근래에 들어 사이버 침해 사고에 대한 피해가 확산되고 정부 공공기관 및 기업체에서 정보보호의 중요성에 대한 인식이 확산됨에 따라 기관에서 보유하고 있는 네트워크 장비, 주요 서버 자원, 단위보안장비 등을 포함한 전사적인 전산자원에 대한 통합보안관제 구축 사업이 많이 활성화되고 있다.

기존에 일반적인 기관의 정보보호 시스템 구축 경향은 각각의 침해유형에 대처하기 위해 침입차단 시스템(Firewall), 침입방지 시스템(IPS), 유해트래픽 분석 시스템(TMS), DDoS 전용장비 등을 이용하여 보안체계를 구성하였으나 점차 고도화되고 지능적인 공격유형에 대처하기에는 한계점이 나타나게 되었다.

이에 대한 해결책으로써 모든 보안장비들을 중앙 통제 및 모니터링 하고 보안 이벤트들 사이의 연관성을 분석해 좀 더 효과적인 공격 탐지가 가능한 통합보안관리(ESM : Enterprise Security Management) 시스템을 이용한 보안관제 시스템의 구축 사업이 계속 증가하고 있는 추세다.

본고에서는 이러한 통합보안관리 시스템의 개념 및 통합보안관리 시스템을 이용한 보안관제 업무의 효율성과 이점에 대해 살펴보도록 하겠다.

통합보안관리 시스템의 개념

통합보안관리 시스템은 기관에서 보유하고 있는 다양한 보안장비로부터의 로그들을 중앙에서 수집 및 분석하여 다양한 형태의 분석 자료를 관리자에게 제공하며 보안장비들의 실시간 현황파악 및 이벤트 분석을 통한 위협정보의 제공 등 실시간 통합보안관제 기능을 제공하는 솔루션이다.

e-Pentagon ESM의 주요 기능

• 이기종 보안 시스템에서 발생하는 로그의 통합관리
• 발생하는 보안 로그들의 위험도 관리에 따른 경보 및 대응책 관리
• 로그 분석을 통한 네트워크 장애나 사고 발생시 원인 파악 제공
• 서로 다른 보안장비 로그들 사이의 연관성 분석을 통한 지능적이고 정확한 경보 제공
• 전체 수집한 보안로그들을 기반으로 한 보고서 제공으로 관제업무의 효율성 증대

비용절감(ROI)

현재 기관에서 가장 보편적으로 실시되고 있는 보안업무는 Firewall, IPS, DDoS 등의 단위보안장비들을 이용한 정보보호 체계의 구성이다. 이와 같은 경우 관리자는 각각의 보안장비들에서 발생하는 보안로그들을 수시로 모니터링 하고 각각의 보안장비에 별도의 보안정책을 설정하며 보안장비들에서 제공되는 통계 및 리포팅 자료들을 취합하여 분석 후 통합보고서 등을 작성하고 있는 실정이다. 이와 같은 상황에서 관리자는 다양한 종류의 보안장비들을 관리하는데 따른 업무의 가중 및 업무시간의 증가, 실제 기관에 피해를 주는 공격에 대한 분석의 어려움 등 효율적인 보안관리 업무를 하는 것이 어렵게 된다.

통합보안관리 시스템을 구축할 경우 단위 보안장비들로 부터의 보안 로그들을 중앙에서 취합하여 하나의 관제화면을 통해 전체 보안장비들의 운영 상황을 파악할 수 있으므로 관리자의 보안관제 업무의 효율성 향상은 물론 적은 인원으로 더 많은 업무를 처리할 수 있으므로 기관의 입장에서는 보안관리 업무의 효율성 증대는 물론 비용절감의 이점을 얻을 수 있다.

DDoS 공격 대응

지난해에 발생한 7.7 DDoS 대란과 같은 해킹 공격은 개인은 물론 국가적으로도 심각한 피해를 입히게 되었고 정보보호에 대한 중요성에 대해 다시 한번 인식시키는 계기가 되었다. 이와 같은 DDoS 공격의 피해에 대한 인식확산과 더불어 정부 및 기업에서도 DDoS 전용 보안장비들을 구축하는 등 보안시스템 구축 사업을 활발히 진행한 결과 올해에는 큰 피해 없이 넘어가는 성과를 보이기도 했다.

DDoS 공격의 특징은 일시적으로 대규모의 트래픽이 공격대상 시스템에 부하를 주어 서비스 제공의 불가 및 시스템의 물리적 피해를 입히는 등의 유형을 보인다. 하지만 현재 구축되어 있는 DDoS 장비들의 경우 어느 정도 DDoS 공격에 대한 차단과 경보 발령이 가능하지만 실제 공격이 시스템에 어느 정도의 피해를 유발했는지에 대한 정보는 알기 어려운 실정이다.

이 같은 경우 통합보안관리 시스템을 구축하여 운영하면 좀 더 정확한 피해 상황에 대해서 파악하는 것이 가능해진다.

예를 들면 통합보안관리 시스템의 경우 다양한 시스템들 간에 발생하는 보안 이벤트들 사이의 연관성을 분석해 경보를 알려주는 상관분석 기능을 제공한다.

기관의 보안담당자는 DDoS 전용장비에서 공격에 대한 이벤트가 발생하고 공격이 목표로 삼고 있는 목표시스템의 CPU, Memory, 트래픽 유입량 등에 대한 임계치를 설정하여 관제를 할 경우, DDoS 공격이 발생하여 실제 어느 시스템에서 피해를 입었는지에 대한 탐지가 가능해 진다. 결과적으로 관리자는 상관분석 기능을 이용하여 DDoS 공격 발생 후 목표시스템이 큰 피해를 입기 전에 미리 상황을 파악하고 대처하는 것이 가능해진다.

ESM을 이용한 원격 관리 기능

앞서 살펴본 바와 같이 ESM은 기관에서 보유하고 있는 모든 전산자원에 대한 통합모니터링 기능을 제공함으로써 실시간 시스템의 현황 파악 및 위협 상황에 대한 대처가 가능하도록 지원한다. 또한 ESM이 제공하는 기능 중 유용한 기능으로써 원격관리 기능을 들 수 있다.

ESM의 경우 침입차단시스템(Firewall)과 같은 보안장비와의 상호 연동을 통한 원격이벤트 모니터링 기능의 제공 및 원격에서 침입차단시스템의 접근통제 규칙을 설정하여 외부의 유해트래픽에 대한 차단이 가능한 원격제어 기능을 제공한다.

이와 같은 기능을 이용하여 관리자는 직접 침입차단 시스템에 접속하여 접근통제 규칙을 설정할 필요 없이 ESM을 이용하여 원격에서 제어를 함으로써 관리의 편리성을 제공해 준다.

보안관리의 효율성

ESM을 이용한 보안시스템의 구축은 현재 대부분의 중요 국가기관 및 기업체에서 많이 활성화되고 있으며 상기에 기술한 바와 같이 보안관리의 편리함과 비용절감 등의 효과를 가져오고 있다. 또한 기관에서 만들어 놓은 보안정책을 ESM을 이용하여 보안관제 정책에 반영함으로써 각각의 기관에 맞는 맞춤형 보안관제가 가능하도록 기능을 지원하고 있다. 또한 ESM은 기관의 모든 보안장비들에 대한 중앙 집중적 보안관제 기능의 제공과 더불어 일간·주간·월간 통계 및 보고 자료를 생성하여 보안 관리자로 하여금 기관의 보안현황에 대해 한눈에 파악이 가능하도록 지원하며 통계 데이터들을 바탕으로 현재 기관이 안고 있는 보안 문제점에 대한 현황 파악 및 보안정책을 개선하여 ESM에 반영함으로써 좀 더 완벽한 보안체제의 구축이 가능하도록 해준다.

모바일 시대의 맞춤형 관제

IT산업 중 올해 가장 이슈가 된 부분 중 하나가 바로 스마트폰일 것이다. 스마트폰은 데스크톱PC를 마치 손안에 옮겨 놓은 것처럼 인터넷 정보검색, 이메일 전송, 주식거래, 동영상 시청, 업무 문서 열람 등의 기능을 가능하게 했다. 이처럼 스마트폰을 이용한 개인업무 처리가 증가함에 따라 업무의 편리성이 증대하고 있는 반면 외부의 침해로부터 개인정보의 유출이나 과다한 사용요금 발생 등의 해킹 피해 또한 크게 염려가 되고 있는 부분이다.

향후 이러한 문제들을 해결하기 위해 스마트폰용 암호화 모듈이나 인증, 백신 등 개인PC에서 사용하던 보안모듈들이 스마트폰에서도 그대로 적용되어질 것으로 예상되고 있다. 또한 스마트폰의 사용량이 더욱 증가하고 업무 처리의 비중 또한 높아지면 지금의 ESM이 중요 보안장비에 대한 보안관제를 실시하듯이 스마트폰을 대상으로 한 보안관제 서비스도 제공될 것으로 기대된다. 이와 같은 스마트폰에 대한 관제를 실시할 경우 개인정보의 유출, 분실이나 도난에 대한 대비, 시스템 사용률에 대한 모니터링, 중요 파일에 대한 관리, 사용자의 정보 파악 등의 기능 제공이 가능하게 될 것이다.

보안관제 업무의 범위

전문적인 보안관제 업체들의 경우 기관에 관제 시스템을 구축하기에 앞서서 기관에서 보유하고 있는 보안장비들에 대한 운용 상태 파악 및 보안정책의 유무, 중요 관제대상 장비 파악, 보안시스템 구축 시 필요 사항 등에 대해 먼저 파악을 한 후 기관의 담당자에게 보안컨설팅을 제공하게 된다. 관제시스템 구축 후에는 보안관제 전문 인력을 파견하여 24시간 365일 보안관제를 실시하며 외부 침해 등이 발생했을 경우 실시간 경보 발령 및 대처 등의 업무를 처리하게 된다.

또한 보안관제 인력들은 보안장비들에 대한 모니터링 이외에도 기관에서 보유하고 있는 주요 서버, 네트워크 장비, 홈페이지 등에 대한 취약점 진단을 자체적으로 실시하여 보안장비들에서 발생하는 보안로그 이외에도 외부 해커에 의해 피해를 입을 수 있는 취약점에 대해서도 조기에 발견하고 조치하는 업무를 수행하게 된다.

ESM의 적용 사례

앞에서 살펴본 바와 같이 ESM은 주로 여러 대의 보안장비들을 운용하는 기업이나 공공기관 등에 구축되어 운영되는 경우가 가장 일반적이다.

특히 ESM은 어느 하나의 조직 내에 있는 보안장비들에 대한 관제 외에 국가기관들처럼 하위기관과 상위기관 사이의 보안관제 범위를 통합함으로써 가장 상위의 기관에서 하위에 소속되어 있는 모든 기관의 위협상황까지 실시간으로 파악할 수 있게 해주는 국가적인 종합상황실 구축에도 필수적인 보안솔루션이다.

ESM의 국내 대표적인 기업인 제이컴정보의 경우, 특히 군과 관련된 사업 분야에 많이 구축하고 있으며 근래에 구축하고 있는 해군 지휘통제(C4I) 사업의 경우 바다 위에서 경비 업무를 수행중인 군함에서 운영하고 있는 전산자원들에 대한 정보를 ESM을 이용하여 수집하고 인공위성을 통해 중앙 관제센터로 전송함으로써 함정들에서 발생하는 실시간 보안상황을 한눈에 파악할 수 있도록 구축한 ESM이 제공하는 높은 효용성을 입증하는 사례라 볼 수 있다. 상기에서 기술한 바와 같이 보안에 대한 인식 확산과 더불어 통합보안관리 시스템을 이용한 보안관제체계의 구축은 기관의 보안수준을 향상시키는데 필수적인 요소로 인식되고 있다.

결론적으로 완벽한 보안이란 존재하지 않지만 기관의 보안수준을 향상하기 위해서는 먼저 기관에 적합한 보안관리 체계가 마련되어 있어야 할 것이며 검증된 보안관제 솔루션의 운영 그리고 숙련된 보안관제 인력의 양성 및 배치의 세 가지 요소가 잘 조화되어 외부의 침해사고 발생 시에도 기관의 피해를 최소화하고 즉각적으로 침해사고에 대한 전파 및 공유가 가능하도록 하여 향후의 보안침해에 대해 예방이 가능한 보안관리 체계가 가능해지도록 해야 할 것이다.

<글 : 조성규 제이컴정보 연구소장(flashbit@jcsi.co.kr)>

[월간 정보보호21c 통권 제122호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>