악성코드의 공격유형이 다양화되고 웜 바이러스의 등장주기가 날로 짧아져 모든 조직에게 위협이 되고 있지만 일반 기업에서는 PMS의 필요성을 인식하지 못하고 있다. PMS는 기업의 경영성과를 높이기 위해 필수적으로 갖춰야 할 기본적인 인프라로 민간 시장으로의 확대가 필요하다.

네트워크접근제어(NAC), 통합위협관리(UTM), 위험관리시스템(RMS)….

요즘 보안 분야에서 각광받고 있는 이슈들이다. 지난 2004년부터 지난해까지 화두가 됐던 패치관리 시스템(PMS)은 요즘 다소 잠잠해 보인다. 그러나 ‘조용한 물이 깊다’는 말처럼 PMS 업체들은 조용히, 하지만 빠르게 입지를 넓히고 있다.

PMS 덕분에 많은 조직이 새로운 패치에 대한 걱정을 접어둘 수 있지만 PMS를 사용하는 기관은 대부분 정부·공공기관이다. 우리사회 전체 조직 중 민간 기업이 차지하는 비중은 공공기관보다 훨씬 크다. 민간 기업은 PMS가 추가로 확장해야 하는 새로운 도전영역이다.

PMS는 전국의 인터넷이 불통됐던 1·25 대란으로 크게 성장했다. 이후 급증하는 웜·바이러스로 인해 빠른 속도로 시장을 확장해 갔다. PC를 통해 전파되는 웜·바이러스는 날이 갈수록 지능적인 방법으로 공격했기 때문에 기존의 보안환경으로 이에 대처하기는 역부족이었다. 백신은 피해가 발생한 후 이를 치료해주는 성격이기 때문에 분명한 한계가 있다.

보안취약점을 철저히 점검하고 이를 해결하기 위해 체계적으로 패치 업데이트를 해야 한다. 조직의 전산담당자가 내부시스템에 패치를 제대로 적용하려면 시스템 당 적어도 2~3시간을 투자해야 했다. 1~2대의 PC만 패치설치가 이뤄지지 않아도 웜·바이러스는 취약한 PC를 통해 전 시스템을 마비시킨다. 자동화된 패치 관리와 설치유도 기능을 제공하는 PMS는 이러한 문제를 해결해주면서 기존 40~50%였던 패치율을 90% 이상으로 끌어올렸다.

 

국가·공공기관의 PMS 도입 논의가 이뤄진 것은 2003년이며 2004년 국회 국정감사에서 PMS 도입 의무화의 필요성이 제기됐다. 정통부는 공공기관 해킹방지 대책으로 모든 기관의 PMS 도입을 지시했다. 2005년 교육인적자원부가 초·중·고·대학 내 보안패치설치를 의무화하기도 했다. 이러한 정책지원을 통해 공공기관이 PMS 도입을 늘렸으며 현재 국회사무처, 대검찰청, 경찰청, 금융감독원 및 전국의 주요 대학 등이 PMS를 도입했다.

공공기관에서는 PMS 도입이 활발하게 이뤄지고 있지만 민간 기업으로의 확산은 좀처럼 이뤄지지 않고 있다. 정보보호진흥원 산하의 인터넷침해사고대응지원센터가 정기적으로 발표하는 ‘해킹 바이러스 통계 및 분석 월보’를 통해 보면, 기업, 대학, 비영리, 연구소, 네트워크, 기타(개인) 중 보안사고 발생 건수가 가장 많은 곳은 기업 및 기타(개인)이다. 이는 민간 기업의 PMS 도입률과 결코 무관하지 않다고 할 수 있다.

얼마 전 정보통신부와 한국정보사회진흥원이 공동 발간한 ‘2007국가정보화백서’에서도 중소기업의 정보보호시스템과 해킹발생 대비하기 위해 정보보안 투자가 여전히 취약하다고 지적한바 있다. PMS 시장이 크게 성장했다 하더라도 주로 공공부문에 치우쳐 있어 전체 정보보호 시장으로 확대돼야 한다는 주장이 나온다.

일반 기업은 PMS의 필요성을 인식하지 못하고 있다. 악성코드의 공격유형이 다양화되고 웜 바이러스의 등장주기가 날로 짧아져 모든 조직에게 위협이 되고 있음에도 말이다. PMS는 기업의 경영성과를 높이기 위해 필수적으로 갖춰야 할 기본적인 인프라이다. 보안의 선진화를 위해 민간 분야로 PMS 시장을 넓히려는 노력이 필요하다.

<글: 심영수 소프트런 영업2팀장>

 

[월간 정보보호21c 통권 제87호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>