• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

CTM의 개념과 필요성 2007.03.12

디지털 생활 영역의 확장과 함께 보안 위협도 양적·질적 측면 모두에서 무서운 속도로 팽창하고 있다. 변종 바이러스, 웹 애플리케이션 및 브라우저 취약성 공격, 인스턴트 메시징을 통한 공격 등 보안 위협은 다각도에서 무차별적으로 행해지고 있으며, 그 피해규모도 점차 확산되고 있다.


기업들의 정보보안 환경을 살펴보면, 오늘날 대부분의 기업은 취약한 보안 환경을 유지하고 있다는 것을 알 수 있다. 특히, 현재 보안 환경이 제공하는 수준과 리스크에 적절히 대응하기 위해 필요한 보안수준 간의 격차가 점점 더 벌어지고 있는 것이 현실이다.


여러 가지 정보들을 종합해 봤을 때, 2005년 한 해 동안 전체 기업중 2/3 가량이 최소한 1번 이상의 보안사고를 경험했으며, 절반 이상이 최소한 3번의 사고를 경험한 것으로 추정되고 있다. 이렇듯 실제 기업에 대한 보안 공격이 성공하는 사례가 놀랄만한 속도로 증가하고 있다는 결과는 이러한 주장을 뒷받침하기에 충분하다.


빠르게, 그리고 지속적으로 변화하는 보안 환경과 새로운 법률 규정, 사후 대응적인 보안 환경의 한계 등은 효율적 위협관리 솔루션을 필요로 하는 오늘날 기업이 당면한 주요 문제다. 오늘날 기업이 이러한 이슈들을 방치한다면 문제가 더욱 악화되는 결과를 초래하게 될 것이다.


따라서 기업은 적절한 정보보안 솔루션을 구현하기 위한 투자를 진행해야만 한다. 적절하면서 효과적인 보안 관리는 바로 사전 예방적이고 포괄적인 보안 환경을 조성하는 것이다. 이렇듯 보안 솔루션에 대한 패러다임을 전환할 필요성이 커지고 있는 상황에서 등장한 개념이 바로 ‘Comprehensive Threat Management(포괄적 위협관리)’라는 것이다.


CTM(포괄적 위협관리)란 무엇인가                                             


Comprehensive Threat Management(포괄적 위협 관리)는 최신 보안 공격을 효과적으로 차단하기 위한 개념이다. 이는 사전 예방적이며, 인터넷 경계지점에 한정되지 않고 전체 컴퓨터 환경을 포괄할 수 있는 멀티-티어(multi-tier) 보안 환경을 제공하는 것을 의미한다.


사전 예방적이란, 명시적으로 파악되지 않은 보안 위협에 효과적으로 대응하고 차단할 수 있다는 의미다. 사전 예방적 보안 환경에서는 각 보안 위협별로 시그니처를 만들어 관리하는 대신 패턴에 추가되지 않은 바이러스 및 악성코드의 검사능력을 향상시킬 수 있는 신기술인 휴리스틱, 취약점기반 시그니처, 프로토콜 이행(Anomaly) 알고리즘과 같은 메커니즘을 이용해 대응한다. 이러한 메커니즘은 이미 알려진 위협뿐 아니라 알려지지 않은 위협에 대한 대처를 가능케 한다.


기업은 이렇듯 강화된 보안 환경 하에서 보다 체계적인 방법으로 보안 취약점에 대처할 수 있다. 또한, 보안 위협 및 취약점에 대한 조기경보 환경을 제공해 기업이 사전에 조치를 취할 수 있도록 하는 것을 사전 예방적인 대응으로 분류할 수도 있다.


예를 들어, 한국의 일부 기업에서 최초로 감지된 신종 웜에 대한 경고가 전 세계 고객들에게 전송되면 이들 고객들은 방화벽의 해당 포트를 차단해 문제발생 가능성을 조기에 차단할 수 있게 될 것이다. 여기서 한 단계 더 나아가 잠재적인 보안 위협의 발생 가능성을 예측하는 것 또한 ‘사전 예방적’ 대응으로 분류될 수 있다. 이러한 접근 방식 또한 포괄적 보안 솔루션의 핵심요소로 활용되고 있다.


멀티-티어란, 기업 네트워크의 경계지점만이 아닌 기업 전체의 리소스를 보호할 수 있는 솔루션을 의미한다. 인터넷 경계지점 이외에도 내부 네트워크, 원격 사무실, 엔드유저 워크스테이션, 중요 서버와의 네트워크 연결에 대한 감시를 강화할 필요가 있다. 이러한 대안을 통해 내부에서 발생하는 보안 위협을 차단할 수 있을 뿐 아니라 경계지점의 보안체계를 우회해 침투하는 악성 코드를 차단하는 효과 또한 기대할 수 있게 된다.


그러나 한 가지 솔루션으로 모든 문제를 해결할 수 있으리라 기대하는 것은 곤란하다. 다시 말해 경계지점에서 효과적으로 사용해온 보안 솔루션을 전체 인프라스트럭처에 그대로 적용하는 식의 접근법으로는 확실한 보안을 보장할 수 없다는 말이다. 인프라스트럭처의 각 계층은 서로 다른 요구사항을 가지며, 커뮤니케이션 트래픽의 규모와 유형 또한 서로 상이하다. 따라서 계층별로 독자적인 보안기능이 구현되어야만 한다.



보안 솔루션에 요구되는 기본사항 충족이 우선돼야

                                            

포괄적 위협관리가 보안 솔루션에 대한 근본적인 패러다임 전환을 내포하고 있더라도 보안 솔루션에 기본적으로 요구되는 효율적이고, 효과적이고, 유연하고, 검증된 것이어야만 한다는 사항들을 필수적으로 충족시켜야 한다.


효율적(efficient)이란 쉽게 설치하고 운영할 수 있으며, 그 효과를 단기적으로나 장기적으로 확인할 수 있음을 의미하는 것이다. 효과적(effective)이란 보안 위협을 완벽하게 차단하는 한편으로, 정당한 접근 요청을 보장하고 핵심 비즈니스 정보의 가용성을 보장할 수 있어야 함을 의미한다.


또한, 유연성(flexible)은 오랜 기간에 걸쳐 변화하는 요구사항에 대응할 수 있음을 뜻하며, 검증된(proven) 솔루션이란 오랜 기간에 걸쳐 성공적으로 보안 솔루션을 제공해 온 업체로부터 기대할 수 있는 안정성을 의미한다.


포괄적 위협관리는 왜 중요한가     

                                                    

오늘날 보안 환경에서 가장 큰 문제는 대부분의 기업이 구축하고 있는 사후 대응적 보안 솔루션으로는 보안 위협 환경의 빠른 변화속도에 대한 대처가 불가능하다는 것이다. 그 어느 때보다도 보안 위협의 발견 및 확산이 신속하고 효율적인 형태로 수행되고 있고, 그 피해범위 또한 꾸준히 증가하고 있는 현실에서 이에 대처하기 위한 예산은 극히 제한적인 수준에서만 집행되고 있기 때문이다. 


언스트 앤 영의 ‘글로벌 정보보안 서베이 2005’ 자료에 의하면 기업이 전체 보안 예산의 절반 이상을 ‘일상 업무 및 보안사고 대응’에 할당하고 있으며, 예산의 17%만이 ‘핵심전략 프로젝트’를 위해 사용되고 있다고 한다. 따라서 오늘날 기업에게는 보안 위협에 있어 어느 한 분야만이 아닌 총체적인 분야에서 효과적으로 대처할 수 있는 개선된 솔루션이 필요한  것이다.


사후 패치 관리만의 한계

                                       

기업은 사전 예방적인 위협관리 기능을 통해 알려지지 않은 공격을 차단하고, 기업 내외부에서 발생한 보안 공격으로부터 모든 리소스를 효과적으로 보호할 수 있는 성능 및 비용 면에서 보다 효율적인 솔루션을 필요로 한다.


파일 기반 바이러스와 대량 메일 발송 웜은 여전히 매우 광범위한 확산 추세를 보이고 있다. 2005년 상반기 동안 이 두 가지 보안 공격 형태는 시만텍이 보고한 최상위 10개 악성 코드 샘플중 3개를 차지했다. 이렇듯 보안 위협의 수적인 증가 양상은 보안담당자뿐 아니라 기존에 구축된 보안 시스템에도 상당한 부담으로 작용하고 있다.


이 때문에 어떤 보안 위협이 가장 심각하게 고려돼야 하는지에 대한 연구를 통해 사전예방 조치를 강화해야 할 필요성이 커지고 있다. 처리해야 하는 이벤트와 보안 사고의 수 또한 증가될 것으로 예상되기 때문에, 보안관리자를 추가로 채용하거나 보다 효율적인 보안관리 툴을 추가로 구축해야 할 수도 있다.


특히, 보안 위협의 양적 팽창과 함께 확산속도가 점차 증가하고 있다는 사실을 감안하면 문제는 더욱 심각해진다. 현재의 사후반응적인 보안체계, 특히 보안 위협 시그니처에만 의존하는 안티바이러스, 침입탐지 솔루션은 새로운 공격을 조기에 감지할 수 있을 만큼 빠른 업데이트 주기를 제공하지 못하고 있기 때문이다.


또한, 효율적인 패치 관리의 중요성이 점점 줄어들고 있다는 점을 지적할 수 있다. 보안 취약점이 공개되고 이에 관련한 악성 코드가 개발되기까지 걸리는 시간이 수개월 단위였던 과거에는 보안 솔루션 업체들이 패치를 개발하고, 배포하며 테스트하기 위한 충분한 시간이 주어졌으나, 최근에는 이 기간이 평균 54일로 줄어들면서 패치가 제 시간에 개발될 수 있을 것이라 기대하기는 매우 어렵게 됐다.


물론 이처럼 패치 작업과 같은 사후반응적 대응이 장기적으로 분명한 효과를 가질 수 있다는 것은 분명한 사실이다. 그러나 이러한 이유 때문에 사후대응적 보안체계가 기업의 보안 전략에서 핵심적인 구성요소로 간주되고 있다는 점이 바로 문제로 지적된다. 


또한, 개발 프레임워크의 보안 취약점을 이용하는 사례가 급증하는 추세가 나타나고 있으며, 우회적인 수법을 차용한 복합적 위협의 빈도가 증가하고 있어 ‘복합적’인 보안체계의 필요성이 점차 높아지고 있다. 다시 말해서 사전 예방적일 뿐 아니라 동시에 다양한 탐지 메커니즘을 제공하는 보안 솔루션 즉, 애플리케이션 계층에 따른 차별적인 해결책을 제시할 수 있는 솔루션이 필요하게 된 것이다.


변화하는 비즈니스 인프라스트럭처를 위한 포괄적 보안관리   

                        

이러한 보안 환경의 변화와 관련해 문제를 더욱 심각하게 하는 몇 가지 요인중 하나는 보안 위협 범위의 확산이다. 기업들이 경쟁력 강화를 목적으로 WLAN, VoIP, 웹 서비스 등의 새로운 기술과 새로운 버전의 소프트웨어를 서둘러 도입하고 있다.


이는 결과적으로 관리·보호해야 하는 컴퓨팅 인프라스트럭처와 애플리케이션 규모가 증가함을 의미한다. 이 뿐만 아니라 인프라스트럭처가 점점 더 새롭고, 복잡하고, 분산된 형태를 보이는 문제를 초래하기도 하다. 이는 결국 코드, 설정, 관리상의 문제로 인한 보안 취약점이 점차 증가하는 현실로 나타나고 있다.


또한, 지금까지 기업은 인터넷과 내부 네트워크가 연결되는 지점의 보안을 강화해온 반면 내부 네트워크와 시스템에는 그다지 많은 관심을 쏟지 않았다. 하지만 외부 업체와의 연결이 강화될 뿐만 아니라 파트너 및 고객들이 기업 내부에서 근무하는 경우가 많아지고 직원들의 외부 이동이 잦아지면서 인터넷 경계지점을 우회하는 보안 공격의 가능성이 점차 높아지게 됐다. 이러한 문제 때문에 기업들은 내부 네트워크와 시스템을 보안감시 대상으로 추가하기 위한 작업을 진행하고 있다.



다양한 명시적·암시적 보안의무를 제시하는 법규와 규정 또한 내부 네트워크에 대한 보안을 강화하는 주된 동기로 작용하고 있다. 하지만 이러한 요구사항을 준수하기 위해 많은 리소스를 소모해야 하는 경우가 대부분이다.


또, 법규와 규정을 준수하는 것만으로도 보안수준은 충분하다는 잘못된 판단을 할 수도 있다. 최근 한 설문조사 결과에 의하면 컴플라이언스가 정보보안 프로젝트의 가장 우선적인 동기로 작용하고 있지만, 그 결과로 기업의 보안 아키텍처를 강화하거나 전반적인 전략을 개선하는 구체적인 작업이 수행되는 대신 정책, 프로시저의 생성, 업데이트와 같은 작업만이 우선적으로 이루어지고 있는 것으로 나타났다. 더구나 대부분의 법규는 정보보호를 위한 ‘최소한’의 의무만을 규정하고 있어 최근 발생하는 보안 사고에 대처하기에는 충분치 못하다고 할 수 있다.


마지막 문제는 바로 기업의 한정된 예산이다. 기업 보안예산이 점차 많아지고는 있지만 실제 보안 위협에 효과적으로 대처하기 위한 수준까지는 아직 도달하지 못하고 있으며, 다른 비즈니스 요구사항과 충돌을 빚는 경우가 자주 발생하고 있다.


인프라스트럭처와 비즈니스 환경이 끊임없이 변화하고 있다는 사실을 모두 감안했을 때, 이상적인 위협관리 솔루션은 효율성과 유연성을 동시에 제공할 수 있어야 한다. 특히, 보안담당부서의 입장에서는 현재 가용한 리소스를 이용해 처리해야 하는 과제가 너무도 방대하기 때문에 효과적인 위협관리 솔루션은 포괄적이면서도 위협에 대해 사전 대응할 수 있어야 한다.


능동적인 보안 시스템으로의 개선 필요   

                                              

네트워크 복잡성이 증가함에 따라 기업에게 노출되는 리스크의 수준 또한 증가한다. 복잡성이 높아지면 보안 위협이 침투할 수 있는 경로 또한 증가하고 더 많은 보안 취약점이 존재하며, 적절한 보호수준을 제공하기 위한 리소스 간의 경합이 발생하게 된다는 점을 감안하면 이는 너무나 당연한 결과다.

이러한 리스크에 대응하기 위해서는 보안 솔루션의 점진적인 개선이 필요하다. 복잡성이 낮은 환경에서는 사후 대응적인 조치만으로도 효과적일 수 있겠지만, 알려지지 않은 보안위협에 효과적으로 대처하기 위해서는 점차적으로 사전 예방적인 그리고 더 나아가 예측 가능한 환경으로의 이행이 필요하다.



대부분의 기업은 높은 네트워크 복잡성과 보안 리스크의 문제를 안고 있음에도 이에 대응하기 위한 충분한 사전 예방적 보안 환경을 구현하지 못하고 있다. 앞서 설명한 것처럼 이러한 문제는 보안 환경이 끊임없이 변화하고 있다는 사실에 그 원인이 있다.


악성 코드의 개발시간이 단축되고 확산속도 또한 증가하면서 보안 솔루션 업체와 운영자들이 대응책을 마련하기 위한 충분한 시간이 허용되지 않고 있다. 또한, 안티바이러스, 침입탐지 툴을 위한 시그니처를 생성하거나 취약한 시스템에 패치를 적용하는 작업이 제 시간 안에 이루어지지 못하고 있다.


이에 대비한 보다 사전 예방적인 성격의 대응방안이 마련되지 않는 한 앞으로 보안 공격의 성공률은 점점 더 높아지게 될 것이다. 그 결과로 기업은 정보접근의 차단, 데이터 손상, 정보 유출, 법적 제재, 신뢰도 저하, 법률 소송과 같은 피해를 감당해야 하며, 이러한 과정에서 기업이미지 하락은 물론 경제적인 피해를 입게 될 것이다. 또한, 사후 대응적인 체제를 상시 유지하는 과정에서 수반되는 생산성 저하 문제 또한 고려하지 않을 수 없다.


결과적으로, 최신 공격을 차단하기 위해서는 위협관리를 위한 최신의 방법론을 적용해야 한다. 포괄적 위협관리는 바로 이러한 사전 예방적인 형태의 대응 조치를 통해 보완이 이루어져야 함을 강조하고 있다. 다양한 기능의 보안 기능을 포함하는 멀티-티어 개념의 포괄적 위협관리는 사후 대응적, 사전 예방적, 사전 예측적인 대응조치들을 최적화된 방식으로 조합해 기업 IT 환경을 전면적으로 보호하고, 외부 공격에 대한 대응수준을 극대화할 수 있게 된다. 


포괄적 위협관리는 변화하는 환경에 대한 뛰어난 적응능력을 제공할 뿐만 아니라 관리 편의성을 극대화해 효율성을 향상시킬 수 있는 능동적인 보안 개념이다. 다음 호에서는 포괄적 위협관리 솔루션이 어떻게 다양한 위협관리에 대응할 수 있는지 또한 능동적인 보안 시스템을 구현하는 방법은 무엇인지에 대해 자세히 살펴보도록 하겠다. 

<글: 윤광택 시만텍코리아 제품기술본부 차장>


[월간 시큐리티월드(info@boannews.com)]


           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>