조기경보, 진정한 싸이렌이 될 수 있나

[전망]“정보보호 뉴스 속보입니다. 어제 중국에서 발생한 △△웜의 영향으로 빠르면 오늘, 늦어도 내일에는 국내 네트워크 망 전체가 웜의 영향권에 들어 예년에 비해 트래픽이 40% 이상 증가할 것으로 보입니다. 보안업체들의 신속한 패턴 업데이트에도 불구하고 오늘을 기점으로 3~4일 지속될 것으로 보이는 이번 웜은 특히, 제조업계에 큰 피해를 안겨줄 것으로 예상돼 해당 분야 관리자들은 백신 업데이트와 방화벽 보안정책에 만전을 기해 주시기 바랍니다. 오늘의 보안경보는 ‘경고’단계입니다.”

가상으로 꾸며본 정보보호 관련 뉴스지만, 현재 조기경보 시스템 혹은 위협관리 시스템이라는 이름으로 등장하는 시스템과 서비스가 정착된다면 이런 가상 뉴스가 불가능한 일만도 아니다. 물론 얼마나 정확하고 신뢰할 수 있는 정보인지가 문제겠지만 말이다.

                                                   취재 임 재 우 기자

대부분의 사람들은 기상 뉴스를 통해 내일의 날씨를 확인하고, 우산을 준비한다든지, 기후에 맞는 옷차림을 준비한다. 때론 기상예보가 정확할 때도 혹은 터무니없게 틀릴 때도 많지만 많은 사람들은 이런 일기예보를 판단기준으로 삼고 있다. 마찬가지로 최근 등장하는 조기경보 시스템이나 위협관리 시스템은 지금까지 등장했던 다양한 위협을 토대로 미래의 위협들을 예상해 예·경보, 대응방법, 복구절차 등 일련의 정보를 제공하겠다는 것이다.

조기경보의 우산 속으로

정보보호에 대한 중요성이 부각되면서 등장한 백신, 침입차단 시스템, 침입탐지 시스템 등의 일련이 솔루션들은 기업의 네트워크와 시스템의 안전성 확보에 일조를 해왔지만, 알려지지 않은 취약점이나 해킹에 대한 대응시간의 한계는 분명했다. 알려지지 않은 공격을 막는다는 IPS가 지난해부터 끊임없이 회자되는 배경에는 기존 보안 솔루션들이 할 수 없었던 사전대응 기능이 사용자들의 관심을 끌었기 때문이라고 볼 수 있다. 바꿔 말하면, 사용자들의 주된 관심사가 알려진 공격에 대한 대처보다는 알려지지 않은 공격으로부터 IT 자산을 어떻게 보호할 것인가로 이동하고 있다는 의미다.

이런 시장의 요구 속에서 등장한 조기경보 시스템 혹은 이보다 한발 더 나아간 위협관리 시스템은 네트워크의 이상 징후를 탐지해 예·경보함으로써 조기대응이 가능하도록 한다는 개념이다. 개념상으로 본다면 조기경보 시스템은 현재의 정보보호 수준을 한 단계 끌어올릴 수도 있어 보인다.

하지만 알려지지 않은 공격에 대한 대응의 시도는 조기경보가 언급되기 전인 IPS 논쟁을 통해서도 충분히 있어왔고, 그럼에도 불구하고, 알려지지 않은 공격과 이상현상에 대한 해법을 제시하기 위해 여전히 추가적인 보완책이 등장하고 있다. 여전히 미완성이라는 얘기다. 그렇다면 이들과 조기경보 시스템은 어떻게 다르다는 것일까.

무엇보다 조기경보를 제공하는 업체들은 ‘보다 체계적’이고 ‘보다 광범위한’ 정보를 토대로 위협을 판별해 낸다고 강조한다. 특히, 네트워크 상에서 발생하는 일상적인 트래픽과 이벤트를 지속적으로 모니터링하고 분석·수치화해 이를 토대로 기준을 만들어 위배되는 트래픽이나 이벤트가 발생할 경우, 실질적인 대처가 가능하도록 한다고 한다.

표 1의 정보수집 방법에서 볼 수 있듯, 조기경보는 특정 기업 및 기관의 라우터나 침입탐지 시스템에서 추출한 데이터가 아닌 광범위하게 퍼져있는 네트워크 시스템과 보안 시스템에 국한된 공격유형을 통계로 간추려 놓기 때문에 보다 확실한 데이터가 될 수 있다는 것이다. 또 여기에 산업별, 국가별, 지역별, 기관별로 기초 데이터를 분류해 놓음으로써 위협경보에 대한 신뢰성를 높일 수 있다고 강조하고 있다.

ESM의 문제, 조기경보는 극복하나

조기경보 시스템이 표방하는 이와 같은 체계가 물론 처음으로 제기되는 것은 아니다. 다양한 네트워크 보안 솔루션들의 통합과 정부수집 및 판단 그리고 대응. 한때 정보보호 관리자들에게 꿈의 솔루션으로 불렀던 ESM과 시스템적으로 매우 흡사하다. 일부에서는 조기경보 시스템에 대한 의심의 눈초리가 높은데, 그 배경에는 ESM이 해결하지 못했던 문제를 조기경보 시스템 역시 안고 있다고 보기 때문이다.

ESM은 보안관련 업무, 인력, 비용문제를 자동화된 관리 도구를 이용해 최소의 인력과 비용으로 최대의 효과를 얻기 위해 등장했다. 특히, 각 솔루션을 통합해 관리함으로써 기업이 당면한 그리고 당면할 위협을 관리자에게 경보해 줄 수 있어, 많은 보안 솔루션을 다뤄야 했던 관리자들에게는 ‘마법의 지팡이’로 통했다. 이처럼 다양한 보안 솔루션을 통해 파악된 위협을 통합 관리해 관리자에게 알려줌으로써 조치를 취하도록 한다는 점에서 조기경보 시스템과 ESM은 같은 ‘핏줄’로 인식되고 있다.

하지만 ESM의 경우, 두 가지 문제에서 많은 점수를 잃어왔다. 첫 번째는 수집하는 데이터의 신뢰성을 어떻게 보장하느냐, 즉 ESM이 판단하는 위협이 진정한 위협인지 아닌지를 증명할 수 있는 방법이 없다는 것이다.

두 번째 위협발생 시 대책과 조치가 전적으로 관리자의 능력에 따라 좌우돼, 실질적으로 ESM이 줘야 할 역할이 기대치에 못 미친다는 것이 일반 사용자들의 평가였다. 시스템적으로 ESM의 연장선상에 있는 조기경보 시스템이 뛰어난 발상임에도 불구하고 그 개념만큼이나 대접을 못 받고 있는 원인도 이와 무관하지 않다.

데이터의 신뢰성, 정확성 모두 가능할까

ESM이 가진 현실적인 문제를 인정한 ESM 업체 관계자는 “조기경보 시스템의 의미자체만으로 볼 때 궁극적으로 모든 보안 솔루션이나 서비스가 가야 할 방향임에는 틀림없다”고 전제하면서도 “하지만 기존의 ESM이 가진 문제를 조기경보 시스템이 어떻게 극복했느냐를 증명해야 할 것”이라고 조기경보 시스템에 대해 의구심을 나타내기도 했다. 그 근거로 조기경보를 위해 필요한 데이터 수집을 위해서는 ISAC이나 CERT와 같은 국내의 정보보호 커뮤니티의 활성화가 전제되어야 하지만 현실적인 상황은 그렇지 않다고 주장한다.

일기예보의 경우, 지난 몇 년간 날씨가 어떠했는지를 분석하고, 최근의 기상상황과 주변 국가들의 기상상황 그리고 국내의 지형을 종합적으로 고려해 최종적으로 ‘예보’가 등장하게 된다. 이때 중요한 것은 과거의 날씨 변화와 주변 국가들의 상황, 그리고 국내의 지형적 상황을 어떻게 확보하고 기존의 데이터를 수치화하느냐다.

마찬가지로 위협을 사전에 알려 대응한다는 조기경보 역시 이처럼 데이터를 통합해 분류·분석할 수 있어야 하는데 그 자료는 사용자 기업으로부터 수집되어야 하고, 또 해당업체에 맞는 정보를 제공하기 위해서는 기업들 상호간에 정보교류가 활발해져야 한다는 전제가 필요하다. 다만, 그것이 국내에서 혹은 전 세계적으로 가능하겠느냐 하는 것이다.

특히, 각 기업이 보유한 IT 자산과 밀접한 연관관계를 통해 기관이나 기업에 적절한 위협 정보를 제공하는 것이 진정한 조기경보이지만 그렇지 않을 경우, 조기경보 시스템은 ‘뜬구름 잡기’에 불과할 것이라고 평가하는 전문가들이 적지 않다.

국내 모 이동통신사의 보안관제 서비스를 제공함으로써 보안업체임과 동시에 사용자인 KTIS 최재규 부장은 “아직까지 조기경보 시스템만의 특징과 이점이 눈에 띄지 않는다”며, “궁극적으로 옳은 방향임에는 틀림없지만 현재까지는 보안 관리자의 역량을 높이고 산업별 ISAC과 CERT와 같은 커뮤니티를 발전시키는 것이 우선”이라며, 교육과 기업 및 기관별 정보교류에 더 많은 무게를 두고 있다.

보안 주체들의 정보교류가 관건

물론 이에 대한 조기경보 시스템 전문가들의 반론 역시 만만치 않다. Deepsight를 통해 조기경보 서비스를 제공하는 시만텍 코리아의 윤광택 과장은 “조기경보 시스템이 이뤄지기 위해 ISAC이나 정보보호 관련 커뮤니티의 활성화가 선행되어야 한다는 사실”에는 동의한다면서도 “하지만 한 그룹 내에서 이뤄지는 데이터를 조합해 위협을 알리는 기존 ESM과 달리, 다양한 지역과 기관 및 기업에 퍼져있는 센서와 시스템의 데이터를 분석 통합하는 만큼 향후에는 정보의 신뢰성과 정확성을 높일 수 있을 것”이라고 강조하고 있다.

또 어차피 조기경보가 최근 등장하기 시작한 만큼 지금부터 모든 기업에 적용되기 보다는 대기업이나 대형 IDC 혹은 ISP에게 효과적인 정보를 제공할 수 있을 것이라며, 조기경보에 대해 지나친 평가절하를 경계했다.

위협관리 시스템을 제공하는 정보보호기술의 이성권 부사장 역시 “보안 커뮤니티의 활성화와 조기경보는 닭과 달걀의 문제”임을 전제하고 “국내뿐만 아니라, 전 세계적으로도 보안조직은 폐쇄적이기 때문에, 오히려 조기경보나 위협관리 시스템이 이들 조직 간의 정보교류를 활성화시키는 촉매제가 될 수 있을 것이고, 또 조기경보가 정보보호가 가야할 궁극적인 방향이라면 누군가는 이런 작업을 해 나가야 한다”며 조기경보 시스템이 가진 의의를 역설했다.

지금까지 대부분의 솔루션들은 ‘이것만 있으면’이라는 식의 솔루션 지상주의를 표방해 왔다. 대표적인 것이 IPS였고, 초기 ESM 역시 크게 다르지 않았다. 하지만 각 기업들의 네트워크 속에 혹은 시스템 속에 설치되면서 이들 솔루션이 가진 환상은 하나둘씩 깨져갔다. 조기경보 시스템에 대한 사용자들의 반응이 회의적이고 또 냉정하기도 한 배경에는 지금까지의 시장상황이 크게 일조했다고 볼 수 있다.

하지만 조기경보 시스템이 표방하는 개념과 체계는 분명 정보보호 수준과 체계에 대해 큰 영향을 미칠 수 있는 시스템이고, 또 서비스라는 사실에는 어느 누구도 이의를 제기하지는 않는다. 하지만 지금까지 그랬던 것처럼 분명 ‘시스템’만으로는 조기경보에 대한 기대와 의의를 충족시킬 수는 없다. ISAC과 커뮤니티의 활성화라는 이 해묵은 숙제가 이번에는 조기경보 시스템의 성패에 가장 중요한 열쇠가 되고 있다.

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>