이것은 우리와 그들의 대립이다. 즉 과도한 짐을 진 IT 그룹과 계속해서 약한 지점을 찾는 영악하고 악의를 품은 적과의 전쟁이다. 미디어와 정부 규정자의 붉은 클리그 불빛이 불만을 품은 직원에서부터 전문 아이덴티티 도둑에 이르는 모든 사람들을 막느라 고군분투 하는 정보보안 그룹에 초점을 맞추고 있기 때문에, 우리는 모두 그 뜨거운 열기를 느끼고 있다. 우리가 만든 가상의 소비자 제품 제조업체인 NWC도 또한 예외는 아니다. 이제 NWC가 전문가를 불러야 할 때가 된 것일까?
MSSP(Managed Security Service Providers)가 등장한 지는 몇 년이 되었지만, 이것은 그리 평범한 아웃소싱 결정이 아니다. 많은 IT 전문가들이 정보 보안을 핵심 비즈니스 기능이으로, 아웃소싱은 곧 왕국으로 가는 열쇠를 넘기는 것과 마찬가지라고 생각하고 있기 때문이다.

매니지드 보안 서비스, 성장 지속
가트너에 따르면 매니지드 보안 서비스는 향후 몇 년간 총 연간성장률이 20%에 육박하면서 매니지드 서비스 영역에서 가장 빠른 성장을 보일 전망이라고 한다. MSSP는 취약점 탐색과 악용(exploit)간의 줄어드는 창, NAC(Network Admission Control)와 같은 복잡한 신기술들, 그리고 이제 비즈니스 파트너와 재택근무자까지 포함시키면서 계속 확장되고 있는 네트워크 경계 등으로부터 힘을 받고 있다. 동시에 CTO에게는 비용을 줄이고 서비스를 개선하며, 정부 규정에 부합해야 한다, 그리고 이 모든 것은 서비스 품질을 떨어뜨리는 일 없이, 비즈니스 연속성을 보장하면서 해야 한다는 압박이 늘어나고 있다. 이것이 바로 MSSP 성장의 뒷배경이다.
NWC의 경우에는 복잡한 웹 비즈니스 모델과 고용량 전자상거래 이니셔티브가 비즈니스를 이끌어가는 동력이다. 우리는 우리의 정보 보안 인프라를 모니터링 및 관리해 줄 파트너를 찾는 RFI를 만들고, 이것을 24곳의 MSSP에게 보냈으며, BT 글로벌 서비스, 사이버트러스트(Cybertrust), ISS (Internet Security Systems), LURHQ 및 시큐어웍스(SecureWorks)가 수락을 했다.
베리사인 매니지드 시큐리티 서비시즈(VeriSign Managed Security Services)는 처음에 수락을 하고 RFI를 잘 완성했지만, 자사의 RFI 응답을 온라인으로 퍼블리싱함으로써 너무 많은 기밀 데이터가 노출될 수 있다는 이유로 철회했다. 이콴트 또한 처음에는 수락했으나 오렌지 비즈니스 서비스(Orange Business Services)로의 리브랜딩 작업 때문에 RFI 마감 시간을 지킬 수가 없었다.
베리존 비즈니스와 파트너십을 맺고 있는 MCI는 거절을 했다. 액센추어(Accenture), AT&T 네트워킹 아웃소싱 서비스, 캡제미니(Capgemini), CSC(Computer Sciences Corp.), 코네틱(Connectic), EDS, 겟트로닉스(Getronics), IBM 글로벌 서비스, 페리미터인터네트워킹(Perimeter In ternetworking), SAIC(Science Applications Internatio nal Corp), 솔루셔너리(Solutionary), 스프린트(Sprint), 시만텍, 트루시큐어(TruSecure), 유니시스 및 비질런트마인즈(VigilantMinds)는 우리 초대에 응하지 않았다.
많은 업체들이 RFI에서 우리가 요구한 수준의 세부적인 것들을 밝히기 꺼려하는 것은 이해가 가지만, 에디터스 초이스를 선택하고, 독자들로 하여금 어떤 업체를 염두에 둬야 할지 파악할 수 있게 하는 데는 이러한 정보가 반드시 필요하다.

아웃소싱의 이점
베스트 프랙티스 아웃소싱은 MSSP 궁극의 약속에 해당한다. 성공적인 CTO들은 사업자와의 관계를 적극적으로 발전시키며, 동시에 포괄적인 관리 및 제어 정책을 마련해 둔다. 적절한 기업 실사가 이뤄질 경우, 보안 아웃소싱은 엄청난 혜택을 가져다 줄 수 있다. 이러한 것들로는 오구성과 관련된 위험 감소, 스태핑, 교육 및 부가급여 관련 비용 감소, 그리고 유지보수, 업그레이드 및 자본 지출 관련 비용 절감 등이 포함된다.
방화벽, IDS/IPS, 라우터 및 스위치의 관리와 유지보수, OS 구성, 패치 관리, 그리고 취약성 평가 등은 조직에서 보통 아웃소싱을 찾게 되는 우선 작업들에 속한다. 하지만 네트워크 위협이 늘어나고 복잡해지면서 매니지드 서비스는 또한 데이터 마이닝, 데이터 수집 및 정상화(normalization)과 같은 인간의 분석이 가미된 전문 기술과, 네트워크의 빈틈을 막아 주는 자동 보안 이벤트 상호연관(event correlation)을 함게 제공할 수 있는 수준으로까지 성장하고 있다.
<박스: RFI 시나리오>에서 밝힌 바와 같이 NWC는 성장에 역점을 두고 여러 신제품 라인들에 대한 작업이 현재 진행 중이다. 33명의 우리 IT 스태프 가운데 네트워크 및 시스템 운영자는 7명밖에 되지 않는다. 한정된 예산에다 동급 최고 기술에 대한 고집이 맞물려 우리는 창조적이 되지 않을 수 없는 입장이다.
‘무엇이 가장 안전한 선택이 될 것인가’란 질문에는 수백만 달러가 걸려 있다. 당신 MSSP의 재정적인 건강 상태를 조사해 보라. 사업자가 SLA(Service Level Agreement)와 기술 요건에 부합은 하지만, 그 비즈니스 로드맵과 재정 상태가 의문시 된다면, 아무쪼록 피해가기 바란다. 우리 공급업체들 중 세 곳, 즉 사이버트러스트, LURHQ 및 시큐어웍스는 개인 소유 회사라 전체 재정상태 공개가 가능하지 못했지만, 이들이 제공할 수 있었던 세부적인 정도는 이들이 공개된 회사들, 즉 BT 및 ISS 못지 않게 잘 수행해 나갈 수 있으리라는 점을 확신시켜 줬다.
MSSP의 주 업체 관계들도 또한 조사해 보아야 한다. 시스템을 보호하는 소프트웨어를 업데이트하려면 사업자가 회사 외부의 힘을 빌어야 하는가? 무언가 잘못되었을 경우 법적 책임과 그 결과를 가려낼 수 있는 제대로 된 계약서를 작성할 수 있도록 상담을 받고, 우연성에 대비해 잘 짜여진 계획을 마련해 둬야 한다.
우리는 물리적 보안, 서비스 수준, 그 자체 시스템 보안을 위한 MSSP의 정책 및 프로시저 등의 보안 프랙티스, 전문 기술을 포함한 지원, 그리고 가격 등과 같은 환경적 요소들을 기준으로 MSSP에 점수를 매겼다.

비즈니스 니즈
오늘날에는 위협들이 빨라지고 양이 많아졌기 때문에 대응 또한 빠른 시간에 이뤄져야 한다. 이런 이벤트를 처리하려면 NWC 스탭들 가운에 일부를 떼어내고 다른 프로젝트의 자원을 뽑아 와야만 한다. 게다가 우리 IT 부서에서는 신용 비즈니스 파트너, 대형 고객 및 재택근무자들에게 우리 네트워크의 일정 부분을 공개해야만 한다. 한때 쉽게 분간이 되던 경계선은 이제 희미해지고 있다. 그리고 HIPAA와 사베인스 옥슬리(Sarbanes-Oxley)용의 엄중한 비준수 패널티에 대한 가능성에 노출이 제한돼 있긴 하지만, 규정의 지형도는 계속해서 변화하고 있다. 이러한 요소들에다 훈련받은 보안 전문가의 부족까지 겹쳐, NWC보다 큰 회사들은 최신 보안 툴을 겨우 좇아가고 있는 수준이다.
보안 위협의 정교함이 늘어나면서 인하우스 보안 인프라를 설계, 구축 및 관리할 수 있는 경력자를 끌어 오고 데리고 있는 데 드는 비용도 또한 높아졌다. 인포메이션윅스의 2006년 연봉 조사에 따르면 NWC 일대에서는 최고 보안 매니저의 연봉이 12만5천달러를 호가한다고 한다. 여기에 물론 부가소득과 진행 중 교육 및 트레이닝 비용도 추가돼야 한다. 게다가 보안 하드웨어와 소프트웨어 관련 비용도 감안해야 한다. MSSP 비즈니스는 크기와 규모가 있기 때문에, 하드웨어, 소프트웨어 및 연간 유지보수 비용에서 업체들과 상당한 볼륨 디스카운트를 협상할 수 있다.
업체들이 보안 패치를 내놓는 속도는 놀라울 정도며, 각각의 패치가 필요한지에 대한 분석은 시간 소모적이고 값비싼 작업이다. MSSP는 자신들의 SLA의 일부로 패치 레벨을 유지해야 한다. 이들이 공급업체와 관계를 맺고 있다는 것은 곧 MSSP가 종종 웜과 바이러스 발발에 대한 통보를 미리 받을 수 있을 뿐만 아니라, 패치에 보다 빨리 액세스를 얻을 수 있다는 것을 의미한다. 우리로서는 모두 좋은 일이다.
MSSP와의 관계 또한 중요하긴 하지만 종종 간과되고 있는 한 가지 이점을 제시한다. MSSP는 수많은 업체의 수많은 하드웨어 플랫폼을 관리하기 때문에, 스페어 장비를 보관하고 있으며, 이러한 중복성에 비용은 거의 들지 않는다. 직접 스페어를 갖고 있으면 더 바랄 나위가 없겠지만 NWC로서는 현실적이지 못한 얘기다.

물리적 보안
우리는 업체측의 물리적인 건물이 얼마나 견고한지를 조사해 보았는데, 다소 흥미로운 대답을 얻었다. 모든 응답자들이 UPS 시스템, 비상용 배터리 및 전력발전기 등과 같은 백업 전력공급기를 제공했다.
사이버트러스트와 시큐어웍스는 전력, 에어콘 및 화재방지 구성을 지텔 연료 업체와의 계약, 전력 성능 감사, SOC(Security Operations Center) 실의 타깃 온도, 그리고 화재경보기가 울린 후 화재 진압 시스템이 발동하기 전에 직원이 방을 떠나는 데 허용된 시간(초 단위) 등과 같은 항목에 이르기까지 보다 상세하게 설명함으로써 높은 점수를 얻었다.
BT와 ISS는 그만큼 세부적이지는 않았으마, BT의 경우 요청시 더 많은 사양을 제시할 수 있다는 언급을 덧붙였다. LURHQ는 BT와 ISS보다는 세부적이었지만, 사이버트러스트나 시큐어웍스의 수준에 이르지는 못했다. 어쨌거나 모든 업체들은 물리적 시설의 보안에는 양호한 모습을 보였다.
MSSP가 그 물리적인 시설을 어떻게 보안하는지 아는 것도 중요하지만, 마찬가지로 당신의 장비를 갖고 일하게 될 사람들의 백그라운드를 파악하는 것도 중요하다. 다행히도 인력 보안에 있어서는 우리 모든 업체들이 엄중한 정책을 고수해 주었다. 모두가 잠재 직원이 백그라운드 확인에 동의를 해야 한다고 밝혔다. 게다가 사이버트러스트의 모든 보안 운영 요원들은 NATO 보안 허가를 받은 사람들이며, ISS는 자사 SOC의 인력들에게 연방정부의 백그라운드 확인 절차를 통과하기 위한 문서 작성을 요구하고 있다.
시큐어웍스는 보안 애널리스트와 엔지니어들이 FBI 인프라그래드(InfraGrad) 보안 인증 등과 같은 추가적인 백그라운드 확인 과정을 통과하도록 하고 있다. BT의 경우는 신입 오리엔테이션의 일부로, 직급에 관계없이 모든 스태프가 보안 인식 및 트래이닝 프로그램을 통과하게 하고 있다. 그리고 과거에 블랫햇이었던 사람을 고용하고자 하는 업체는 전혀 없었으며, 우리도 진심으로 이와 같은 생각이다.

지원 부문
문서상으로 모든 게 좋아 보이긴 했지만, 우리는 각 업체의 고객관리 팀과 문제 관리 프로세스를 평가해 봄으로써 NWC에서 기대할 수 있는 지원 수준이 얼마나 되는지 알아보기로 했다.
LURHQ는 고객에게 사건을 분석하거나 티켓 및 어드레스 문제를 열기 위해 매 분기마다 클라이언트와 ‘트러스티드 어드바이저 콜(Trusted Advisor Calls)’을 실시하는 책임을 맡은 고객관리 팀을 제공한다. 시큐어웍스는 고객담당자와 필드 엔지니어를 제공하며, 클라이언트에게 자사의 SOC 애널리스트를 소개해 준다. ISS는 우리 NWC의 고객담당 임원이 주 접촉 지점이 되고, SOC 애널리스트가 필수적인 역할을 담당하게 된다.
사이버트러스트에는 프리세일즈, 전국 및 지역 고객관리자, 그리고 포스트 세일즈 클라이언트 서비스 매니저가 우리 어카운트와 이행을 돌봐줄 것이다. BT는 자사의 월드네트워크(World Network)를 언급했는데, 이것은 다양한 국가에 있는 매니지드 네트워크 엔티티를 통해 BT 서비스를 판매 및 지원하고 있다.
문제 관리에 있어서, LURHQ와 시큐어웍스는 누가 프로세스를 시작했는지에 관계없이 모든 서비스 문제를 SOC 임원에게 보고를 한다. ISS는 NWC의 서비스에 관련된 어떤 문제는 ISS 고객담당 임원에 의해 처리될 것이며, 이들은 자원을 조정해 줄 것이라고 말했다. ISS에는 또한 우리가 부를 수 있는 고객 변호 팀이 있다.
BT의 글로벌 네트워크 오퍼레이션 팀(Global Network Operation Team)은 대부분의 BT 서비스 문제를 다루는 한편, 사이버트러스트는 고객 포털인 사이버트러스트 MSS 시큐리티 대시보드(Security Dashboard)나 우리의 클라이언트 서비스 매니저를 통해 문제를 관리한다. 각각의 호출에는 고유의 ID와 엄중성 레벨(1~4)이 할당된다. 1이나 2의 엄중성 레벨은 고객과 사이버트러스트가 모두 전담 인력을 배정한다는 얘기다.
업그레이드에 대해 말하자면, SLA를 협상할 때 MSSP가 요청에 응답하는 시간, 변화가 이루어져야 하는 시간대, 그리고 예정에 없던 변경으로 인해 드는 추가 비용 등에 대해 동의를 하는지 잘 살펴 보아야 한다. 문서화된 SLA가 있으면 사업자가 계약상의 의무를 다하지 못했을 경우 금전적 패널티를 보상받을 수 있다. MSSP는 큼직한 보안 문제에 대해서는 신속하게 반응하겠지만, 중요하지 않는 요청을 확인 응답하는데는 4~24시간의 업무 시간이 걸릴 수 있다.
MSSP가 하드웨어나 소프트웨어 고장에 15분 이내에 응답하는 것은 기대할 만하지만, MSSP가 필요로 하기 두 시간 전에 하드웨어를 구성할 수 있다는 것은 생각하기 힘든 일이다. 따라서 앞서 계획을 해야 한다.
물론 네트워크는 고인 물이 아니다. 비즈니스가 성장하면 필연적으로 변화가 이루어지기 마련이다. NWC는 새 비즈니스 파트너를 수용하는 데 있어 각 MSSP가 얼마나 도움이 될 수 있는지 궁금했다. 사이버트러스트는 구성 변화가 표준 변화 요청 프로세스를 통해 제출된다고 언급했다. 사소한 네트워크 구성 변경은 순환 비용에 포함되지만, 큰 변경은 별도 프로젝트로 지정되며, NWC에서 요금을 물어야 할 것이다.
LURHQ는 자사의 전용 셜록(Sherlock) 플랫폼이 네트워크 변화를 수용할 수 있을 만큼 확장 가능하며, 모든 변화는 셜록의 웹 기반 클라이언트 인터페이스를 통해 추적, 문서화 및 어카운팅이 된다고 말했다.
시큐어웍스는 변화의 복잡성에 따라 필드 엔지니어의 도움을 통해 장비를 재조정하거나 재배치할 수 있으며, 일단 SOC와 연결이 수립되면 장비를 원격으로 구성 및 관리할 수 있다고 말했다. ISS는 역할과 책임을 지정함으로써 변화 요청을 처리하고, 엄격한 고객 통보 워크플로를 따르며, 다중레벨의 고객 승인 프로세스를 지원하고, 롤백(rollback) 전략을 제공하는 등 매우 유연한 모습을 보였다.
NWC는 사이버트러스트, ISS, LUHRQ 및 시큐어웍스가 위험과 여기에 적용시킬 수 있는 해결책을 중심으로 한 조언을 제공하고, 변경 요청을 이행하는 가장 안전한 방법을 제안하는 데 있어 사전 행동식이라는 데 매우 편안함을 느꼈다. BT는 대중에게 공개될 경우 자사 보안 정책이 침해받을 수 있다는 이유로 변화 관리에 대한 세부 정보를 공개하지 않으려 했다.

내부 제어
내부 제어(internal control)에서는 관리되는 모든 서비스의 기밀성, 무결성 및 가용성을 감독한다. 각 업체는 시스템과 프로시저의 내 외부 모두 정기적인 감사를 받고 있다. 국제적인 감사 표준으로 인정받고 있는 AICPA(American Institute of Certified Public Accountants)에서 개발한 SAS 70은 서비스 조직이 그 제어 활동의 심도 깊은 감사 과정을 통과했는지를 인증해 주며, 여기에는 정보 기술에 대한 제어도 포함이 된다. 다섯 개 업체 모두가 SAS 70 인증서를 보유하고 있었다.
우리가 요청한 서비스의 전달 및 진행 중 유지보수에 있어서는 NWC와 각 해당 업체 간에 모든 것이 처리됐다. 우리가 요청한 서비스를 전달하는 데 어떤 업체든 채널 파트너, 재판매업체, 하청업체, 혹은 기타 사업자를 포함시킬 필요가 없었다.

최신 정보 확보
전체적으로 볼 때 NWC는 각 업체가 보안 커뮤니티에 참여함으로써 새로운 취약성이 식별됐을 때 적절한 행동 과정을 밟아갈 수 있다는 점이 마음에 들었다. 모든 업체는 새로 나온 취약성과 위협을 대처할 수 있는 비상 팀을 두고 있었다. 게다가 모두가 AV 업체들, IBM, HP 래버러토리즈, 마이크로소프트 및 시스코 등과 같이 보안, 규정준수 및 네트워킹의 선도적 업체들과 파트너십을 맺음으로써 최고의 보안 서비스를 보장한다는 사실을 언급했다.
사이버트러스트는 SANS-GIAC, RSA 시큐리티 및 블랙햇 앤 화이트햇 월드와이드 컨퍼런스 등과 같은 업계 행사에 회사 직원을 보내고 있다. BT는 CERT(Computer Emer gency Response Team)와 IETF의 신용 회원(accredited member)이며, NIST(National Institute of Standards and Technology) NVLAP 랩으로 지정돼 미국 FIPS 140-2 레벨까지 암호화 제품들을 평가할 수 있다. 모든 업체들이 ICSA 랩스, Mitre, SANS, CSI 및 CERT 등과 같은 미디어 및 뉴스 그룹과 업계 전문가, 정부 기관, 전문 연합, 언더그라운드 조직 등과 지식 정보를 교환한다고 말했다.
모든 업체들이 침입을 탐지하는 것보다는 예방하는 데 초점을 둔다고 지적했다. LURHQ는 사건이 식별된 지 15분 내에 적절한 NWC 스태프에게 응답 및 에스컬레이션을 한다고 보증했으며, 이행 프로세스 동안 어떤 고객이든 함께 비즈니스 니즈에 맞는 에스컬레이션 프로시저를 개발할 것이라고 말했다.
ISS의 향상된 SLA는 보안 사건이 식별된 지 15분 이내에 통보를 받게 된다고 보증했다. 이것은 또한 ISS SOC 내의 에스컬레이션에 대해서도 지정해 뒀는데, 한 시간 후면 문제는 SOC 수퍼바이저에게 넘어가고, 네 시간 후면 SOC 매니저에게, 8시간 후에는 SOC 디렉터의 주목을 받게 되고, 24시간 후에는 운영팀 VP에게 통보된다고 한다.
BT는 타깃 케이스 해결 시간을 이용해 각 케이스별로 우선순위를 할당한다. 즉 매우 긴급한 것은 4시간, 긴급한 것 12시간, 심각한 것 120시간, 그리고 사소한 것은 적당한 시간에 해결을 한다. 사이버트러스트에서는 SLA에 따라 가용성과 네트워크 건강 사건이 15~30분 내에 에스컬레이팅되며, 사건 데이터와 응답 권고안이 모두 포함된 사건 보고서가 포함돼 있다.
시큐어웍스는 차단된 공격과 수상한 행동 모두에 대한 경보를 발생한다. 긴급한 사건에서는 즉시 대응책이 마련이 되며, 클라이언트와의 통신이 시도된다. 통보 시간대는 SLA 계약에 따라 결정된다. 드물긴 하지만 침입에 대한 의심이 들 경우 모든 MSSP 업체들은 에스컬레이션이 즉시 수행되는 되며, MSSP와 클라이언트가 침입이 실제로 발생했는지 여부에 대해 둘 다 합의를 볼 때까지 사용 가능한 모든 대응책을 통해 손상의 가능성을 방지한다고 말했다.

비싼 가격
지난 해에 CSI/FBI에서 실시한 컴퓨터 범죄 및 보안 설문조사에 따르면, 보통의 조직들이 IT 예산의 최고 5%를 보안에 할당하는 것으로 나타났다. 포레스터는 중소기업의 경우 이 수치가 10%에 가깝다고 추산했다. 그건 그렇다 치더라도 NWC가 아웃소서에게 제시한 서비스 수준이 희망 사항이라는 사실은 인정하지 않을 수 없다.
우리는 상세한 견적서를 요청했지만, RI 응답서에 있는 복잡한 길을 돌아다니기란 결코 쉬운 일이 아니었다. 업체들이 가격에 대해 입을 다물고 있다는 사실은 깨닫긴 했으나 우리에게는 약간의 정보다 더 필요했다. 대부분의 업체들보다 한 단계 더 나아가 우리가 RFI에서 제공했던 정보를 이용해 선택할 수 있는 아웃소싱 옵션들 메뉴를 만들어 준 ISS에게 박수를 보낸다.
NWC는 방화벽 및 IPS/IDS 관리; 호스트 기반 IDS/IPS; 라우터, 서버, 애플리케이션 및 기타 인프라 모니터링; 그리고 콘텐츠 필터링 등의 보안 서비스를 아웃소싱하는 데 초점을 맞추기로 했다. 취약성 평가/침투 테스팅 및 포렌식 컨설팅은 필요에 따라 수행될 수도 있는 항목이다.
사이버트러스트는 12/24/36개월의 견적가를 제시했으며, ISS는 36개월, LURHQ는 월 견적가; 그리고 시큐어웍스는 연간 견적가를 제공했다. BT는 ‘일회성’ 가격을 제시했으며, 하나의 매니지드 방화벽에 안티바이러스/안티스팸과 콘텐츠 필터링 보호가 추가된 것에 대한 것만 견적을 냈다. 우리가 예상한 업체별 월 가격 비교는 <표: MSSP 가격비교>를 참고하라.
물론 가격은 협상이 가능하며, 특히 대기업은 더욱 그러하다. 한 가지 주의할 점은 조기 종료시 패널티를 미리 알아 두어야 한다는 것이다. 즉 계약을 일찍 종료할 필요가 있을 때는 주어진 시간대(보통 60일)에 문서로 통보를 할 필요가 있으며, 수수료도 또한 지불하게 될 수 있다.

아웃소싱의 어두운 측면
적절히 되기만 한다면 보안 아웃소싱이 비용을 절감하고 마음의 평화를 가져다 줄 수 있다는 데는 두말할 나위가 없다. 하지만 불행히도 밝은 쪽이 있으면 어두운 쪽도 있는 법이며, 어떤 기업에게는 이것이 심각한 위험을 야기할 수도 있다.
예를 들어 MSSP를 이용한다는 것은 곧 NWC의 보안 인프라 장비에 대한 직접적 제어를 포기한다는 얘기다. 우리의 잠재적인 MSSP는 침입 사태가 발발했을 때 책임 전가를 피하기 위해 전체 제어권을 갖고 싶어할 것이다. 제어권을 공유하는 것도 가능하긴 하지만, 이것은 문제의 소지가 있다. 그리고 못 믿으면서 MSSP를 왜 고용했는가?
장비 정책에 대한 제어권은 NWC에서 계속 갖게 되는데, 그 이유는 철저한 보안 정책을 만들기 위해서는 회사의 내부 작업에 대해 정통으로 알고 있어야 하기 때문이다. 우리 MSSP에게 하루 중 어느 시간에 누가 특정 시스템에 액세스를 할 수 있는지에 대해 알려주는 것은 우리의 책임이다. 예를 들어 어떤 신용 비즈니스 파트너가 회사의 엑스트라넷에 액세스를 할 수 있는가? 어떤 관리자가 보안 데이터로의 액세스를 갖고 있는가? 등이 있다.
그리고 MSSP와 협업해 허가받은 사람만 보안 변경을 요청할 수 있게 하는 것도 당신의 책임이다. 아마도 이중 권한부여 절차를 요구하고 싶을 것이다. 또한 장비 구성, IP 어드레스, 사용자 ID 및 패스워드, 그리고 지원 계약 정보 등을 다루는 내부 문서가 최신 상태로 유지되고 있는지도 계속 확인해야 한다.
일부 MSSP들은 전문가 서비스를 유료로 제공할 수 있다. 특별히 견적가를 요구하지 않았음에도 불구하고 일부 업체들은 전문가 서비스에 대한 정보를 제공했는데, BT, ISS 및 시큐어웍스의 경우 프로젝트 관리, 취약성 및 침투 테스트, 온사이트 비상대응 보조 및 위험 평가 등의 서비스를 제안된 프로젝트의 규모와 필요한 기술, 그리고 요청된 맞춤화 수준을 기준으로 한 유료 정액제로 제공하고 있다. LURHQ는 컨설팅 서비스에 대해 시간당 비용을 청구한다. 게다가 ISS는 적용 가능한 곳에서는 거래 파트너를 ISS의 우리 보안 관리에 통합하는 데 대해 별도의 비용을 물지 않아도 될 것이라고 말했다.
다른 종류의 아웃소싱에서와 마찬가지로, 맞춤화가 많이 필요한 조직에서는 문제에 부딪칠 수 있다. MSSP는 수백 개의 클라이언트를 지원하고 있으며, 따라서 이들의 운영 모델은 대중에 맞게 확장 가능한 것을 기반으로 한다. 다시 말해 아웃소서들은 자신들의 운영 모델에서 벗어나기 싫어한다. 예를 들어 MSSP에게 구성을 맞춤화해달라고 요청하지 말아야 한다. 방화벽에서 특정 포트를 개방해 둘 필요가 있는데 MSSP 정책에서 이것을 금하고 있다면 장기간 이런 상태로 있어야 한다.

최종 분석
업체들은 경우에 따라 특별한 요청 항목을 고려한다고 대답하긴 했지만, 한 고객에게만 유리하고 보안 베스트 프랙티스를 따르지 않는 구성으로 변경하는 데 진정으로 개방적인 곳은 없어 보였다. 당연한 일이다.
마지막으로, 보안 모니터링과 관리를 아웃소싱한다고 해서 내부의 보안 기술이 필요치 않다는 얘기는 아니라는 점을 명심해야 한다. MSSP가 노출을 식별할 경우, 이들은 기술적인 반응을 이해하고, 이것이 조직의 네트워크, 서버 및 애플리케이션과 연관될 때의 일으킬 변화에 대해 현명한 의사 결정을 내릴 수 있는 내부 자원과 소통을 할 수 있어야 한다. 그리고 눈에서 멀어지면 마음에서도 멀어진다는 말은 여기서는 적용이 되지 않는다는 사실을 기억하라. 즉 MSSP가 얼마나 효과적으로 일을 하고 있는지를 감시하기 위해 충분한 보안 지식을 갖춘 사람을 배정해야 한다.
다섯 개의 RFI 제안서를 평가한 후 우리는 ISS를 에디터스 초이스로 선정했는데, 그 이유는 풍부한 서비스 제품과 뛰어난 SLA 협약, 뛰어난 기술력을 갖춘 인력, 그리고 번들링된 가격 옵션들 때문이었다. 특히 ISS가 NWC에게 상세한 5단계 배치 프로세스를 제공한 부분이 마음에 들었는데, 여기에는 시작에서부터 계획, 스테이징, 통합 및 종료에 이르는 작업과 책임이 명확히 표기돼 있었다. 2위와 3위간에는 큰 차가 나지 않았다. LURHQ가 2위를 차지했으며, 시큐어웍스와 사이버트러스트가 동률 3위를 기록했다.
LURHQ의 핵심 제품은 위협 및 취약성 관리 서비스로, 이것은 전담 보안 인력이 있으면서 MSSP를 이용해 보안 위협을 관리하는 데 관심있는 조직에게 유용할 것이다. 우리가 점수를 매긴 부문에서 LURHQ는 일관성 있게 좋은 모습을 보여 주었다. 시큐어웍스는 매지니드 보안에만 신경을 쓰고 나머지 장애 복구와 네트워크 관리에는 무심한 태도를 보였다. 이는 곧 NWC의 데이터 아카이빙 및 복구나 라우터/스위치 유지보수 부분은 충족시켜주지 못한다는 의미다. 그 가격 또한 높은 편이었다.
사아비트러스트는 매우 상세한 SLA가 돋보였으며, NWC에게는 예상치와 에스컬레이션 프로시저에 대한 명확한 그림이 주어졌다. BT는 주로 IT 서비스, 지역/국내/국제 전기통신 서비스, 그리고 광대역 및 인터넷 제품과 서비스 사업자긴 하지만, 모니터링과 감사를 제외하고는 보안 프랙티스에서 나름대로 좋은 모습을 보였다. BT는 보안 정책상 공개적으로 밝힐 수 없다는 이유로 이를 비롯한 몇 가지 부문에 대한 세부 정보를 밝히기를 거부했다. 하지만 NDA 아래서라면 정보를 얻을 수 있을 것이다.

〔MSSP RFI 시나리오〕
NWC는 소비자 제품 제조업체로 207명의 직원들 가운데 140명이 뉴욕 시러큐스에 있는 생산 시설에 배치돼 있으며, 나머지는 위스콘신 주 그린베이의 본사에서 근무한다. NWC는 다양한 인프라에서 24/7로 가동되고 있다.
NWC에서 역점을 두고 있는 것은 성장이기 때문에, 확장 가능하면서 큰 자본 투자나 인력 추가를 필요로 하지 않는 네트워크 보안 강화 방안을 필요로 하고 있다. 하지만 그렇다고 품질을 희생할 수도 없다. 즉 우리의 24×7 전자상거래 비즈니스를 지원할 수 있는 동급 최고의 보안 기술을 원한다. 따라서 우리는 매니지드 보안 서비스가 이러한 임무를 수행할 수 있을지 여부를 조사해 보기로 했다.
어떤 서비스를 아웃소싱시킬지에 대해서는 유동적이일 수 있으며, 방화벽 및 침입 탐지에 대한 매니지드 서비스; 라우터/스위치 유지보수 및 보안, 초기 경고 위협 식별 및 탐지를 제공하기 위한 사전 행동적이고 연속적인 보안 모니터링, 필요에 따라 포렌식 분석이 포함되는 사건 관리, 로그 모니터링 서비스, 취약성 및 침투 테스팅, 정보 보안 위험 평가, 데이터 아카이빙과 복구, 보안 패칭, 안티바이러스/안티피싱/콘텐츠 필터링 서비스, 그리고 필요에 따라 온사이트 컨설팅 등을 제공할 수 있는 업체를 찾기 위해 RFI를 만들었다.
이러한 보안 직무들 가운데 몇 가지나 아웃소서에게 넘어갈 수 있을지는 지원 수준과 사용 가능한 기술, 그리고 물론 비용에 따라 달라질 것이다. 우리는 또한 MSSP가 NWC에 있는 기존의 장비와 미래의 성장 계획에 얼마나 호환이 가능한지뿐만 아니라, 어떤 베스트 프랙티스 정책과 프로시저가 있는지도 살폈다.

〔MSSP 가격비교〕
가격 비교를 위해 우리는 업체들에게 전달되는 서비스에 대해 NWC로 청구되는 모든 가격을 결정해 줄 것을 요청했다. 여기에는 월 순환비용 뿐만 아니라 처음 부과되는 일회성 경비비도 포함이 된다. NWC는 3년 계약을 고려하고 있지만, 이것과 월별 옵션을 대조해서 비교해 보고 싶어한다.
우리는 또한 프로젝트 관리, 매니지드 방화벽 및 침입 탐지 서비스, 라우터/스위치 유지보수, 보안 및 로그 모니터링, 포렌식 분석을 포함한 문제 관리, 취약성 및 침투 테스팅, 위험 평가, 컨텐츠 필터링 서비스, 서비스 수준 관리 및 대응, 고 가용성 보증, NWC 거래 파트너 통합, 그리고 필요에 따라 온사이트 컨설팅 등에 대한 요금뿐만 아니라 적용 가능한 곳에서는 조기 종료 요청을 했다.

BT 글로벌 서비시즈 사이버트러스트 인터넷 시큐리티 시스템즈 LURHQ 시큐어웍스
월 순환비용 견적가(달러) 5,001(24개월 계약) 8,114(12개월) 4,801(36개월) 5,000(12개월) 8,750(12개월)