성능과 보안 능력은 향상시키면서 비용은 감소시켜야

한 때는 단순한 장난이나 자기 과시를 위해 이루어졌던 사이버 공격이 이제는 금전적 이득을 취하는 데 그 목적을 두고 있다. 특히 최근 들어 다양한 형태의 사이버 공격이 전자 상거래에 사용되는 신용 카드의 정보를 빼내는데 집중적으로 사용되고 있다.

 

다행스러운 것은 이미 주요 신용 카드 회사들이 효과적으로 카드 정보를 보호할 수 있는 PCI-DSS 표준을 마련해 놓았다는 것이다. PCI-DSS는 지난 5년 동안 진화를 거듭하며 이제는 신용카드 관련 데이터의 처리와 저장, 전송 등 모든 절차에 걸쳐 반드시 준수해야만 하는 인증 체제로 자리 잡았다.

PCI-DSS는 신용카드 사용자의 정보 보호라는 비교적 좁은 분야에 관한 표준 같지만, 사실 대부분의 IT 규율과 기술, 즉 네트워크, DB, 웹 애플리케이션, 파일 시스템, 암호화, 핵심 보안 관련 프로세스 등을 포괄하는 폭넓은 규제이다. 이로 인해 기업의 컴플라이언스 이행 비용이 급격히 상승하며 비용적인 측면에서 PCI-DSS의 적용성에 대한 의문을 불러일으켰다.

올해 미국에서 발표된 한 연구 결과에 따르면 중소기업이 PCI-DSS와 SoX, HIPAA 등의 컴플라이언스 이행을 위해 지출하는 비용이 평균 350만 달러에 달하는 것으로 나타났다. 물론 PCI-DSS에 대한 투자가 기업에게 상당한 혜택을 제공하지만 노출된 위험에 비해 기업이 감수해야 할 비용과 복잡성에 대한 부담이 너무 크다는 데 문제가 있다.

그렇다면 PCI-DSS를 준수함에 있어서 소요되는 비용 및 복잡성을 줄이기 위해서는 어떠한 전략이 필요하고 어떠한 것들이 고려되어야 하는가?

무엇보다 PCI-DSS가 요구하는 12가지 권고사항에 각각 개별적인 솔루션으로 접근하는 것보다는 통합적인 시각으로 접근하는 것이 필요하다. 기업이 고려해야 할 핵심 규율로 유무선 네트워크, 데이터 및 DB, IT 자산 및 엔드 포인트, 그리고 웹 애플리케이션 등이 있는데 이러한 상황에 있어서 단일화된 통합 보안 장치를 배치해 해당 규율을 준수하는 것 이외엔 다른 선택의 여지가 없다. 때문에 성능과 보안 능력은 향상시키면서 비용은 감소시키는 통합적 접근법을 취하는 것이 매우 중요하다.

예를 들면 유선 네트워크 규율에 있어 PCI-DSS이 요구하는 핵심 사항은 제어된 네트워크 분리, 인바운드·아웃바운드 트래픽 플로우 및 DMZ 이행은 물론이고 차세대 방화벽조차 제공할 수 없는 기능들을 포함하고 있다. 이러한 모든 서비스를 비용 효과적으로 제공하고 구축할 수 있는 유일하고도 쉬운 방법은 UTM을 도입하는 것이다.

무선 네트워크의 경우에도 물리적 기기 내에 무선 컨트롤과 IPS 등이 내장된 씩 엑세스 포인트(Thick Access Point)의 배치를 최소화하고 반대로 유지 관리가 손쉬운 씬 엑세스 포인트(Thin Access Point)를 배치하는 것이 최상의 접근법이다. 씬 액세스 포인트는 무선 트래픽을 무선 컨트롤러로 이어주고 향상된 가시성과 정책 시행을 위한 투명한 관리 콘솔을 제공해 규모의 경제와 간편화된 보안 관리 능력을 실현시켜 준다.

PCI-DSS 준수를 위해 복수의 솔루션 업체를 사용하는 것은 다수의 개별 제품과 서비스의 배치로 이어져 복잡성의 증가(지원과 유지 보수, 자원 트레이닝)와 TCO(총 소유비용)의 증가를 가져온다. 가급적 솔루션 벤더의 숫자를 최소화하는 것은 Opex(운영 비용)과 Capex(자본 지출)을 획기적으로 줄이고 관리와 이행에 따른 복잡성을 제거하는 효과적인 방법이다. 또한 단일 업체에 의해 제공되는 공통 플랫폼이 기업의 보안 태도와 범위, 전체적인 PCI 프로젝트 실패의 위험을 낮추는 가시성 등을 향상시킬 수 있다.

<글 _ 포티넷 코리아 최원식 지사장(cchoi@fortinet.com)  

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>