[기획/딜라이트닷넷 창간 3주년] 네트워크에 부는 새로운 기술 혁신 바람②

네트워크 시장 핫이슈로 떠오른 소프트웨어정의네트워킹(SDN)은 프로그래밍 가능한 네트워킹, 오픈 네트워킹이라고도 표현되고 있습니다.

기본 개념은 사용자들이 프로그래밍된 소프트웨어로 네트워크 경로 설정, 제어, 관리 등을 원하는 방식대로 할 수 있도록 구현하는 네트워킹 기술을 의미합니다.

지금은 바라보는 시각에 따라 SDN의 정의나 구현방식에는 약간씩 차이가 있습니다. 이 때문에 초기 시장에서 혼란이 있기도 합니다.

우선 ‘오픈플로우’가 있습니다. 현재 모든 네트워크 업체들이 지원하려 하고 있고 사용자들까지 합세해 표준화를 추진하고 있으니, 가장 유력한 SDN 기술이라고 볼 수 있습니다.

이 뿐만 아니라 네트워크 가상화를 구현하는 오버레이 기술과 네트워크 업체가 자사의 장비 운영체제(OS)에서 개방형 애플리케이션 프로그램 인터페이스(API)를 지원하는 방식이 있습니다. 한마디로 컨트롤 플레인이 포함된 기존 네트워크 장비를 그대로 쓰면서 추가로 원하는 기능을 개발하도록 하거나 필요한 기능을 고객사가 선택할 수 있도록 제공하는 방식인데요, 논란이 있긴 하지만 이 역시 큰 범주에서 SDN 구현기술에 포함되고 있습니다.

SDN은 스위치, 라우터와 같은 네트워크 장비의 제어 기능을 데이터 전달 기능과 분리해 개발·실행되는 네트워크를 만듭니다. 주요 SDN 구현 기술인 오픈플로우는 컨트롤 플레인(Control Plane)과 데이터 플레인이(Data Plane)이 물리적으로 완전히 분리된 상태에서 이 사이를 통신하는 개방형 표준 프로토콜입니다.

구글, 페이스북, NTT같은 대형 서비스사업자들은 스탠포드, 버클리 대학에서 연구해온 오픈플로우를 이용해 SDN을 구현하고 표준화하기 위한 움직임을 본격적으로 시작했습니다.

지난해 사업자들과 IT·네트워크 업체들이 모여 오픈플로우 상용화와 표준화를 위한 컨소시엄인 지난해 오픈네트워킹파운데이션(ONF)을 구성한 것인데요.

이를 주도한 구글이 가장 먼저 오픈플로우를 적용에 나섰고, NTT 등 여러 사업자들도 적용을 추진하면서 오픈플로우는 더 이상 학술적인 연구기술에 머무르지 않게 됐습니다.

HP, IBM, 브로케이드, 익스트림네트웍스와 같은 네트워크 업체들도 오픈플로우 지원에 적극 나섰습니다.

HP는 초창기부터 대학의 오픈플로우 연구 프로젝트에 관여해왔다는 점을 부각하며, 오픈플로우와 SDN에 가장 적극적인 모습을 보였는데요. 올 초에 16종의 스위치에서 오픈플로우 지원을 발표하고, 연내 전 제품군을 대상으로 지원한다는 계획을 밝혔습니다.

이 블로그를 작성하고 정해진 포스팅 시점을 대기하고 있는 와중에 HP와 IBM로부터 새로운 소식을 접했습니다.

HP는 오픈플로우 지원 스위치를 9종 더 추가하고, SDN 컨트롤러와 애플리케이션, 서비스까지 지원하겠다면서 새로운 SDN 대응전략을 선보였습니다. IBM도 SDN 컨트롤러를 선보였고요. 두 업체 모두 적극적인 움직임을 보이고 있네요. (
관련기사 이번엔 컨트롤러+@ 경쟁…HP·IBM, SDN 지원 공격적 행보)

브로케이드는 최근 100GE 코어 라우터용 새로운 10GE 모듈을 발표하면서 최초로 오픈플로우 하이브리드 모드 지원을 시작했습니다. 고객이 원하면 네트워크 장비를 기존 방식대로 운영할 수도 있고, 오픈플로우를 활용한 SDN을 구현할 수 있는 방식입니다.

이 코어 라우터와 데이터센터용 스위치 제품에는 내년 상반기까지 VXLAN(VM웨어), NVGRE(마이크로소프트)와 같은 가상 오버레이 기술을 지원할 예정입니다. 라우터용 VXLAN 게이트웨이는 이미 발표한 상태입니다.

익스트림네트웍스는 오픈플로우 스위치 지원뿐만 아니라 오픈플로우 지원 네트워크 애플리케이션을 위한 마켓 플레이스인 ‘엑스킷(xKit)’을 선보인다고 발표해 눈길을 끌었습니다.

당연히 소프트웨어 컨트롤러를 제공하거나 지원하는 업체들도 생겨났습니다. VM웨어에 엄청난 금액에 인수된 니시라도 SDN 관련 신생업체 가운데 하나입니다. (
관련기사 VM웨어, 네트워크 가상화까지 확장…SDN 업체 ‘니시라’ 인수)

시스코와 주니퍼네트웍스 또한 ONF에 참여하면서 오픈플로우 지원을 준비하고 있습니다.

다만 시스코는 오픈플로우를 실제로 활용할 수 있는 시장이 한정돼 있을 것으로 보고 있습니다. “오픈플로우는 대학과 연구소 환경에 맞는 하나의 SDN 구현 프로토콜”이고, 아직은 초기 기술이어서 제공되는 기능도 크게 부족하다는 것입니다. (
관련기사 “시스코, 오픈 네트워킹 확산 주도”)

대신에 시스코는 공통적인 네트워크 프로그래밍과 자동화 요구를 충족하면서도 각 시장과 고객별 요구에 맞는 기능을 제공할 수 있도록 하겠다는 전략입니다. (관련기사 시스코, SDN 전략 공개…‘ONE(오픈네트워크환경)’으로 네트워크 프로그래밍 지원)

이에 따라 시스코는 오픈플로우 외에도 API·오버레이 네트워크 기술로 다양한 산업 환경과 요구에 맞는 프로그래밍 가능한 네트워크 방식을 포괄하는 ‘ONE(One Network Environment)’을 내놨습니다. ‘ONE’은 ▲플랫폼 API ▲컨트롤러 에이전트 ▲오버레이 네트워크 가상화로 구성됩니다.

오픈플로우를 사실상의 SDN 표준 기술로 밀고 있는 다른 업체들과 시각차가 존재하고 있지요.

경쟁사들은 시스코가 주도하는 하이브리드 방식으로 가게 된다면 SDN이 몰고 올 획기적인 네트워크 변화와 가치가 축소될 것이라고 지적합니다. 반면에 시스코는 ‘이상을 쫓지 말고 현실을 직시하라’는 식으로 ONE 전략을 들고 ‘오직(Only) 오픈플로우’ 지향성에 반박하는 모양새입니다.

이같은 간극은 상용화 사례가 많아지고 표준화가 진척되는 과정에서 갈수록 더욱 치열한 양상으로 드러나게 되겠지요. 아직은 초창기 기술인 오픈플로우가 얼마나 빠른 속도로 고객이 사용하기 쉽고 활용성이 커질 지가 관건이 되겠죠.

그 점에서 오픈플로우의 파급력 수준이 앞으로의 관전 포인트라 할 수 있습니다. SDN을 구현하는 방식으로 과연 오픈플로우가 대세가 될까요? 아니면 시스코의 견해대로 오버레이 기술을 활용하거나 API를 활용해 추가적으로 개발할 수 있는 방식이 더 많이 활용하게 될까요? 

2012/10/09 14:02 2012/10/09 14:02
[기획/딜라이트닷넷 창간 3주년] 네트워크에 부는 새로운 기술 혁신 바람①

시스코시스템즈가 주도해온 네트워크 시장은 오랫동안 큰 변화가 없었습니다.

가상화와 클라우드가 IT 시장의 큰 화두로 떠오르면서 서버·스토리지, 소프트웨어 업계는 큰 변화를 겪고 있지요. 그러나 네트워크 분야에서는 그리 획기적으로 바뀔만한 것이 없을 것만 같았습니다.

그런데 ‘오픈플로우’가 나오면서 상황이 달라졌습니다. 소프트웨어로 프로그래밍 가능한 네트워크를 만드는 ‘소프트웨어정의네트워킹(SDN)’의 실현가능성이 커진 것으로 인식되고 있습니다.

SDN이 그동안 네트워크를 사용해온 방식과 환경, 업계 판도와 생태계까지 바꿀만한 획기적인 기술이란 전망이 나올 정도로 큰 관심을 받고 있습니다.

장비 제조업체와 하드웨어 의존성에서 탈피해 네트워크의 구성과 운영방식을 획기적으로 전환시킬 수 있는 새로운 기술이라는 것이지요.

또 네트워크 관리를 단순화하며, 특히 가상화와 클라우드 환경에 이상적인 네트워킹 기술로 꼽히고 있습니다.

그 이유로 SDN이 가상화, 클라우드가 만들고 있는 IT업계 변화의 파고가 네트워크 분야까지 휩싸이게 될 것이란 예상이 많습니다.

가상머신의 이동성을 네트워크가 효율적으로 지원하도록 만들 뿐만 아니라 자동화와 오케스트레이션 문제까지도 해결함으로써 실질적인 네트워크 가상화를 가능케 할 기술이라는 것입니다.

네트워크가 기업이 클라우드 환경을 구축해 보다 민첩하고 유연한 서비스를 제공할 수 있는 지원하게 만들 수 있기 때문에 대규모 서비스사업자와 데이터센터 시장에서 도입을 시작하는 등 높은 관심을 나타내고 있습니다.


2012/10/09 13:59 2012/10/09 13:59

요즘 화두인 ‘소프트웨어정의네트워킹(SDN)’ 기술이 컴퓨팅 분야에서 x86 서버가 개발되면서 바뀐 산업구조와 비슷하게 네트워크 장비 산업구조를 변화시킬 것이란 전망이 나왔다.

정보통신정책연구원(KISDI)은 최근 발간한 ‘방송통신정책’ 제24권 12,14호에 실은 SDN의 등장과 전망 보고서에서 미래융합연구실 김민식부연구위원과 임순옥 연구원은 “SDN의 확산과 표준화는 제조업체 중심의 수직적인 통합구조를 x86 서버처럼 복수의 수평적 구조로 분할되는 모습으로 변화시킬 것”이라고 내다봤다.

사용자 삽입 이미지

보고서에 따르면, x86 서버 구조는 다양한 시장에서 실질적인 표준으로 받아들여지는 범용적인 중앙처리장치(CPU)와 운영체제(OS)를 선택해 이용할 수 있는 것이 특징이다.

이를 바탕으로 한 다양한 애플리케이션 제공 방식은 생태계를 형성해 혁신과 더불어 비용감소도 가져왔다.

반면에 네트워크 장비는 제조업체마다 폐쇄적이고, 독자적인 플랫폼이 수직적으로 통합돼 제공되고 있다.

중앙처리장치(data plane CPU)는 각 업체마다 다른 ASIC을 주문해 사용하고, 업체별로 개발·소유하고 있는 네트워크 운영체제(OS)를 사용하고 있다. 또한 이러한 장비를 이용자가 편리하게 통제 및 관리할 수 있는 프로그래밍이 제한적으로 지원되거나 제공되지 않는다.

따라서 네트워크 장비의 구매자는 라우터, 스위치 등의 공급업체를 다르게 구매할 경우 제어 및 관리기능이 서로 다른 이유로 통일된 네트워크 정책을 적용하기 어려운 상황이다.

SDN 기술은 네트워크 장비에서 제어 및 관리 기능을 담당하는 컨트롤러 계층을 하드웨어에서 분리해 컴퓨팅 장치로 이주시킬 수 있다. 특히 SDN의 아키텍처에서는 컨트롤러 계층과 애플리케이션 계층 사이에 있는 개방형 API를 제공함으로써, 개별적으로 사용자가 프로그램을 스스로 작성할 수 있다.

더욱이 SDN을 구현하는 프로토콜인 오픈플로우는 컨트롤러 계층과 오픈플로우 지원 네트워크 장비(스위치/라우터) 사이에서 커뮤니케이션 역할을 담당해 상호 운영성을 보장한다.
사용자 삽입 이미지

이러한 구조적인 변화는 다양한 계층을 수직적으로 통합하던 과거와는 달리, 각 계층별로 분화되어 치열한 경쟁을 통해 가장 잘할 수 있는 계층에 전문화하는 방향으로 발전을 이끌 전망이다.

이에 따라 SDN의 기술 확산과 표준화가 시스코·주니퍼네트웍스와 같은 기존 시장 지배력을 가진 네트워크 장비업체들에겐 위협이 될 수 있다. 이들이 제공해온 장비를 차별화해온 강점들이 SDN의 확산 및 표준화로 더 이상의 경쟁우위로 작용하기 어려워질 수 있기 때문이다. 업체별로 SDN 기술 관련 입장차가 존재하고 있는 이유이기도 하다.

SDN은 네트워크 장비 및 소프트웨어 시장에 새로운 공급기업들의 진입을 허용하게 된다. VM웨어가 인수한 니시라나 빅스위치네트웍스같은 업체들이 이에 해당된다.

보고서에서는 SDN 기술이 표준화되면 표준화된 기술과 부품으로 공급기업의 생산비용이 감소되고 네트워크 가격도 낮아질 것으로 전망했다.

궁극적으로 기존 네트워크 장비업체에 대한 종속성이 낮아져 구매자의 자율적인 네트워크 장비의 운영이 보장되고, 더욱 다양한 업체로부터 장비 구입 및 지원이 가능해짐에 따라 다양한 기업, 통신사업자, 인터넷 사업자 등 구매기업들의 시장참여를 유도해 네트워크 장비시장이 확대될 수 있다.

아직까지 SDN이 시장에 확산될 지 의견이 분분하다. 확산과 표준화에 현실적인 걸림돌도 많은 상황이다.

그럼에도 불구하고 연구원들은 이 보고서에서 SDN이 긍정적으로 전망되는 이유로 기존의 통합된 가치사슬이 반도체, 네트워크 장비, 컨트롤러, 애플리케이션, 수요자 등 네트워크 사업의 계층이 분화되면서 강력한 생태계가 형성되고 있다는 점을 크게 평가했다.

가상화와 클라우드, 융합화 확산으로 IT산업의 경계가 점점 모호해지는 상황에서 서버·스토리지·소프트웨어뿐만 아니라 네트워크에 불러올 향후 변화가 주목된다.

2012/08/15 18:40 2012/08/15 18:40

사용자 삽입 이미지
국제 해커조직으로 이름을 날린 ‘어나니머스(Anonymous)’ 조직원 25명이 지난 2월 인터폴에 의해 검거됐습니다.

인터폴 주도로 유럽과 남미 경찰과 공조해 벌인 성과입니다.

인터폴은 유럽과 남미 15개 도시에서 ‘언마스크(Unmask)’라는 작전명으로 대대적인 검거작전을 벌여, ‘어나니머스’가 벌인 해킹, 디도스(DDoS, 분산서비스거부) 공격 등에 가담한 용의자들을 체포했습니다. 

이 작전에는 지난해 4월 콜롬비아에서 어나니머스의 디도스 공격이 발생한 것을 계기로 콜롬비아를 포함해 도미니카 칠레 스페인 아르헨티나 5개국이 참여했다고 합니다.

이 작전을 주도한 하이메 안시에타(Jaine Ansieta) 인터폴 재정·하이테크범죄 분과 부국장이 최근 방한했습니다. 그는 지난 26일부터 27일까지 서울 대한상공회의소에서 경찰청 사이버테러대응센터와 인터폴이 공동 개최한 ‘2012 국제사이버범죄 심포지엄’에서 이 수사사례와 시사점을 풀어냈습니다. 

안시에타 부국장은 이 자리에서 “당시 작전으로 인터폴은 15개 도시에서 47건의 가택을 급습했고, 32명을 체포했다. 아직도 이들을 대상으로 수사가 계속되고 있다”고 말했습니다. 

놀라운 점도 공개했는데요. 이들을 검거한 지 넉 달이 지난 아직까지도 압수한 휴대폰·IT시스템 등을 이용한 데이터분석을 못하고 있고, 기소할 방법도 결정하지 못했고 합니다.

공조수사는 성공적으로 벌여 용의자들을 검거하긴 했는데, 피의자를 기소하고 처벌하는 국제적인 사이버범죄 관련 사법체계와 절차가 아직 제대로 마련돼 있지 않기 때문입니다.

안시에타 부국장은 “국가마다 사법체계가 다르다보니 어떠한 사법체계를 적용해야 할 지, 기소 주체는 검찰이 해야할 지, 경찰 또는 지방법원이 할 지 합의가 되지 않았다”며, “사업적인 문제가 해결되지 않기 때문이며, 공조시스템이 아직은 부재하다”고 말했습니다.

다음 단계로 이 작전에 참여한 수사·경찰관들이 모임을 갖고 데이터 분석을 포함해 국가 간 수사공조·조율 시스템을 논의할 예정이라고 합니다.

사이버공격은 이미 특정한 국가나 기업만의 문제가 아니라는 것을 잘 알고 있습니다. ‘어나니머스’처럼 전세계에 걸쳐 활동하는 국제해커조직이 존재하고 있지요. 어떤 국가나 기업도 공격자들의 대상이 될 수 있습니다.

우리나라의 경우, 대표적로 대규모 개인정보를 유출한 SK커뮤니케이션즈, 넥슨 사건이 아직까지 제대로 수사가 마무리되지 않는 큰 이유 가운데 하나도 해당 공격자가 우리나라에 있지 않기 때문입니다.  

우리나라에서 발생하는 많은 디도스, 해킹 및 개인정보유출과 같은 사이버범죄도 국가 간  공조수사가 아주 중요합니다. 

하지만 현실에선 어려운 점이 너무나 많지요. 국가마다 법체계가 다르고 정치·사회적인 입장과 문화도 다르다보니 공격자들보다도 국가라는 경계를 넘어 서로 공조하기 어려운 상황에 있습니다.

공격근원지로 간주되는, 또는 범죄용의자가 있는 국가에서 협조해주지 않으면 우리나라에서 막대한 피해를 입은 경우에도 수사가 어렵다는 것은 충분히 예상할 수 있습니다. 

안시에타 부국장은 “만일 디도스 공격을 범죄로 간주하지 않는 국가가 있다면 수사를 함께 진행하기 어렵다”는 것을 예로 들었는데요. 실제로 디도스를 범죄로 여기지 않는 국가가 있다고 합니다.

그는 “전세계 사법체계가 ‘우리’의 편에 서있지 않다는 생각마저 든다”고 토로하면서 “실질적으로 공조할 수 있도록 사법부를 포함한 법조계, 국회 등 정치권에서 함께 이를 위해 논의해야 하며, 학계도 지원해야 한다”고 강조했습니다.

안시에타 부국장이 한가지 더 강조한 것이 민간의 협조입니다.

사이버공격은 국가차원에서 해결해야 할 심각한 문제가 됐지만 공격대상이 기업인 경우가 많습니다. 기업의 경우, 자칫 회사 이미지나 비즈니스에 큰 타격을 입을 수 있기 때문에 정보를 공개하는 것을 꺼립니다.

안시에타 부국장은 “민간이 열의를 갖고 참여해야 사이버범죄 수사가 진전될 수 있다”면서 “사회 전체가 힘을 합쳐 변화를 이끌어 내 사이버범죄 조직범죄를 무찔러야 한다”고 지적했습니다.

2012/07/01 16:28 2012/07/01 16:28

사용자 삽입 이미지
세계 정보통신기술(ICT) 발전도와 경쟁력을 평가하는 네트워크 준비지수(NRI)에서 우리나라가 올해 10위권 밖으로 다시 밀려났습니다.

세계경제포럼(WEF)·유럽경영대학원(INSEAD, 인시아드)이 최근 발표한 글로벌 정보기술 리포트(GITR)에서 우리나라는 지난해 3년만에 10위권에 재진입했지만 올해 142개국 중 12위로 다시 순위가 내려갔습니다.

(2007년 122개국 중 19위, 2008년 127개국 중 9위, 2009년 134개국 중 11위, 2010년 133개국 중 15위, 2011년 138개국 중 10위)

작년에는 방송통신위원회가 보도자료까지 냈는데, 순위가 떨어져서 그런지 올해는 조용하네요.

물론 이같은 국가지수나 순위는 매년 조금씩 왔다갔다 할 수 있습니다. 스웨덴·싱가포르·핀란드처럼 선두권에 안착한 국가들이 부럽긴 하지만요. 이들 국가말고도 핀란드, 덴마크, 스위스, 노르웨이, 미국이 지난해에 이어 10위권에 들었습니다. 한국 앞에는 대만과 중국도 있습니다.

더욱이 우리나라는 초고속인터넷에 이어 LTE(롱텀에볼루션) 모바일 브로드밴드까지, 전국 단위의 유·무선 광대역통신망을 앞서 구축하고 있고 많은 이용자(가입자)를 보유하고 있는 ICT 인프라 선도국입니다. 우리나라가 목표로 삼은 세계적인 ICT(정보통신기술) 강국을 유지하려면, 현재의 문제를 인지해 개선해야 합니다.

NRI는 정보통신뿐만 아니라 각국의 정치·규제, 비즈니스 환경과 인프라 및 디지털 콘텐츠·가격적정도·기술 관련 준비도, 개인·기업·정부의 활용(이용), 경제와 사회에 미치는 영향(Impact)을 포괄하는 광범위한 평가지수입니다.

WEF와 인시아드는 GITR 보고서를 낸지 10년을 넘기면서, 그리고 최근 ICT를 주축으로 모든 것이 연결되는 ‘하이퍼커넥티드 세계(Hyperconnected World)’가 가속화되면서 올해에는 평가 프레임워크에 약간 변화도 줬습니다.
사용자 삽입 이미지

‘준비도(Readiness)’ 항목에 ‘가격적정성(Affordability)’을 강조했고 단순한 ‘활용(Usage)수준’보다는 ‘기술(Skill) 활용’에 중점을 두고 있습니다. 

한국은 활용도나 영향도 항목에서 각각 2위와 4위로 높은 순위에 올랐지만, 환경과 이용준비도는 35위와 24위에 그치면서, 지난해보다 종합 순위가 두 계단 아래로 내려갔습니다. 

그 중에서도 시장 및 정치·규제 환경이 열악한 것이 가장 문제입니다. 정치·규제 환경은 43위, 준비도에서 가격적정성은 70위로 낮아 개선이 필요한 상황이라는 것을 확인시켜주고 있습니다.
사용자 삽입 이미지

지난해 10위권에 진입했을 때에도 지수가 낮았던 분야는 지수 순위가 더 하락했습니다. 개선되기는커녕 더 안좋아지고 있는 것입니다. 특히 정치·규제 환경은 지난해에도 전년도보다 낮은 결과가 나왔지만 전혀 개선되지 않고 있습니다.

43위에 그친 시장 및 정치·규제 환경 항목을 구체적으로 살펴보면, 의회 입법활동 효율성(123위), 규제철폐 효율성(97위), 분쟁 해결에서 법체계 효율성(84위), 사법부의 독립성(69위) 순으로 낮게 평가됐습니다.

사법부 독립성, 분쟁해결과 규제철폐 관련 법체계 효율성 항목은 지난해보다 10위 이상 더 떨어졌습니다. 그나마 입법활동 효율성과 ICT 관련법 수준은 전년대비 상승했다는 점에서 위안을 찾아야 할까요.

15위에 오른 비즈니스 및 혁신 환경에서는 벤처캐피털 효용성이 무려 100위입니다. 스타트업이 나오기 어려운 환경이라는 것을 알 수 있습니다. 가격적정성은 70위로, 인프라 및 디지털 콘텐트(18위), 기술(27위)이 상대적으로 상황이 나은 상황이네요.

가격(요금) 문제를 구체적으로 살펴보겠습니다. 이동전화 요금(83위->84위)과 유선 초고속인터넷 요금(67->68위)도 소폭 하락했습니다.

잘 하고 있는 것도 살펴봐야지요? 1위에 오른 항목은 정부의 활용도, 사회적 영향도가 1위로 우수하고요, 개인의 활용도도 2위에 올라 우수한 것으로 평가됐습니다.

세부항목을 보면, 교육수준(Tertiary education gross enrollment rate), 가정 인터넷 접속률, 모바일 브로드밴드 가입자, 전자정부서비스, 전자참여(E-Participation) 분야에서 1등을 차지했습니다. 

정보통신 인프라를 빵빵하게 깔아놓았고 또 가입자가 많다는 것으로는 ICT를 성공적으로 운영하고 있다고 볼 수 없습니다. WEF와 인시아드의 GITR·NRI는 바로 ICT 강국으로 확실히 자리하고자 하는 우리나라에게 주는 교훈이 담겨 있다고 봅니다.

시스코의 전문가는 기업 블로그(원문, 한글)에서 이번 NRI와 관련해 이렇게 분석했습니다.

“인시아드가 방법론을 미묘하게 수정해 얻은 결과처럼 큰 차이는 작은 변화에서 비롯된다. 정책입안자들이 교육시스템을 향상시키고 네트워크 요금을 줄이거나 가정·업무용 컴퓨터 기기에 대한 더 많은 감면 혜택을 주는 등의 아주 단순한 노력이 (NRI) 국가 순위를 올릴 수 있을 것이다.”

이 포스팅에도 첫 문단에 브로드밴드 선도국인 한국이 언급돼 있습니다. NRI가 주는 교훈을 설명하면서 말이지요.

 

2012/06/04 16:55 2012/06/04 16:55

방송통신위원회와 한국인터넷진흥원(KISA)은 최근 발생한 사이버침해사고와 국내외 보안업체들의 전망을 분석해 올해 대두될 7대 사이버위협을 선정해 발표했습니다.

최근의 사이버공격의 특징은 지능화, 복합화입니다. 그 중에서도 올해에는 ▲총선과 대선 등 국가 주요 행사를 겨냥한 사이버공격 증가 ▲웹하드·소셜네트워크서비스(SNS) 악성코드 유포 증가 ▲국가·기업·개인 정보탈취형 지능형지속위협(APT) 공격 지속 ▲모바일 악성코드로 인한 보안위협 현실화 ▲한글 프로그램 등 이용자가 많은 국산 소프트웨어 취약점 공격 ▲클라우드 서비스 보안위협 증가 ▲DNS 서버 대상 DDoS 공격 위협 증가가 전망됐습니다. (관련기사 선거·엑스포 등 올해 국가 주요행사 겨냥 사이버위협 증가)

방통위와 KISA는 이같은 전망에 따른 위협 예방 및 대응 활동을 강화할 계획입니다. 현재 추진 중인 대응방안을 각 위협 전망 항목별로 살펴보겠습니다.

1. 국가 주요 행사 겨냥 공격 대비체계 강화

올해에는 주요한 국가 행사가 줄줄이 이어집니다. 3월 서울 핵안보정상회의, 4월 국회의원 선거 5~8월 여수 세계박람회 12월 대통령 선거 등이 있지요.

최근 사회 혼란을 유발하거나 정치적인 목적으로 국민들이 높은 관심을 갖는 주요 행사가 있을 때를 노려 사이버공격이 많이 발생하고 있습니다.

DDoS 공격이 대표적이고, 행사 안내나 선거 정보 등 관심사를 악용해 사용자들에게 메일을 보내 악성코드에 감염시켜 다른 공격에 이용하는 일도 빈번히 벌어져 왔죠. 

국가 주요행사를 겨냥한 공격 증가 예상이라는 문구를 접하니 가장 먼저 작년 10.26 보궐선거 때 발생했던 중앙선거관리위원회 홈페이지 DDoS 사건이 떠오르더군요. 검찰 수사도 종료됐지만, 지금까지 논란은 계속되고 있습니다. 많은 의구심이 해소되지 않았기 때문이지요. 과거사(?) 정리를 확실히 해야하겠지만, 앞으로 이런 일이 다시 발생하지도 않길 바랍니다.

KISA 인터넷침해대응센터는 행사 관련 웹사이트를 집중 모니터링할 계획이라고 합니다. 특별히 홈페이지 접속장애나 악성코드 은닉여부 조기탐지, DDoS 탐지해 대응할 계획이라고 합니다.

이상징후가 포착되면 정보통신서비스사업자(ISP)를 통한 초동대응과 함께 해당 사이트 운영기관 등에서 조치를 취하도록 알려주는 역할을 할 수 있습니다. 이를 위해 행사 관련기관과는 비상연락망을 운영하고, 국가사이버안전센터·경찰청 등 관련기관과 ISP·보안업체 등과의 공조도 강화할 방침입니다.

2. 웹하드, SNS 악성코드 탐지 강화

웹하드나 P2P 사이트 등에서의 악성코드 유포 문제가 심각하지요. DDoS 공격이나 대규모 개인정보유출 사건과 같은 대규모 보안사고가 발생하면, 악성코드 유포 경로가 웹하드 프로그램인 경우가 많았습니다.

공격자들은 사용자들이 파일을 다운로드하기 위해 설치하는 웹하드 전용 프로그램을 변조하거나 업데이트 프로그램을 다운로드하는 것처럼 속여 악성코드를 유포하는 방식을 많이 이용하고 있습니다. 이렇게 내려받은 악성코드에 감염되면 좀비PC가 돼 DDoS 공격에 이용되고, 회사 내부시스템에 침투해 개인정보 등을 유출하거나 이를 위해 시스템 관리자 계정을 탈취하는데 악용됩니다.

방통위와 KISA는 190개 웹하드 사이트의 전용 프로그램 변조여부 탐지 활동을 2월부터 시작할 예정입니다. 
이를 위해 웹하드 은닉형 악성코드 탐지 시스템도 작년에 개발했습니다.

웹하드 프로그램에나 게시물, 컨텐츠에 숨겨진 악성코드 여부를 탐지, 위험도를 판별할 수 있는 이 기술을 활용해 업체들에게 알려주고, 기술지원도 강화할 계획입니다.

방통위는 작년 12월에 웹하드 사업자를 대상으로 실태점검을 실시했습니다. 협조가 잘 안돼 대상사업자 106개 중 결국 8곳만 점검을 벌인 수준이미에도, 점검 결과 보안장비를 전혀 갖추고 있지 않는 등 보안체계는 매우 취약했다고 합니다.


지난해 개정된 전기통신사업법에 따라 작년 11월 21일부터 웹하드 등록제가 시행됐는데요. 현재까지 등록한 웹하드 업체는 전무하다고 합니다.

기존 업체들은 법에서 정한 불법 저작물 청소년 유해정보 유통방지 및 정보보호를 위한 기술적 조치요건를 이행할 계획을 마련해 6개월 이내에 등록을 마쳐야 합니다. 법적 효력은 오는 5월 20일 이후에는 발생하게 될텐데요. 이를 통해 연내에는 웹하드 보안수준도 강화될 수 있길 기대해봅니다.

방통위와 KISA는 포털 등의 인기 검색어를 통해 유포되는 악성코드 탐지 활동도 강화하고 있습니다.

검색엔진에서 제공하는 실시간 검색어를 악용해 악성코드를 유포하는 URL를 수집, 점검할 수 있는 기술도 보급하고 있습니다. 인기가 많은 SNS 게시글 내에 포함된 URL이나 단축 URL의 악성코드 은닉여부도 알 수 있는 기술이라고 하는데요. 포털 ‘다음’이 이 기술을 이전받기로 계약한 상태랍니다.

특히 단축 URL의 경우는 사용자들이 신뢰된 URL인지 여부를 쉽게 판별할 수 없기 때문에, 사용자 수가 대형 포털과 같이 많은 웹사이트 운영사들의 자발적인 정화 노력에 한층 힘을 기울여야 할 것으로 보입니다.

3. APT 공격 대응 전략

사실 방통위와 KISA도 APT 공격 대응 전략은 딱히 없습니다. APT 공격은 중요 국가 기반시설이나 기업 등 특정한 표적을 겨냥해 중요 정보 유출이나 시스템 마비와 같이 공격 목적을 달성하기 위해 은밀하게 오랜 기간 동안 공격을 수행합니다. 기존 공격 기법뿐 아니라 새로운 공격기법 등 여러 기법을 이용하고, 심지어 공격 대상이 가진 보안체계를 알아내 우회할 수 있는 수법을 이용해 공격을 성공시킵니다. 기업이 공격 사실을 인지하는 시점은 이미 피해가 발생한 때라고 보면 된다고 하지요.

하지만 KISA는 기업이 APT 공격을 예방할 수 있도록 가이드라인을 개발해 보급할 예정입니다. 5월 경으로 예상하고 있고요. APT 공격 대응을 위해서 어디서부터 손을 대야 할지, 무엇을 해야할지 잘 모르는 기업들은 참조가 될 수 있겠습니다.

만간 공포될 개정된 정보통신망법에 따라 기업의 정보보호관리체계(ISMS) 인증이 의무화되면 전반적인 보안체계가 기존보다 강화될 수 있다는 점에서 일정부분 효과가 있을 것으로도 판단하고 있습니다. (관련기사
방통위, 기업 정보보호 관리제도 전면 개편, 새해 강화된 개인정보보호 법 시행, 무엇이 달라지나)

이밖에도 지능화된 공격에 신속하게 대응할 수 있는 해킹 피해시스템 분석, 은닉회피·커널감염 등 악성코드 분석기법 연구 등도 진행해 신규 공격기법 대응방안을 마련하는데 주력할 계획이라고 합니다.

4
. 모바일(스마트폰) 이용자 보호 방안

모바일 악성코드 위협이 점점 현실화되고 있습니다. 올 1월 초에 ‘New Year 2012 Live Wallpaper’라는 이름의 악성 안드로이드 애플리케이션(앱)이 정상 앱으로 위장해 안드로이드 마켓과 국내 인터넷 자료실에서 유포되는 사례가 발생했었죠.

이 악성코드에 감염되면 이메일 주소 등 개인정보가 유출될 수 있었는데요. 다행히 일찍 발견, 조치해 KISA에 접수된 국내 피해 사례는 없다고 합니다.

스마트폰·태블릿 등 모바일 기기 사용자가 급증하고 있기 때문에 모바일 악성코드 위협으로 인한 피해 현실화는 시간 문제로 보입니다. 보안업체들이 집계하는 모바일 악성코드 수도 최근 크게 늘어나고 있는 것도 사실이고요.

일단 KISA는 안드로이드 마켓의 악성 앱을 팀지, 차단할 수 있도록 모바일 악성코드 수집분석 시스템을 구축하고 있습니다. 이 시스템을 바탕으로 안드로이드 마켓에서 유통되는 앱을 수집·분석해 현재 무료 배포 중인 스마트폰 자가점검앱(S.S Checker) 등을 통해 악성 앱 정보를 전파할 계획입니다.

또 방통위와 KISA, 3개 이동통신사, 단말기 제조사, 보안업체가 공동 참여하고 있는 스마트폰 정보보호 민관합동 대응반을 통해 모바일 악성코드가 출현하면 이용자 피해를 최소화할 수 있도록 체계를 마련해 놓고 있습니다.

5. 국산 SW 취약점 사전조치

작년에 한글과컴퓨터의 한글 프로그램에서 보안취약점이 여러 번 발견됐었습니다. 알툴즈 업데이트 프로그램이 SK커뮤니케이션즈 이용자 대량 개인정보 유출 공격에 악용되기도 했죠.

국내 이용자가 많은 소프트웨어의 보안취약점을 악용한 공격을 예방할 수 있도록 신규 취약점 탐지·분석 활동을 강화하고, 취약점정보공유시스템을 통해 취약점 정보를 공유하도록 시도하고 있습니다. 

일단은 KISA에서 취약점정보공유시스템을 구축해 소프트웨어 개발업체, 백신 및 보안 솔루션업체 등이 발견한 취약점 정보를 등록하고 확인해 전파하거나 대응할 수 있는 체계를 구축해 놨습니다.

민간업체들이 얼마나 자발적으로 취약점 정보를 제공하고 공유할 수 있을지는 두고 봐야 할 것 같은데요. 우선 시범 운용형태로 해보고 장기적으로 ‘취약점정보공유분석센터’ 구축도 검토한다고 합니다. 취약점정보공유분석센터 등과 같은 체계를 만든다는 계획은 서종렬 KISA 원장 등이 앞서 언급한 적이 있는데, 올해 예산 편성에서 누락됐다고 합니다.

6. 클라우드 서비스 보안대책

모바일과 함께 클라우드 컴퓨팅도 대세이지요. ‘보안’은 기업이 클라우드 도입에서 가장 우려되는 항목 1~2순위로 꼽힙니다. IT자원 가상화 및 공유, 정보 집중화와 같은 클라우드의 특징이 보안 문제를 걱정하게 만드는 요인입니다. 이에 대한 보안 방안이 제대로 갖춰져 있지 않는다면 정보 유출 우려가 있고 서비스 가용성과 비즈니스 연속성 문제로 크게 타격을 입을 수도 있기 때문입니다.

지난해 아마존 등 해외 클라우드 서비스에서 장애가 나 서비스 이용 기업들이 피해를 본 사례도 있었죠. 클라우드 서비스 신뢰성 확보는 필수사항입니다.

방통위는 클라우드 품질이나 보안에 대한 이용자 불안감을 해소하기 위해 클라우드 서비스 제공업체를 대상으로 클라우드서비스 인증제를 2월부터 실시할 계획입니다. (관련기사 ‘클라우드 서비스 인증제’ 시행, 실효성 있을까, 2월부터 클라우드서비스 인증제 본격 시행)

산하기관인 클라우드서비스협회를 주축으로 전문가들이 참여하는 인증위원회를 두고 품질, 정보보호, 기반 등 3대 분야의 ▲가용성 ▲확장성 ▲성능(속도) ▲데이터 관리 ▲보안 ▲서비스 지속성 ▲서비스 지원의 7개 항목을 심사해 인증서를 발급할 예정인데요. 민간 인증이니 사업자들이 자발적으로 참여해 받게 됩니다.

방통위는 클라우드 서비스 사업자의 정보보호 관리 등급제도 도입할 예정입니다.

2월 중 공포될 것으로 예상되는 개정 정보통신망법에 신설된 정보보호관리체계(ISMS) 의무화(안전진단 폐지) 관련 조항(제47조의5)을 적용해 클라우드서비스 사업자들이 ISMS를 받도록 함으로써 안전한 클라우드 서비스 활성화를 위한 기반 환경 조성에 기여한다는 방침입니다. 

이 점에서 클라우드 인증제의 운영주체는 클라우드서비스협회이고, ISMS는 KISA가 담당하고 있으니 이 부분에 정리가 필요할 것이란 생각이 드는군요. 

방통위는 “정보통신망법에 따라 ISMS를 통해 정보보호 등급제를 적용받은 클라우드 서비스 사업자는 클라우드 인증제 보안 심사 항목은 갈음할 수 있는 방식 등 중복으로 받지 않도록 제도를 연동 운영할 방침”이라고 말했습니다.

KISA도 “이와 관련해 추가 협의가 필요하다”는 입장입니다.

이같은 제도가 잘 운영되고 홍보효과까지 결합된다면, 이용자들이 서비스 사업자의 정보보호 수준을 고려해 인증받거나 정보보호 등급이 높은 클라우드 서비스를 선택할 수 있겠네요.

7. DNS 대상 DDoS 공격 대응 기반 마련

작년에 게임사들의 DNS 서버를 대상으로 DDoS 공격이 발생한 사고가 몇 차례 발생했다고 합니다.

그동안 DDoS 공격은 네트워크 대역폭 이상의 공격을 폭주시키거나 웹서버를 대상으로 사이트를 마비시키는 공격 형태가 많았는데요. KISA는 여러 서버 시스템을 한꺼번에 마비시키는 효과를 올릴 수 있다는 점에서 연동돼 있는 DNS 서버를 대상으로 한 DDoS 공격이 많아질 것으로 예상하고 있습니다. ‘이왕이면 한방에 큰 피해를 유발하자’는 생각이라면 웹 호스팅 업체나 IDC 내 DNS 서버, DNS 서비스 업체들의 시스템을 대상으로 공격을 벌일 수 있겠다 싶네요. 납득이 됩니다.

문제는 아직까지 DNS DDoS 방어체계가 제대로 구축돼 있지 않다는 점입니다. 

KISA에서 운영하는 사이버대피소도 웹서버 대상 DDoS 공격 대피소체계만 운영돼 있다고 하는데요. 원유재 KISA 인터넷침해대응센터 본부장은 “DNS DDoS 공격은 공격 패킷이 달라 사이버대피소도 새롭게 구축해야 하지만 예산 문제가 있다”고 설명했습니다. 그래서 유사시에 현재의 체계를 활용해 DNS DDoS 공격을 방어할 수 있는 방안을 찾고 있다고 합니다.

이를 운영해본 후 내년에 예산을 확보해 DNS DDoS 방어체계를 구축할 계획입니다.

방안이 마련되기 전에 큰 피해를 유발할 수 있는 심각한 DNS DDoS 공격이 발생하지 않았으면 하네요.

2012/01/31 08:05 2012/01/31 08:05

10.26 서울시장 재보궐선거 당일 발생했던 중앙선거관리위원회 홈페이지를 대상으로 한 분산서비스거부(DDoS) 공격 후폭풍이 갈수록 커지고 있습니다.

선관위 홈페이지에 DDoS 공격을 벌인 주범으로 최구식 한나라당 의원의 수행비서 공씨 등 4명이 지난 2일 경찰에 검거, 구속되면서 한나라당의 조직적 개입 의혹이 커지고 있기 때문인데요.

쟁점 중 하나는 공씨가 과연 단독으로 범행을 계획했을 것이냐는 의문입니다. 팟캐스트 ‘나는 꼼수다’에서는 선거 직후부터 이번 공격이 박원순 당시 후보 지지성향이 강했던 20~40대 투표율을 낮추기 위한 의도로 일을 벌였고, 이를 은폐하기 위해 DDoS 공격을 벌였다는 의혹을 제기해 왔습니다.

선거 당일 선관위 홈페이지 접속 장애가 DDoS로 인한 서비스 자체의 접속 장애 원인이 아니라 내부 DB(데이터베이스)의 연동이 끊어져 투표소 검색을 막았다는 것입니다. 선관위 개입 가능성까지 제기하면서 선관위를 대상으로 “로그파일을 공개하면 의혹이 풀릴 것”이라고 압박하고 있습니다.

경찰 발표 이후 민주당에서도 사건의 성격과 규모, 소요되는 막대한 자금을 감안할 때선거에 유리하게 작용하기 위해 조직적으로 벌인 것 아니냐는 의혹을 제기하고 있습니다.

이날 경찰은 최 의원의 9급 비서관인 공씨가 주범으로, 평소 잘 알고 지내던 같은 고향 출신 후배인 강씨에게 공격을 지시했고, 강씨는 자신이 운영 중인 홈페이지 제작업체 직원 김씨와 황씨와 함께 공격을 수행한 것으로 파악했다고 밝혔습니다. <관련기사 10·26 선관위 홈페이지 DDoS 공격 주범은 한나라당 의원실 직원>

공씨가 저지른 단독 범행인지, 정치적 의도를 가진 계획적 범죄인지 여부는 알 수 없지만 의혹이 갈수록 중폭되고 있는 것은 사실입니다. 

경찰에 따르면, 이들은 지난달 26일 오전 보궐선거일 당일에 200여대의 좀비PC를 동원해 초당 263MB 용량의 트래픽 공격을 가했습니다.

선관위 홈페이지는 지난달 26일 오전 6시15분부터 8시32분까지 2시간이 넘게 공격을 당해 마비되자, KT의 사이버대피소로 옮겨 서비스를 정상화했습니다.

주말 사이에 선관위 홈페이지를 공격한 좀비PC 수가 당초 알려진 200여대가 아닌 1500여대라는 언론 보도가 나오면서 이젠 ‘경찰 말바꾸기’ 논란도 벌어지고 있는데요. 뭔가 숨기기 위해 말을 바꾼 것처럼 해석되고도 있는 상황입니다. 

경찰청 사이버테러대응센터측은 명백히 “오보”라며 곤혹스러워 하고 있습니다. 센터 관계자는 5일 “좀비PC 규모는 당초 발표했던 200여대가 맞다”며, “예를 들어 설명하는 과정에서 오해한 것 같다”고 말했습니다.

선관위 책임도 있습니다. 선관위에서 밝힌 DDoS 공격 규모와 KT에서 집계한 규모가 다르다는 점 때문인데요.

사용자 삽입 이미지

KT 관계자는 “이번 DDoS는 대역폭 공격”이라며, “선관위에서 밝힌 공격 트래픽 규모는 전체 트래픽 규모이며, 실제 공격 트래픽은 2Gbps 가량의 규모였다”고 설명했습니다.

또한 좀비PC 규모 역시 경찰이 밝힌 200여대로 파악하고 있다고 합니다.

DDoS 방어 장비를 구축한 업체는 “350Mbps 정도의 용량을 사용했던 KT 회선에 트래픽이 260M 이상이 넘어가면서 과부하가 발생하자, 이를 KT 우회서비스로 돌린 것”이라며, “DDoS 방어 장비는 1G급이 설치돼 있어 전혀 문제가 없었다”고 말했습니다.

선관위는 KT 2회선, LG유플러스 1회선을 사용하고 있습니다.

이들 말대로라면 직접적으로 선관위 홈페이지에서 나타난 접속 장애는 인터넷 회선 용량 초과가 핵심 원인이라고 볼 수 있습니다. 홈페이지에서 사용했던 회선이 트래픽을 수용할 수 없었기 때문에 서비스가 원활하지 못했던 것입니다.  

이후 선관위는 사용하는 인터넷 회선 용량을 1G 이상으로 늘렸다고 하는데요. DDoS 공격이 벌어졌던 것 외에도 선관위의 선거 당일 트래픽 예측이 어긋났던 것도 문제의 원인이 될 수 있다고 보입니다.

IT 보안의 관점에서 보자면, 이번 사건은 얼마든지 취약한 PC를 악성코드에 감염시키고, 감염시켜 조종할 수 있는 좀비PC를 확보해 DDoS 공격을 벌일 수 있는 현실을 보여줍니다. 마음을 먹고 돈만 있다면 얼마든지 사이버범죄를 저지를 수 있는 환경이 됐습니다.

그 이유로 보안 전문가들은 ‘악성프로그램 확산 방지 등에 관한 법률(일명 좀비PC방지법)’ 제정의 필요성을 다시 지적하고 있습니다. 또 정부기관의 DDoS 등 위협 대응체계가 실질적으로 작동될 수 있도록 구축돼 있는지도 재점검해 봐야 할 것 같습니다.

DDoS 공격이 다양하게 활용되고 있다는 점을 보여준다는 점에서도 주목됩니다. DDoS는 경쟁사 사이트의 서비스 방해나 보복성 공격, 금전을 노린 협박성 범죄뿐만 아니라 정치적인 목적을 달성하기 위해서도 얼마든지 활용될 수 있는 공격 수단입니다. 핵티비즘이라고 불리우지요.

그동안 정치적인 불만을 갖고 많은 사람들이 시간을 정해놓고 특정 홈페이지를 대상으로 한꺼번에 접속해 서비스를 중지시켰던 사례는 많이 있었습니다. 이 역시도 일종의 핵티비즘, DDoS 공격이라고 할 수 있습니다.

이번 사건은 정치적으로 아주 중대한 사안이고 반드시 한 점 의혹 없이 진실이 규명돼야 할 것입니다. 여기에 더해 한번의 보안 투자가 아니라 보안수준 향상과 국가 전반의 보안인식 강화 노력이 지속적으로 이뤄져야 한다는 점에서도 교훈을 찾을 부분이 있다고 생각됩니다.

(참고로 선관위는 지난 2009년 7.7 DDoS 공격 이후 행정안전부 주축으로 추진했던 범정부 DDoS 대응체계 구축 사업을 통해 DDoS 대응체계를 적용했습니다.)


 

2011/12/05 19:25 2011/12/05 19:25

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단⑤]

민간 보안업체들은 업체들대로 침해사고를 예방하고 신속하게 탐지·분석·대응하고, 보안위협을 총체적으로 관리하는 차원으로 보안관제 수준을 개선하기 위해 많은 노력을 벌이고 있습니다.

이제 보안관제서비스는 단순 모니터링 차원이 아니라 취약점 분석 및 모의해킹 등 예방활동과 침해사고 대응 조치와 분석 등 사후관리까지 포괄하는 차원으로 발전하고 있습니다. 더욱이 앞에서 지적됐던 제한된 보안관제 범위나 신종 공격 대응 미흡 등과 같은 한계를 극복하기 위한 시도가 한창입니다.

몇가지 소개해 보겠습니다.

사용자 삽입 이미지

안철수연구소는 최근 빈발하는 지능형 타깃 지속위협인 APT 공격 대응책으로 전방위 융합보안 체계를 강조하고 있습니다.

융합보안 체계는 외부에서 들어오는 공격과 내부에서 정보가 유출되는 것을 동시에 감시, 대응할 수 있는 종합적인 대응책인데, 이를 보안관제서비스에도 적용해 제공할 방침입니다. (관련기사 안철수연구소 “‘전방위 융합체계’로 APT 지능적 타깃공격에 대응”)

이미 국민은행 등 몇몇 고객사를 대상으로 제공하고 있다는데요, 이달 20일 열리는 안랩 페어 행사에서 안철수연구소가 제시하는 융합 보안관제서비스를 만나볼 수 있지 않을까 싶습니다.

안철수연구소는 그간 보안관제서비스에 클라우드 개념의 악성코드 분석 및 대응 원천 기술인 ‘안랩 스마트 디펜스(AhnLab Smart Defense)’ 기술을 접목해 특화서비스를 제공하기 위해 준비해 왔습니다.

최근에는 차세대 보안관제 솔루션인  ‘세피니티 3.0’을 출시, 보안 솔루션 모니터링 중심 서비스에서 벗어나 보안 위협의 공격 대상이 되는 자산 정보관리와 취약점관리 영역까지 확장해 제공하고 있습니다.

보안관제 고도화 TF(테스크포스)도 상시 운영하면서 위협변화에 맞는 발전적인 보안관제 모델을 연구해오고 있습니다.

인포섹 역시 새로운 위협과 고객요구 변화를 수용하기 위해 새로운 보안관제서비스를 잇달아 선보이고 있습니다. 

최근 APT 같은 첨단 공격에 대응하기 위해 최근 다단계 탐지체계를 구축해 신속하게 탐지, 대응할 수 있는 보안관제 방안을 개발했습니다. 이 서비스는 L7 애플리케이션 방화벽과 악성코드 탐지·분석·제거 솔루션, 자체 개발한 침해흔적조사 솔루션(i-Magnifier)과 정보유출 탐지·차단 솔루션을 활용합니다. 여기에 프리미엄 전문가 서비스도 포함되죠. 

개인정보보호 관제서비스도 제공하고 있습니다. 조만간 클라우드 보안관제 서비스도 출시하는 등 계속해서 새롭고 다양한 고객 요구을 폭넓게 수용할 수 있도록 한다는 계획입니다.

인포섹은 보안관제의 사전예방과 사후관리 등의 기능을 강화하기 위해 이미 전문가를 통한 네트워크 장비와 시스템 취약점 진단, 내·외부자 관점의 모의해킹, 침해사고 분석 및 재발방지 대책을 수립하는 포렌식 서비스도 벌이고 있습니다.

통합보안관제는 자체 개발한 DMM(Dynamic Monitoring For Security Management)을 기반으로 하고 있는데요. 다양한 보안 솔루션에서 발생되는 이벤트를 통합해 자체 방법론을 기준으로 1000여개의 침해패턴을 사전정의하고 탐지된 이벤트를 재분석해 경고메일, 블랙리스트관리, 오용탐지처리, 침해발생보고서 작성 등의 대응을 수행합니다.

이글루시큐리티도 최근 통합보안관리(ESM)솔루션인 ‘스파이더 TM’에 서버 취약점 점검, 트래픽 분석(DDoS 탐지), 네트워크 모니터링 강화 등의 기능을 추가했습니다.

향후 클라우드 환경의 확대에 따른 클라우드 기반 ESM 솔루션도 공급할 예정으로, 이미 지난 8월에 ‘클라우드 컴퓨팅 통합보안관제시스템 및 그 방법’으로 특허를 획득했습니다.

이글루시큐리티는 보안관제서비스 조직 내에 원격관제팀과 별도로 침해사고대응팀을 운영해 파견관제 고객사에 사전예방 조치가 필요하거나 자칫 보안사고가 발생한 경우, 즉시 모의해킹과 취약점 점검을 수행하고 사고분석과 대응을 실시할 수 있도록 하고 있습니다.

최근에는 보안관제 전문역량을 한층 제고하기 위해 자체 인력 양성 시스템도 강화하고 나섰습니다. 

보안관제 인력 양성 시스템은 관련학과 졸업자, 교육 이수자, IT유사 경력의 보유자 등을 모집해 교육장에서 이뤄지는 이론 교육이 아니라 실제 보안관제가 수행되는 현장에서 직접 실시하는 연수프로그램으로 구성됩니다. 이를 통해 기본기가 충실하면서도 곧바로 실전에 투입돼도 손색이 없는 탄탄한 전문인력을 양성할 수 있다는 점이 강점입니다. 

KISA아카데미 등과 연계해 국가에서 운영하는 교육과정을 통해 전문인력을 직접 양성하는 과정도 확대한다고 하네요.

싸이버원도 보안관제서비스에 24X365 모니터링·탐지 서비스 외에 취약점진단, 모의해킹, 주기적 보안설정관리 등을 포함한 예방 서비스와 사고·보안로그 분석을 통한 사고피해 조사, 원인파악을 제공하는 분석서비스, 장애대응, 구성변경 등의 대응서비스를 제공하고 있습니다.

자체 연구소를 통해 통합보안관제시스템(ESM) 개선과 기술 개발에 지속적으로 투자하고 있는데요, 현재는 탐지엔진 고도화와 융합보안을 위한 물리적 보안장비의 연계방안을 모색하고 있습니다.

이를 위해 지난 5월에 융합보안사업부를 신설했고, 스마트카드 기반의 출입통제, 근태관리 등의 신규 사업과 기존 정보보안 시스템과의 연동을 진행 중에 있습니다.

싸이버원은 ISAC(정보공유분석시스템)을 홈페이지로 개발해 고객사에서 보안정보를 쉽게 접할 수 있도록 제공하고 있습니다. 이들 고객에는 고급 보안 정보와 자체 분석 데이터를 제공하는 한편, 고객별 요청에 대한 CRM 및 리포팅 기능도 제공합니다.

보안관제서비스 사업으로는 후발주자인 윈스테크넷은 10년 넘게 쌓아온 보안솔루션 기술개발과 구축 노하우를 바탕으로 차별화를 꾀하고 있습니다.

IDS(침입탐지시스템), IPS(침입방지시스템), TMS(위협관리시스템) 등 검증된 솔루션의 공급으로 침입탐지·분석·차단 기술을 보유하고 있고, 침입탐지·차단 시그니처의 자체 개발로 물컵 안의 물 성분을 신속하고 상세하게 분석할 수 있는 자체 기술력을 확보하고 있다는 점에서 자신감을 갖고 있는 모습인데요.

지속적인 기술개발과 솔루션 경쟁력 강화로 기술력 우위의 고품질 관제서비스 제공을 목표로 하고 있습니다.

윈스테크넷은 솔루션 기술 역량을 기반으로 기관별 네트워크 특성에 적합한 맞춤형 시그니처 제작 서비스(SOD, Signature On Demand)를 제공하고 있습니다. 해킹 및 악성코드, 취약점 현황을 실시간으로 전달하는 위협 예·경보서비스인 ‘시큐어캐스트(securecast.co.kr)’로 최신 위협정보 공유과 위험경보서비스(SAS: Security Alert Service)도 지원하고 있습니다.

향후에는 악성코드 배포지 모니터링, 악성코드 삽입 유포지 모니터링 등 특정 분야 맞춤형 시그니처 제작 서비스를 강화해 관제서비스의 기술 경쟁력과 고객 만족도를 높일 계획입니다. 이러한 기술을 기반으로 공공기관 보안관제에 적합한 인력을 대거 양성할 예정이라네요.

주기적인 교육훈련과 인재 채용으로 전문인력 양성에도 힘쓴다는 방침입니다.

참고로 IT서비스 회사인 LG CNS 역시 네트워크 영역뿐 아니라  PC, 웹 등 모든 IT 자원까지 포괄한 보안관제서비스를 제공하고 있습니다. 이를 대상으로 한 실시간 모니터링뿐만 아니라 서버, 네트워크 장비 등 인프라자원의 취약점 제거활동을 주기적으로 실시하고, 이를 중앙집중 방식으로 관리하고 있다고 하네요. 

최근에는 APT(지능적지속위협)공격등과 같이 기존 보안시스템에서 탐지가 어려운 공격행위나 악성코드를 탐지, 분석, 대응할 수 있는 기술력과 대응체계를 개선하기 위해 노력하고 있다고 합니다.
 

2011/10/12 11:25 2011/10/12 11:25

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단④]

안관제 효과를 높이려면 각종 취약점, 보안위협 정보를 신속하게 습득하는 것이 아주 중요합니다.

민간 보안 솔루션, 서비스 제공업체들은 대부분 각자 해외와 국내 관련 정보공유 커뮤니티에 참여하거나 고객사에 설치된 시스템·서비스 인프라, 분석체계 등을 통해 자체적으로 보안위협 정보를 확보하고 분석하기 위해 노력하고 있습니다.

하지만 새로운 공격기술과 이를 통한 심각한 침해사고가 발생할 때에는 각자 정보를 습득하는 것보다는 민간기업과 정부기관, 사고대상 기업, 인터넷서비스제공업체(ISP) 등이 서로 공유하는 것이 더욱 효율적이고, 보다 신속하게 대응할 수 있습니다.

그 때문에 특히 국가 차원에서 심각한 사이버공격이나 위협 상황이 발생할 경우에 신속한 침해사고 대응을 위해서는 정보공유와 협력의 중요성이 강조됩니다.

지능화된 신종 공격기법이 점점 더 빠르게 개발되고 있기 때문에, 새로운 위협에 관한 분석정보를 신속하게 보안업체와 주요 관제업체를 포함한 사이버보안 관련 주체들이 공유, 전파될 수 있는 국가적 체계 마련이 필요하다는 지적이 나오고 있습니다.

물론 그동안에도 국가정보원 국가사이버안전센터(NCSC), 행정안전부, 방송통신위원회 한국인터넷진흥원(KISA) 등에서 민간업체들과의 정보공유체계를 운영해오긴 했는데요. 대체적으로 형식적이거나 정보의 범위가 제한적이라는 평가가 이뤄지고 있습니다.

그 이유 중 하나는 이해를 따질 수밖에 없기 때문인데요.

국가적인 사이버 위기상황 발생시에 사명감과 책임감을 갖고 일하긴 하지만 민간 보안업체들은 엄연히 보안을 사업으로 합니다. 따라서 보안 솔루션이나 서비스 업체들은 사이버위협 정보가 자사의 서비스 품질과 차별성을 좌우하는 중요한 요소가 됩니다. 서로 같은 수준으로 도움이 되는 정보를 공유한다는 것이 쉽지 않겠지요.

서로 각자 다른 쪽에서 나오는 정보를 받으려고만 하는 태도로는 정보공유와 협력은 요원할 것입니다.

정부기관과 민간업체들 간의 정보공유 환경도 비슷하다고 지적됩니다. 민간업체들 입장에서는 ‘정부기관이 일방적으로 받으려 한다’는 볼멘소리가 나옵니다. 아무 대가도 없이 말이지요.

상생할 수 있는 협력과 공조가 이뤄지지 않고 있습니다. 또 국가 안보 차원에서 접근하는 정부기관 입장과 민간업체의 입장이 다르다는 점을 감안하면 모든 정보를 서로 오픈하는 것이 쉽지는 않아 보입니다.

그 때문에 최근 정보공유분석체계 강화 필요성이 제기되는 한편으로, 이는 현실적으로 불가능 하다는 회의적인 시각도 존재합니다.

하긴, 민·관의 협력을 이야기하기에 앞서 정부기관 간 체계적인 협력체계도 미흡했군요. 지난 2009년 7.7 DDoS(분산서비스거부) 공격 당시 문제점이 여실이 드러났었죠. 이 사고 이후 사이버보안 ‘컨트롤타워의 부재’로 인한 문제가 수없이 지적됐습니다.

아직도 사이버위기대응 주체라 할 수 있는 민·관·군(NCSC, 사이버사령부, 보안업체), 더 나아가 수사기관인 검찰과 경찰 간의 정보공유와 협력의 중요성이 크게 강조됨에도 불구하고 원활하고 일사분란한 체계가 운영되지 못했습니다.

민간업체들 입장에서 관과의 협력에 힘들어 하는 이유가 여기에도 있습니다. 한 업체가 여러기관에 불려가다보니(?) 창구를 통일했으면 한다는 바람을 한목소리로 이야기하고 있습니다.

사용자 삽입 이미지

여하튼 현재 국가 사이버 위기관리 차원에서 정보공유와 협력을 강화하기 위한 많은 시도가 현재 이뤄지고 있습니다.

국가정보원은 최근 ‘국가 사이버안보 마스터플랜’을 NCSC를 중심으로 국가 안보차원에서 각 정부부처와 기관이 사이버공격에 공동으로 대응할 수 있는 체계를 강화하고, 이를 위한 실행계획을 구체화하고 있습니다.

그 중 핵심이 바로 각 민·관·군 합동 대응체계, 통합정보공유체계 강화입니다. (관련기사 국정원 “민간전문가 참여, 사이버보안 사고 조사·검증체계 운영”, 국가 사이버안보 마스터플랜 수립…“사이버공간도 국가수호 영역”)

민간 부문의 사이버 침해사고 대응 역할을 담당하고 있는 KISA 인터넷침해대응센터 역시 민간 주요 인터넷서비스사업자(ISP), 백신업체를 비롯한 보안업체, 정부기관과의 정보공유와 협력을 강화하기 위한 활동을 벌이고 있습니다.

국가기관과 민간 주요 보안업체들과의 정보공유가 체계적으로 이뤄지지 못하고 있다는 점에서 내년 초 오픈을 목표로 ‘정보공유체계(가칭)’를 개선하기 위한 시스템을 개발 중에 있습니다.

이 시스템은 보안권고문과 유포 중인 악성코드 등 보안위협, 유포사이트 차단 등 대응조치 사항을 포괄해 양방향 정보공유 체계와 프로세스 자동화를 목표로 하고 있다고 합니다. 

행정안전부 정부통합전산센터 역시 올해 초에 사이버위협 정보 공유시스템을 개통했습니다. 이 시스템은 중앙행정기관, 지방자치단체의 시스템 관제기관이 제공하는 통합 모니터링 자료와 침해 시도 분석결과를 정보보호 전문업체 20곳과 공유해, 사이버위협에 즉각 대응할 수 있도록 지원하기 위해 구축한 것입니다.

이 역시 크게 활성화돼 있지는 못하다는 평가가 나오긴 합니다만, 사이버 공격유형이나 공격 IP, 대응방법을 공유하기 위해 센터는 민간업체들과 MOU를 체결해 체계적인 정보공유 체계를 마련했습니다. 자체적으로 악성코드분석센터도 운영하고 있지요.

*** 참고 : 그림은 지난 7월 국가정보화전략위원회 주최로 열린 ‘제2회 국가정보화전략포럼’ 에서 서종렬 KISA 원장 발표자료임.


2011/10/12 11:24 2011/10/12 11:24

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단③]

보안관제는 네트워크상에 적용된 방화벽을 관제하면서부터 시작했습니다. 여기에 IDS/IPS(침입탐지/방지시스템), DDoS(분산서비스거부) 대응시스템, 웹방화벽 등으로 설치되는 보안시스템이 여러 종류로 늘면서, 다양한 솔루션에서 발생하는 이벤트와 로그를 실시간 수집, 통합관리, 분석해 침해사고·위협을 종합적으로 탐지하고 대응할 수 있도록 운영합니다.

현재 활용되고 있는 보안관제시스템은 이기종 보안시스템의 보안 이벤트와 로그를 취합해 중앙에서 분석·관리하는 ESM(통합보안관리)시스템과 IDS/IPS 등 침입탐지 센서를 기반으로 네트워크 트래픽의 이상징후와 위협요소를 조기에 탐지할 수 있도록 상태변화를 실시간 감시, 분석하는 TMS(위협관리시스템)이 있습니다.

보안관제를 위한 기본 솔루션인 ESM은 여러 보안장비의 관리 효율성을 제공할 뿐만 아니라 IT시스템 전반의 보안정책을 수립하도록 합니다. 보안장비에서 나타나는 정보에만 의존하게 되면 제로데이 공격과 같은 새로운 공격에 대응할 수 없고 지나치는 보안정보가 생겨나게 됩니다.

이 때문에 네트워크 트래픽 이상징후 등 네트워크 상태 변화를 민감하게 감지해 사이버공격을 탐지할 수 있도록 네트워크 트래픽 모니터링 및 분석 기능을 제공하는 TMS가 보안관제시스템을 보강하는 솔루션으로 활용되고 있습니다. TMS는 사이버공격을 탐지해 조기 예·경보체계를 구축할 수 있도록 기반을 제공합니다.

종합분석시스템은 각종 IT자산과 ESM 등에서 수집된 정보를 바탕으로 내·외부 위협정보를 자동으로 추출하고 보다 복합적으로 상관분석하도록 강화돼 있는 최상위 보안관제시스템이라 할 수 있습니다. 종합분석시스템의 가장 큰 특징은 현재의 위협상황 등을 대시보드 형태로 직관적으로 파악할 수 있도록 보여줍니다.

해외에서는 ESM, TMS, 종합분석시스템 등 여러 종류로 나뉘어 있지 않고 SIM(보안정보관리), SIEM(보안정보·이벤트관리)시스템아 포괄적인 통합관리·분석시스템으로 활용되고 있습니다. 

ESM, TMS, 종합분석시스템, SIEM 등과 같은 보안관제시스템을 잘 구축해 놨다고 해도 보안관제의 효용성이 무조건 발휘되는 것은 아닙니다. 인력 수준에 따라 탐지 그 자체와 위협여부 판단, 보안시스템 운영상태나 정책·임계치·경고 설정 등 실무업무에서 차이가 날 수 있기 때문에 결국 관제 품질이 좌우됩니다.

결국 보안관제에서의 문제는 기술측면 보다는 인력에 있다는 것이 전문가들의 공통된 지적입니다. 관제시스템을 통해 탐지된 기술을 이용하지만 결국 최종 판단은 전문인력이 하는 것이기 때문입니다.

더욱이 조직마다 필요한 보안시스템을 100% 완비할 수 없고, 예산과 상황에 맞춰 현실적으로 투자할 수밖에 없다는 점을 감안하면, 시스템상의 한계로 지적되는 한정된 관제 범위나 려진 공격 위주, 과다 탐지됐거나 잘못 탐지된 이벤트 등과 같은 문제나 부족한 점은 사람이 갖고 있는 전문성과 노하우로 해결해 나가고 채워지게 됩니다.

일단 기본 문제는 현재 보안관제 전문인력이 극히 부족하다는 데 있습니다. 보안관제 인력에 대한 인식이나 처우 개선도 시급하다고 지적됩니다. 보안관제 업무를 기피하게 되는 요인이 현재로선 많기 때문입니다.

24시간 365일 돌아가는 관제업무의 특성상 야근과 밤샘, 휴일근무 등 힘든 근무환경에서 보상이나 복지가 미진하고, 개인적인 성장 불확실성도 크기 때문에 경력이 쌓이면 이직이나 컨설팅 등 다른 업무로 전환하는 사례가 많다고 합니다. 

그러다보니 신입 등 경력이 부족한 초급인력이 관제에 투입되는 경우가 많아지겠지요. 심지어 “팔 다리만 달리면 뽑는다”는 식의 이야기까지도 나올 정도라네요. 이 경우 보안관제를 아웃소싱하거나 관제업무 담당자를 두고 있는 기업이나 기관에서도 만족하지 못합니다.

사고가 나면 “보안관제 요원들은 뭐했냐”고 하고, 아무 일이 일어나지 않을 때에는 또 보안관제 인력 투자비용을 아까워하며 “보안관제 인력을 둬야 하나”하는 말이 나옵니다.

변화가 수반되지 않는다면 계속 악순환 될 것입니다.

기본적인 네트워크와 서버, 웹 또는 보안 관련 기초지식만 있을 뿐 경험과 전문성이 크게 부족한 사람에게 중요한 자산을 침해하거나 마비, 탈취하려는 공격을 예방, 탐지하고 최전선에서 대응하는 역할을 맡긴다고 상상해보십시오. 결과는 뻔할 것입니다.

사실 보안관제를 보안위협을 종합적이고 체계적으로 관리하는 차원에서 보면 전문성은  매우 중요합니다.

관제 요원은 분석 능력을 갖춘 전문가라기보다는 단순 ‘운영’요원으로서 인식되는 측면이 있었다는 것이 업계의 이야기입니다. 그러다보니 관제 업무경력도 낮게 평가됩니다.

애초에 전문성을 검증할 수 있는 체계도 부재합니다. 현재 인력의 전문성을 교육프로그램 역시 꾸준히 지원되지 못하고 있는 상황입니다.

부족한 보안관제 전문인력을 전문가로서 인식하고 대우하는 것, 현실적인 처우개선은 시급하고도 중요한 과제로 인식됩니다.

보다 실효성 있는 보안관제가 이뤄지기 위해서는 기업과 기관에서 보안관리서비스와 보안아웃소싱에 대한 전문성을 인정해야줘야 합니다. 

공공분야에 정책적으로 보안관제 의무화 및 활성화 노력을 벌이고 있는데요. 정부에서부터 실천하는 것이 필요해 보입니다.

일례로 보안관제서비스 업체들에게 맡길 경우에도, 발주기관에서는 일반 IT 엔지니어 도입 단가를 통해 제안을 요청하고 있다고 합니다. 이 또한 최저가 입찰을 통해 인력을 수주 받고 있습니다. 업계에서는 적어도 관제 인력 및 서비스 단가를 소프트웨어 노임단가 수준만을 인정해줘도 상황은 나아질 것이라고 이야기합니다.

비단 보안관제만의 문제는 아닐 것입니다. 우리나라는 상시적인 보안서비스에 대한 인식이 척박합니다. 보안업계에서 쉽게 유지보수라 불리는 보안시스템 서비스 요율을 현실화하기 위해 꾸준히 노력했지만 이번 정부에서도 결국 무산되는 분위기입니다.

지속적인 업데이트 및 개선작업, 관리가 이뤄지지 않으면 아무리 훌륭한 보안시스템도 시간이 지나면 무용지물이 될 뿐입니다.   

때문에 전문가들은 보안강국이 되려면 사회와 기업·기관의 전반적인 보안 인식의 개선, 이에 따른 예산 및 투자 확대 노력이 절실하다고 목소리를 높이는 것입니다.

보안관제 서비스 및 인력단가가 현실화된다면 민간 업체들 주축의 인력 양성이나 교육, 회사 차원의 보안관제 요원에 대한 지원 역시 개선될 것으로 전망됩니다.

다양한 경로를 통해 들어오는 새로운 보안관련 이슈와 정보를 수집하고, 이러한 이슈를 분석해 관제에 적용하고, 또 파견관제 인력으로 해결이 어려운 사건·사고 발생시에도 신속하게 지원인력을 투입해 이슈를 보안관제 회사 차원에서 실시할 수 있다면 보안관제 수준을 높이는 대안이 될 수 있습니다. 

개개인의 전문성이 부족하더라도 서비스 회사 차원에서 실제로 발생한 공격 특성이나 대응 방식, 보안관제 서비스 노하우가 지식화돼 효과적으로 공유하고 전수할 체계가 마련된다면 보다 효과적으로 만들어갈 수 있을 것입니다.

2011/10/12 11:24 2011/10/12 11:24