• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

취약점 관리 솔루션 시장, 후끈 달아오르나? 2013.03.28

Qualys 사 국내 본격 진출...지니온 ‘Qualys Guard’ 공식 론칭

컴플라이언스 준수·비용 절감 위한 취약점 관리 솔루션 시장 기대


[보안뉴스 김태형] 취약점 관리, 보안 컨설팅 전문기업 지니온(www.zinion.co.kr)은 27일 서울 강남 노보텔에서 ‘취약점 관리체계 구축 Knock Down Day’를 개최하고 취약점 관리 프로세스 구축을 위한 솔루션 ‘Qualys Guard’를 국내에 공식 론칭했다.


    


‘Qualys Guard’는 기업 전체에 걸쳐 네트워크 검색 및 매핑, 자산 우선순위 지정, 비즈니스 위험에 따른 취약점 평가 보고 및 취약점 제거 추적 등을 비롯한 네트워크 감사 및 취약점 관리의 라이프사이클 주기를 자동화한다.


보안관리자는 Qualys Guard의 취약점 관리를 통해 내부 정책 및 외부 규정을 준수하면서 네트워크 보안을 감사, 적용 및 문서화할 수 있으며 온디멘드 방식의 SaaS(서비스형 소프트웨어) 솔루션이어서 인프라를 별도로 배포 또는 관리할 필요가 없다.


지니온 취약점 관리 컨설턴트부문의 박관순 부장은 “기업이나 기관에서 취약점 관리가 필요한 이유는 해커의 위협으로부터 자산을 보호할 수 있는지 확인이 필요하기 때문이다. 현재 400,000개 이상의 알려진 취약점이 존재하고 하루에 10개 이상의 취약점이 발표된다”면서 “취약점은 지속적으로 증가하기 때문에 지속적으로 이를 제거하지 않으면 실제적인 위협에 대응할 수 없다. 모든 취약점을 다 제거할 수는 없지만 한정된 자원으로 효율적인 제거가 필요하다”고 설명했다. 


개정된 정통망법에 의하면 정보통신서비스 제공자는 연 1회 이상 취약점 점검을 실시해야 하고 발견된 취약점을 보완해야 하며, 주요정보통신기반시설의 관리기관 장은 대통령령이 정하는 바에 따라 비정기적으로 소관 주요정보통신기반시설의 취약점을 분석·평가해야 한다.


특히, 주요정보통신기반시설은 지정 후 6개월 이내에 자산분류, 중요도 산정, 정밀점검 등을 포함해 취약점 점검을 매년 실시해야 하며, PC, DB항목 등을 비롯한 총 453개 항목에 대한 점검을 해야 한다.


이러한 취약점 점검은 컴퓨터의 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점, 즉 CVE(Common Vulnerabilities and Expousures) 항목을 말하는데, 예를 들면 CVE-2010-0232, MS10-015, 마이크로소프트 윈도우 커널 권한 상승 취약점 등이 이에 해당한다.


그리고 사용자에게 허용된 권한 이상의 동작이나 허용된 이상이 정보 열람, 변조, 유출을 가능하게 하는 약점, 즉 CCE(Common Configuration Enumeration) 항목을 의미한다. 예를 들면 정보통신망법의 패스워드 길이와 조합법, 8자리 이상의 숫자 알파벳, 특수 문자 조합 등을 말한다.


박관순 부장은 “Qualys Guard는 △외부에서 정보가 없는 상태에서 공격자 관점으로 점검 △내부 일반 사용자 관점에서 점검 △내부 권한 있는 사용자의 관점으로 점검 등의 클라우드 방식의 최적화된 취약점 점검을 제공한다”고 설명했다.


또한, 그는 “Qualys Guard는 하나의 통합된 환경에서 Policy Compliance, PCI Compliance, Web Application Scanning, Malware Detection Service, SECURE Seal 등의 글로벌 취약점 관리와 컴플라이언스 준수를 동시에 제공한다”고 덧붙였다.


특히, Capex(감가상각 자본적 지출)가 발생하지 않고, 사업 확장 축소 시 유연한 대처와 투자 보호가 가능하며, 유지보수와 업그레이드가 필요 없기에 이와 관련된 보안 이슈도 없는 것이 장점이다. 그리고 내부에 데이터베이스와 리포팅 시스템 관리가 필요 없고 보안 플랫폼을 제공하며, 내부 자원을 기회비용이 높은 업무에 할당할 수 있는 점도 특징이다.


한편 ‘Qualys Guard’를 개발 공급하고 있는 Qualys사는 미국에 본사를 두고 있다. 1999년부터 전 세계 100개국 6,200개 이상 고객사에 취약점 관리 프로세스를 제공하고 있고, 총 6억개 이상의 IP를 관리하고 있는 취약점 관리 솔루션이다.


지니온은 이처럼 한국시장에 가장 적합한 취약점 제거 및 컴플라이언스 준수를 효과적으로 하기 위한 방안으로 ‘Qualys Guard’를 국내 공급한다고 밝혔다. 


이와 관련 박 부장은 “Qualys Guard는 작은 규모의 중소기업부터 글로벌 기업까지 취약점 및 컴플라이언스 관리를 제공하기 때문에 인프라 투자가 어려운 작은 기업도 저렴한 비용으로 보안위험을 줄이고 컴플라언스를 준수하는 서비스를 받을 수 있다”고 말했다. 

 

“특히, 다양한 국내 기업의 요구와 환경에 적합하도록 커스터마이징이 가능하기 때문에 국내 공공·금융·의료 등의 산업 분야에서의 취약점 관리, 개인정보보호법·정보통신망법과 같은 컴플라이언스 준수, 주요정보통신기반시설 등의 취약점 점검을 위한 최적의 솔루션”이라고 그는 강조했다.

 

지니온은 Qualys Guard의 국내 총판으로 국내의 다양한 산업 분야에 적극적인 영업을 통해 시장을 확대할 계획이다. 

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>