보안관리가 진화하고 있다. 보안의 중요성이 강조되면서 도입된 수많은 보안 솔루션은 관리의 어려움을 증가시키고 있고, 각기 다른 장비가 쏟아내는 수많은 정보들로 효율적인 전사적 보안 체계 마련의 필요성이 대두되고 있기 때문이다.

국내에서는 ESM(Enterprise Security Management)이 보안관리를 대표했지만, 이를 더욱 고도화해야 한다는 요구가 증가하고 있는 것. 이에 RMS(Risk Management System), SIEM(Security & Event Management), TMS(Threat Management System) 등이 등장해 ESM을 보완하고, 전사적 관점에서의 보안 향상 방안을 마련하자는 움직임이 활성화되고 있다. 특히 증가되는 보안 위협과 더불어 강화되는 IT 컴플라이언스는 SIEM, RMS 등 차세대 솔루션에 대한 관심을 더욱 높이고 있다.

전사적 아키텍처로 보안 효율성 제고
보안관리 시장은 이제 출발점이라고 할 수 있다. ESM의 경우에는 국내 시장에서는 다수의 기업이 도입해 시장 성숙기에 접어들었다고 평가받고 있지만, 이를 보완할 수 있는 솔루션들은 이제 막 도입이 시작되고 있는 상황이다.

전세계적으로도 볼 때도 이 시장은 아직은 초기 단계라는 것이 일반적인 평가다. 가트너가 신기술의 진화 트렌드를 설명하기 위해 개발한 하이프사이클(Hype Cycle)을 보면, 차세대 보안 관리 솔루션으로 꼽히는 SIEM은 2~5년 후 주류가 될 유망기술의 하나로 지적되고 있다.

초기 시장이지만, 최근 높아지는 보안 강화의 필요성은 보안 관리에 대한 관심을 높이고 있다. 범정부통합전산센터를 비롯해 공공기관의 대형 프로젝트에서 전사적 보안 체제 구축이 추진되고 있으며, SK텔레콤이 ESM과 TMS, RMS 등을 포괄하는 차세대 통합보안관리시스템 개발에 들어가는 등 움직임이 본격화되고 있는 것. 한국EMC RSA는 최근 서울대학교에 SIEM 솔루션인 인비전을 공급하는 등의 성과를 올리고 있다.

차세대 보안관리 시장을 견인하는 동력은 기 도입된 보안 장비의 효율성 제고에 있다. 정보보안이 강조되면서 기업에 도입된 보안 솔루션의 종류는 매우 다양하고 복잡해진 양상을 띄고 있다.

방화벽에 더해 최근에는 IDS/IPS까지 필수화되고 있으며, 최근에는 빈번한 웹 보안 사고로 인해 웹 방화벽 또한 도입이 강력히 요구되고 있다. 이 외에도 안티바이러스, 안티스팸, DB보안, 매체제어, 문서보안 등 다양한 보안 솔루션 구축이 요구되고 있다. 하지만 이들 포인트 보안 솔루션들은 그때그때의 이슈에 맞춰 개별 도입·관리됨으로써 체계적 전사 보안 체계를 이루지 못하고 있을 뿐 아니라 이로 인한 효율성 저하의 문제도 지적되고 있다.

‘관리되고 있지 않은 보안 솔루션은 오히려 취약점’이란 보안의 상식에 속한다. 이처럼 오늘날 기업 네트워크에서는 수많은 애플리케이션과 보안 장비들이 함께 구축돼 있고, 이들은 각기 다른 관리자들에 의해 관리되고 있어 어떤 장비나 애플리케이션은 중복관리가 이뤄지는 반면, 제대로 된 관리가 이뤄지지 않는 부문도 존재하는 것은 심각한 문제로 떠오르게 된다. 즉, 복잡한 시스템 구성으로 인해 체계적인 관리가 이뤄지지 않는 비효율성을 중앙집중화된 관리로 개선해야 할 요구가 높아지고 있는 것이다.

통합 보안관리 솔루션 ‘관심집중’
차세대 보안 관리 솔루션들의 공통점은 하나다. 기업 비즈니스와 실질적으로 연계된 위협 및 위험 관리를 통해 기 도입된 보안 솔루션들의 효율성을 제고시킴과 동시에 기업 보안 수준을 진일보시킨다는 것이다.
최근 통합 보안관리 아키텍처를 발표한 이글루시큐리티는 보안관리의 변화를 보여주는 부문이라고 할 수 있다. 이글루시큐티가 발표한 통합 보안관리 아키텍처 ‘익스트림(eXTRiM)’은 국내 ESM의 최강자로 꼽히는 이글루시큐리티가 제시하는 차세대 보안 아키텍처로 관심을 모으고 있다.

이글루시큐리티는 통합 보안관리 아키텍처인 익스트림의 핵심은 복합형 종합 다차원 분석 시스템인 ‘스파이더시그마(SPiDER-∑)’다. 스파이더시그마는 ESM과 ESM(스파이더TM)과 RMS(스파이더X)는 물론 침해 발생 시 대응과정을 프로세스화한 침해대응시스템(스파이더존) 등을 포괄해 위협상황과 더불어 대응상황, 위협의 위험 정도를 한꺼번에 시각적으로 보여줌으로써 보다 효과적인 정보보호를 구현하도록 한다.

쉽게 말하면, 익스트림은 기존 보안 관제를 위해 사용되던, RMS와 TMS의 두 축 위에 침해대응시스템을 결합시켜 보안 이슈 파악에서부터 대응까지를 일목요연하게 제시해 기업의 보안 수준을 실시간으로 빠르게 파악하게 하는 것이다. 또한 동시에 RMS와도 연계돼 위협의 우선순위를 파악해 보다 실질적인 철저한 보안 관리를 가능하게 하는 이점도 있다.

이용균 이글루시큐리티 연구소장은 “스파이더시그마를 통해 단편적인 대응이 아닌 위협에 대한 상시적인 진단과 파악을 통한 지속적이고도 정확한 위험관리가 가능하다”며 “이를 통해 더욱 진화된 IT 통합 보안관리가 가능하다”고 밝혔다.

인젠 역시 기존 시큐플랫ESM(SecuPlat ESM)에 트래픽 분석 기능을 강화시키는 방향으로 보안관리 솔루션을 업그레이드하고 있다. 인젠은 강력한 트래픽 분석 기능과 더불어 국내외 최신 취약점 정보 및 보안 추이 통계를 수집 및 분석하여 제시하는 S-ISAC(가칭)을 올해 안에 출시할 예정이다. S-ISAC은 ESM과 TMS를 축으로 한 능동적 보안이 가능하게 하는 솔루션으로 보다 실질적인 보안 강화의 효과를 가져올 수 있을 것으로 예상된다.

SK인포섹의 경우, 지난해부터 전사적 보안 관리 아키텍처를 제안, 보다 발빠르게 통합 보안관리, 전사적 보안 아키텍처에 대한 시장 요구를 수용한 기업이다. 2006년 발표된 SK인포섹의 종합보안정보관리(ToSIM)은 ▲위험관리기능(RMS), ▲보안관리기능(TMS·ESM), ▲사이버안전지원기능(웹포탈)과 더불어 ▲컴플라이언스 이슈에 대한 대응(SIEM)을 통합해 침해사고 예·경보는 물론, 기업의 전사적 정보보호 수준을 꾀한 종합 아키텍처로 SK인포섹은 보안컨설팅은 물론, 보안SI 등 인포섹의 모든 보안 사업에서 ToSIM에 기반한 제안을 수행하고 있다.

인포섹은 한국교육학술정보원의 교육사이버안전센터, SK텔레콤의 통합보안시스템 구축 사업 등에 ToSIM을 적용시켰으며, 최근에는 서울대학교에도 ToSIM을 적용한 프로젝트를 공급하기도 했다.
SK인포섹 측은 “SK인포섹이 제안하는 보안 프레임워크인 ToSIM은 전사적인 효율적 보안관리 체계 구축이 목표로 ESM,과 RMS, SIEM을 모두 포괄하고 있을 뿐 아니라 이를 모듈화된 형태로 제공해 기업 환경에 맞춤화돼 제공된다”며 “ToSIM의 세부 기능들은 단품 솔루션 판매가 가능할 정도로 기술적 완성도를 높여가고 있다”고 전했다.

RMS, IT 넘어 기업 위험 관리로
보유 자산과의 연계성을 고려해 위협과 취약성에 대한 보다 효율적인 관리를 목표로 하는 RMS에 대한 관심도 증가추세에 있으며, RMS 역시 IT위험 관리를 넘어 전사적 위험 관리로 나아가고 있다.

RMS 솔루션인 ‘파운드스톤(Foundstone)’을 선보이고 있는 맥아피는 5단계 통합보안 전략인 SRM(Security Risk Management)을 발표해 전사적인 위험 해소에 나서고 있다. SRM은 네트워크상 자산 파악(Find), 컴플라이언스 미준수에 따른 위험도 평가(Evaluate), 컴플라이언스 집행(Enforce), 네트워크 보호(Protect), 취약점 제거 및 교정(Fix)에 이르는 일련의 보안체제 구축을 목표로 제시하는 보안 전략으로, 기업 컴플라이언스 이슈에 적극적으로 대응하도록 함으로써 예기치 못한 손실을 줄이도록 한다.

SRM 전략의 핵심키는 물론 파운드스톤이다. 파운드스톤은 기업에서 보유하고 있는 IT자산의 가치, 취약점의 위험도, 위협의 심각성 등의 상관관계를 정확하게 산출, 최적의 보안 위험관리를 도와주는 솔루션으로 파운드스톤은 각 운영체제에 맞는 취약점을 점검, 정확도 99% 이상의 결과를 도출할 수 있는 강력한 성능을 자랑한다.

최근 컨설팅 전문 기업에서 컨설팅을 주축으로 한 종합보안 벤더로 나서고 있는 에이쓰리시큐리티는 IT 위험을 넘어선 ERM(Enterprise Risk Management)란 개념의 ‘알파인더EMS(RFinderERM)’을 출시해 IT를 뛰어넘은 위험관리를 주장했다.

전상미 에이쓰리시큐리티 연구소장은 “비즈니스에는 IT 위험 외에도 다양한 위험이 존재한다”며 “이를 위해서는 위험관리의 개념을 IT에 국한되지 않고 전사적 개념으로 확대시켜야 하며, 기존 RMS의 방법론에 재무·회계 등의 분야에서 사용하는 위험관리 방법론을 결합시켜 전사적 위험관리가 가능하도록 한 바로 알파인더ERM”이라고 밝혔다.

기존 RMS가 IT 보안에만 국한됐던 것과 달리 이를 재무, 회계까지 확대시킨 것으로 이를 통해 비즈니스와 연계한 보다 포괄적인 위험관리가 가능하다는 것이다. 보다 세밀히 풀이하면 데이터에만 국한됐던 RMS에 프로세스 측면에서의 위험, 그리고 비즈니스 측면에서의 위험을 포괄할 수 있도록 한 것이다. 비즈니스 측면에서의 위험이란, 통신사와 금융권이 중시하는 정보는 다를 수 있다는 점에 착안한 것이다. 기존 RMS의 경우에는 두 분야에 대한 차이의 변별력 없이 위험도가 계산됐던 반면, 알파인더ERM는 이에 더해 각 산업의 특성을 고려한 가중치를 적용하게 돼 보다 최적화된 위험관리가 가능하도록 하는 개념이다.

현재 에이쓰리시큐리티는 포털, 통신, 금융 등 알파인더ERM의 산업별 템플릿을 개발하고 있는 상황으로, 산업별 템플릿이 완료되면 보다 적극적으로 시장 개척에 나설 계획이다.

IAM과 결합한 보안 관리 ‘절실’
한국CA의 경우는 독특하다. IAM(Identity & Access Management)의 구성요소 중 하나로 보안 관리를 제안하고 있는 것. 한국CA는 한국CA 조상원 부장은 “최근 보안 관리 시장은 전사적 관점에서 추진되고 있다는 것이 특징”이라고 지적한 후 “이를 위해서는 전통적 보안 측면에서 뿐 아니라 전사적 인증관리와 결합될 필요가 있으며, CA의 EITM이 바로 이러한 아키텍처”라고 강조했다.

CA의 EITM(Enterprise IT Management) 아키텍처는 인적자원, 인프라, 데이터, 애플리케이션, IT서비스 및 비즈니스 프로세스를 통합, 연동함으로써 기업의 비즈니스 요구에 맞는 IT 자원 분배를 최적화하도록 도와주는 개념이다. EITM 솔루션에 입각해 한국CA는 IAM과 보안관리 솔루션인 SIM을 긴밀하게 연계해 보다 실질적 보안 강화를 이뤄낸다는 것이 한국CA 측의 주장으로 IAM의 핵심 솔루션인 ‘CA e트러스트 시큐리티커맨드센터(SCC)’는 SIM에서도 핵심 솔루션의 자리를 차지한다. 즉, CA e트러스트 시큐리티커맨드센터 도입을 통해 IAM과 SIM을 동시에 구축이 가능한 것이다.

SCC에 ESM의 역할을 수행하는 ‘e트러스트 네트워크포렌직(eTrust Network Forensics)’, 이벤트 통합툴로 로그관리 솔루션의 역할을 담당하는 ‘e트러스트 오딧(eTrust Audit)’, 자산 스캔 및 취약성분석, 패치관리를 수행하는 ‘e트러스트 VM(eTrust Vulnerability Manager)’ 등이 결합하면 SIM를 구현할 수 있는 것. 특히 ESM 등은 CA 솔루션이 아닌 다른 벤더의 솔루션으로 대체 가능해 보다 비용효율적으로 포괄적 보안 관리가 가능하다는 것이 한국CA 측의 주장이다.

조상원 부장은 “SCC를 통한 포괄적 보안 관리, 이를 통한 전사적 보안 수준 향상은 CA가 오래 전부터 말해왔던 부문으로 보안 관리에 대한 관심이 보다 실질적 보안 수준 향상으로 이어지기 위해서는 나아가기 위해서는 IAM과 연계가 필수적”이라고 강조했다.

보안 향상과 더불어 지속가능한 IT 컴플라이언스 이니셔티브를 위해서는 기업이 모든 사용자와 접근을 제어하고, 이를 손쉽게 모니터링하기 할 수 있는 일원화될 플랫포이 필요하며, 이는 완벽하게 통합된 IAM과 함께 SIM을 구현할 때 가능할 것이라는 설명이다.

컴플라이언스 이슈 ‘대두’
보안관리 시장을 견인하는 또 다른 요인은 컴플라이언스 이슈다. 전세계 시장에서 보안관리 솔루션 시장 성장을 이끌어낸 동력이 사베인즈-옥슬리(SOX), 바젤Ⅱ 등의 컴플라이언스 대응 부문이다. 국내에서는 아직 컴플라이언스 이슈가 크게 부각되고 있진 않지만, 기업 규제가 강화되는 전세계적인 추세로 볼 때 국내 시장에서도 컴플라이언스는 피해갈 수 없는 부분으로 평가된다.

우리나라에 영향을 미치는 국제적인 법규도 존재한다. SOX는 미국 증권시장 나스닥에 등록된 국내 기업은 반드시 준수해야 할 규제이며, 비자, 마스터 등 국제 카드업계가 마련한 지불카드산업 데이터보호표준(PCI DSS)도 국내에서도 대응이 필요한 부문이다. 또 2011년에는 국내 상장기업들은 모두 국제회계기준(IFRS)을 준수해야 한다. 나아가 최근 옥션에서의 대형 해킹사고, 텔레마케팅 업체로 고객정보를 불법 유출한 하나로통신 등의 사례로 인해 방송통신위원회, 행정안전부 등은 관련 법규의 강화에 적극 나서고 있는 상황이다.

실제로 한국형 사베인즈-옥슬리법(K-SOX)라고 불리는 내부회계관리제도와 더불어 기업의 자율적 회계 투명성 확보를 강제할 증권관련집단소송제도도 본격 시행되고 있다. 2006년 상장기업을 대상으로 적용이 시작된 내부회계관리제도는 중소기업의 부담완화를 위해 자산총액 500억원 미만의 비상장 중소기업에게 유예됐지만, 적용유예기간이 만료됨에 따라 본격화의 시기를 맞이하고 있다.

따라서 국내시장에서도 IT 컴플라이언스에 대한 이슈가 더욱 높아지고 있는 것. 이는 SIEM, RMS 등의 필요성을 높이는 요소가 되고 있으며, 이는 다시 전사적 보안 아키텍처의 관점에서 총체적 보안 관리 아키텍처 구축에 기업들의 관심을 쏠리게 하고 있다. 보안관리 솔루션 벤더들은 SOX 등 명문화된 규제나 표준 이외에 기업 내부적으로 설정한 임의의 보안 정책의 이행 및 준수 여부도 모니터링할 수 있게 함으로써 맞춤화된 보안관리를 지원하고 있다. 아직 국내에서 컴플라이언스 이슈가 본격화되고 있지 않아 국내 법규에 맞춤화된 템플릿은 적용되지 않고 있지만, 개인정보보보법 등이 제정되면, 각 기업들은 이에 기반한 템플릿을 제공한다는 것이 보안 관리 기업들의 전략이다.

이 외에 보안성과관리에 대한 요구도 보안관리를 촉진시키는 요인으로 지적된다. 박형근 한국IBM 과장은 “보안성과 관리의 필요성도 보안관리 도입을 촉진시키는 동인”이라며 “보안 솔루션은 정량적 측정이 어려운 부문이지만, 최근 등장한 차세대 보안관리 솔루션들은 도입 효과를 측정할 수 있는 지표로 활용 가능해 경영진으로부터 더욱 각광받고 있다”고 전했다.

예를 들어, SIEM 솔루션이 제공하는 컴플라이언스 위반, 혹은 준수 정도의 제시가 보안성과관리의 지표로써 활용될 수 있다는 것이다. ISO27001과 같은 보안 표준, SOX 등 규제 준수 여부를 보안관리 솔루션을 통해 효율적으로 제어함으로써 감사 비용을 줄이고, 단계적이고 체계적인 보안관리 체제 수립이 가능하게 되는 것이다.

컴플라이언스 대응, 글로벌 기업 ‘강세’
컴플라이언스 대응 면에서는 외산 솔루션들이 돋보인다. 관련 법규가 미비했던 국내와 달리 엔론 사태와 같은 대형 회계 부정 사건과 고객정보분실에 따른 손해배상 소송 등으로 미국 등지에서는 컴플라이언스 이슈가 강력하게 대두됐기 때문이다. 따라서 외산 솔루션들은 이에 대한 대응을 일찍부터 전개한 상태로 외산 솔루션들은 강력한 컴플라이언스 대응 능력을 자랑한다.

따라서 글로벌 기업들의 보안 관리 이슈는 실시간적인 보안 상황 파악은 물론, 각종 데이터를 통한 사후 감사 자료 확보에 초점이 맞춰져 있다. 시만텍, EMC RSA, IBM 등은 보유한 데이터 저장기술, 아카이빙 기술, 원보보장 기술 등을 활용해 사후 감사 자료로써 활용될 수 있는 측면에서의 보안 관리를 강조하고 있는 것이다.

시만텍코리아 윤광택 부장은 “최근 점점 이슈화되고 있는 IT 거버넌스나 IT컴플라이언스를 위한 핵심적인 요건이 바로 보안 정보 관리 시스템”이라고 지적하면서 “급증하고 있는 보안의 위협에 대처하는 동시에 끝없는 규제를 따라야 하는 것은 이제 비즈니스의 일상적인 과제로 ‘시만텍 시큐리티인포메이션매니저(SSIM)’과 같은 네트워크에 구축된 다양한 보안 시스템의 로그로부터 관련 정보를 수집, 관리하는 보안 정보 관리 제품이 도입이 요구된다”고 지적했다.

SSIM은 시만텍의 아카이빙 기술을 활용, 로그 및 저장 복구에서 차별화된 성능을 자랑하는 솔루션으로, 아카이브 파일 모음에 이벤트를 저장하고 각각의 아카이브 파일의 생성 시기와 디스크 사용량을 모니터링해 자동으로 필요한 디스크 공간을 확보하도록 한다. 이를 통해 정보보안과 관련된 이벤트를 저장하도록 하는 컴플라이언스 이슈에 대응하도록 하는 것이다.

EMC RSA의 경우에도 보안 로그 관리 측면에서의 유용성을 강조한다. 한국EMC RSA 측은 자사의 SIEM 솔루션인 ‘인비전’의 강점으로 IPDB를 꼽고 있다. RDBMS(Relational Database Management System)을 사용하는 여타 SIEM 시스템과 달리 ‘로그스마트(LogSmart)’ IPDB 아키텍처를 채택함으로써 보다 빠른 로그수집 및 분석 능력을 제공한다는 것이다. 또한 원본보장 스토리지인 EMC 센테라로의 데이터 아카이빙이 지원됨으로써 보안 사고 발생 시 변형불가능한 로그를 통해 보안사고의 원인과 책임을 명확히 할 수 있음을 강조하고 있다.

EMC RSA의 인비전은 국내 총판인 최근 SK인포섹을 통해 서울대학교에 공급된 데 이어 금융기관 1곳과 공공기관 1곳에 추가 도입이 예정돼 있는 등 인기몰이를 하고 있다. 인비전은 SK인포섹의 통합보안 아키텍처인 ToSIM에서 컴플라이언스 대응의 핵심적인 역할을 수행하고 있는 것이다.

한국IBM은 ‘IBM 티볼리 시큐리티오퍼레이션매니저’와 ‘IBM 티볼리 컴플라이언스인사이트매니저’을 결합을 통해 보다 완벽한 보안 감사가 가능하다고 주장했다. 티볼리 컴플라이언스인사이트매니저는 대상 IT 감사와 컴플라이언스 조사 대상에 대해 로그를 수집해 ‘누가, 언제, 어디서, 무엇을, 어디로부터, 어디로, 어떤 일 작업을 수행했는가’의 정형화된 형태의 정보를 제공하고, 컴플라이언스룰 엔진에 의해 분석, 이를 대쉬 보드와 리포트를 통해 제공함으로써 기업의 현재 컴플라이언스 수준을 알기 한다는 것이다.

한국IBM 박형근 과장은 “보안 수준 향상은 추상적 개념”이라며 “IT 컴플라이언스란 기업이 해야 할 각종 요건을 표준화한 것으로 볼 수 있으며, 컴플라이언스에 완벽하게 대응하는 것이 보다 구체적으로, 그리고 효과적으로 보안 수준 향상과 보안사고 예방을 이루게 하는 요건이 될 것”이라고 주장했다.

보안, 비즈니스 핵심 요소
오늘날 급변하는 비즈니스 환경에서 IT는 비즈니스 연속성 확보를 위한 핵심 툴이다. IT을 얼마나 어떻게 잘 활용하는지에 따라 기업의 성패는 엇갈릴 수 있다. 특히 IT 활용도가 높아진 지금 보안의 중요성은 두말할 나위가 없다. 증가한 IT 위협에 효과적으로 대응하지 못한다면, 보안사고로 인한 유무형의 손실은 물론이고 무엇보다 ‘고객의 신뢰’라는 가장 큰 자산을 잃게 되기 때문이다. 1천만명 개인정보유출이란 대형 보안사고로 집단소송에 처해 있는 옥션의 사고는 정보보호의 중요성을 나타내는 사례라고 할 수 있다.

증가한 보안 위협에 효과적으로 대응하기 위해서는 단편적으로 도입된 보안 솔루션을 융합할 필요성이 존해하며, 이를 위한 흐름으로 나타나는 것이 바로 차세대 보안 관리 솔루션이라고 할 수 있다.

시만텍코리아 윤광택 부장은 “정보 중심의 효율적이고 능동적인 보안 체계를 갖추기 위해서는 비즈니스 프로세스의 가장 기본 단계에서부터 보안 프로그램이 완벽하게 통합돼 있어야 한다”며 “이는 지능형의 높은 성능을 가진 사고 대응 자동화 시스템과 더불어 보안 정보 관리 시스템을 기반한 기업 보안 위협의 확인, 검토, 대응, 우선순위 설정으로 가능할 것”이라고 강조했다.