몇 년 전부터 보안 시장의 가장 큰 테마는 UTM(Unified Threat Management)을 목표로 내세운 다기능, 고성능의 통합보안 장비다. UTM은 기존 10여 년의 보안 시장을 총 망라해 방화벽, 가상사설망(VPN), 침입탐지시스템 및 침입방지시스템(IPS), 안티 바이러스, 안티 스팸과 같은 다양한 보안 기능을 단일 Appliance 형태로 구성해 관리의 복잡성을 최소화하고 복합적인 위협 요소를 효율적으로 방어하기 위한 통합보안솔루션으로의 그 요구가 점차 증가하고 있다.

UTM은 향후 대형 사이트에서 복잡해지는 보안기기에 대한 관리의 어려움과 성능적인 이슈를 복합적으로 처리하여 주력 보안솔루션으로 자리매김할 것이다. 보안 시장에서 대표적인 통합보안 장비로 자리매김할 UTM은 고객들의 고성능 다기능의 요구가 증가하면서 확장형 통합 위협관리(XTM)와 UTM융합기술인 FxTM까지 등장하고 있는 추세다.

정보보호 거버넌스 관점의 UTM

IT자원을 IT보안전략 목표와 연계하기 위한 보안 거버넌스의 관점에서 UTM의 도입은 중견기업이나 중소기업에서 저비용으로 최대의 효과를 얻을 수 있는 효율적인 보안 솔루션이다. UTM의 장점은 다중 위협에 대한 보호 기능을 제공하면서 설치와 사용은 단순하고 간결하다는 것이다. 그리고 여러 가지의 보안기능과 프로그램을 동시에 갱신할 수 있다. 

최근 몇 년간 보안솔루션의 경향은 어떻게 하면 다양한 공격 패턴에 따른 위협으로부터 방어할 수 있느냐는 것이었다. 이에 UTM이 뜨거운 감자로 떠올랐다. UTM의 학문적인 자료들은 보안솔루션 업체에서 공개한 기술 자료들이 많이 있다. 그래서 여기에서는 위협 요소에 따른 UTM(통합위협관리)의 특징과 경영진이 항상 고려하고 있는 IT자원을 IT보안전략 목표에 연계하기 위한 보안 거버넌스 관점으로 UTM 도입을 함으로써 저비용으로 최대의 효과를 얻을 수 있을 것이라 본다.

UTM, 왜 필요할까? ‘위협의 다양성’

이 글을 읽고 있는 독자뿐만 아니라 국내 대기업과 중소기업에서는 예전부터 외부로부터 위협요소를 방지, 탐지, 예방, 교정 목적을 위해 보안솔루션을 도입하여 사용하고 있을 것이라고 생각한다. 기본적인 방화벽(Firewall)을 비롯하여 VPN(가상사설네트워크), IDS(침입탐지시스템), IPS(침입방지시스템), 클라이언트 컴퓨터에 대한 컴퓨터 바이러스 탐지, 치료를 목적으로 한 Anti-Virus 소프트웨어를 사용하고 있을 것이다.

그렇다면 현재 존재하고 있는 정보시스템에 위협을 줄 수 있는 요소가 무엇인가에 대해 말을 하지 않을 수가 없을 것 같다. 언급한 다양한 목적의 보안솔루션을 구축하여 사용하고 있는 보안솔루션이 필요하게 된 위협(Threat)에 대해서 알아보자. 위협은 STRIDE로 구분할 수 있겠다. STRIDE가 무슨 IT전문용어라고 생각할 수 있겠지만 본인이 정리한 위협요소의 약자를 축약한 것이다.

위협의 요소:STRIDE

• Spoofing(변조) : 승인받은 사용자인체하여 시스템에 접근하려는 시도.
• Tampering(부당 변경) : 시스템이나 장비의 정당한 기능을 변경하는 비승인된 수정 행위. 시스템이 제공하는 보안 기능의 약화나 기능성의 훼손을 초래할 수 있다.
• Repudiation(부인) : 통신의 모든 부분 또는 일부에 관여하는 통신에서 관련된 개체 중 하나에 의한 거부, 메시지의 수신자가 송수신 사실을 부인하는 행위.
• Information Exposure(정보 유출) : 개인 또는 기업의 정보의 자산인 데이터와 개인정보가 외부로 유출되는 행위.
• Denial of Service(서비스 거부 공격) : 네트워크로 연결되어 있는 많-은 수의 호스트들의 패킷을 범람시킬 수 있는 DoS 공격용 프로그램을 분산 설치하여 이들이 서로 통합된 형태로 공격 대상 시스템에 대해 성능 저하 및 시스템 마비를 일으키는 기법.
• Elevation of Privilege(권한 상승) : 외부의 비인가된 사람(공격자)이 사용자, 프로그램, 프로세서에 부여된 시스템 관리자 특권권한을 획득하는 행위.

위에서 언급된 위협요소 여섯 가지 종류에 따른 수많은 공격방법과 패턴이 탄생하게 된 것이다. 이를 바탕으로 2000년 이후 공격기법은 더 이상 사람이 분석하고 대응할 수 있는 시간적인 한계를 이미 넘어섰으며 이러한 공격 패러다임은 단시간 내에 복합화된 악성 공격 형태로 변화 하게 되었다. 웜, 컴퓨터 바이러스, 그리고 해킹기법의 복합화, 다양화 등의 성격을 띠게 되었다.

• 취약점 자동 스캔, 자체메일 발송엔진, 감염 컴퓨터 원격제어 등 공격 자동화, 지능화.
• 웜, 바이러스 전파경로가 네트워크 직접 전파 이외에 E-mail, P2P 등 다원화로 컴퓨터 감염 증가.
• 다양한 변종 유포로 방어체계를 무력화 시킴(Bot 계열 2,000여종).

그래서 향후의 사이버 환경상의 공격은 고성능 서버 및 개인 PC와 보편화된 초고속인터넷이 초고속 전파수단으로 악용 최초 공격발생 후, 수 분 만에 전 세계의 컴퓨터를 감염시킨 공격이 이미 출현했으며 운영체제(OS)를 개발하는 다국적 벤더에서 보안 취약점 발표 후 24시간 내에 공격이 발생하는 Zero-Day의 초단기 공격이 자주 발생할 가능성이 높아질 것으로 예상된다.

UTM의 등장 배경

필자는 UTM의 탄생한 이유를 세 가지 측면에서 언급하고자 한다. 첫째 이유는 위협의 요소가 여섯 가지가 있다고 언급했다. 위협을 구체적으로 OSI(Open System Interconnection) 7 Layer의 기준에 따라 다음과 같이 해킹 공격을 구분하여 응용 계층부터 물리 계층까지 공격의 위협 종류가 단순히 특정 OSI 계층으로 있지 않다는 것을 증명하여 기존의 UTM의 필요성 이유로 내세웠던 여러 가지 보안 솔루션(Packet Filtering/ Application-Level/ Circuit-Level 동작방식에 따른 방화벽, 3세대 방화벽인 Stateful Firewall, IDS, IPS, Anti-Virus, Anti-Spam, 응용계층의 Contents Filtering 등)을 통합하기 위한 이유가 기본적인 배경이 될 수 있으나 엄밀히 이야기 하자면 보안 솔루션이 불가피하게 목적별로 필요한 이유는 OSI 7 Layer에 전 계층에 따른 공격이 다양해졌기 때문이다. 이제 OSI 7 Layer에 따른 사이버 공격 종류를 정리해 보자.

표 1과 같이 OSI 7 Layer를 중심으로 공격자에 의한 공격 패턴과 종류에 따라 여러 가지 보안 솔루션을 도입하게 되었고 각각의 보안 솔루션의 도입으로 비용 과다 및 시간 소요, 공간 및 인력 확보가 요구되면서 효과적인 관리가 필요하게 됐다. 또 다양한 보안 솔루션을 하나로 묶어 비용을 절감하고 각각의 보안 기능간 효과를 창출하면서 쉽게 운영, 관리가 가능할 수 있도록 하는 방안이 대두 되었는데 이것이 바로 UTM의 출현 배경이다.

UTM의 구성 요소와 장점

웜. 바이러스, 파이어월, VPN, IPS, 안티스팸, 안티스파이웨어 기능의 일부를 통합 구현하는 것을 기본으로 하고 있으나 안티바이러스 기능을 제외한 방화벽, 웜, 바이러스, VPN, IPS, 및 NLB, QoS 기능을 탑재한 제품도 있으며 다국적인 마이크로소프트에서도 UTM솔루션이 출시되었고 안티바이러스와 URL Filetering, HTTP Filetering, HTTPS Inspection(검사)기능이 탑재된 제품이 출시되었다.

기타 UTM 공급자로는 Fortinet, LokTek, Secure Computing Corpo ration, Cisco 그리고 시만텍 등이 있다.그러나 중요한 점은 기업의 효율성을 제고하여 통합보안에 맞게 제안 되어야 하겠다.

UTM의 장점은 다중 위협에 대해 보호 기능을 제공하며 단순하고 설치 및 사용이 간결하며 모든 보안 기능이나 프로그램을 동시에 갱신할 수 있는 점 등을 들 수 있다. 인터넷 위협의 특징과 다양성은 보다 복잡하게 발전하고 있기 때문에 UTM 제품 역시 이 모든 위협들에 대해 적절히 대응할 수 있도록 맞추어질 수 있다.

또한 보안 및 시스템 관리자들이 오랜 기간에 걸쳐 다양한 종류의 보안 프로그램들을 유지, 관리해야 하는 수고를 덜어줄 수 있겠다.

정보보안 거버넌스 관점의 UTM

UTM의 도입도 결국은 IT거버넌스 차원에서 IT자원을 활용하여 기업의 IT목적과 전략을 전략적으로 연계해 확장하는 것이 목적이다. 즉 UTM의 도입도 경영진 측면에서 고려할 때 이를 고려하지 않을 수 없다. 정보보안 거버넌스의 프레임워크에 따라 UTM 도입의 이익을 잘 판단해야 한다.

정보보안 거버넌스는 기업 거버넌스에 필수적이고 투명한 부분이 되어야 하며 IT프레임워크와 연계되어야 한다. 정보보안은 정보의 수명주기에 걸쳐 정보의 보호, 기밀성, 무결성, 가용성, 기업내의 정보사용을 다룬다. UTM이 정보보안 거버넌스의 다섯가지 영역(전략적 연계 → 가치 전달 → 자원 관리  → 위험 관리 → 성과 관리)중 어디에 관련되어 고려되어야 할까.

보안관련 투자는 기업의 목적을 지원함에 최적화되어야 하며 최적화된 투자 수준은 보안을 위한 전략목표가 달성되고 기업의 용인 가능한 위험수준(ALR:Acceptable Level Risk)이 최저의 가능한 비용으로 획득되었을 때 이루어진다.

즉 용인 가능한 위험수준은 결국 IT보안관련 투자의 최적화(최저의 비용으로 목적달성을 할 수 있다), 적은 비용으로 효율성을 얻을 수 있기 때문에 대기업보다는 중견기업, 중소기업의 고위급 경영진이 향후 관심을 가지고 UTM 도입에 대해 고려해볼 필요가 분명히 있을 것이다.

<글 : 이상훈 A3 Security 수석 컨설턴트(shlee311@hotmail.com)>

[월간 정보보호21c 통권 제118호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>