Q. 보안취약점과 관련해 ‘Continuous Monitoring’이란 말을 많이 합니다. 보안취약점을 왜 지속적으로 모니터링해야 하나요?

A. 먼저, 일반적인 보안취약점 점검절차를 간략하게 정리하면 아래와 같습니다. ① 스캐너 등을 이용하여 일정 주기에 따라 보안취약점 점검(연/분기 또는 월 단위) ②발견된 취약점(또는 문제점) 우선순위화 ③ 보안패치(또는 해결책) 일정 수립 및 적용 ④ 결과 리포팅 순으로 진행됩니다. 그러나 문제는 이렇게 취약점 점검을 한번 하고 다음 번에 취약점 점검을 할 때까지는, 취약점을 가진 새로운 자산이 네트워크에 연결되어도 이를 알 수가 없고 발견된 보안취약점이 확실하게 제거되었다는 것도 알 수 없다는 것입니다.

또한, 취약점을 가지고 있는 시스템에 해당 취약점을 노린 공격이 들어와도 단지 공격이 있었다는 사실만 알 뿐 해당 공격에 관리자 권한을 통째로 내어줄 수도 있는 중요한 사안이라는 것을 바로 알지 못할 수 있습니다. 그래서 결국 최악의 상황으로 이어질 수도 있습니다. 다시 말해 주기적인 취약점 점검만으로는 네트워크 상에 취약점이 언제라도 다시 발생할 수 있으며, 해킹 시도에 신속하게 대응하여 보안사고나 장애로 이어지지 않도록 하는 데에도 한계가 있을 수밖에 없습니다.

보안취약점 관리는 이렇게 단지 제거만의 문제가 아니라, 네트워크의 전체적인 보안성 또는 안정성 유지를 위해 수시로 모니터링 되어야 하고, 다른 보안 이벤트 로그 등과 함께 분석되어야 할 대상입니다. 그리고 이를 위해 제시된 개념이 바로 ‘Continuous Monitoring’입니다.

Continuous Monitoring을 하려면 다음의 4가지 요소가 필요합니다. ①보안 취약점 또는 시스템 설정(configuration) 점검 시스템 ②네트워크 트래픽 모니터링 시스템 ③네트워크, 보안 이벤트, 취약점 정보의 상관분석 시스템 ④ 위 내용들을 모두 한꺼번에 살펴볼 수 있고, 수집된 정보를 분석하며, 이를 위해 다수의 관련자들과 협업할 수 있는 중앙관리 시스템입니다.

위와 같이 구성된 Continuous Monitoring을 통해 네트워크에 연결된 시스템 자산 목록을 항상 최신으로 유지함으로써 협력업체 직원의 PC(즉, 일시적으로 네트워크를 사용하는 시스템)도 점검 대상에 포함시킬 수 있고, 취약점 점검 및 시스템 설정 점검(기준에 부합하는지 여부를 평가)을 24시간 지속적으로 진행하거나 점검 주기를 최소화 할 수 있습니다. 이와 함께 점검 결과와 함께 다른 수많은 이벤트들을 같이 분석함으로써 궁극적으로 운영능력 또는 사고대응 능력의 향상을 도모할 수 있습니다.

(유혁선 셀파인네트웍스 차장 /hyuksun@sherpain.net)

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>