• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

시간과 비용 투자에 비해 효율적인 ‘SIM’ 2006.10.30

티 로우 프라이스社

시간과 비용 투자에 비해 효율적인 ‘SIM’

 

                     <보안 엔지니어인 데이빗 마스 (David Mass)>


2004년 말, 티 로우 프라이스(T. Rowe Price)사의 보안팀은 감사기준인 사베인즈 옥슬리(Sarbanes-Oxley)와 SAS70를 기준으로 예비 감사를 받았다. 그런데 내부 감사 결과, 투자 경영 회사가 보안사건 기록 관리 시스템을 보유하고 있지 않았고, 이 때문에 나쁜 감사점수를 받을 수 있는 상황에 놓이게 됐다.


실제 감사를 받기까지는 60일이 남아있었고 그 안에 시스템을 보유해야 했다. 이 회사의 수석 네트워크 보안 엔지니어인 데이빗 마스(David Mass)씨와 그의 직원들은 SIM 제품들을 재빠르게 검토했다. 이를 통해 도입할 SIM 목록을 네 가지로 좁힐 수 있었다. 데이빗 마스씨의 팀은 각각 하나씩 시험할 시간이 없어서, 사용하기 쉬운 어플라이언스를 약속한 공급자를 선택했다. 그 어플라이언스는 감사 장애를 넘기에는 충분했다. 한숨을 돌리긴 했지만 매출 증대까지는 이르지 못했고, 설정하고 관리하기에도 어려움이 있었다.


그 장치와 1년간 싸운 후 질려버린 티 로우 프라이스사는 아크사이트(ArcSight)로 새롭게 바꾸기로 결정했다. 마스씨는 처음에 소프트웨어 기반 솔루션을 배치해서 체크 포인트 방화벽과 블루코트 프록시 같은 기본 보안장치들로부터 로그들을 수집하고, 점차 시스코 라우터, 윈도우 박스, 주니퍼 방화벽을 포함해 더 많은 시스템들을 공급했다.


마스씨는, “우리는 아직도 배우고 있다. 그것은 상당히 많은 것을 요구하는 시스템”이라고 말했다.

볼티모어에 기반을 둔 티 로우 프라이스사는 보고를 실행하고, 에이전트를 바꾸고, 갑자기 생기는 문제들을 해결하면서 24시간 아크사이트 시스템을 관리하기 위해 네 명으로 구성된 네트워크 보안 팀에 새로이 한 명의 엔지니어를 보강했다.

학습곡선에도 불구하고, SIM은 감사와 보안 측면을 모두 지원한다. 관리자는 매달, 매주, 매일 수집된 거의 모든 데이터에 관해 보고할 수 있다. 한 가지 예로, 한 주에 얼마나 많은 사용자 계정이 삭제되었는지에 대해 마스씨가 하는 상세한 보고가 감사들이 원하는 것이다.


그 보고는 감사와 상급 관리자들에게 지금 환경에서 일어나고 있는 일에 대해 시각적으로 잘 알려준다. “우리는 전에 이런 걸 가져본 적이 없다.” 고 마스씨는 말한다.


여러 장치들로부터 중심지역으로 보안 사건을 수집함에 의해, SIM은 티 로우 프라이스가 사건들을 서로 관련시키고 경보를 유발하도록 한다. SIM은 또한 워크스테이션 감염을 추적하여 잡는 등 포렌식으로 보안팀을 돕는다.

 “SIM은 우리가 많은 포렉식 분석을 할 수 있게 한다. 데스크톱, 서버 또는 프록시 로그를 수동적으로 추적해야 하는 것 대신 우리가 한 장소에서 모든 일을 할 수 있도록 한다”고 마스씨는 말한다.


또한 SIM은 방화벽 유지관리를 더 쉽게 한다. 엔지니어들은 어떤 방화벽 규칙들이 사용중인 지 알 수 있다. 만약 어떤 방화벽 규칙이 오랫동안 사용되지 않고 있다면, 엔지니어들이 그 규칙을 제거할 수 있다. 이렇게 함으로써 방화벽의 성능이 향상되고, 또한 그 회사는 그것이 내부 보안장치의 감사를 받았다는 것을 증명하게 된다고 마스씨는 말한다.


티 로우 프라이스의 아크사이트 배치는 네 개의 박스로 구성돼 있다 : 하나는 아크사이트 매니저를 운영하는 것이고, 하나는 국소적으로 첨부된 스토리지 어레이와 함께 오라클 데이터베이스를 운영하고, 두 개는 시스템으로부터 사건 데이터를 끌어내기 위해 에이전트가 배치되어 있는 윈도우 기반 서버들이다. 또한 개별 시스템에서 직접 작동하는 몇 개의 에이전트들이 있다. 블루코트 장치들에 대해, 기록은 FTP를 통해 수집된다.


아크사이트로부터 보안 엔지니어들을 갖는 것이 배치를 성공적으로 하고 시간을 절약하는 데 도움이 될 수 있다. 하지만 마스씨는 테라바이트의 저장공간으로는 충분하지 않다는 것을 누구보다 잘 알았다. 그래서 프로젝트 재설계가 필요하게 됐다.

시간이 지남에 따라, 티 로우 프라이스는 SIM을 확장할 계획을 세우고 IMB 티볼리 액세스 매니저(IBM Tivoli Access Manager)와 같은 더 많은 장치들로부터 자료를 수집한다. 이 확장은 직원을 더 충원해야 하는 것을 의미할 수 있다고 마스씨는 말한다. 그러나 그는 일단 회사가 경보를 유발하기 위해 SIM에 더 많은 상관관계 규칙을 시행하면, 직원들의 기록, 감시일이 훨씬 더 줄어들 것으로 강조했다.

[보안뉴스(info@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>