각종 웜과 바이러스 등으로 갈수록 심각해지는 기업의 보안 위협에 효과적으로 대응할 수 있는 방법은 없을까? 방화벽, VPN, 바이러스월, IDS, IPS 등 끝없이 쏟아져 나오는 보안제품들에 대한 투자비를 줄이고 분산돼있는 보안제품들을 통합적으로 관리할 수 있는 마법의 솔루션은 없을까? 흔히들 보안은 효과적인 정책으로 완성된다고 이야기하지만 어떤 정책을 어떻게 적용, 보안관리를 할 수 있을지 막연하기만 하다. 이에 대한 대안으로 전사적 보안관리 솔루션인 ESM(Enterprise Security Management)이 지난 2001년경부터 꾸준히 주목받고 있다.
그러나 아웃소싱에 대한 고객들의 거부감과 막연한 불신 그리고 경기악화와 더불어 ESM 시장의 성장은 가파른 성장세를 보이지 못하고 있다. 더욱이 고도화되어지는 보안장비들의 틈새에서 인프라를 구축하기에 바쁜 고객들에 의해 관리라는 부분은 외면받고 있는 것이 현실이다. 하지만 이제 상황이 바뀌어가고 있다. 최근 ESM 솔루션업체들이 TMS(Threat Management System) 솔루션, 관제서비스 등과의 결합으로 보다 강화된 성능의 보안 관리 및 전사적, 능동적 보안 관리 솔루션으로의 진화를 꾀하고 있어 ESM 솔루션의 향후 전망 역시 밝은 편이다.
ESM 시장 현황을 통해 효과적인 보안관리를 위해 무엇이 필요하며, 어떻게 효율적인 방어를 수행할 수 있는지 짚어본다.
| 장윤정 기자·linda@datanet.co.kr |

ESM(Enterprise Security Management)은 전사적인 차원의 일관된 정책을 가지고 통합적으로 보안 관제 및 운영/관리 업무를 수행함으로 보안관리의 효율성, 보안성을 향상시키는 것이다. 또한 기업이 보유한 방화벽, IPS, IDS, VPN 등 각종 보안제품 및 네트워크 장비를 상호 연동해 효율적으로 운영할 수 있도록 지원한다. 이처럼 ESM 시스템은 방화벽, IDS, VPN 및 각종 보안제품과 서버, 라우터와 같은 네트워크 장비들을 연동해 실시간으로 관제와 운영, 관리업무를 수행함으로써 보안관리 업무를 위한 시간낭비와 인력낭비를 절약할 수 있다.
특히 투자비도 절감함과 동시에 보안관리 업무의 효율화를 꾀함으로 안전한 정보자산의 운영을 실현토록 지원하는 시스템이다. 즉 ESM을 통해 보안관리 정책/절차를 정립할 수 있으며 예방적인 보안관리 체계를 수립하고 인건비 절감을 통한 ROI 효과를 볼 수 있다.
이글루시큐리티 이득춘 사장은 “ESM 시장은 눈에 보이게 성장하는 시장은 아니지만 조용히 성장하는 시장”이라며 “보안 솔루션중 드물게 벤더의 요구가 아닌 사용자의 요구에 의해 성장하는 시장”이라고 언급했다.

효과적 ESM 활용에는 관리자 지식 ‘필수’
ESM은 방화벽, IDS, 안티바이러스, 바이러스월, VPN 등 각종 보안장비에서 보내진 이벤트를 수집하고 분석, 관리자에게 경고를 보낼 수 있다. 이처럼 요소별로 흩어져있는 장비들의 정보를 통합해 모든 네트워크 전체 상황에서 공격징후를 감지하기 때문에 외부에서의 공격은 물론 내부자 보안에도 효과가 있다.
ESM은 네트워크의 이상징후가 보안사고인지 아닌지 판단하고 대처할 수 있게 해주는 솔루션이라고 할 수 있다. 그러나 정보를 모아서 보고하고는 것이 ESM이다 보니 그 정보가 보안사고인지 정상적인 네트워크 활동인지 판단하는 것은 관리자의 몫으로 남겨진다. 이에 따라 ESM을 최고로 활용하려면 관리자의 지식과 판단이 반드시 선행돼야 하는 것이다.
보안관리 업무는 일반 관리 업무와 다르게 보안에 대한 기본적인 지식과 기술을 갖추지 못하면 관리가 어렵다. 그렇기 때문에 보안관리 인력에 대한 조건을 살펴볼 필요가 있으며 조건에 부합되는 인력으로 보안관리를 구성해야한다.
우선 첫째로 관리 대상 보안제품들에 대한 지식을 보유하고 있어야한다. 흔히들 ESM을 도입하면 ESM 솔루션 도입만으로 보안관리가 끝날 것이라고 착각하곤 하지만 이는 말 그대로 착각이다. 업계의 관계자들은 “비싼 투자비를 들여 ESM 솔루션을 도입해놓고 제대로 쓰지 못하는 고객들이 허다하다”며 “이는 ESM 솔루션이 PC의 OS운영체계처럼 사서 깔아두기만 하면 알아서 돌아가는 제품이라고 착각하기 때문이다. ESM은 도입한다고 끝나는 것이 아니라 도입 후 ESM에 대한 지속적인 교육과 체계, 인력 등이 뒷받침돼야 최고의 효과를 얻을 수 있다”고 강조한다.
즉 도입된 제품이 효율적인 위치에서 작동되고 있는지, 매 상황별로 정상적으로 운영되고 있는지 파악할 수 있어야 각 보안제품을 제대로 활용할 수 있다. 따라서 개별보안제품에 대한 용도와 구성, 특징과 운영 및 관리를 위한 지식을 필수적으로 알고 있어야한다. 또한 보안제품만 알고 있어서도 안된다. 각종 서버 시스템 및 그 운영체계에 대한 사용지식도 보유하고 있어야한다.
예를 들어 시스템의 소프트웨어를 탑재한 장비도 애플리케이션 장비가 아닌 이상 일반 서버에 보안솔루션의 소프트웨어를 탑재시킨 경우가 대부분이다. 이런 제품에는 방화벽, IDS, VPN, 인증, 암호화, 바이러스 백신 등 거의 모든 보안 제품군이 속하고 있다. 따라서 각 서버에 대한 운영체계를 다룰 수 있어야 정상운영되지 않을 경우 셧다운 후 재가동 등의 작업을 수행할 수 있다.
다음으로 네트워크 구성 상태에 대한 지식보유도 필수다. 현재 구성된 네트워크 상태에서 보안 시스템 운영중에 문제가 발생됐는데 그런 문제가 새로운 시스템의 도입이나 네트워크 구성 변경상의 문제로 인해 야기된다면, 문제에 대한 해결을 위해서는 네트워크 구성 상태를 보고 판단할 수 있는 지식과 능력이 필요하다는 것.
마지막으로 보안체계에 대한 각종 지식을 보유하고 있어야한다. 이를테면 IDS의 결과는 정해진 룰의 정책에 따라 침입으로 보고된다. 그런데 이렇게 보고되는 보안이벤트 중에는 상당수가 실제 해킹은 아니지만 룰에 의거해 해킹으로 식별되는 탐지 오류가 발생될 수 있다. 따라서 이런 탐지오류에 대해 최종적으로 판별하는 작업은 사람이 개입해 해결할 수밖에 없으며 이를 위해서는 다양한 지식이 필수적이다.
업계의 관계자들은 “단품 솔루션 도입으로 부분적인 보안을 할 수 있지만 단품 보안제품들을 통합해 전사적, 통합적 보안관리를 하기 위해서는 ESM과 같은 통합보안관리 솔루션이 필요하다”며 “최근 보안에 대한 고객들의 인식이 높아졌고 보안관련 지식을 갖춘 관리자들도 많아져 ESM과 같은 관리솔루션을 활용하고자 하는 요구들이 늘어나고 있다. 자체내에서 보안관리를 하기 어려운 조직의 경우 보안관리를 대행해주는 관제센터 아웃소싱 등을 이용할 수 있어 보안관리는 더 이상 기업에게 골칫거리만은 아닐 것”이라고 언급하고 있다.

TMS·통합 관제 솔루션 등과 결합
그렇다면 관리솔루션이라는 측면에서 ESM과 SMS(System Management System), NMS(Network Management System)의 차이점은 무엇일까? 대규모 시스템을 보유한 회사라면 시스템관리를 위해 SMS 하나쯤은 보유하고 있는 회사들이 대부분인데 SMS나 NMS 이외에 ESM은 왜 필요하다는 것일까? 또한 NMS 및 SMS와 같은 관리솔루션들도 보안과 관계된 기능 또는 모듈이 적재되면서 보안관리를 수행할 수 있다. ESM 역시 기존 NMS와 SMS의 주요기능을 점차 흡수, 연동하고 있어 ESM와 타 관리시스템과의 차이점이 점차 좁혀져가고 있는 형편이다.
하지만 관련 전문가들은 “NMS나 SMS의 경우 보안관리 시스템과 태생 자체가 다르기 때문에 한계가 존재할 수밖에 없다”며 “물론 네트워크 관리 부분은 NMS가 당연히 우수할 수밖에 없으며, 시스템관리 부분은 SMS가 뛰어나다. 그러나 이런 기능들은 각각 네트워크와 서버에 국한돼 있다. 따라서 보안을 중심으로 관련된 업무, 기능을 수행하기 위해서는 ESM이 반드시 필요하다”고 언급하고 있다. 또 NMS나 SMS로는 보안관제 업무를 수행할 수 없지만 ESM으로는 보안관제 업무 수행이 가능하다는 점도 큰 차이점이다. ESM은 보안관리 뿐만 아니라 보안과 관계된 시스템이나 네트워크에 대한 통합관리까지 가능, 보안관제 업무를 수행할 수 있는 것이다.
다시 말하면 ESM이 기존 NMS, SMS와 가장 차이점은 ESM은 보안적인 요소를 관리자에게 제공한다는 것이며 ESM에는 일부 NMS 기능과 SMS 기능을 포함하고 있다는 것이다. 그리고 ESM 시스템의 통합관리 대상은 보안 기능을 수행하는 각종 보안솔루션뿐만 아니라 서버, 라우터와 같은 네트워크 장비를 포함하고 있다는 것이다. 이는 모든 관리대상으로부터의 데이터를 자동적으로 취합해 분석, 종합해 관리자에게 보안측면의 접근, 판단 등의 작업을 수행하고 이를 토대로 보안관리를 위한 제반기준과 자료를 제공할 수 있다는 뜻이다. ESM 시스템은 궁극적으로 위험관리 시스템(Risk Management)으로서의 역할을 수행하는 방향으로 진화하고 있으며 실제로 ESM 업체들은 최근 위협관리솔루션(TMS) 등을 포함하는 포괄적인 위험관리시스템으로 변화하고 있다.
어울림정보기술 ESM 사업본부 안병규 상무는 “ESM 초기의 역할이 여러 이기종 보안 시스템을 연동, 통합 관리하는 것이었다면 앞으로의 변화는 TMS, RMS, 종합관제시스템 등과의 결합으로 결국 통합적인 위험관리 영역으로까지 기능이 확대될 것으로 전망된다”고 밝혔다.
또 ESM 업체들은 침해대응시스템(CERT; Computer Emergency Response Team), 사전예방/경보시스템(WAS; Warning & Alerting System), 정보공유 분석시스템(ISAC; Information Sharing & Analysis Center), 위험/위협관리솔루션(TM; Threat Management) 등 ESM을 프레임워크로 응용할 수 있는 다양한 분야로 기술의 개발 범위를 넓혀가고 있다. 또한 최근 보안패치 관리 및 정책 관리까지 포함하는 기능적 요구를 구현, ESM 솔루션은 점차 보안 관리 및 예측을 위한 능동적인 시스템으로 진화돼 가고 있다. 이에 따라 ESM 솔루션은 보다 능동적인 보안 관리 솔루션으로서의 가치를 더해가며 점진적인 성장을 지속해갈 전망이다.

데이터넷 관리자