보안 핵심 요소, ‘SOA’ 지원 필수
상태바
보안 핵심 요소, ‘SOA’ 지원 필수
  • 데이터넷 관리자
  • 승인 2006.12.11 00:00
  • 댓글 0
이 기사를 공유합니다

보안 관리를 위한 서비스 기반 접근법
4가지 핵심 요소로 지능형 보안 서비스 기반 구현…
위험에 대한 효율적·지속적 관리 가능

기업은 자사의 네트워크 상황과 보안 상황에 대해 광범위하고 지능적인 시야를 확보할 필요가 있다. 구글 어스(Google Earth)에서 사용자들이 버튼을 눌러 시가지가 보이는 수준까지 확대해 보고 또 나라 전체가 보이는 수준까지 축소해 보는 것을 생각해 보라. 기업이 어떤 문제의 해결을 위해 또는 새로운 비즈니스의 시작을 위해 IT의 도움을 구해야 경우, 이와 같은 포괄적인 시야가 확보되지 않으면 IT에 대한 투자의 ROI를 가시화할 수 없다.
그러면 이러한 비전을 어떻게 현실화할 수 있을까? IT와 보안의 관리에 있어 단순하고 통일된 하나의 접근법이 솔루션이 될 수 있다. 즉, 기업 전반의 IT환경을 아우르며 플랫폼 중립적인 관점을 생성할 수 있도록 아키텍처를 구성하는 것이다. 이때 핵심 성공 요소는 급격하게 변모하는 비즈니스 요구사항을 지원할 수 있도록 모듈 구조의 서비스 지향형 아키텍처를 구축해야 한다는 것이다. <편집자>

서경구

한국CA 기술본부 보안사업부 부장
kyung-gu.seo@ca.com

콘서트 장에서 지휘자가 등장하기 전에 오케스트라 연주자들이 워밍업하고 있는 장면을 본 적이 있는가? 각각의 악기는 아름다운 소리를 내고 있다. 그러나 전체적으로는 의미 없는 소음으로 느껴진다. 왜? 같은 노래를 연주하고 있지 않으니까.
기업은 보안과 관련해 많은 투자를 하고 다양한 솔루션을 구축하고 있다. 각각의 투자는 모두 합당한 이유를 가지고 이뤄진다. 구매되는 제품은 모두 그 투자의 목적을 충족시킬 기능성을 제공하는 것들이다. 그러나 일관된 전략 없이 투자와 구매가 이뤄진다면, 지휘자 없이 서로 다른 노래를 연주하고 있는 오케스트라처럼, 전사적 차원에서 볼 때 기대하는 효과를 내기는 어렵다.
기업의 지배구조를 개선하고 내부통제를 향상시키는데 ID정보, 권한정보, 정책정보를 어떻게 활용할 수 있을까? 비즈니스를 보호하고 IT성과를 높이는데 보안 서비스가 어떻게 기여할 수 있을까? 보안 서비스를 효율화하는데 이종(異種)의 보안 시스템에서 수집된 정보를 어떻게 취합하고 분석하는 것이 도움이 될까?
이러한 전략의 문제가 바로 기업의 전산실에서 발생하고 있다. 많은 기업들이 관리하기에 벅찰 정도로 솔루션들을 과다 구매하고 있다. 일관된 전략 없이 행해지는 구매는 여러 가지 폐단을 가져오게 된다. 중복 투자나 불필요한 투자가 일어날 수도 있고, 어떤 경우에는 필요성에도 불구하고 투자가 일어나지 않을 수도 있다. 투자되지 않은 부분은 기업을 계속 위험에 노출돼 있게 한다. 투자된 분야도, 솔루션들이 전사적 차원에서 일관되게 관리될 수 없다면, 기업을 계속 위험에 노출되게 할 수 있다.
수십 종의 위협억제 솔루션, ID관련 솔루션을 구매해 수천 대에 달하는 데스크톱 및 서버에 배치하는 기업이 상당수 존재한다. 그러나 이들 솔루션이 일회성 프로젝트로 구축되고 사후관리가 되지 않아, 끊임없이 밀려오는 새로운 웜, 바이러스, 기타 내/외부의 공격으로부터 기업을 보호하지 못하는 경우 또한 상당수 존재한다. 이를 해결하기 위한 전사적 통합 보안관리(ESM)의 구축 또한 쉬운 문제는 아니다.
CEO나 CIO에게는 비즈니스에 얼라인먼트된 위험관리의 구축이 지상명제다. 이를 위해 IT는 끊임없이 변화하는 비즈니스와 보안 요구사항들에 대한 신속한 대응이 가능해야 한다. 새로운 리스크나 위협요소가 감지될 경우, IT인프라는 위험이 현실화되기 전에 취약점을 완화시키고 통제할 수 있어야 한다. 높은 수준의 보안성을 요구하는 새로운 비즈니스 애플리케이션이 등장하는 경우 이를 즉각 지원할 수 있어야 하며, 애플리케이션이 사규나 법령에 따른 엄격한 감사 요구사항을 준수하도록 강제할 수 있어야 한다.
기업은 볼륨 버튼을 다루듯 보안을 다룰 수 있는 유연하고 민첩한 인프라를 구축해야 한다. 즉, 기존 시스템의 아키텍처를 완전히 개조하거나 하지 않고도 필요한 만큼 조절이 가능한 인프라가 필요하다. 이와 같이 간편하게 정책들을 구축하고 조정할 수 있는 인프라를 구축하려면 ID관리 및 보안관리 툴이 필요하게 된다.

비전의 현실화 - 모듈 형식의 서비스 지향형 아키텍처
오늘날 단편적인 방식의 보안 접근법의 약점 중하나는 많은 솔루션이 구매되고 있으나 오너십 및 관리책임이 불분명한 상태로 고립돼 속을 알 수 없는 싸일로(Silo)들로 구축되고 있다는 점이다. 이들 싸일로의 집합은 아키텍처 상 취약하며 많은 제약사항을 갖게 된다. 서비스 지향형 아키텍처(SOA)는 기업의 고객 및 파트너에게 정보와 서비스를 제공하고, 위험을 적절한 수준으로 관리해주는 기능을 제공하기 위해 개발됐다. 이는 플랫폼의 제약, 레거시 애플리케이션의 문제, 사업단위 별 구축된 애플리케이션의 상호 인터페이스 문제, 기타 IT의 여러 제약사항을 해소할 수 있게 한다.
기업이 앞으로 자사의 모든 비즈니스 애플리케이션에서 강력한 인증 기능의 구현이 필요하다고 결정한 경우를 생각해보자. 공통 인증 서비스를 생성하고 모든 개발자들이 애플리케이션에서 이를 호출할 수 있도록 했다고 하자. 이 서비스는 패스워드나 생체인식 방식의 인증 기능을 선택할 수 있으며, 패스워드 길이에 제한을 가하거나 암호화 키 길이 등을 제어할 수 있는 파라미터를 제공한다. 이 경우 개발자들이 공통 인증 서비스를 호출하면 개발 프로세스가 단축되고, 결과물인 애플리케이션이 기업의 정책을 처음부터 준수하도록 보장할 수 있게 된다.
만약 개발자들이 각각의 애플리케이션에 대해 새로운 인증 코드를 구현해야 한다면 개발 프로세스의 속도는 둔화될 것이다. 또한 각각의 인증 코드에 대해 광범위한 테스트를 거쳐야 하거나 보안 부서로부터 승인받을 필요가 생길 것이다. 개발자 간에 동일한 개발 작업이 중복되거나 또는 이로 인해 아키텍처를 변경해야 할 수도 있다. 이것은 시간의 소모와 더불어 또 다른 위험을 야기할 수 있다.
그러나 기업이 개발 프로세스의 일환으로 서비스 모델을 사용하면 새로운 레벨의 사용자 경험과 서비스를 창출할 수 있다. 이는 단순히 개발자 개인의 경험에 그치는 것이 아니라 비즈니스 요구와 보안을 얼라인먼트 시킨 결과물이 된다.

보안의 4가지 핵심요소
기업 전반에 걸쳐 고립되고 중복된 싸일로를 반복적으로 구축하는 대신 싸일로를 해체해 서비스 지향적 모델로 바꿔야 하며, 이때 고립된 데이터를 해당 기업에 필요한 지식으로 전환시킬 수 있어야 한다. SOA의 지원에는 사용자, 자산, 서비스, 정책이라는 보안의 4가지 핵심 요소가 필요하다. 각각의 핵심 요소는 지능형 보안 서비스를 구현하는데 기반이 된다.

사용자
사용자들은 네트워크상의 액터(Actor)다. 네트워크상에서 비즈니스의 흐름을 볼 때, 가장 주의해야 할 부분은 사용자의 프로파일과 고유 특성이다. 서비스 지향형 영역에서 서비스는 또한 다른 서비스의 ‘사용자’가 될 수도 있다.
싸일로의 해체 작업을 위해서는 기본적으로 사용자 데이터의 관리 계획을 수립해야 한다. 이는 사용자 데이터가 지능형 보안 서비스의 근간이 되기 때문이다. 사용자 라이프사이클 관리는 사용자 ID를 생성하고, 사용자 프로파일과 접근권한을 프로비저닝하며, 사용자의 현재 작업 내역(인증 내역 또는 서비스 접속 내역)을 실시간으로 인지할 수 있게 한다. 이 경우 기업은 네트워크상에 어떤 일이 일어나는지, 서비스가 어떻게 사용되는지를 IT를 통해 파악할 수 있다.
기업이 서비스 기반 접근법을 통해 사용자 관리 기능을 바라본다면, 각각의 애플리케이션은 이제 더 이상 사용자를 관리하기 위한 별도의 솔루션으로 동작하지 않는다. 사용자 관리 작업 자체도 하나의 서비스로 객관화된다. 이제 더 이상 사용자 데이터는 각 애플리케이션별로 관리되지 않으며, 애플리케이션은 필요한 만큼 사용자 관리 서비스와 양방향으로 동작한다.

자산
사용자들은 네트워크나 네트워크상의 호스트, 애플리케이션 등의 리소스에 접근할 필요가 있다. 또한 사용자들은 리소스에 접근하기 위한 장비를 갖추고 있으며, 네트워크는 접근을 통제하기 위한 장비를 갖추고 있다. 자산에 대한 정보로는 장비유형, 운영체제, 구성정보, 패치레벨 등이 있다. 이러한 정보는 현재 네트워크의 취약성과 리스크에 대한 완전한 이해를 형성하고 해당 기업의 전반적인 위협 수준의 작성에 필수적이다.
지능형 보안 서비스는 이러한 정보를 종합해 자산에 대한 지능적인 판단을 내릴 수 있다. 예를 들어 어떤 중요한 애플리케이션이 운영상 패치가 불가능한 장비에서 운용되는 경우, 이 애플리케이션은 리스크의 우선순위가 높은 것으로 인식될 수 있다. 해당 시스템에 취약한 점이 있는 것으로 파악되면 안전한 구역으로 자산을 이동하거나 감사 수준을 강화하는 등의 다른 통제를 통해 문제를 완화하고 자산을 보호해야 한다. 이러한 자산에 대한 정보 종합을 통해 통제절차를 구현하는 방법은 지능형 보안 서비스에서 가능하게 된다.
많은 기업들은 이미 자산관리에 적절한 투자를 시행하고 있다. 문제는 기존 자산관리 데이터와 보안 서비스를 연계하는 방법을 찾는 데 있다. 이를 위해서는 보안 서비스가 레거시 자산 데이터를 사용할 수 있도록 해주는 서비스 모델 오버레이를 생성하고, 이후 데이터를 새로운 모델에서 사용 가능한 정보로 변형해주면 된다.

서비스
서비스는 사용자, 애플리케이션, 기타 서비스가 사용하고 또 재사용할 수 있는 여러 기능들을 제공해준다. 서비스 접근법은 애플리케이션에서 기능과 데이터를 분리해 이들을 보다 넓은 범위의 시스템에서 공유할 수 있도록 해준다.
이러한 서비스들은 인프라에 포함돼야 하며, 다양한 시스템과 애플리케이션, 사용자들에 의해 접근될 수 있어야 한다. 한 예로, ID 및 IAM(Identity and Access Management)를
들 수 있다. IAM의 권한관리 서비스를 애플리케이션에 임베드시킬 경우, 이를 통해 애플리케이션과 IAM 서비스가 연결돼 기존 정책 및 통합 사용자 리파지토리의 사용자 정보가 공유된다.
그리고 서비스는 자체적으로 보안 기능을 갖는다. 즉, 서비스는 트랜잭션을 보호하는 정보를 내부적으로 포함하므로 애플리케이션 레이어에서 이를 고려할 필요가 없다. 예를 들어, 어느 기업이 제휴업체에게 단 하루만 유효한 데이터 접근권한을 부여해 해당 업체가 제품을 점검할 수 있도록 하려고 한다고 가정해보자.
IAM 서비스는 24시간 동안만 유효한 시간정보가 포함된 임시 사용자 ID를 발행한다. IAM 서비스는 24시간이 지나면 이 ID를 삭제 처리한다. IAM 서비스와 상호작용하는 애플리케이션은 유효 시간에 대한 정보를 가질 필요가 없다. 이미 자체 보안 기능을 갖는 서비스에 이정보가 포함돼 있기 때문이다. 궁극적으로 서비스 기반 접근법은 애플리케이션이나 서비스 개발자, 관리자, 사용자의 업무상의 복잡성을 감소시킨다.

정책
앞서 언급한3개 요소가 적절하게 서비스로 구현된다 하더라도, 또 하나의 중요한 요소인 정책이 적절하게 처리되지 못하면 보안 서비스의 효과는 상당히 떨어지게 마련이다. 정책은 자산과 사용자, 서비스를 한데 엮어 주는 촉매 역할을 하며, 기업이 이를 조정해 비즈니스 요구사항을 충족할 수 있게 한다.
정책 인프라는 표준 기반으로 이종(異種) 플랫폼에 단일하게 적용 가능해야 하며 라이프싸이클 관리 기능을 제공해야 한다. 이러한 인프라는 인증, 권한통제, 감사, 개인정보보호 및 거버넌스 등의 여러 정책들을 동시에 지원할 수 있어야 한다. 기업은 정책 관리에 대해 서비스에 기반한 접근법을 구현함으로써, 개별 정책 구현 솔루션들을 통합해 전사 레벨의 정책 레이어로 통합할 수 있다. 기업이 이러한 정책 서비스 레이어를 활용하면 중앙에서 내린 정책 결정을 전사적으로 일관되게 강제할 수 있으며, 또한 정책의 개별 시험 및 승인에 따른 높은 비용을 절감할 수 있다.

조화된 보안 기능 구현
서비스에 기반한 접근법을 보안에 적용하면 기업은 위험에 대한 효율적이고 지속적인 관리가 가능하며, 동시에 비즈니스와 보안관리 또는 위험관리가 얼라인먼트된 지능형 보안 서비스의 구축이 가능하다. 오케스트라의 지휘자와 마찬가지로 여러 악기의 서로 다른 사운드를 적절히 조율해 아름다운 선율과 화음을 만들어낼 수 있게 되는 것이다.
조화로운 보안을 위한 최선의 방법은 4가지 핵심 요소인 사용자, 자산, 서비스, 정책에 대한 관리를 서비스 기반으로 구현하는 것이다. 이러한 지능형 보안 서비스는 로우 레벨의 서로 다른 보안 데이터를 지능적이고 맥락화된 지식으로 변형시킬 수 있다. 특히 이러한 지식은 계속 복잡해지는 비즈니스 환경에서 기업을 보호하는 데 반드시 필요한 무기가 된다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.