%의 예산만이 ‘핵심 전략 프로젝트’를 위해 사용되고 있다고 지적한다. 그 결과 기업은 오늘날의 보안 위협에 어느 한 분야만이 아닌 총체적인 분야에서 효과적으로 대처할 수 있는 개선된 솔루션을 필요로 하게 됐다는 것이다.
오늘날 기업은 사전 예방적인 위협 관리 기능을 통해 알려지지 않은 공격을 차단하고, 기업의 내부 및 외부에서 발생한 보안 공격으로부터 모든 리소스를 효과적으로 보호할 수 있도록 성능 및 비용 면에서 효율적인 솔루션을 필요로 하고 있다. 이제 포괄적 위협 관리 솔루션의 필요성이 부각되고 있는 현실을 좀 더 자세하게 살펴보기로 하자.
사후 패치 관리의 한계
최근 파일 기반 바이러스와 매스메일링 웜은 매우 광범위한 확산 추세를 보이고 있다. 2005년 상반기 동안 이 두 가지 보안 공격 형태는 시만텍이 보고한 최상위 10개 악성 코드 샘플 중 3개를 차지했다.
보안 위협의 수적인 증가 양상은 보안 담당자뿐 아니라 기존에 구축된 보안 시스템에도 상당한 부담으로 작용하고 있다. 이 때문에 어떤 보안 위협이 가장 심각하게 고려돼야 하는지에 대한 연구를 통해 사전 예방 차원의 조치를 강화해야 할 필요성이 커지고 있으며, 처리해야 하는 이벤트와 보안 사고의 수 또한 증가될 것으로 전망되고 있다. 기울어진 균형을 되돌리기 위해서는 보안 관리자를 추가로 채용하거나 보다 효율적인 보안 관리 툴을 추가로 구축해야 할 수 있다.
보안 위협의 양적 팽창과 함께 확산 속도가 점차 증가하고 있다는 사실을 감안하면, 문제는 더 심각해진다. 사후 대응적인 보안 체계, 특히 보안 위협 시그니처에만 의존하는 안티바이러스, 침입 탐지 솔루션은 새로운 공격을 조기에 감지할 수 있을 만큼 빠른 업데이트 주기를 제공하지 못하고 있기 때문이다.
아울러 효율적인 패치 관리의 중요성이 점점 줄어들고 있다는 점도 지적할 수 있다. 보안 취약점이 공개되고 이에 관련한 악성 코드가 개발되기까지 걸리는 시간이 수개월 단위였던 과거에는 벤더들이 패치를 개발하고, 배포하고, 테스트하기 위한 충분한 시간이 주어졌지만, 최근에는 악성코드 개발 기간이 평균적으로 일주일 미만에 불과해 패치가 제 시간에 개발될 것이라 기대하기는 매우 어렵게 됐다.
패치가 제 시간에 개발되더라도, 테스트와 구현에 소요되는 시간에 대한 문제는 여전히 남아 있다. 매우 효율적인 형태로 운영되는 조직이라면 불과 며칠 안에 모든 작업을 완료할 수도 있을 것이지만, 엔터프라이즈 패치 관리 프로세스에는 최소한 30일 이상의 시일이 소요되는 경우가 일반적이다.
물론 패치 작업과 같은 사후반응적 대응이 장기적으로는 분명한 효과를 가질 수 있다는 것 역시 분명한 사실이다. 그러나, 이러한 이유 때문에 사후대응적 보안 체계가 기업의 보안 전략에서 핵심적인 구성 요소로 간주되고 있는 것이 문제로 지적된다.
이와는 별도로, 최근에는 개발 프레임워크의 보안 취약점을 이용하는 사례가 급증하는 새로운 추세가 목격되고 있으며, 우회적인 수법을 차용한 복합적 위협의 빈도도 증가하고 있다. 이러한 현상으로 인해 ‘복합적’인 보안 체계의 필요성은 크게 높아지고 있다. 다시 말해 사전 예방적일 뿐 아니라 동시에 다양한 탐지 메커니즘을 제공하는 보안 솔루션, 애플리케이션 계층에 대한 시야까지 제공할 수 있는 솔루션이 필요한 것이다.
