빠듯한 예산과 규제 때문에 기업들은 보안문제를 들고 탭서비스 제공자들에게  달려가고 있다.

비이성적인 움직임으로 보일지도 모르지만 더욱 많은 기업들이 내부 네트워크와 데이터를 보호하기 위해 외주 서비스에 위탁하고 있다.

퀄리스(Qualys), 얼러트 로직(Alert Logic), 그리고 포스티니(Postini)의 모회사 구글(Google)과 같은 기업들은 이러한 보안 서비스 위탁에 앞장서고 있는 반면, 보안 위임 회사들은 어떻게 하면 그들의 기존 사업을 잠식시키지 않으면서 경쟁에 끼어들 수 있는지 알아내었다. 이러한 위탁 서비스의 일부는 IP 트래픽을 감시하고 다른 일부는 이메일이나 웹 컨텐츠를 감시한다. 그들은 모두 위협 사건을 경고하고 대응한다.

그렇다면 무엇이 기업으로 하여금 내부 방화벽이라는 보물을 외부인에게 믿고 넘겨주게 하는가? 빠듯한 IT 예산과 급증하는 규제가 가장 큰 요인이다.

댈러스의 링컨 부동산(Lincoln Property)의 선임 네트워크 엔지니어인 스콧 스미스(Scott Smith)에 따르면 링컨사는 서비스를 구매했기 때문에 시스템과 보안 로그를 모니터 하기 위해 사람들을 고용할 필요가 없었다고 말한다. 보안 서비스 제공사 얼러트 로직(Alert Logic)과 계약하기 전에는 이 부동산 관리 회사에는 시스로그 서버 하나와 엄청난 로그를 읽어야만 했던 직원들이 전부였다.

스미스는 “악몽이었습니다. 찾고자 하는 것을 발견하는 일이 드물었던 것은 아무것도 아니었습니다. 감당할 수 없는 업무였습니다”고 말했다. 그리고 사후 확인하는 로그는 그 어느 때보다 빠르게 변하는 보안 위협에 대해 소용이 없다. 그는 또 “우리 세계에서 가장 변한 것은 보안 위협입니다. 전문가들을 고용할 수 있는데 왜 값비싼 사내 시스템에 투자하겠습니까? 전문가들이 로그를 관리하고 즉각적인 경고를 제공합니다. 약간의 한 달 이용 요금 외에는 자본 지출도 없습니다”고 말했다.

링컨사는 한 달에 500 달러부터 시작해서 100노드까지 얼러트 로직의 서비스 사용료로 한 달에 1000달러를 지불하고 있다. 컴플라이언스 부담도 또한 기업들을 외주 서비스를 통한 보안 보강으로 이끈다. 얼러트 로직의 부사장인 크리스 스미스(Chris Smith)는 미국 지불카드협회 데이터보안표준(PCI DSS)이 핵심 동기라고 언급했다. 주요 신용카드 회사들에 의해 추진된 이 표준은 사용자들이 반드시 지켜야만 하는 것을 지정하고 건 당 50만 달러에서부터 신용카드 사용금지에 이르기까지의 계약 불이행에 대한 벌점을 평가한다.

스미스는 “매우 일반적일 수 있는 일부의 정부 규제와는 달리 PCI는 매우 강제적입니다”며 “반드시 안티 바이러스를 가지고 있어야 하고 방화벽과 침임탐지기가 있어야 하며 주기적인 스캔을 해야만 합니다”고 말했다.

퀄리스(Qualys)가 주로 대기업을 대상으로 하는 반면 얼러트 로직(Alert Logic)이 노리는 곳은 중간 시장의 기업들인데 그들의 상당수가 사내 인력과 솔루션 배치의 비용이 예산을 초과한다는 것을 알고 있기 때문이다. PCI 벌점은 보안 서비스가 어떤 점에서 세일즈포스닷컴(Salesforce.com)이나 넷스위트(NetSuite) 같은 비즈니스 애플리케이션 서비스 제공과 다른지를 보여준다.

예를 들어 비용 분석은 호스트 CRM이 3, 4년 후면 내부 CRM보다 더 많은 비용이 소모된다는 것을 보여주기는 하지만, 이러한 계산이 반드시 보안 영역에서 수용될 필요는 없는 좋은 이유가 하나 있다. 바로 심각한 위약의 인프라스트럭처는 계산할 수 없다는 점이다.

얼로트 로직의 스미스는 “당신이 정보를 보호하지 않기 때문에 얼마나 많은 것을 잃었는지 모른다고 알려줄 스프레드시트를 쓸 수는 없다”고 말했다. 누군가는 대규모의 TJX 신용 카드 위약을 교훈으로 지적했을지도 모른다.

경우에 따라서 보안 서비스(SaaS : Security-as-a-Service)를 의심하는 사람들은 그들의 정보를 하늘 높이 구름 속 어딘가에 귀속시키는 것을 원하지 않는다. 외부 방화벽이라는 것은 여전히 많은 회사들과 정부 기관들을 위협하기 때문이다.

오리건 주 비버튼에 위치한 컨설팅 회사 Anitian Enterprise Security의 사장 앤드류 플래토(Andrew Plato)는 “이러한 구름 속을 제공하는 회사들은 이벤트와 보안 데이터의 방향을 중앙 데이터 센터로 바꿔야만 한다”며 “그것은 다른 회사의 데이터와 섞이기를 원치 않는 수많은 고객들을 돌아서게 한다”고 말했다.

화학 대기업 ICI의 런던 지사 글로벌 정보 보안 소장 폴 시먼즈(Paul Simmonds)는 그런 두려움을 인정하지 않는다. ICI는 네트워크 보안과 그와 관련된 골칫거리의 관리에서 벗어나기 위해 약 5년 전부터 퀄리스의 서비스를 채택하고 있다.

시먼즈는 “내 데이터는 그들의 데이터베이스에 내 암호로 암호화되어있다. 퀄리스 시스템 어드민은 내 데이터에 접속조차 할 수 없다”고 말했다. 또 다른 혜택은 보안 서비스가 고객의 기존 시설을 오버레이한다는 것이다. ICI와 다른 사용자들은 계속해서 기존 데스크톱 보안과 다른 소프트웨어들을 사용할 수 있다. 그는 또 “퀄리스는 우리가 기존에 일하던 방식을 바꿀 필요가 없는 추가물이다”고 언급했다.

보다 소규모의 회사들의 경우, 예측 비용의 견해 또한 내부 솔루션에 비해 보안 서비스 쪽으로 가도록 한다. 점증적인 정기 이용료는 보안 모니터링을 위한 커다란 하드웨어나 소프트웨어 선불 제품처럼 자본 지출의 큰 비중을 차지하지 않는다.

석유 가스 기업 로제타 리소시즈(Rosetta Resources)의 IT 책임자 조이 래파포트(Joey Rappaport)는 “예측 가능성은 예산 작성에 도움이 됩니다. 하드웨어, 지원, 서비스 및 유지에 연간 얼마나 많은 비용이 들어갈지 알게 됩니다. 거의 머리 쓸 필요가 없죠”라고  말했다.

로제타는 몇 년 전 휴스턴 본사에서 얼러트 로직의 설비 하나로 시작해서 현재 덴버 현장에 두 번째 설비를 추가했다. 래파포트는 “비용이 상승하는 때는 하드웨어 장치를 하나 더 추가할 때뿐입니다”고 말했다. 그러나 래파포트의 말에 따르면 보안 서비스(SaaS)를 선택하게 된 가장 큰 요소는 보안과 위협 모니터링에 정규직 인력을 바칠 필요가 없다는 점이다.

퀄리스의 CEO 필리프 쿠토(Philippe Courtot)는 웹의 성질이 보안 서비스로의 이동을 강요했다고 말한다. 기업들이 그들의 협력사와 제조업자, 그리고 고객들과의 업무를 더 잘하기 위해 전자 통신 라인을 개설했을 때 그들의 네트워크는 허점이 많아졌고 그래서 기존의 경계선 방어 방법은 더 이상 적절하지 않았다.

온디맨드 보안 모델은 SMB와 기업 예산 모두가 선호하는 것을 찾는데서 시작한다.

쿠토는 “사람들은 1년에 한 번 보안 감사를 했었다. 부유한 사람들은 ISS의 스캐너를 사용했다. 그러나 이제 사람들은 이러한 모든 취약성들이 경계선뿐만 아니라 내부에도 있다는 것을 깨달았다. 그들은 그들의 네트워크를 처음부터 끝까지 이해할 필요가 있고, 사람들이 설치하고 스스로 관리해야 하는 관리 솔루션을 배치하는 것은 더 이상 실용적이지 않다”고 말했다.

그는 퀄리스가 어떻게 고객 네트워크 내부에서 지키고 있는 장비를 네트워크 외부에서 감시하는 그들의 서비스를 결합시켰는지를 다른 영역에서 애플사가 했던 것과 비유했다. 그는 “애플 컴퓨터는 iTunes 서비스를 iPod 장치, 그리고 이제는 iPhone에 연결시켰고 음악이 배포되는 방법을 완전히 변화시켰습니다. 우리는 당신의 네트워크 취약성을 살피기 위해 우리의 서비스를 우리의 장비들과 연결합니다. 우리는 보안과 컴플라이언스를 함께 제공합니다”라고  말했다.

퀄리스는 선구자지만, 포스티니(Postini)나 얼러트 로직(Alert Logic)과 같은 초기 경쟁자들이 있었다. 가장 뉴 페이스인 베라코드(Veracode)는 소프트웨어 취약성을 찾기 위한 온디맨드 서비스를 제공한다. 과거에 기술 대기업이나 다른 회사들이 서로 사들이는 M&A의 광풍이 있었다. 구글은 포스티니를 채갔고 서프컨트롤(SurfControl)은 블랙스파이더(BlackSpider)를 사들인 후 웹센스(Websense)에 팔렸다. 보안 점유자들도 대응하고 있다. 맥아피(McAfee)는 자체 서비스를 시작했고 시만텍(Symantec)은 몇몇 서비스 전달 기능을 예정하고 있다.

쿠토는 마이크로소프트사가 수익성 있는 내부 소프트웨어 비즈니스를 보호하기 위해 보안 서비스(SaaS) 모델에 관해 고심하는 것처럼  보안 거대 기업들도 그들의 제품을 서비스 모델로 갱신할 수 없을 것이라고 주장했다. 이러한 거대 회사들은 동의하지 않을 것이다. 시만텍(Symantec)은 2007년이 만기였던 서비스에 대한 새로운 백업 서비스 시작이 가능한 하부 구조 소프트웨어 서비스 세트를 만들 것을 약속했다.

시만텍이 약속한 네트워크는 “소프트웨어 서비스 패러다임을 통해 브라우저 웹 전체에 전달될 것이며 웹을 통해 관리될 것”이라고 시만텍 제품관리 책임자 크리스 쉰(Chris Schin)이 말했다. 시만텍은 최근 서비스 전문 기술을 보강해주는 스팸 차단 서비스 업계 선두회사 브라이트메일(Brightmail)을 먹어치웠다.

시장 주도가 신생 대박 회사들 중 하나로 향하든, 보다 전통적인 점유자들 중 하나로 향하든지 상관없이 더 많은 소비자들은 그 회사들의 도메인 내로 들어가기 전에 위협이 멈추기를 원한다는 것이 명백해졌다.

얼러트 로직의 스미스는 자동응답기 비유를 좋아한다. 그는 “현재 전화 회사 서비스에 비해 자동 응답기를 사용하는 사람이 얼마나 되는가? 그것은 핵심 구조의 제공자로의 이동에 관한 훌륭한 예이다. 그러한 서비스들은 기계들이 결코 할 수 없는 일을 해준다. 웹 서버에 당신의 메시지를 켜놓는 일처럼 말이다”고 말했다.

보다 많은 모든 규모의 회사들이 그곳의 로직을 알고 있으며 보안 서비스 모델의 바퀴를 차버리고 있다는 증거가 있다. 7월의 보고서를 통해 크레딧 스위스(Credit Suisse)사는 온디맨드 보안 모델은 SMB와 기업 예산 모두가 선호하는 것을 찾는데서 시작한다고 말했다.

크레딧 스위스의 연구 조사원 필립 윈슬로우(Phillip Winslow)와 데니스 사이먼(Dennis Simson)은 “이제 고객들이 온디맨드 솔루션에서 보다 많은 비용 절감을 원하기 시작했기 때문에 이러한 경향은 앞으로 가속화될 것이라고 예상한다”고 보고했다.

<글: 바바라 대로우[Barbara Darrow](자유 기고가)>

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>