지능화된 공격·컴플라이언스 이슈로 관심 급증 … 솔루션 고도화 현재 진행형
보안관리가 진화하고 있다. 보안의 중요성이 강조되면서 도입된 수많은 보안 솔루션은 관리의 어려움을 증가시키고 있고, 각기 다른 장비가 쏟아내는 수많은 정보들로 효율적인 전사적 보안 체계 마련의 필요성이 대두되고 있기 때문이다. 국내에서는 ESM(Enterprise Security Management)이 보안관리를 대표했지만, 이를 더욱 고도화해야 한다는 요구가 증가하면서 이글루시큐리티, 이비지니스테크놀러지, 인젠 등의 국내 기업은 물론, 맥아피, 시만텍, 아크사이트, IBM, EMC RSA 등 글로벌 벤더들의 차세대 보안관리 솔루션이 속속 등장하고 있다.
|오현식 기자·hyun@datanet.co.kr|
보안의 중요성 증대와 더불어 보안관리 솔루션이 시장의 핵으로 부상할 준비를 갖춰나가고 있다. 국내의 경우, ESM(Enterprise Security Management)이 보안관리 시장을 대표했지만, ESM을 보완할 수 있는 솔루션들이 속속 선보이면서 제2라운드를 준비하고 있는 것이다.
차세대 보안관리, 혹은 보안관리 2.0이라고 불리는 이 시장의 주도권을 가져가기 위한 다양한 솔루션의 경쟁이 치열하게 펼쳐지고 있으며는 것. SIM(Security Information Management), SEM(Security Event Management), 혹은 SIM과 SEM을 결합한 SIEM(Security Infomation & Event Management)이나 RMS(Risk Management System), TMS(Threat Management System) 등을 표방하고 있는 솔루션이 바로 그들이다.
차세대 보안관리 기술 ‘속속’ 출시
크게 보면, RMS는 보유 자산과의 연계성을 고려해 위협과 취약성에 대한 보다 효율적인 관리를 목표로 하는 반면, SIEM은 보안의 전체 아키텍처에 대한 방법론으로 컴플라이언스 이슈에 보다 효과적으로 대응할 수 있도록 하며, TMS는 조기 예경보를 목표로 한다는 점에서 구분될 수 있다. 시만텍코리아와 한국IBM, 한국EMC RSA 등은 SIEM 솔루션을, 이글루시큐리티와 이비지니스테크놀러지, 한국맥아피 등은 RMS 솔루션을, 인젠과 정보보호기술, 윈스테크넷 등은 TMS를 선보이고 있다.
분석 기반 자체도 차이가 있다. SIM/SIEM의 경우, ESM과 매우 유사하다. ESM과 마찬가로 SIM/SIEM 역시 보안 장비를 비롯한 각종 장비가 생성하는 로그를 기초로 하며, ESM과 같이 로그를 수집·분석함으로써 의미있는 정보를 도출하게 된다. SIEM이 ESM과 차별화되는 지점은 감사 능력이다. ESM이 보안 시스템이 도출하는 로그를 기반으로 상관관계를 분석, 실시간으로 위협수준을 모니터링하고, 이에 대응하도록 한다면, SIEM은 ISO27001과 같은 보안 표준이나 사베인즈-옥슬리(SOX), 바젤Ⅱ 등 각종 기업 규제 관련 사항을 접목시켜 보다 의미있는 정보를 도출해내게 된다.
반면, RMS에서 중시하는 것은 보유 자산과 취약점 정보로 보안 로그와는 큰 관련이 없다. 취약점 정보와 자산을 매핑해 실질적인 위협을 도출하고, 위협의 우선순위를 매겨 대응하도록 하는 것이다. 예를 들어, 리눅스 시스템을 기반으로 한 IT 시스템에서 윈도 위험은 대응하지 않아도 되는 것이다. 하지만, 결제 서버와 같은 정지되거나 정보가 유출이 발생하지 않아야 하는 중요 시스템이 윈도 시스템으로 구성돼 있다면 윈도 취약점에 대한 대응은 가장 시급히 대응해야 할 문제가 된다.
TMS의 경우에는 조기 경보를 목표로 국내외 각종 위협정보의 수집·분석과 트래픽 분석을 통한 네트워크 이상 징후 탐색에 초점을 맞추고 있다. 트래픽 분석과 글로벌 위협정보를 매핑해 발생할 수 있는 공격의 예방이 바로 TMS의 목표라고 할 수 있다.
하지만, 실질적으로 이러한 차이가 명확히 구분되는 것은 아니다. 서로의 장점을 습득하면서 컨버전스화되고 있기 때문이다. 실제로 RMS를 표방하고 있는 이글루시큐리티의 ‘스파이더X’의 경우, RMS를 표방하지만 ESM과의 연동을 통해 여러 종류의 위협 및 취약성 정보를 해당 자산의 중요도와 연계시킨 실시간 분석과 더불어 정보보안준수 현황을 제공하는 등 SIEM 솔루션적인 모습을 보이고 있다. 아크사이트의 경우에도, RMS의 장점을 흡수해 SIEM의 밑그림에 자동화된 자산스캐닝을 설정하고 있는 등의 모습을 보이고 있다.
보안 효율성 제고 ‘지향점’
보안관리 시장은 이제 출발점이라고 할 수 있다. ESM의 경우에는 국내 시장에서는 다수의 기업이 도입해 시장 성숙기에 접어들었다고 평가받고 있지만, 이를 보완할 수 있는 솔루션들은 이제 막 도입이 시작되고 있는 상황이다.
전세계적으로도 보안관리 시장은 아직은 초기 단계라는 것이 일반적인 평가다. 가트너가 신기술의 진화 트렌드를 설명하기 위해 개발한 하이프사이클(Hype Cycle)에서도 SIEM은 2~5년 후 주류가 될 유망기술의 하나로 지적되고 있다.
초기 시장인 탓에 아직은 사용되는 용어의 개념도 명확하지는 않은 상황이다. 앞서 SIEM, RMS 등의 차이점을 간략하게 언급했지만, 보다 세부적으로 들어가면 각 용어의 정의, 혹은 기본 기능에 대한 업체간 차이는 존재한다.
예를 들어, 이글루시큐리티의 경우에는 RMS가 ESM과의 연동을 통해 실시간 위협정보를 자산에 매핑할 수 있어야 한다고 주장하지만, 맥아피는 실시간 통합은 무의미하다고 주장한다. 실시간 분석은 RMS 본연의 기능은 아니라는 것이다.
SIEM에 있어서도 업체간 공방이 치열하다. IBM은 SIM과 SEM을 긴밀하게 통합함으로써 보안관리 수준을 높여주는 것이 SIEM이라고 선전하지만, CA의 경우에는 이에 동의하지 않는다. SIM, SEM의 구분은 단순히 마케팅적인 이슈에 불과하다는 것이 CA 측의 주장이다. 아크사이트의 경우에는, 컴플라이언스를 강조하는 IBM, RSA 등과 달리 실시간 대응조치 능력이 구현돼야 한다고 강조하고 있다.
美 네트워크컴퓨팅紙는 이와 관련 SIM, SEM, SEIM, 나아가 ESM을 둘러싼 용어 논쟁을 “마케팅 담당자들과 유행어 창조자들 사이의 난타전”이라고 규정하면서 “보안 로그관리는 SIM의 하부 개념이고, SIM은 ESM의 하부개념일 수 있다”는 자체적인 정의를 내리고 보안관리 시장에 대한 관련 기사를 진행한 바 있다.
순수하게 용어적인 측면에서 보았을 때 네트워크컴퓨팅紙의 의견이 일견 타당하다고 할 수 있다. ‘보안정보(Security Information)’ 혹은 ‘보안이벤트(Security Event)’ 보다는 ‘기업보안(Enterprise Security)’의 의미 범위가 한층 광범위하기 때문이다. 하지만, 국내 현실에서 이러한 견해에 동의하기는 쉽지 않다. ESM을 표방하는 솔루션이 보편화된 국내 시장에서는 보안로그를 통한 모니터링을 수행하는 시스템을 지칭하는 보다 작은 개념으로 ESM이란 용어가 이미 굳어져 사용되고 있기 때문이다.
이와 관련, 이용균 이글루시큐리티 연구소장은 “보안관리 시장이 아직 초기인 까닭에 용어의 정립이 불분명할 뿐만 아니라 다른 솔루션의 장점을 수용하면서 끊임없이 진화하고 있어 용어에 따른 구분은 사실상 무의미하다”면서 “솔루션의 개념적 구분 명칭보다는 자사가 필요로 하는 도입하려는 기능이 충실하게 반영돼 있는가를 살펴야 할 것”이라고 지적했다.
이용균 소장의 말처럼 이들 제품들은 제각기 다른 특징을 내포하고 있지만, 궁극적으로 이들이 목표하는 바는 공통적이다. 기업 내에 도입된 다양한 보안 장비들이 내보내는 메시지를 기업 특성에 맞도록 재구성해 보다 의미있는 메시지를 도출해낸다는 것이 바로 그 지향점이다. 또한 다양한 보안 장비를 중앙집중적으로 관리하도록 함으로써 보안의 효율성을 제고하고, 보다 지능적인 방어를 수행하도록 한다는 것을 목표로 하고 있다.
차세대 보안관리 시장 ‘점화’
범정부통합전산센터를 비롯해 공공기관의 대형 프로젝트에서 전사적 보안 체제 구축이 추진되고 있으며, SK텔레콤이 ESM과 TMS, RMS 등을 포괄하는 차세대 통합보안관리시스템 개발에 들어가는 등 국내 차세대 보안관리 시장은 조금씩 개화하는 모습이다.
차세대 보안관리 시장을 견인하는 동력은 기 도입된 보안 장비의 효율성 제고에 있다. 정보보안이 강조되면서 기업에 도입된 보안 솔루션의 종류는 매우 다양하다. 방화벽에 더해 최근에는 IDS/IPS까지 필수화되고 있으며, 최근에는 빈번한 웹 보안 사고로 인해 웹 방화벽 또한 도입이 강력히 요구되고 있다. 이 외에도 안티바이러스, 안티스팸, DB보안, 매체제어, 문서보안 등 다양한 보안 솔루션 구축이 요구되고 있다. 하지만 이들 포인트 보안 솔루션들은 그때그때의 이슈에 맞춰 개별 도입·관리됨으로써 체계적 전사 보안 체계를 이루지 못하고 있을 뿐 아니라 이로 인한 효율성 저하의 문제도 지적되고 있다.
한국EMC RSA 윤정광 차장은 “오늘날 기업 네트워크에서는 수많은 애플리케이션과 보안 장비들이 함께 구축돼 있고, 이들은 각기 다른 관리자들에 의해 관리되고 있어 어떤 장비나 애플리케이션은 중복관리가 이뤄지는 반면, 제대로 된 관리가 이뤄지지 않는 부문도 존재한다”면서 “복잡한 시스템 구성으로 인해 체계적인 관리가 이뤄지지 않는 비효율성을 중앙집중화된 관리로 개선해야 할 요구가 높아지고 있다”고 밝혔다.
수많은 보안 솔루션들을 중앙집중적으로 관리해 비효율성을 개선해야 하는 현실적 문제가 보안관리 솔루션을 대두시키는 요인이란 것이다. 아울러 전사적 보안 체제 구축을 통한 지능적 대응만이 오늘날 복잡 다양해진 각종 위협에 효과적으로 대처할 수 있다는 점 역시 보안관리를 대두시키는 요인으로 꼽힌다.
보안관리 시장을 견인하는 또 다른 요인은 컴플라이언스 이슈다. 전세계 시장에서 보안관리 솔루션 시장 성장을 이끌어낸 동력이 SOX, 바젤Ⅱ 등의 컴플라이언스 대응 부문이다. 국내에서는 아직 컴플라이언스 이슈가 크게 부각되고 있진 않지만, 기업 규제가 강화되는 전세계적인 추세로 볼 때 국내 시장에서도 컴플라이언스는 피해갈 수 없는 부분으로 평가된다.
실제로 한국형 사베인즈-옥슬리법(K-SOX)이라고 불리는 내부회계관리제도와 더불어 기업의 자율적 회계 투명성 확보를 강제할 증권관련집단소송제도도 올해부터 본격 시행되고 있다. 2006년 상장기업을 대상으로 적용이 시작된 내부회계관리제도는 중소기업의 부담완화를 위해 자산총액 500억원 미만의 비상장 중소기업에게 유예됐지만, 적용유예기간이 만료됨에 따라 본격화의 시기를 맞이하고 있다. 이외에도 개인정보보호법 등 보안관리 솔루션의 성장을 견인할 만한 제반 법규가 제·개정될 전망이기에 보안관리 시장은 더욱 성장의 가속 페달을 밟을 것으로 전망된다.
윤광택 시만텍코리아 부장은 “그동안 유독 국내 시장에서 컴플라이언스가 활성화되지 않아 관련 솔루션 전파에 어려움을 겪었던 것이 사실이지만, 올해를 기점으로 점차 고객의 관심이 증가하고 있는 것이 피부로 느껴지고 있다”면서 “보안관리 솔루션이 향후 보안 시장의 핵심키 중 하나로 떠오를 것으로 전망된다”고 밝히기도 했다.
이 외에 보안성과관리에 대한 요구도 보안관리를 촉진시키는 요인으로 지적된다. 한국IBM의 박형근 과장은 “보안성과관리의 필요성도 보안관리 도입을 촉진시키는 동인”이라고 지적했다. 박 과장은 “최고 경영진 측에서는 투자된 보안 솔루션의 효과를 제대로 파악할 수 없다는 데 대한 불만을 갖고 있다”며 “보안 솔루션은 정량적 측정이 어려운 부문이지만, 최근 등장한 차세대 보안관리 솔루션들은 도입 효과를 측정할 수 있는 지표로 활용 가능해 경영진으로부터 더욱 각광받고 있다”고 전했다.
예를 들어, SIEM 솔루션이 제공하는 컴플라이언스 위반, 혹은 준수 정도의 제시가 보안성과관리의 지표로써 활용될 수 있다는 것이다. ISO27001과 같은 보안 표준, SOX 등 규제 준수 여부를 보안관리 솔루션을 통해 효율적으로 제어함으로써 감사 비용을 줄이고, 단계적이고 체계적인 보안관리 체제 수립이 가능하게 되는 것이다. 보안관리 솔루션 벤더들은 SOX 등 명문화된 규제나 표준 이외에 기업 내부적으로 설정한 임의의 보안 정책의 이행 및 준수 여부도 모니터링할 수 있게 하고 있어 맞춤화된 보안관리가 가능하다.
EMS 연계 화두
출발선에 들어선 국내 보안관리 시장에서는 ESM 연동이 화두의 하나로 떠오른다. 국내 보안관리 시장에서 EMS은 이미 성숙기에 접어들었다고 평가받을 만큼 기반을 확보한 상황이기 때문. 이에 보안관리의 대표주자로 자리매김한 ESM을 중심으로 전사적 보안관리 체제 구축을 밑그림으로 제시하는 움직임이 나타나고 있다.
ESM 최강자인 이글루시큐리티가 대표적이다. 이글루시큐리티의 경우, ESM 솔루션인 스파이더TM(SPiDER Threat Manager)와 RMS 솔루션인 스파이더X(SPiDER-X)를 연동시킴으로써 여러 종류의 위협과 취약성 정보를 보유 자산의 중요도와 연계한 종합적 분석이 가능하다고 주장한다. 이글루시큐리티에 따르면, ESM과 RMS의 연계를 통해 전사적인 위험을 관리할 수 있는 시너지 효과까지 얻을 수 있게 된다.
인젠 역시 기존 시큐플랫ESM(SecuPlat ESM)에 트래픽 분석 기능을 강화시키는 방향으로 보안관리 솔루션을 업그레이드하고 있다. 강승용 부장에 따르면, 인젠은 강력한 트래픽 분석 기능과 더불어 국내외 최신 취약점 정보 및 보안 추이 통계를 수집 및 분석하여 제시하는 S-ISAC(가칭)을 연내 출시할 예정으로 현재 마무리 작업에 박차를 가하고 있다. S-ISAC이 출시되면, ESM과 TMS를 축으로 한 능동적 보안이 가능한 포트폴리오가 완성되게 된다. ESM과 TMS의 연동을 통한 사이버 공격에 대한 조기 예경보 대응 체계를 구축하게 됨으로써 네트워크 인프라에 대한 위협뿐 아니라 다양한 보안 제품에서 발생하는 보안 정보에 기초한 능동적 보안 체제 구축을 구현하게 된다는 것이다.
전세계 ESM 시장 1위 기업인 아크사이트 역시 EMS과 연동을 강조한다. 아크사이트코리아 고경원 지사장은 “전사적 보안관리란, 탐지·분석·조치가 삼위일체가 돼 이뤄져야 한다”고 지적하면서 “아크사이트는 아크사이트ESM을 통해 탐지와 분석을, 아크사이트TRM과 아크사이트NCM을 통해 분석에 따른 조치까지 수행하는 가장 포괄적 의미의 보안관리 솔루션”이라고 강조했다.
특히 전세계 시장에서 검증된 아크사이트ESM의 실시간 상관관계 분석 기능을 바탕으로 위협의 원인을 빠르게 파악하고, 즉각적으로 확산 방지 조치를 취하는 점이 강점이다. 고경원 지사장은 “아크사이트ESM은 올해 5월 4.0버전이 출시되면서 애플리케이션 관련 트래픽까지 분석할 수 있도록 기능이 강화돼 진정한 SIEM을 구현한다”고 덧붙였다.
다른 한편으로는 ESM과의 연계는 그다지 중요하지 않다는 의견도 존재한다. 맥아피, 이비지니스테크놀러지 등 RMS 솔루션을 개발, 공급하는 기업이 대표적이다. ESM과 RMS의 본질적인 차이로 인해 ESM과 RMS의 연동이 실질적인 도움은 되지 않는다는 것이 이들의 의견이다.
한국맥아피 측은 “EMS과 RMS가 보안관리의 주요 구성 요소로 상호 보완관계에 있지만, ESM이 실시간 모니터링을 통한 경보를 주요 기능을 삼는 반면, RMS는 자산과 취약점을 결합한 최적의 보안 위험관리 방안 도출을 목표로 하는 차이가 있다”며 “ESM과의 연동이 마케팅적인 강조점이 될 수 있을지 몰라도 최적의 보안 위험관리 도출에 실질적인 도움을 주지는 못할 것”이라고 설명했다.
컴플라이언스 대응 ‘강점’
보안관리 시장을 견인할 동력인 컴플라이언스 대응 면에서는 외산 솔루션들이 돋보인다. 관련 법규가 미비했던 국내와 달리 엔론 사태와 같은 대형 회계 부정 사건으로 인해 기업 투명성 확보가 강화되고, 고객정보분실에 따른 손해배상 소송이 잇달아 발생하면서 컴플라이언스 이슈가 강력하게 대두됐기에 외산 솔루션들은 이에 대한 대응을 일찍부터 전개한 상태. 따라서 컴플라이언스 적인 측면에서 외산 솔루션의 강세는 일견 당연한 일로 볼 수 있다.
SOX, 바젤Ⅱ, HIPPA 등 우리의 귀에도 익숙한 기업규제 법안의 제정·시행으로 인해 보안관리 솔루션들은 이에 대응할 수 있는 템플릿을 선보이고 있는 상황이며, 보안관리 시장 역시 컴플라이언스 이슈를 중심으로 전개됐다. ESM이 각광받은 국내와 달리 SIM, SIEM을 표방한 솔루션이 보다 활성화된 까닭도 이러한 컴플라이언스 이슈의 대두에 있다고 할 수 있다. 700개 이상의 고객을 확보한 EMC RSA의 인비전은 해외 시장의 경향을 보여주는 한 단면인 것이다.
EMC RSA의 인비전은 네트워크, 엔터프라이즈 애플리케이션, 메인프레임, 데스크톱, 스토리지 디바이스 등으로부터 모드 로그 및 이벤트 데이터를 수집, 이를 토대로 누가 언제 어디로부터 무엇을 액세스 했는지에 대한 정보를 제공함으로써 기업 정보의 무결성과 정보 보호, 규정 준수를 지원하는 기능을 제공하고 있다.
차세대 보안관리 솔루션으로 SEM(IBM 티볼리 시큐리티오퍼레이션매니저 v4.1)과 SIM(IBM 티볼리 컴플라이언스인사이트매니저)을 결합한 SIEM을 제시하고 있는 IBM은, SIM 솔루션인 티볼리 컴플라이언스인사이트매니저는 대상 IT 감사와 컴플라이언스 조사 대상에 대해 로그를 수집해 W7(누가, 언제, 어디서, 무엇을, 어디로부터, 어디로, 어떤 일을 했나)의 정형화된 형태로 해석하고, SOX 등의 컴플라이언스룰 엔진에 의해 분석, 이를 대쉬 보드와 리포트를 통해 제공함으로써 기업의 현재 컴플라이언스 수준을 알기 쉽게 제공하고 있다.
RMS 솔루션인 ‘파운드스톤(Foundstone)’을 선보이고 있는 맥아피 또한 컴플라이언스 대응을 시장 공략의 키로 삼고 있다. 파운드스톤에 컴플라이언스 지원 모듈을 속속 추가하고 있는 맥아피는 컴플라이언스 이슈 대응에 입각한 5단계 통합보안 전략인 SRM(Security Risk Management)을 발표하기도 했다.
SRM은 네트워크상 자산 파악(Find), 컴플라이언스 미준수에 따른 위험도 평가(Evaluate), 컴플라이언스 집행(Enforce), 네트워크 보호(Protect), 취약점 제거 및 교정(Fix)에 이르는 일련의 보안체제 구축을 목표로 제시하는 보안 전략이다. 이를 통해 보다 체계적이고, 효과적인 전사적 보안 체계를 구축함으로써 강화된 보안을 구축한다는 것이 한국맥아피 측의 설명이다.
이외에 탐지·분석·조치의 삼위일체를 강조하는 아크사이트도 SOX 법안이나 PCI(Payment Card Industry) 표준, 혹은 IT거버넌스를 위한 템플릿을 제공하는 등 외산 솔루션에서 컴플라이언스 대응은 필수로 자리하고 있다.
국내 보안 기업들은 아직 컴플라이언스 이슈에 본격적으로 대응하지 않고 있는 모습이다. 국내 법규가 아직은 미미한 상황기 때문. 하지만, 컴플라이언스 대응 기능 추가가 그리 어렵지는 않을 것으로 국내 보안 업체들은 자신하고 있다.
이비지니스테크놀러지 한재호 사장은 “보안컨설팅 등에서 축적된 노하우를 갖고 있어 컴플라이언스 이슈 대응이 어려운 것은 아니다”면서 “이비지니스테크놀러지의 경우, 컴플라이언스 대응을 위한 기술 개발이 이미 완료된 상황으로 마련되는 규제틀을 이에 맞추면 되는 상황”이라고 전했다.
이비지니스테크놀러지와 마찬가지로 이글루시큐리티, 인젠, SK인포섹, 안랩코코넛 등도 컴플라이언스 대응 기능을 개발해 놓고 있는 상황으로 전해진다. 국내 관련 법규가 미비하고, 요구 또한 높지 않아 공식적인 발표는 하지 않은 상황이지만, 세부사항을 모듈화함으로써 다양한 규제 법안 뿐 아니라 기업의 자체적인 보안 정책에 따른 커스터마이징이 가능하도록 하고 있다는 것이 이들의 주장이다.
솔루션간 시너지로 ‘차별화’
더불어 외산 글로벌 벤더들은 다양한 보안 솔루션간의 연계를 통한 차별화를 꾀하고 있다. e트러스트 시큐리티커맨드센터를 중심으로 SIM 프레임워크를 차세대 보안관리 솔루션으로 선보이고 있는 CA가 대표적이다. CA의 SIM은 기존 ESM의 역할을 수행하는 e트러스트 시큐리티커맨드센터와 사후대응을 수행하는 e트러스트 네트워크포렌직(eTrust Network Forensics), 이벤트 통합툴로 로그관리 솔루션의 역할을 담당하는 e트러스트 오딧(eTrust Audit), 자산 스캔 및 취약성분석, 패치관리를 수행하는 e트러스트 VM(eTrust Vulnerability Manager) 등으로 구성된다. 이러한 다양한 솔루션 결합을 통해 CA의 SIM 솔루션은 예방과 실시간 대응에서부터 사후 관리에 이르는 포괄적인 보안관리를 제공한다.
한국CA 안경춘 부장은 “혹자는 SIEM이 SIM의 상위개념이라고 주장하지만, 실질적으로 CA의 SIM 솔루션은 SIEM이라고 불리는 솔루션을 뛰어넘는 포괄적인 보안관리를 제공하고 있다”면서 “CA의 SIM은 IAM 등 계정관리 솔루션과 연계 또한 확보하고 있어 어떤 솔루션보다 포괄적이고, 중앙집중적인 보안관리를 구현한다”고 주장했다.
EMC RSA 인비전 역시 EMC의 스토리지 기술과 연계성을 차별화 지점으로 삼고 있다. 네트워크, 엔터프라이즈 애플리케이션, 메인프레임, 데스크톱, 스토리지 디바이스 등 기업 환경 전반에 걸친 로그 및 이벤트 정보를 수집해 보안 뿐 아니라 기업 인프라 전반에 걸친 관리를 제공하는 인비전은 EMC의 스토리지 기술과 연계해 로그관리에 정보수명주기관리(ILM) 기능을 부여하는 등의 차별화를 이뤄내고 있다.
로그 정보에 대한 정보수명주기관리를 자동으로 수행한다는 점 외에도 인비전은 기본 스토리지는 물론 EMC의 다양한 고성능 스토리지와 보다 긴밀히 통합되는 이점도 제공한다. 특히 EMC의 CAS 스토리지인 센테라와의 연계는 인비전을 더욱 돋보이게 하는 부문이다. 원본보장 스토리지인 센테라와 인비전을 연동하는 경우, 로그정보에 대한 무결성을 보장받아 법적 증거자료로 활용될 수 있다.
시만텍 시큐리티인포메이션매니저(Symantec Security Information Manager) 역시 시만텍의 아카이빙 기술을 활용, 로그 및 저장 복구에서 차별화된 성능을 자랑한다. DMTF(Distributed Management Task Force) 내부의 공개 표준 프로세스를 기반으로 상관관계를 분석, 실시간으로 보안 위협을 탐지하게 하는 시만텍 시큐리티인포메이션매니저는 특정 위치의 아카이브 파일 모음에 이벤트를 저장하고 각각의 아카이브 파일의 생성 시기와 디스크 사용량을 모니터링해 자동으로 필요한 디스크 공간을 확보할 수 있는 특징이 있다.
또 이러한 아카이브는 기존 데이터베이스에 비해 많은 양의 이벤트를 저장한다는 한 가지 기능에만 최적화돼 보다 빠른 속도를 구현하며, 편리한 아카이빙의 장점으로 인해 기업의 입장에서는 보안 이벤트 아카이빙을 위한 별도의 데이터베이스 관리자를 배치할 필요가 없어 인력과 비용, 그리고 무엇보다 소중한 시간을 절감하게 할 수 있다.
컨설팅 시장, 보안관리로 진화
시만텍, 맥아피, 아크사이트, 이글루시큐리티, EMC RSA, IBM 등 솔루션 벤더들 외에 보안관리 시장에 눈독을 들이는 것은 안랩코코넛, SK인포섹 등의 보안 컨설팅 기업들이다. 이들은 기존 보안 컨설팅의 한계 극복을 위한 차세대 보안 컨설팅 방법론의 일환으로, 새로운 수익 창출의 신규 시장으로 보안관리에 접근하고 있다.
정보보호 컨설팅의 경우, 10년 이상 이어오며 변신이 절실히 요구되고 있다. 이는 점차 고객들이 컨설팅 효과에 대해 의구심을 표시하고 있기 때문이다. 관련 법규(정보통신기반보호법)에 의해 정보보호 컨설팅을 정기적으로 수행해왔던 기업들은 커널팅 결과가 전반적인 보안 수준 향상으로 이어지지 않는다는 점에서 불만을 토로하고 있다고 알려진다.
컨설팅의 결과로 도출된 취약점을 보완할 수 있는 해결방안 제시는 물론, 전사적 보안 수준 향상을 꾀할 수 있는 마스터플랜 제시가 이뤄져야 한다는 것이 고객의 요구사항. 하지만, 보안 컨설팅 방법론은 10여년 전이나 지금이나 대동소이하다는 데에서 고객과 컨설팅 기업의 괴리가 발생하고 있는 것. 컨설팅 기업의 입장에서는 시장 확산이 정체되면서 기업의 성장이 정체되는 문제도 안고 있다.
이를 해소하기 위해 정보보호 컨설팅 업체들은 새로운 컨설팅 방법론 도출 등의 혁신을 꾀하고 있는데 이러한 방안 중 하나로 제시되는 것이 보안SI다. 단순한 취약점 진단에서 벗어나 고객의 보안 수준 향상을 위한 마스터플랜 구축에 능동적으로 참여함으로써 컨설팅이 실질적 효과로 이어지게 한다는 것이다. 이러한 능동적 참여는 단순한 포인트 솔루션 구축 보다 도입된 보안 포인트 솔루션을 보다 효율적으로 사용할 수 있도록 재조직하고, 기업 인프라 전체의 관점에서 포인트 솔루션 도입이 이뤄지고 있는데 이는 보안관리 솔루션이 추구하는 바와 일맥상통한다. 이에 보안 컨설팅 시장에서도 보안관리가 화두로 떠오르고 있으며, 일부 컨설팅 기업들은 EMS·RMS·SIEM을 포괄하는 방법론, 혹은 솔루션 개발에 나선 상황이다.
ToSIM이란 컨설팅 방법론이자 보안 프레임워크를 개발한 SK인포섹이 대표적이다. 강용석 SK인포섹 팀장은 “SK인포섹이 제안하는 보안 프레임워크인 ToSIM은 전사적인 효율적 보안관리 체계 구축이 목표”라고 설명하면서 “ToSIM은 ESM,과 RMS, SIEM을 모두 포괄하고 있을 뿐 아니라 이를 모듈화된 형태로 제공해 기업 환경에 맞춤화돼 제공된다”고 전했다.
ESM, TMS, SIEM 등 보안관리 솔루션은 물론 IT 프로세스 및 시스템 운용관리까지 모두 포괄하는 총체적인 프레임워크로 퍼즐 조각을 맞추듯 관련 기능이 하나씩 개발되고 있는 상황. 강용석 팀장에 따르면, ToSIM의 세부 기능들은 단품 솔루션 판매가 가능할 정도로 기술적 완성도를 높여 개발되고 있다. 아직 세부 방침은 정해지지 않았지만, RMS 등의 보안관리 솔루션은 시장성장이 가속화와 더불어 컨설팅과 연계한 단품 판매도 검토되고 있다.
에이쓰리시큐리티컨설팅도 RMS 전문기업인 이비지니스테크놀러지와의 합병을 통해 보안관리 시장에 뛰어들 태세를 갖추고 있다. 10월 19일 이비지니스테크놀러지 대표이사인 한재호 사장이 에이쓰리시큐리티컨설팅의 새로운 수장으로 임명되면서 이비지니스테크놀러지와의 합병 또한 가시화되고 있는 상황(10월 22일 현재 10월말 개최될 임시주주총회를 통해 합병 예정)이다. RMS 솔루션인 ERS@프라임(ERS PRIME)을 보유한 이비지니스테크놀러지와의 합병으로 에이쓰리시큐리티컨설팅은 마스터플랜을 요구하는 정보보호 컨설팅 시장 변화에 대응하고, 이비지니스테크놀러지의 위험관리방법론인 프라임RMM(Prime-RMM)과 에이쓰리시큐리티컨설팅의 축적된 보안컨설팅을 결합함으로써 시장 입지를 더욱 강화할 수 있을 것으로 기대된다.
정보보호 컨설팅 전문기업으로 지정된 다른 기업들과 달리 정보보호 컨설팅이란 한 우물만을 고집해온 대표적인 컨설팅 기업인 에이쓰리시큐리티컨설팅의 이러한 변화모색은 컨설팅 시장의 변화를 극명하게 보여주는 반증으로 평가된다.
안랩코코넛의 변화도 이러한 컨설팅 시장변화를 반영하는 것으로 볼 수 있다. 안랩코코넛은 12월 31일을 기해 모회사인 안철수연구소에 흡수 합병될 예정. 안랩코코넛의 경우, 세피니티 v1.0에 리스크 관리(RM) 기능을 탑재한 세피니티 v2.0(Sefinity v2.0)을 개발하고 있던 상황이었다. 안철수연구소는 안랩코코넛의 합병으로 보안관리 솔루션인 세피니티를 확보, 보안컨설팅 사업을 강화함과 동시에 안철수연구소의 다양한 보안 솔루션과 연계한 시너지가 기대되고 있다.
대체 아닌 보완 개념 접근 필요
보안관리 시장에서 SIEM, RMS, TMS 등의 제품이 등장하고 있지만, 이러한 솔루션들을 경쟁관계가 아닌 상호 보완 관계로 보아야 한다는 것이 업계 관계자들의 한결같은 지적이다. 효율적 보안관리를 통한 효과적 대응이란 지향점은 동일하지만, 이를 위한 방법론과 1차적인 결과물은 서로 다르며, 이들을 조합할 때 효율적 보안관리가 가능해진다고 업계 관계자들은 설명하고 있다. SIEM을 구현한다고 해서 ESM의 필요성이 사라지는 것은 아니며, 또 RMS를 도입한다고 해서 TMS나 SIEM이 불필요한 것이 아니라는 것이다.
이와 관련, 한국IBM, 한국EMC, 아크사이트코리아 등은 “기존 ESM과 같은 보안관리 솔루션이 관리자의 편의를 위한 것이라면 최근 등장하고 있는 보안관리 솔루션은 관리의 편의성 보다는 경영자들의 성과관리 지표, 혹은 경영 참고자료로 활용되도록 하는 측면이 더 높다”고 분석했다. 기반이 차이가 있으며, 하나의 솔루션이 다른 하나의 솔루션을 대체하는 것은 아니라는 설명이다.
인젠 강승용 부장은 “보안관리의 효율성을 꾀하기 위해서는 ESM의 기반 위에 RMS와 TMS가 긴밀하게 결합돼 상호작용해야 한다”며 “하나의 솔루션 도입을 통해 보안관리 체제를 구축했다고 자신하는 것은 어불성설”이라고 지적했다. 안랩코코넛 전익수 연구소장 역시 “최근 등장하는 보안 솔루션들은 기존 ESM을 대체한다기보다 한계를 보완하는 개념에 가깝다”면서 “이들을 적절히 조합해 자사에 맞는 보안관리 체제 구축이 요구하다”고 밝혔다.
시만텍코리아
위협에 대한 심층 분석·포괄적인 리포트 제공
시만텍코리아(대표 윤문석 www.symantec.co.kr)의 ‘시만텍 시큐리티인포메이션매니저(Symantec Security Information Manager, 이하 SSIM)’는 기업 보안 위협의 확인, 검토, 대응 및 우선순위 설정을 지원함으로써 포괄적인 보안사고 대응 프로그램을 위한 기반을 제공한다. SSIM은 제공하는 문서화되고 반복 가능한 프로세스를 이용, 보안사고, 위협, IT 정책 미준수 등에 대응할 수 있도록 돕는다. 특히 SSIM은 시만텍의 앞선 아카이빙 기술을 활용, 로그데이터를 저장에 따른 제반 문제를 완화시킬 수 있다. SSIM은 각각의 아카이브 파일의 생성 시기와 디스크 사용량을 모니터링해 자동으로 필요한 디스크 공간을 확보, 방대한 로그데이터 수집에 따른 비용상승 등의 문제를 해소할 수 있는 것. SSIM의 아카이브 기능은 기존 데이터베이스에 비해 많은 양의 이벤트를 저장한다는 한 가지 기능에만 최적화돼 있어 더욱 빠른 속도를 자랑하며, 이러한 빠른 속도를 통해 SSIM은 아카이빙 관리자 배치의 필요성 또한 제거한다.
시만텍의 글로벌 인텔리전스 네트워크(Global Intelligence Network)에서 제공되는 글로벌 위협 동향과 호스트와 네트워크 활동을 연결시킴으로써 SSIM은 위협 상황에 대한 깊이 있고 포괄적인 관점을 제공한다. 먼저 조기 경보 시스템의 경우 전세계 보안 동향의 변화에 대한 깊이 있는 정보를 제공하는 것은 물론 이를 예방하기 위해서 어떤 방법을 써야 하는지에 대한 조언도 제공한다. 또한 SSIM이 업무흐름을 생성하기 위해 사용하는 지식 기반은 시만텍의 글로벌 인텔리전스 네트워크에서 거의 실시간에 가까운 빈도로 업데이트 된다. 따라서 기업은 시만텍의 전세계 보안 연구 조직으로부터 제공되는 세계 최고 수준의 통합 보안 콘텐츠, 문제 관리 시스템 등을 기반으로 낮은 리스크의 보안 환경을 구축이 가능하다.
이외에 즉시 활용가능한 350개 이상의 쿼리를 제공할 뿐만 아니라 쿼리 마법사를 이용해 개별 쿼리 생성을 제공함으로써 고객 환경에 맞춤화된 정책 설정을 가능하며, 사베인즈-옥슬리, HIPAA, FISMA, PCI 등을 위한 미리 정의된 컴플라이언스 템플릿을 제공해 보다 정확하게 감사 보고서를 생성할 수 있도록 한다.
아크사이트코리아
탐지·분석·조치 3단계 보안체제 구축
아크사이트코리아(대표 고경원 www.arcsight.com)는 아크사이트ESM과 아크사이트TRM, 아크사이트NCM을 기반으로 SIEM을 완성한다. 여기에 아크사이트는 컴플라이언스에 대한 다양한 템플릿을 제공해 컴플라이언스에 대응할 수 있도록 한다.
탐지·분석·조치에 기반한 3단계 보안 체제 구축이 아크사이트SIEM의 목표라고 할 수 있다. 아크사이트로거와 아크사이트커넥터, 아크사이트매니저로 구성된 아크사이트ESM에서 탐지·분석된 위협 정보에 기반해 아크사이트TRM과 아크사이트NCM이 조치를 담당한다.
조치가 능력이 배제된 다른 솔루션과 달리 아크사이트는 TRM과 NCM을 통해 위협에 대한 직접적 대응이 가능하다는 점이 특징적이다. 아크사이트NCM은 장비 업데이트 등 일상적인 보안관리를 진행하며, 아크사이트TRM은 마치 NAC(Network Access Control) 제품처럼 문제를 발생시키는 기기를 네트워크로부터 격리하는 기능을 제공한다. NAC 솔루션과 다른 점은 NAC 솔루션이 예방차원의 작업을 수행하는 반면, 아크사이트TRM은 실시간 트래픽 분석을 통해 문제를 발생시키는 기기에 대한 격리를 수행한다는 점이다. 아크사이트TRM과 NCM은 아크사이트ESM과 연동은 물론 ESM과의 연동이 없이 실시간 트래픽 분석을 통한 제어수행도 가능하다.
아크사이트의 ESM 제품은 미국 공공기관의 90%에서 사용되고 있으며, 전세계 1위의 시장점유율을 갖고 있다. 그만큼 다양한 사용자를 통해 전세계 시장에서 이미 능력을 검증받고 있는 것이다. 또한 강력한 상관관계 분석을 통해 운영상태를 시각적인 그래프로 제공해 보안사고를 직관적으로 파악할 수 있도록 하고 있다.
안랩코코넛
비즈니스 연속성 위한 RM 관점 보안관제 서비스
안랩코코넛(대표 이정규, www.coconut.co.kr)은 비즈니스 연속성 확보를 목표로 RM(Risk Management) 기능이 추가한 e트리니티온라인2.0(eTrinity Online2.0)과 솔루션인 세피니티 v2.0과 함께 올 하반기 중에 출시될 예정이다.
오늘날 기업의 화두는 중단 없는 서비스의 제공, 즉 비즈니스 연속성이다. 이러한 흐름에 발맞춰 정보보호도 기술적 방어에 집중하던 과거와 달리 사업 연속성에 중점을 두는 방향으로 전환되고 있으며, 이를 반영한 것이 바로 세피니티 v2.0과 e트리니티온라인 2.0이다.
기존 보안관제 서비스가 보안 솔루션 등 기술 위주였던 것에 반면에 RM 관점을 적용한 이들 서비스와 솔루션은 비즈니스 연속성 확보를 위해 위험수준의 현실적 분석, 위험 감소율을 기반으로 한 우선순위 결정, 사업 목표에 따른 능동적인 정책설정 및 시행, 컴플라이언스 요구 사항 도출, 명백한 책임과 권한 설정 등을 특징으로 삼고 있다.
e트리니티온라인 2.0 에서 제공하는 서비스는 ▲대쉬보드를 통한 실시간 위험 & 위협 정보 제공 ▲보안 장비의 운영 & 리소스 상태 실시간 모니터링 ▲세피니티AC 엔진을 통해 발생된 이벤트 실시간 모니터링 ▲티어2 엔지니어에 의해 처리된 모든 보안 이벤트 모니터링 ▲보안 사고 처리 상황 및 처리 보고 확인 ▲온·오프라인 리포팅 정보 등이다.
세피니티 2.0버전은 자산과 취약점 정보가 위협관리 부분에 사용된다는 점에서 기존 세피니티 1.0버전과 차별화된다. 이러한 RM 기능의 추가는 위험에 대한 판단의 정확성을 높이기 위함이다. 기존 세피니티 v1.0은 각 보안 장비에서 발생한 이벤트만을 가지고 상관분석 수행, 위험지수를 평가했기 때문에 오탐율이 높아지는 문제를 가지고 있었으며, 각 자산에 대한 정보를 관리하지 못했다.
이러한 문제점을 해소하기 위해 2.0버전에서는 위험 관리의 기본이 되는 위협, 자산, 취약점 등의 정보를 상관 분석하여 위험 판단의 정확성을 높이고, 위험 지수를 계산해 낼 수 있는 기능을 추가된 것이다. 또한, 프로액티브 모니터링 기능 강화를 위해 NMS/SMS 등 헬스(Health) 모니터링 제품과의 연동이 추구됐으며, IAM 제품과의 연동도 추진 예정에 있다.
이글루시큐리티
보안관리 프로세스 자동화한 웹 기반 종합위험관리시스템
이글루시큐리티(대표 이득춘 www.igloosec.co.kr)는 지난 2006년 7월 위험관리시스템인 ‘스파이더X(SPiDER-X)’를 출시했으며, 출시 이후 범정부통합전산센터, 롯데정보통신, 국민은행 등에 도입되는 등의 성과를 거두고 있다.
위험관리시스템은 기업 및 조직에서 산발적으로 관리되는 다양한 보안관리 정보를 통합, 전체·자산별·조직별로 위험을 측정하고, 평가해 보안대책을 일정 수준으로 유지/관리하는 것으로 정의할 수 있다. 또 위협관리시스템은 보안관리 수준을 단일 지표로 제공할 수 있어야 한다.
웹 기반의 종합위험관리시스템(Risk Management System)인 스파이더X는 위험(Risk)을 구성하는 모든 정보 자산(Asset)의 취약점(Vulnerability)과 위협(Threat)을 사전에 식별해 처리·대응하고, 정책을 배포하는 보안관리 전 프로세스를 자동화시킴으로써 전체 기업의 위험수준을 낮춰 예방활동을 강화하도록 한다. 스파이더X는 정책/지침에서부터 효과적인 운영/관리 및 최종적인 평가/조치까지 수행해 기업 및 조직이 보유하고 있는 IT자산을 보호하는 것을 목적으로 하며, ISO27001, ISMS, 국가사이버안전매뉴얼 등의 정보수준측정기준을 모두 지원해 공공기관이나 기업의 보안정책을 체계적으로 수립할 수 있도록 지원한다. 특히 ESM 제품인 SPiDER TM(Threat Manager)과의 연계적인 사용으로, 여러 종류의 위협 및 취약성 정보를 해당 자산의 중요도와 연계시킨다는 점은 스파이더X의 최대 강점이다. 이러한 연계를 통한 종합적 분석을 기반으로 스파이더X는 전사적인 위험을 관리할 수 있는 시너지 효과를 얻을 수 있게된다.
스파이더X는 보안전담조직의 현실적 대응 한계와 관리 미숙을 보완하여 보안 사고의 위험을 줄일 수 있는 가장 효과적인 대안이다. 최근 몇몇 기업과 공공기관에 구축돼 제품 기능 및 안정성에 관한 검증을 거쳤으며, 이글루시큐리티는 이들 레퍼런스를 기반으로 관련 시장을 대상으로 공격적인 영업을 추진해 나간다는 전략이다.
이비지니스테크놀러지
위험관리방법론 기반 체계적 위험관리 수행
정보보호컨설팅의 본가인 에이쓰리시큐리티컨설팅과의 합병이 예고됨으로써 최근 보안 시장의 관심을 핵으로 떠오른 이비지니스테크놀러지(대표 한재호 www.ebiztec.com)는 이비지니스테크놀러지의 위험관리방법론인 ‘프라임RMM(Prime-RMM)’에 기반한 RMS 솔루션인 ERS@프라임(ERS PRIME)을 제안하고 있다.
ERS@프라임은 이비지니스테크놀러지의 축적된 컨설팅 능력을 기반으로 도출된 위험관리방법론을 적용해 기업의 IT위험관리 활동을 보다 체계적으로 수행할 수 있도록 정립된 프로세스를 시스템화했다는 점이 가장 큰 특징이다.
다중 사용자 환경 지원과 보안을 고려, 서버, 데이터베이스, 클라이언트 등 3티어 기반으로 구성되며, 인터페이스간 통신은 에이전트를 통해 구현된다. 대상자산에 설치된 에이전트는 자동화된 위험 평가를 수행하는 핵심적인 역할을 담당하게 된다. 이러한 자동화를 통해 담당자의 위험평가 업무 부하가 절감됨은 물론 실시간 위험 추이 변화를 손쉽게 모니터링할 수 있는 것으로 ERS@프라임은 IT정보자산의 형상정보와 운영현황 정보를 자동으로 수집 제공하는 기능이 포함돼 있다.
지표(KRI)에 의한 위험관리 지원 기능은 경영자들로부터 ERS@프라임에 대한 요구를 높이는 장점으로 작용하고 있다. ERS@프라임은 IT서비스에 대한 서비스수준계획을 수립해 핵심성과지표(KPI)를 측정·평가하고, 제시한다. 조직의 표준화된 IT 프로세스를 정의와 프로세스 성과지표를 제시하고, 성숙도 평가, 통제 평가를 수행함으로써 IT 프로세스의 운영 뿐 아니라 지속적 개선을 위한 토대를 제공하는 것이다. 이를 통해 경영자는 도입된 보안 솔루션의 효과를 손쉽게 확인하고, 고객만족도를 관리함으로써 지속적으로 서비스수준을 개선해 나갈수 있는 토대를 마련할 수 있게 된다.
ERS@PRIME은 ITIL, COBIT, BS7799, 바젤Ⅱ 등 다양한 국제표준은 물론 한국정보보호진흥원(KISA) ISMS 인증 등 다양한 IT 프로세스 관리가 가능하다. 또한 인증, 암호화, 접근통제, 권한, 로깅 등의 보안 기능을 지원하며, 다중 사용자 환경 지원, 다양한 보고서 산출 지원, 로그 및 감사 기능 등도 제공된다.
인젠
트래픽 분석 기능 강화로 최적의 통합보안관리 제공
인젠(대표 임병동, 최해철 www.inzen.com)은 올 하반기 기존 시큐플랫ESM(SecuPlat ESM)에서 미약했던 트래픽 분석기능을 추가해 통합보안관리시스템의 기능 업그레이드를 수행할 계획이다. 트래픽 분석을 수행하는 TMS 기능을 추가함으로써 인젠은 TMS와 ESM을 아우르는 전사적 보안관리에 한 발 더 다가설 것으로 기대된다.
전체 트래픽 사용 현황 및 유해 트래픽 사용 현황을 보다 상세히 비교 분석하는 트래픽 분석 기능을 통해 다양한 공격정보를 제공, 유해 트래픽을 줄일 수 있는 근거 데이터를 제공할 수 있게 된다.
인젠은 또한 기존 구축된 금융 ISAC 과 KT 비즈메카 및 인젠 ISS의 오랜 관제 서비스를 통해 얻은 관제 노하우를 바탕으로 구축될 인젠 S-ISAC(가칭)도 준비중에 있다. 국내외 최신 취약점 정보 및 보안 추이 통계를 수집 및 분석, 제시하는 S-ISAC와의 연동을 통해 인젠은 한층 강화된 조기 예경보 대응 체계를 구축할 수 있을 것으로 기대하고 있다. 네트워크 인프라에 대한 위협뿐만 아니라 다양한 보안 제품에서 발생하는 보안 정보를 분석하고, 이를 글로벌 통계와 결합함으로써 최신 위협에 보다 능동적으로 대처할 수 있게 되는 것이다.
인젠 측은 “CC인증을 받은 기존의 네오와처NIDS(NeoWatcher NIDS)는 인젠 TMS를 여타의 유사 솔루션과 변별짓는 차별점”이라고 강조했다. 패킷 분석에 대한 원천 기술이 없는 경쟁사의 유해 트래픽 분석 기능과 달리 인젠은 네오와처NIDS에 활용된 트래픽 분석 원천기술을 보유하고 있어 더 전문적인 트래픽 분석 기능을 제공할 수 있다는 설명이다. 더불어 타 보안제품과의 연계분석이 가능하다는 점이 인젠TMS의 장점 중 하나로 꼽힌다.
인젠 측은 “전사적 보안관리는 ESM과 TMS, RMS가 긴밀히 연계돼 상호보완할 때 이뤄질 수 있다”면서 “올 하반기 TMS 출시에 이어 RMS도 출시해 전사적 보안관리 포트폴리오를 완성할 것”이라고 덧붙였다.
한국맥아피
RMS 기반 5단계 보안관리 체계 제시
한국맥아피(대표 손형만 www.mcafee.com/kr)는 RMS 솔루션인 ‘파운드스톤(Foundstone)’을 중심으로 5단계 전사적 보안체계 구축전략인 SRM(Security Risk Management)을 발표하면서 차세대 보안관리 시장 공략의 고삐를 당기고 있다. SRM은 네트워크상 자산 파악(Find), 컴플라이언스 미준수에 따른 위험도 평가(Evaluate), 컴플라이언스 집행(Enforce), 네트워크 보호(Protect), 취약점 제거 및 교정(Fix)에 이르는 일련의 보안체제 구축을 목표로 제시하는 보안 전략. 이를 통해 보다 체계적이고, 효과적인 전사적 보안 체계를 구축함으로써 강화된 보안을 구현할 수 있다고 한국맥아피 측의 설명했다.
SRM에는 맥아피의 모든 솔루션이 총망라돼 있지만, 핵심은 역시 파운드스톤이다. 파운드스톤은 기업에서 보유하고 있는 IT자산의 가치, 취약점의 위험도, 위협의 심각성 등의 상관관계를 정확하게 산출, 최적의 보안 위험관리를 도와주는 솔루션으로 강력한 취약성 점검 기능을 갖고 있어 해당 기업의 IT자산을 완벽하게 보호할 수 있게 한다. 파운드스톤은 각 운영체제에 맞는 취약점을 점검, 정확도 99% 이상의 결과를 도출하면서도 대역폭 사용을 최소화하고 1천600만개 이상 IP주소 가진 네트워크를 48시간 이내 점검할 수 있는강력한 RMS 솔루션이다.
특히 파운드스톤은 IPS와의 긴밀한 연동을 제공해 보안성을 더욱 높이고 있다. 맥아피의 IPS 인트루쉴드(McAfee IntruShield)를 보유하고 있거나, 향후 구축 예정인 기업에서는 상호연동을 통해 더욱 편리하고 안정적인 시스템 보호를 제공받을 수 있게 된 것. 또한 지난해 한글화 작업을 완료됨으로써 보다 친숙하게 국내 사용자들에게 다가서고 있다는 점도 장점으로 꼽힌다.
한국맥아피 측은 “기업의 보안 취약성을 최소화하고, 경영진과 IT관리자들이 현재의 보안수준 및 목표수준을 파악하는데 편리하게 도와주며, 특히 금융기관 등 IT규정준수를 지켜야 하는 기업들에 필수적으로 요구되는 제품”이라고 소개했다.
한국CA
IAM 연계한 포괄적 보안관리 솔루션
한국CA(대표 김용대 www.cai.co.kr)는 ‘e트러스트 시큐리티커맨드센터(eTrust Security Command Center)’를 중심으로 한 포괄적인 SIM 솔루션을 선보이고 있다. CA SIM은 e트러스트 시큐리티커맨드센터와 사후대응을 수행하는 ‘e트러스트 네트워크포렌직(eTrust Network Forensics)’, 이벤트 통합툴인 ‘e트러스트 오딧(eTrust Audit)’, 취약점탐지·패치배포·설정변경·자산모니터링 등을 수행하는 ‘e트러스트 VM(eTrust Vulnerability Manager)’ 등으로 구성된다.
CA SIM의 핵심은 시큐리티커맨드센터다. e트러스트 오딧을 기본 통합돼 있는 시큐리티커맨드센터는 기존 ESM과 유사한 역할을 수행할 뿐만 아니라 SIM의 핵심으로 구성 솔루션의 정보를 취합·분석하고, 제어한다. 아울러 IAM, 보안위협관리 등 다양한 보안 솔루션과 연계돼 이들 솔루션을 단일 콘솔에서 제어할 수 있도록 한다. 시큐리티커맨드센터는 CA SIM의 핵심 솔루션인 동시에 CA IAM의 핵심이기도 한 것으로 이러한 다양한 솔루션 결합을 통해 CA의 SIM 솔루션은 예방과 실시간 대응에서부터 사후 관리에 이르는 포괄적인 보안관리를 제공하는 점이 최대의 장점이다. 또 모니터링된 다양한 정보를 위협 수준에 따라 재분류해 자동으로 대응하는 능력을 제공한다.
한국CA 측은 “CA SIM은 물리적 보안을 포함한 다양한 보안솔루션들의 정보를 통합해 직관적으로 이해할 수 있는 형태로 시각화함은 물론 보안정보의 비즈니스 위협 정도에 따른 우선순위화와 자동 대응을 통해 능동적인 전사적 보안관리를 구현한다”고 강조했다. 아울러 “국내외 모든 보안 솔루션들을 통합 관리할 수 있고, 단순 모니터링이나 로그 취합 수준이 아닌 강력한 제어 기능까지 제공해 보안관리의 생산성을 향상시킬 뿐 아니라 전사적인 보안 수준을 강화해 ROI를 극대화할 수 있다”고 덧붙였다.
한국EMC RSA
IPDB 이용 신속한 로그수집·분석능력 제공
한국EMC(korea.emc.com) RSA의 ‘인비전(enVision)’은 단일 플랫폼으로 엔터프라이즈 로그 관리, 컴플라이언스, 보안을 지원하는 SIEM 솔루션으로 네트워크, 엔터프라이즈 애플리케이션, 메인프레임, 데스크톱, 스토리지 디바이스 등으로부터 로그 및 이벤트 데이터를 수집하고, 상관관계를 분석, 보고·관리한다. 기업 환경 전반에 걸친 로그 및 이벤트 정보를 토대로 누가 언제 어디로부터 무엇을 액세스 했는지에 대한 정보를 제공함으로써 기업 정보의 무결성과 정보 보호, 규정 준수를 지원하는 것.
실시간으로 기업 전체에서 발생하는 경보 정보를 중앙에서 자동으로 수집, 우선순위에 따라 분류함으로써 위험 정보를 신속하게 제공하는 인비전은 소스 디바이스에서 확보한 원본 데이터 보관은 물론, 모든 데이터에 대한 캡처, 암호화 및 압축 기능 등 다양한 데이터 관리 툴을 통해 장기간의 데이터 보관 및 관리를 지원한다.
인비전은 IPDB 사용이란 장점을 갖고 있다. RDBMS(Relational Database Management System)를 사용하는 여타 SIEM 시스템과 달리 ‘로그스마트(LogSmart)’ IPDB 아키텍처를 채택함으로써 보다 빠른 로그수집 및 분석 능력을 제공하는 것. IPDB 채택으로 인비전은 멀티-스레드(multi-thread) 구조로 데이터 수집과 분석을 동시에 진행할 수 있는 이점이 있으며, 이를 통해 신속한 데이터 분석과 이에 따른 대응이 가능하게 된다. 더불어 또한 EMC 스토리지와의 긴밀한 연동이 강화된 점도 장점으로 들 수 있다. 다양한 EMC 스토리지와 긴밀히 연동됨은 물론 원본보장 스토리지인 EMC 센테라로의 데이터 아카이빙이 지원됨으로써 로그의 원본보장을 실현할 수 있다.
인비전은 에이전트 없이 소스 디바이스로부터 모든 데이터를 직접 캡처하며, 분산된 네트워크에 산재된 데이터를 하나의 뷰를 통해 보고·관리할 수 있다. 또한 보안 이벤트뿐만 아니라 모든 종류의 트래픽에 대한 베이스라인을 자동으로 생성할 수 있으며, 컴플라이언스와 보안에 대한 800여종의 보고서 작업이 가능하다.
한국IBM
내부자에 의한 보안 사고 탐지·절감 가능
한국IBM(대표 이휘성 www.ibm.co.kr)의 SIEM 솔루션은 두 가지 제품으로 구성돼 있다. SIEM이 SIM(Security Information Management)와 SEM(Security Event Management)의 두 가지 기능으로 구성된 것처럼 각각의 역할별로 고객이 필요한 부분과 기존에 갖고 있는 기 투자 부분을 보호할 수 있도록 SIM과 SEM 솔루션을 각각 제공하고 있는 것. IBM은 SIM과 SEM의 통합을 로드맵상에 예정하고 있지만, 현재는 분리된 형태로 제공되고 있다.
SIM 솔루션은 ‘IBM 티볼리 컴플라이언스인사이트매니저(IBM Tivoli Compliance Insight Manager, 이하 TCIM)’이고, IBM SEM 솔루션은 ‘IBM 티볼리 IBM 시큐리티오퍼레이션매니저(Tivoli Security Operations Manager, 이하 TSOM)이다. 국내에서는 통합 보안 관제 솔루션 혹은 ESM(Enterprise Security Management)라는 이름으로 SEM이 소개됐으며, IBM SEM 솔루션인 TSOM 역시 OS, 네트워크, 어플리케이션과 보안 장치들로부터 보안 이벤트를 수집하여, 직관적인 사용자 인터페이스를 통해 현재 발생되고 있는 보안 사고를 식별하고, 적절한 조치를 취할 수 있도록 도와준다.
IBM SIM 솔루션인 TCIM은 대상 IT 감사와 컴플라이언스 조사 대상에 대해 로그를 수집한 다음, 이를 W7(누가, 언제, 어디서, 무엇을, 어디로부터, 어디로, 어떤 일을 했나)의 정형화된 형태로 해석한 다음, SOX, 바젤Ⅱ, ISO27001/17799 등의 컴플라이언스 룰 엔진에 의해 분석해 현 대상 기업의 컴플라이언스 수준을 대쉬 보드와 리포트를 통해 제공한다.
제공되는 리포트를 기업은 현 기업이 준수해야 할 각종 법 규제 사항에 대해서 컴플라이언스 관리를 수행할 수 있다. 또 감사 업무에 있어서 준비된 감사 증적 제공을 통해 감사 시간과 비용을 줄일 수 있으며, 특권 사용자에 대한 모니터링 강화로 날로 증가하고 있는 내부자에 의한 보안 사고를 줄이고, 탐지할 수 있는 기능을 제공한다.
SK인포섹
SIEM·TMS·RMS 포괄하는 보안 프레임워크 제공
SK인포섹(대표 박재모 www.skinfosec.co.kr)은 차세대 보안 프레임워크로 ToSIM을 제안하고 있다. 기업보안의 전사적 프레임워크라고 할 수 있는 ToSIM은 침해예방, 침해시도, 침해발생, 침해대응, 장애발생의 관점에서 실시간 보안수준정보를 제공함은 물론 정보자산(네트워크, 서버, 데이터베이스, 어플리케이션 등)의 취약점 정보 수집 및 통계화, 단위 정보보호시스템의 로그를 수집하고 실시간 통계화해 비교/교차/상관분석을 통한 경보 발령 등 RMS적인 요소와 SIEM적인 요소가 총망라됐다. 나아가 해외, 국내 관련기관의 글로벌 위협정보와 내부 취약점 정보를 수집/분석해 예보 발령 등의 TMS 기능도 포괄하고 있다.
SK인포섹 측은 “경영자, 관리자, 운영자, 사용자 관점에서 보안정보를 제공하고 공유하는 요구가 증가하고 있다”고 분석하면서 “이러한 오늘날의 기업보안은 전사적 대응이 신속하게 이뤄질 수 있는 기반 환경으로 변화되야 하고, 축적된 정보보호 컨설팅 노하우와 보안SI 경험을 갖춘 SK인포섹은 이를 위해 제안하는 보안 프레임워크가 ToSIM으로 다양한 보안 솔루션을 전사적인 관점에서 구축할 수 있도록 해 효율적인 보안 관리체계 구현을 돕게 된다”고 설명했다.
SK인포섹의 ToSIM은 광범위한 보안 프레임워크로 전체적 설계도 아래 세부 기능들은 퍼즐 조각을 맞추듯 하나씩 개발되고 있는 상황이다. SK인포섹 측은 “ToSIM의 세부 기능들은 높은 기술 완성도를 갖춰 개발되고 있어 단품 솔루션 판매가 가능할 것”이라고 자신감을 보였다.
