보안관리와 로그 정보는 IT 운영의 중요한 부분이며, 특히 조직이 정책과 규정에 많은 부분 영향을 받는다면 더욱 그러하다. SIM은 이러한 목표를 달성할 수 있게 도와준다. 또한 많은 정보보안 영역에서와 마찬가지로 SIM기술은 적절히 이행될 경우 회사가 보다 효과적으로 그 위험을 관리할 수 있다. 이러한 장점과 함께 SIM은 배치와 유지비용에서 비용과 시간이 소요된다.

네트워크가 쏟아내는 보안자료에 골머리를 앓고 있는가? 정보보안 총괄책임자들이라면 이러한 고민을 하게 될 것이다. 당신이 서로 다른 소스로부터 무수한 운용 로그들을 검토하고 그것들을 이해해야 한다면, 업무량에 치여서 현재의 보안상태를 파악하기가 쉽지 않다. 이러한 해결책으로 등장한 것이 보안사건관리(SEM)라고도 알려진 보안정보관리(SIM)다. 이런 시대적 흐름을 타고 점차 도입이 증가하고 있다.

간단히 말하면, 이 보안관리 시스템들은 운용 기록들을 통해 찾는 과정을 자동화한다. 또한, 자료를 표준화, 저장, 상관시키고, 효과적인 보고를 만들어내고, 경보를 발하고, 포렌식(Forensics)을 돕는다. 일단 방향과 목적이 정해지면, SIM이 그것을 구현할 것이다.

특히 규제가 많은 요즘 같은 시대에, 조직들은 네트워크 시스템과 애플리케이션 활동에 대해서 더욱 명확함을 원한다. 컴플라이언스는 SIM 시장의 최대 견인차 중 하나다. 가트너의 애널리스트인 암리트 윌리암스(Amrit Williams)씨는 “많은 감사들(Auditors)이 와서, 당신이 오랜 기간 동안 이 데이터를 기록하고 감시할 수 있어야 한다고 말한다”고 설명한다.

그러나 SIM은 간단하지 않다. SIM은 많은 관리와 급전(Feeding)을 필요로 한다.”고 커런트 애낼리시스(Current Analysis, 저명한 시장 조사기관)의 분석자인 앤드류 브라운베르크(Andrew Braunberg)씨는 말한다. 먼저, 당신의 요구를 결정하는 과정이 있다.

그리고 나서 회사는 환경에 가장 적합한 기술 유형을 결정해야 한다. 그리고 그 일은 거기서 끝이 아니다. 초기비용으로 25만달러에서 50만달러를 치러야 하고 연간 유지비용으로 적게는 4만 5,000달러에서 많게는 17만 5,000달러의 비용을 비불해야 한다고 윌리암스씨는 말한다.

그러나 SIM 기술이 효과적으로 운영될 때, SIM은 보안을 강화하고, 감사와 중역들을 만족시키고, 골칫거리를 많이 예방할 수 있다. 이제 작동중인 SIM을 살펴보자.

인터벌 인터내셔널社

감사받을 때 제 실력 발휘하는 ‘SIM’

세계적인 휴가 교환 네트워크를 운영하는 인터벌 인터내셔널(Interval International)은 21세기의 전환기에 종업원수를 기존의 두 배 규모인 2,000명으로 늘리고 e커머스 운영을 확장하면서 비약적으로 성장했다. 더불어 회사의 보안을 위해 복잡한 운영체제와 다중 보안 장치를 운영하는 기계, 그리고 거대한 네트워크를 설치해야 했다.

터벌의 정보보안총괄책임자(CISO)인 사잔 하미디(Sasan Hamidi)씨는 이런 복잡한 네트워크와 함께, 보안사건 모니터링을 위해 자동화된 시스템이 필요했다”고 말했다. 두 명의 정식 정보보안 직원과 몇 안 되는 파트 타이머들로는 수동적인 모니터링 업무가 가능하지 않았다.

또한, 약 3년 전에 IAC/InterActive社가 인터벌을 매입함으로써 더 이상 작은 개인 회사가 아니기 때문에 인터벌은 SOX 같은 규정들을 준수할 필요를 느꼈다. 이 때문에 감사를 위한  자동화된 기록 관리가 절실했다.

고위 관리층에 보안 프로젝트의 가치를 설득시키기가 힘들 수 있기 때문에, 하미디씨는 자금 지원을 얻기 위해 SIM 기술이 감사할 때의 이점에 대해 초점을 맞췄다. 그는 기록과 절차 생성, 보고를 통해 정선하여 내부 감사를 준비하는 데 도움이 되도록 인터벌이 하청업자를 고용하는데 지출한 비용을 계산했다.

하미디씨는 “우리는 SIM 환경을 관리하기 위해 효율적인 투자가 바로 SIM에 대해 돈을 지출하는 것임을 알게됐다”고 말했다.

회사는 세 공급자를 검토했고, 여러 가지 이유로 넷포렌식(netForensics)을 선택했다. 넷포렌식의 nFX 오픈 시큐리티 플랫폼은 인터벌의 이종 환경에서 거의 모든 유형의 제품들을 지원했다. 또한 넷포렌식은 nFX 오픈 시큐리티 플랫폼이 지원하지 않는 제품들에 대해서는 에이전트를 개발하는 것에 대해 인터벌과 기꺼이 협력하고 있었다.

또 다른 공급자가 모든 제품유형을 지원하는 기술을 약속했지만, 하미디씨는 그것이 올바른 접근인지에 대해 자신이 없었다고 말한다. “우리가 에이전트를 사용하는 여부는 그리 중요하지 않다. 우리의 최대 관심사는 우리의 모든 장치들에 대해 기록 관리와 보안사건관리의 관점에서 종합적인 배치를 얻는 것이었다”고 말한다.

이 시스템들에는 노벨(Novell), 유닉스, 윈도우, 솔라리스 서버, AS/400, 시스코 라우터, 호스트 기반 IDS, 주니퍼, 체크 포인트 방화벽, 소스파이어 네트워크 기반 IDS가 포함된다.

SIM의 보고 능력은 하미디씨 팀이 그들이 만든 제어에 대해 감사 추적(audit trail)을 쉽게 제공한다. 예를 들어, 그들 팀이 중요한 솔라리스 서버에 기록해 둔 주간 보고를 꺼내서, 불일치하는 부분이 있을 때는 검토할 수도 있다.

“이전에, 그 일은 상당히 고통스러웠다. 우리는 누군가가 모든 서버 기록을 수동적으로 확인하거나 우리 기록 서버에 들어가 호스트명으로 검색을 하게 해야 했다”고 하미디씨는 말한다.

SIM은 인터벌의 계약자가 네트워크에 가져온 일부 감염된 PC를 빠르게 탐지할 수 있게 했다. 그러나 오류 감지와 기술을 관리하는 것은 도전일 수 있다고 하미디씨는 말한다. 회사의 관리 운영 센터의 기술자들은 경보에 대해 훤히 알고 있는 정직원들을 도와 보안 관리를 완성한다. 그러나 SIM이 없다면, 필요한 보안 관리를 이루기 위해 4, 5배 더 많은 자원이 소요될 것이라고 그는 덧붙인다.

하미디씨는 그 프로젝트에 만족하지만, 만약 그것을 다시 해야 한다면 연구 단계에서 IT 그룹을 더 많이 관련시킬 것이다. 보안 팀은 기술을 실행하기 위해 SIM이 비즈니스에 어떻게 도움이 될지 완전히 이해하지 못 했던 다른 IT 직원들에게 의지해야 했다.

 “나는 이 사람들을 끌어들여 그들이 연구에 참가하라고 하고, 그들이 되도록 영업을 더 잘 할 수 있도록, 그들이 더 참가하게 할 것이다.”라고 그는 말한다.

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>