보안 관리가 주요 이슈로 떠오르고 있다. 초기 단순 바이러스에서 시작된 사이버 위협은 금전적 이익을 노리는 범죄화로 진화하면서 다양한 보안 솔루션이 도입됐고, 다양해진 위협만큼 보안 솔루션의 종류 역시 다채로워지고 있는 상황이다.
도입되는 보안 솔루션의 증가는 보안에 대한 어려움을 가중시킨다. 나아가 고도화된 사이버 공격으로 정보보안의 중요성이 한층 제고되면서 도입된 보안 솔루션을 더욱 조직화, 효율을 높여야 한다는 요구도 높아지고 있다. 각종 사이버 위협에 대응하기 위해 도입된 수많은 보안 솔루션으로 인한 복잡성으로 효과적 보안을 구현하지 못하는 아이러니한 상항을 미연에 방지해야 하는 것이다.
이에 보안 관리의 필요성이 높아졌다. 다수의 보안 솔루션에 대한 관리 필요성이 증대됨에 따라 효율적인 보안 관리 체계 구축은 비용효율적인 보안을 구현하고, 보안 수준 향상을 이룰 수 있게 하는 핵심 키가 되고 있다. 더욱 지능화되고 있는 사이버 공격에 대응하기 위해 수많은 보안 솔루션이 등장하면서 정보보안은 더욱 까다로운 문제화 돼 효과적 보안 관리를 통해 해결해야 하는 요구가 높아지고 있다.
보안관리 지향점 ‘위험관리 효율화’
보안 위협에 대해 임시방편적인 포인트 솔루션 중심의 대응이 이뤄졌다는 점은 보안 관리를 더욱 중요한 요인으로 부각시킨다. 전사적 관점에서 보안 관련 정보를 모아 분석함으로써 사고를 사전에 예방하고, 사고 후 조치까지도 수행할 수 있는 기반을 마련해야 한다. 이는 각 보안 솔루션을 효율적으로 연계, 고도화된 보안을 구현해야 할 보안 관리의 필요성이다. 즉, 전사적 차원의 보안 정책과 프레임워크에 기반한 보안 관리 방안 도입을 통해 기존 보안 방법론을 수정해야 하는 것이다.
갈수록 강화되고 있는 컴플라이언스 이슈도 보안 관리의 중요성을 높인다. 정보보안 관련 의무규정이 증가하면서 기업은 내부 보안 상황을 보다 분명하게 살펴야할 필요성이 더욱 분명해졌다. 중앙 집중적으로 보안 상황을 보여주고, 리포팅해 줄 수 있는 보안관리가 필요한 또 다른 배경이다.
보안 관리 솔루션은 흔히 전사적보안관리(ESM), 위협관리시스템(TMS), 위험관리시스템(RMS), 보안정보이벤트관리(SIEM) 등으로 구분된다. 기업에 도입된 다양한 보안 솔루션을 조직화하고, 중앙 집중화함으로써 전사적 보안 수준의 향상을 가져온다는 목적은 동일하지만 이를 위해 서로 각기 다른 방식으로 구현돼 상이한 특장점을 갖고 있기 때문이다.
이에 더해 최근에는 보안 관련 정보뿐 아니라 네트워크 장비 등의 로그까지 함께 어우르면서 살펴야 한다는 요구가 높아지면서 보안 관리의 영역구분을 모호하게 하고 있다. 이는 지능형 지속가능 위협(APT)이 보여주듯 한층 교묘해진 공격은 공격자가 가능한 모든 방법을 동원, 보안 솔루션을 우회할 수 있는 지능화된 공격을 진행하고 있기 때문이다.
이는 보안 솔루션뿐 아니라 IT 인프라 전반에 걸친 정보를 수집해 공격 징후를 파악해야 하는 방향으로의 진화를 부추기고 있다. 이러한 흐름에서 ESM으로 대표되는 보안 관리는 보안 관리 영역 내부의 융합에 더해 통합로그 관리라는 분야와 빠르게 융합되면서 영역구분이 더욱 무의미해 지고 있다.
모든 로그로 대상 확대
통합로그 관리는 2011년 가장 충격적 사고였던 농협의 전산장애로 부각됐다. 장비의 상황, 애플리케이션 활용, 사용자의 활동 등에 대한 모든 것이 기록돼 IT 인프라에 대한 가장 기초적인 정보가 바로 로그데이터다. 그리고 이 데이터를 수집, 저장하고, 유사시 정보를 분석해 활용하기 위한 분야가 바로 통합로그 관리다.
그동안 로그 데이터에 대한 중요성은 간과돼 왔지만 금융권에서의 잇단 보안사고는 로그의 중요성을 다시 일깨우는 계기로 작용했다. 각종 시스템에 대한 운영 내역, 사용자의 활동 내역을 기록한 로그는 각종 사고 발생시 원인을 규명할 수 있는 가장 원초적인 데이터란 점에서 그 중요성을 일깨운 것이다.
금융권뿐 아니다. 일반 기업시장에서도 로그관리에 대한 관심을 높이는 계기가 됐다. 금융권의 사고를 반면교사로 삼아 로그관리 체제를 구축함으로써 장애나 보안사고 발생시 원인규명과 책임소재를 명확히 파악하기 위함이다. 특히 외부 공격은 물론 내부에서 사고의 위험성이 높아지고 있는 오늘날의 현실은 로그의 수집, 보관, 그리고 사고 발생시 분석에 대한 필요성을 더욱 높인다. 특히 사이버 위협은 기업의 내외부를 가리지 않고 발생하고 있다는 점에서 외부로부터의 공격과 마찬가지로 내부로부터의 위협에 대해서도 대응이 필요하다.
기밀정보들과 높은 가치를 지닌 잠재적 정보에 보다 쉽게 접근할 수 있다는 점에서 내부자로 인한 위협은 대부분 정보유출 관련 사고다. 하지만 내부로부터의 위협은 정보유출에만 국한되지는 않는다. 사상 최악의 금융권 사고로 꼽히는 농협 전산장애의 경우, 기업 내부에 위치한 노트북PC에서 수행된 삭제명령이 원인이 됐다. 이는 내부로터의 위협에도 대응할 수 있는 능력이 필요함을 함을 주지시킨다.
이러한 측면에서 로그 데이터의 저장 수집이 중요시된다. 다양한 로그를 수집, 저장해 필요한 정보를 검색, 보고서를 생성해 IT 인프라의 상태와 사용현황을 알려주는 역할 뿐 아니라 보안사고 발생시 로그 데이터를 기초로 원인을 추적하고, 감사자료로 활용할 수 있다.
이는 구성원에게 활동의 기록을 인지시켜 불법적인 행위를 하지 않도록 하는 효과가 있다. 로그관리의 경우, ESM처럼 실시간으로 차단효과를 제공하는 것은 아니지만, 사후 감사자료로 활용될 수 있어 이를 내부 구성원이 인지한다면 회사에 불이익을 끼칠 수 있는 불법 행위를 하지 않도록 주의시키는 효과를 가져다 줄 수 있다.
보안 솔루션의 로그만 수집 분석하는 ESM과 달리 이 분야는 통합로그관리라는 명칭으로 시장이 형성돼 왔다. 별도의 시장으로 형성, 발전해 왔지만, APT와 같은 지능화된 위협의 등장, 내부위협요소 대응 등의 이슈에 의해 ESM으로 대표되는 보안관리 분야와 통합로그관리 분야의 거리는 더욱 가까워지고 있다.
보안의 관점에서 모든 로그 데이터를 수집, 분석, 대응해야 하는 시장 요구에 맞춰 보안관리 분야의 솔루션이 보안로그 이외의 로그 수집, 저장, 분석으로 나아가고 있으며, 로그의 효율적 수집 저장 능력이 중시되던 통합로그관리 분야에서도 보안적 측면에서의 분석 능력이 중시되면서 두 분야간 거리가 급속도로 줄어들고 있는 것이다.
물론 아직 초점은 다른 모습이다. 통합로그 관리 분야는 로그의 효과적 수집과 변조없는 저장이 보다 더 중요시되는 반면, 보안관리 관점에서의 로그의 통합 수집은 보안적 관점에서의 분석을 통해 사고를 예방하거나 신속한 대응에 보다 더 무게 중심을 두고 있다. 하지만 두 분야의 거리는 줄어들고 있음은 분명한 현상이다.
국내 대표적인 ESM 기업인 이글루시큐리티의 움직임은 이를 잘 보여준다. 이글루시큐리티는 2012년 신제품 발표회에서 다양한 IT 인프라스트럭처에서 발생하는 로그를 통합 수집해 이를 기반으로 다양한 위협에 대응할 수 있는 플랫폼으로 ‘IS센터’를 발표했다. IS센터는 로그의 통합 수집을 기반하며, 이에 통합로그관리 시스템의 기능이 포함돼 있다. 또 ESM, 정보유출방지, 개인정보관리 등이 모듈식로 통합돼 컴플라이언스 이슈에 대응하고, 침해사고에 즉각적으로 대응할 수 있도록 한다.
김진석 이글루시큐리티 이사는 “더욱 지능화된 위협과 IT 환경 변화에 따라 보안관리의 패러다임 변화가 일어나고 있다”면서 “이는 보안관리가 단순히 사이버 위협에 대응에 그치지 않고, 비즈니스의 실질적 위험에 대응하는 방향으로의 진화요구며, 이글루시큐리티는 IS센터로 이에 부응하고 있다”고 말했다.
