관리없는 보안 오히려 취약점
오늘날 기업 보안을 위해서 방화벽은 물론 IDS/IPS까지 필수화되고 있으며, 최근에는 빈번한 웹 공격으로 인해 웹방화벽(WAF) 도입도 강력히 요구되고 있다. 이외에도 안티바이러스, 안티스팸, DB보안, 매체제어, 문서보안 등 다양한 보안 솔루션 구축이 요구되고 있는 상황이다. 하지만 이들 포인트 보안 솔루션들은 그때그때의 이슈에 맞춰 개별 도입·관리됨으로써 체계적 전사 보안 체계를 이루지 못하고 있을 뿐 아니라 이로 인한 효율성 저하의 문제도 지적돼 보안관리에 대한 관심이 높아지고 있는 것이다.
오늘날 도입된 다양한 보안 솔루션들은 관리의 어려움을 증가시킴과 동시에 네트워크를 누더기로 만드는 원인이 돼 오히려 보안의 걸림돌로 작용하고 있다. ‘관리되고 있지 않은 보안 솔루션은 오히려 취약점’이란 것은 보안의 상식에 속한다. 따라서 다양한 보안 시스템이 쏟아내는 다양한 정보를 종합해 보다 의미있는 정보로 재구성함으로써 보안 수준을 높일 수 있는 보안관리의 중요성이 증폭되는 것이다.
컴플라이언스 이슈, 보안관리 ‘업그레이드’
증가되는 보안 위협과 더불어 강화되는 IT 컴플라이언스 이슈는 정보보안관리에 대한 관심을 더욱 높이는 요소다. 강화되는 기업 규제는 보안 사고의 예방과 감사를 위한 모니터링의 요구를 극대화시켰으며, 이는 곧 기업 보안관리의 시장을 확대하는 계기로 작용하고 있다. 사베인즈-옥슬리(SOX), 바젤Ⅱ 등의 컴플라이언스 이슈는 전세계 시장에서 보안관리 솔루션 시장 성장을 이끌어낸 동력으로 평가되고 있다.
국내에서는 아직 컴플라이언스 이슈가 크게 부각되고 있진 않지만, 기업 규제가 강화되는 전세계적인 추세로 볼 때 국내 시장에서도 컴플라이언스는 피해갈 수 없는 부분으로 평가되고 있다. 범세계적 규제인 지불카드산업 데이터보호표준(PCI DSS) 등은 점차 현실의 문제가 되고 있으며, 지난해 옥션과 GS칼텍스 등에서 발생한 1000만명의 개인정보유출 사고로 인해 통합 개인정보보호법 제정이 준비되고 있는 등 컴플라이언스 이슈는 국내에서도 점차 높아지고 있다.
나아가 2011년까지 국내 상장기업들은 국제회계기준(IFRS)를 모두 준수해야 한다는 이슈도 존재하며, 한국형 사베인즈-옥슬리법(K-SOX)라고 불리는 내부회계관리제도와 더불어 기업의 자율적 회계 투명성 확보를 강제할 증권관련집단소송제도도 본격 시행되고 있다. 2006년부터 상장기업을 대상으로 적용이 시작된 내부회계관리제도는 중소기업의 부담완화를 위해 자산총액 500억원 미만의 비상장 중소기업에게 유예됐지만, 적용유예기간이 만료됐다.
이는 국내시장에서도 IT 컴플라이언스에 대한 이슈를 더욱 높여 SIEM, RMS 등의 필요성을 증대시키는 요소가 되고 있으며, 이는 전사적인 실질적 보안 향상이란 관점에서 총체적 보안관리 아키텍처에 대한 관심을 증대시키고 있다. 보안관리 솔루션 벤더들은 SOX 등 명문화된 규제나 표준 이외에 기업 내부적으로 설정한 임의의 보안 정책의 이행 및 준수 여부도 모니터링할 수 있게 함으로써 맞춤화된 보안관리를 지원하고 있다. 다시 말해 개인정보보보법 등이 제정되면, 각 기업들은 이에 기반한 템플릿을 제공할 수 있도록 제반 준비를 완료한 것이다.
보안관리 시장 성장 ‘쑥쑥’
국내 보안관리 시장은 새로운 출발점에 서 있는 상황이라고 평가할 수 있다. ESM의 경우에는 국내 시장에서는 다수의 기업이 도입해 시장 성숙기에 접어들었다고 평가할 수 있지만, 이를 보완할 수 있는 솔루션들은 이제 막 도입이 시작되고 있는 상황이기 때문이다. 물론 전세계적으로 볼 때도 차세대 보안관리 시장은 이제 막 출발점에 접어든 것이 사실이다. 차세대 보안관리 솔루션으로 꼽히는 SIEM의 경우, 가트너의 평가에서 2~5년 후 주류가 될 유망기술로 전망되고 있다.
범정부통합전산센터를 비롯해 공공기관의 대형 프로젝트에서 전사적 보안 체제 구축이 추진되고 있으며, SK텔레콤이 ESM과 TMS, RMS 등을 포괄하는 차세대 통합보안관리시스템 개발에 들어가는 등 움직임이 본격화되고 있는 것.
SIEM 솔루션인 ‘인비전(enVision)’을 소개하고 있는 한국EMC RSA의 경우, 올해 서울대학교에서 국내 첫 레퍼런스를 구축한 이후 AIG 등에 잇단 공급을 달성하면서 6곳의 국내 레퍼런스를 확보하고 있다. RMS 솔루션인 ‘파운드스톤(Foundstone)’을 공급하고 있는 맥아피는 SK브로드밴드, 인터파크, 서울대병원 등 8개의 신규 레퍼런스를 확보했으며, 관련 매출을 전년 대비 20% 이상으로 끌어올렸다. 이는 높아지는 보안관리에 대한 시장의 관심을 증명하는 사례다.
기업 보안관리의 대표 주자인 ESM의 성장세도 지속됐다. 보안관리에 대한 필요성 증가로 행정안전부의 ‘G-서트(G-Cert)’ 구축을 비롯한 대형 프로젝트가 이어졌기 때문이다. 국내 ESM 시장의 절대강자로 자리매김하고 있는 이글루시큐리티의 경우, 보안관리 시장 확대로 2008년 전년대비 30% 이상의 매출성장을 이뤄내는 성과를 올렸다.
기업 비즈니스와 실질적으로 연계된 위협 및 위험 관리를 통해 기 도입된 보안 솔루션들의 효율성을 제고함과 동시에 기업 보안 수준을 높일 수 있는 보안관리는 올해에도 높은 성장세를 이어갈 것으로 전망된다. 그리고 중앙집중적인 보안관리 환경 구현은 보안관리 시장을 이끌어 나가는 동력이 될 것으로 평가된다.
공격의 진화에 맞서 수많은 애플리케이션과 보안 장비들이 상존하는 오늘날의 기업 환경에서 다양한 보안 솔루션을 하나로 엮어 관리할 수 있는 효율적인 보안관리 체제 구축은 더욱 더 중요한 요소가 될 것이기 때문이다. 기업에 필수적인 보안 솔루션이 매우 다양하고 복잡해진 양상을 갖는 오늘날 중앙집중적인 보안관리 체제구축은 보다 효율적인 위험 회피뿐 아니라 관리에 대한 부담을 줄임으로써 총소유비용(TCO) 절감이란 이점을 안겨준다.
이글루시큐티가 발표한 통합 보안관리 아키텍처 ‘익스트림(eXTRiM)’은 중앙집중적 보안관리로의 진화를 보여주는 부문이라고 할 수 있다. 이글루시큐리티의 익스트림은 복합형 종합 다차원 분석 시스템인 ‘스파이더시그마(SPiDER-∑)’, ESM ‘스파이더TM’, RMS ‘스파이더X’, 그리고 침해 발생 시 대응과정을 프로세스화한 침해대응시스템인 ‘스파이더존’을 포괄해 위협상황과 더불어 대응상황, 위협의 위험 정도를 한꺼번에 시각적으로 보여줌으로써 보다 효과적인 정보보호를 구현하도록 한다.
통합보안 아키텍처 ‘절실’
SK인포섹 또한 종합보안정보관리 아키텍처인 ‘ToSIM’을 통해 ▲위험관리기능(RMS) ▲보안관리기능(TMS·ESM) ▲사이버안전지원기능(웹포털) ▲컴플라이언스 이슈에 대한 대응(SIEM)을 제안하고 있으며, 인젠 역시 ESM 솔루션인 ‘시큐플랫ESM(SecuPlat ESM)’에 트래픽 분석 기능을 강화시키는 방향으로 보안관리 솔루션을 업그레이드하고 있는 상황이다.
보유 자산과의 연계성을 고려해 위협과 취약성에 대한 보다 효율적인 관리를 목표로 하는 RMS 솔루션 파운드스톤을 공급하는 맥아피는 5단계 통합보안 전략인 SRM(Security Risk Management)을 통해 전사적인 위험 해소에 나서고 있다. SRM은 네트워크상 자산 파악(Find), 컴플라이언스 미준수에 따른 위험도 평가(Evaluate), 컴플라이언스 집행(Enforce), 네트워크 보호(Protect), 취약점 제거 및 교정(Fix)에 이르는 일련의 보안체제 구축을 목표로 제시하는 보안 전략이다. 동시에 맥아피는 수많은 제품군들을 단일 에이전트, 단일 콘솔을 이용해 관리할 수 있도록 하는 프레임워크인 ePO를 통해 중앙집중적인 보안관리가 가능하도록 새로운 틀을 제시하고 있다.
이외에도 CA가 IAM과 긴밀한 연계를 내세우면서 통합 보안관리의 필요성을 역설하고 있으며, 시만텍을 비롯해 EMC RSA, IBM ISS 등도 전사적 관점의 보안 아키텍처 구축과 이를 위한 통합 보안관리의 필요성을 역설하고 있다.
통합 보안관리 아키텍처로의 진화는 ESM, RMS, SIEM, TMS 등 다양한 보안관리 솔루션이 상호경쟁이 아닌 상호보완 관계임을 보여준다고 할 수 있다. ESM, RMS 등의 보안관리 솔루션들은 효율적 보안관리를 기반으로 한 효과적 대응체제 구축이란 지향점은 동일하지만, 이를 위한 방법론과 1차적인 결과물은 서로 다르다. 나름의 방법론과 역할을 갖고 있는 이들 보안관리 솔루션을 적절히 조합해 이용할 때 효율적 보안관리가 가능해진다고 업계 관계자는 입을 모은다.
보안관리 전문가 기고위협 고도화로 보안위험 관리 최적화 ‘필수’
김현수 // 한국맥아피 기술이사
hyunsoo_kim@mcafee.com
보안 침해에 따른 손실은 조직 내 핵심 비즈니스를 파멸로 몰아갈 수 있는 심각한 위험요소로 떠오르고 있다. 이러한 위험을 해소하기 위해 이제 보안은 보안부서의 기술담당자와 보안 담당 임원만의 책임이 아니라, CEO 차원에서 관심을 가져야 하는 중요한 프로세스로 인식돼야 한다.
지난 20년간 발생됐던 악성웨어 출현에 대한 통계자료에 의하면, 바이러스, 트로이 목마 등과 같은 멀웨어의 약 40%가 2007년 이후에 등장했다. 이것은 갈수록 악화돼가고 있는 위협의 심각성을 보여주는 대표적인 사례라고 볼 수 있다.
이러한 악성웨어는 주로 시스템이 가지고 있는 내재된 보안 취약성을 통해 감염 및 전파가 이뤄진다. 이것은 지난 2년간 발표된 보안 취약성 개수가 10 년 동안에 발표된 개수를 넘어섰다(AVERT 연구소 2008)는 통계 자료와 무관치 않다.
사이버범죄 시장 1000억달러 형성
사이버 범죄의 규모는 불법적인 마약 거래 액수를 넘어선 약 1000억달러 규모의 비즈니스로 추측되고 있다. 이러한 사이버 범죄를 유발하는 요소로 두 가지를 들 수 있는데, 첫 번째가 위협에 노출될 수 있는 시스템 혹은 애플리케이션 내에 존재하는 취약성들을 쉽게 찾을 수 있다는 것이다. 두 번째로는 누구나 마음만 먹으면 인터넷상에서 MPACK, SNATCH, Pinch 등과 같은 악성웨어 제작 툴을 쉽게 구할 수 있다는 것이다.
시스템 내에 보안 취약성을 그대로 방치할 경우에는 이와 같은 멀웨어에 무차별적으로 희생양이 될 수밖에 없으며, 이는 지금과 같이 안티바이러스 소프트웨어에만 의존해서는 보안 관리가 제대로 이뤄질 수 없음을 보여준다. 즉 시스템 관리를 위한 보다 능동적이고 자동화된 접근 방법이 요구되는 것이다. 이렇듯 보안 위험을 최소화시키고 효율성을 높이기 위해 자동화된 프로세스를 지원해주는 솔루션을 ‘보안 위험 관리 시스템’이라고 한다.
오늘날 보안 담당자들은 한정된 예산 범위 내에서 보안을 최적화할 수 있는 방안을 선택해야만 하는 입장에 놓여있으며, 보안을 최적화하기 위한 위험 관리 방안으로는 다음과 같은 네 가지 방법을 들 수 있다.
1) 위험 수용(Accept): 위험에 따른 손실 감수
2) 위험 회피(Avoid): 온라인 비즈니스를 포기하는 등 잠재적인 위험으로부터 위험 회피
3) 위험 할당(Assign): 위험을 회피하진 않지만 보험에 가입하는 것과 같이 위험에 따른 손실을 떠넘김으로써 위험 할당
4) 위험 완화(Mitigate): 위험에 따른 영향을 최소화기 위해 예산을 뛰어넘지 않는 범위 내에서 보안 최적화 모델 선택
이들 네 가지 방안 중에서 어떤 것을 적용하든, 먼저 어떤 위험이 존재하고 얼마나 위험한지를 평가하기위한 계량화가 필수이다. 위험 계량화 공식에서 일반적으로 사용되는 공식은 ‘위험(Risk) = 자산의 가치(Asset Criticality) × 취약성 심각도(Vulnerability) × 외부 위협(Threat)’이다.
보안위험관리, 컴플라이언스 핵심툴
보안 위험 관리시스템의 필요성은 컴플라이언스 이슈와도 관련이 있다. 최근에 신용카드사를 중심으로 PCI(Payment Card Industry)와 같은 컴플라이언스 준수 요구가 높아져가고 있기 때문이다. 컴플라이언스를 비롯한 위험 관리는 일회성이 아니라 지속적인 프로세스로 간주되고 관리돼야 함을 요구한다. 또한 IT 위험 및 컴플라이언스 평가는 조직의 핵심 비즈니스 성과에도 영향을 줄 수 있는 요소로 떠오르고 있다.
보안에 대해 해당 조직이 얼마나 성숙돼 있는지를 보여줄 수 있는지 평가하기 위한 방법 가운데 맥아피가 제안하는 조직 성숙도 모델을 예로 들어 살펴보자. 이 모델에서 가로축은 성숙도를, 세로축은 해당 단계별로 얻을 수 있는 가치를 보여준다.
이 모델은 조직 성숙도가 최적화(Optimized) 상태에 도달할수록 얻을 수 있는 가치는 극대화될 수 있으며, 최적화 상태에 도달하기 위해서는 보안을 위한 통합 관리 및 프로세스 자동화가 함께 수반돼야 함을 보여준다.
1) 보안(Secure) 상태
- 각 위협에 따른 포인트 제품들을 도입하여 구축한다. 포인트 제품들을 도입할 때마다 얻을 수 있는 가치는 미미하게 증가한다. 매우 전형적이고 사후 대응형태이긴 하지만, 필수 불가결한 단계라고 할 수 있다.
2) 컴플라이언트 상태
- 보안 상태와 비슷하지만 내·외부 보안 감사 등의 컴플라이언스 요구에 대응할 수 있는 방안이 마련돼 있다면 해당 조직은 컴플라이언트 상태라고 말할 수 있다.
3) 능동화(Proactive) 상태
- 위협에 대하여 사후 대응하는 방식을 넘어서, 네트워크 IPS, 호스트 IPS 등과 함께 위협에 대해 사전 대응할 수 있도록 구축돼 있을 뿐만 아니라, 사용중인 보안 솔루션들을 통합적으로 운영 관리토록 함으로써 효율적인 인프라가 구축돼 있다면 능동화 상태라고 볼 수 있다.
4) 최적화(Optimized) 상태
- 시스템, 네트워크 등과 같은 하드웨어 뿐만 아니라 데이터 누출 방지를 위한 방안이 고려돼 있으며 자산 식별, 취약성 점검, 조치에 이르기까지 자동화된 프로세스로 통합 구축돼 있다면 해당 조직은 최적화 상태라고 말할 수 있다.
위험관리 프로세스 자동화 ‘필수’
일반적으로 보안 업체라고 하면, 바이러스 백신, IPS 와 같이 보호를 위한 제품들을 공급하는 포인트 솔루션 회사라고 알고 있다. 하지만 보안 위협이 점차 고도화됨에 따라 단순 포인트 솔루션으로는 오늘날의 보안 위협에 효율적인 대응은 점차 어려워지는 것이 현실이며, 이에 보안 업체들은 통합적인 보안 역량 제공을 위해 나아가고 있다.
맥아피의 경우에도 안티바이러스, 호스트 IPS와 같은 엔드포인트 보안 솔루션과 네트워크 IPS 등과 같은 지능적인 보호를 위한 제품군을 공급하고 있으며, 이와 아울러 최근에 많이 부각되고 있는 데이터 유출 방지(DLP) 및 보안 위험 관리 등과 같은 컴플라이언스 관련 제품군까지 함께 공급하고 있다. 특히 수많은 제품군들을 단일 에이전트, 단일 콘솔을 이용해 관리할 수 있는 ePO는 보안 조직 성숙도 모델에서 최적화 상태에 이르도록 하는데 핵심적인 제품이자 프레임워크의 역할을 하고 있다.
앞에서 살펴본 바와 같이 보안 위험을 최소화하고 효율성을 극대화하기 위해서는 각각의 위협별로 일일이 포인트 제품을 통해 대응하는 경우에 투자비용에 비해서 비효율적임을 알 수 있다. 최적화 모델에서의 핵심은 수많은 보안 제품군들을 단일 에이전트, 단일 콘솔로 통합 관리할 수 있는 중앙 집중 관리와 더불어 보안 위험 관리 프로세스의 자동화가 결합돼야만 가능하다는 것이다.
