[기획/보안강국을 위한 쓴소리-보안관제 현황 진단⑤]

민간 보안업체들은 업체들대로 침해사고를 예방하고 신속하게 탐지·분석·대응하고, 보안위협을 총체적으로 관리하는 차원으로 보안관제 수준을 개선하기 위해 많은 노력을 벌이고 있습니다.

이제 보안관제서비스는 단순 모니터링 차원이 아니라 취약점 분석 및 모의해킹 등 예방활동과 침해사고 대응 조치와 분석 등 사후관리까지 포괄하는 차원으로 발전하고 있습니다. 더욱이 앞에서 지적됐던 제한된 보안관제 범위나 신종 공격 대응 미흡 등과 같은 한계를 극복하기 위한 시도가 한창입니다.

몇가지 소개해 보겠습니다.

사용자 삽입 이미지

안철수연구소는 최근 빈발하는 지능형 타깃 지속위협인 APT 공격 대응책으로 전방위 융합보안 체계를 강조하고 있습니다.

융합보안 체계는 외부에서 들어오는 공격과 내부에서 정보가 유출되는 것을 동시에 감시, 대응할 수 있는 종합적인 대응책인데, 이를 보안관제서비스에도 적용해 제공할 방침입니다. (관련기사 안철수연구소 “‘전방위 융합체계’로 APT 지능적 타깃공격에 대응”)

이미 국민은행 등 몇몇 고객사를 대상으로 제공하고 있다는데요, 이달 20일 열리는 안랩 페어 행사에서 안철수연구소가 제시하는 융합 보안관제서비스를 만나볼 수 있지 않을까 싶습니다.

안철수연구소는 그간 보안관제서비스에 클라우드 개념의 악성코드 분석 및 대응 원천 기술인 ‘안랩 스마트 디펜스(AhnLab Smart Defense)’ 기술을 접목해 특화서비스를 제공하기 위해 준비해 왔습니다.

최근에는 차세대 보안관제 솔루션인  ‘세피니티 3.0’을 출시, 보안 솔루션 모니터링 중심 서비스에서 벗어나 보안 위협의 공격 대상이 되는 자산 정보관리와 취약점관리 영역까지 확장해 제공하고 있습니다.

보안관제 고도화 TF(테스크포스)도 상시 운영하면서 위협변화에 맞는 발전적인 보안관제 모델을 연구해오고 있습니다.

인포섹 역시 새로운 위협과 고객요구 변화를 수용하기 위해 새로운 보안관제서비스를 잇달아 선보이고 있습니다. 

최근 APT 같은 첨단 공격에 대응하기 위해 최근 다단계 탐지체계를 구축해 신속하게 탐지, 대응할 수 있는 보안관제 방안을 개발했습니다. 이 서비스는 L7 애플리케이션 방화벽과 악성코드 탐지·분석·제거 솔루션, 자체 개발한 침해흔적조사 솔루션(i-Magnifier)과 정보유출 탐지·차단 솔루션을 활용합니다. 여기에 프리미엄 전문가 서비스도 포함되죠. 

개인정보보호 관제서비스도 제공하고 있습니다. 조만간 클라우드 보안관제 서비스도 출시하는 등 계속해서 새롭고 다양한 고객 요구을 폭넓게 수용할 수 있도록 한다는 계획입니다.

인포섹은 보안관제의 사전예방과 사후관리 등의 기능을 강화하기 위해 이미 전문가를 통한 네트워크 장비와 시스템 취약점 진단, 내·외부자 관점의 모의해킹, 침해사고 분석 및 재발방지 대책을 수립하는 포렌식 서비스도 벌이고 있습니다.

통합보안관제는 자체 개발한 DMM(Dynamic Monitoring For Security Management)을 기반으로 하고 있는데요. 다양한 보안 솔루션에서 발생되는 이벤트를 통합해 자체 방법론을 기준으로 1000여개의 침해패턴을 사전정의하고 탐지된 이벤트를 재분석해 경고메일, 블랙리스트관리, 오용탐지처리, 침해발생보고서 작성 등의 대응을 수행합니다.

이글루시큐리티도 최근 통합보안관리(ESM)솔루션인 ‘스파이더 TM’에 서버 취약점 점검, 트래픽 분석(DDoS 탐지), 네트워크 모니터링 강화 등의 기능을 추가했습니다.

향후 클라우드 환경의 확대에 따른 클라우드 기반 ESM 솔루션도 공급할 예정으로, 이미 지난 8월에 ‘클라우드 컴퓨팅 통합보안관제시스템 및 그 방법’으로 특허를 획득했습니다.

이글루시큐리티는 보안관제서비스 조직 내에 원격관제팀과 별도로 침해사고대응팀을 운영해 파견관제 고객사에 사전예방 조치가 필요하거나 자칫 보안사고가 발생한 경우, 즉시 모의해킹과 취약점 점검을 수행하고 사고분석과 대응을 실시할 수 있도록 하고 있습니다.

최근에는 보안관제 전문역량을 한층 제고하기 위해 자체 인력 양성 시스템도 강화하고 나섰습니다. 

보안관제 인력 양성 시스템은 관련학과 졸업자, 교육 이수자, IT유사 경력의 보유자 등을 모집해 교육장에서 이뤄지는 이론 교육이 아니라 실제 보안관제가 수행되는 현장에서 직접 실시하는 연수프로그램으로 구성됩니다. 이를 통해 기본기가 충실하면서도 곧바로 실전에 투입돼도 손색이 없는 탄탄한 전문인력을 양성할 수 있다는 점이 강점입니다. 

KISA아카데미 등과 연계해 국가에서 운영하는 교육과정을 통해 전문인력을 직접 양성하는 과정도 확대한다고 하네요.

싸이버원도 보안관제서비스에 24X365 모니터링·탐지 서비스 외에 취약점진단, 모의해킹, 주기적 보안설정관리 등을 포함한 예방 서비스와 사고·보안로그 분석을 통한 사고피해 조사, 원인파악을 제공하는 분석서비스, 장애대응, 구성변경 등의 대응서비스를 제공하고 있습니다.

자체 연구소를 통해 통합보안관제시스템(ESM) 개선과 기술 개발에 지속적으로 투자하고 있는데요, 현재는 탐지엔진 고도화와 융합보안을 위한 물리적 보안장비의 연계방안을 모색하고 있습니다.

이를 위해 지난 5월에 융합보안사업부를 신설했고, 스마트카드 기반의 출입통제, 근태관리 등의 신규 사업과 기존 정보보안 시스템과의 연동을 진행 중에 있습니다.

싸이버원은 ISAC(정보공유분석시스템)을 홈페이지로 개발해 고객사에서 보안정보를 쉽게 접할 수 있도록 제공하고 있습니다. 이들 고객에는 고급 보안 정보와 자체 분석 데이터를 제공하는 한편, 고객별 요청에 대한 CRM 및 리포팅 기능도 제공합니다.

보안관제서비스 사업으로는 후발주자인 윈스테크넷은 10년 넘게 쌓아온 보안솔루션 기술개발과 구축 노하우를 바탕으로 차별화를 꾀하고 있습니다.

IDS(침입탐지시스템), IPS(침입방지시스템), TMS(위협관리시스템) 등 검증된 솔루션의 공급으로 침입탐지·분석·차단 기술을 보유하고 있고, 침입탐지·차단 시그니처의 자체 개발로 물컵 안의 물 성분을 신속하고 상세하게 분석할 수 있는 자체 기술력을 확보하고 있다는 점에서 자신감을 갖고 있는 모습인데요.

지속적인 기술개발과 솔루션 경쟁력 강화로 기술력 우위의 고품질 관제서비스 제공을 목표로 하고 있습니다.

윈스테크넷은 솔루션 기술 역량을 기반으로 기관별 네트워크 특성에 적합한 맞춤형 시그니처 제작 서비스(SOD, Signature On Demand)를 제공하고 있습니다. 해킹 및 악성코드, 취약점 현황을 실시간으로 전달하는 위협 예·경보서비스인 ‘시큐어캐스트(securecast.co.kr)’로 최신 위협정보 공유과 위험경보서비스(SAS: Security Alert Service)도 지원하고 있습니다.

향후에는 악성코드 배포지 모니터링, 악성코드 삽입 유포지 모니터링 등 특정 분야 맞춤형 시그니처 제작 서비스를 강화해 관제서비스의 기술 경쟁력과 고객 만족도를 높일 계획입니다. 이러한 기술을 기반으로 공공기관 보안관제에 적합한 인력을 대거 양성할 예정이라네요.

주기적인 교육훈련과 인재 채용으로 전문인력 양성에도 힘쓴다는 방침입니다.

참고로 IT서비스 회사인 LG CNS 역시 네트워크 영역뿐 아니라  PC, 웹 등 모든 IT 자원까지 포괄한 보안관제서비스를 제공하고 있습니다. 이를 대상으로 한 실시간 모니터링뿐만 아니라 서버, 네트워크 장비 등 인프라자원의 취약점 제거활동을 주기적으로 실시하고, 이를 중앙집중 방식으로 관리하고 있다고 하네요. 

최근에는 APT(지능적지속위협)공격등과 같이 기존 보안시스템에서 탐지가 어려운 공격행위나 악성코드를 탐지, 분석, 대응할 수 있는 기술력과 대응체계를 개선하기 위해 노력하고 있다고 합니다.
 

2011/10/12 11:25 2011/10/12 11:25

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단②]

지금까지 보안관제시스템 등을 토대로 구축해 놓은 침해사고대응체계를 발전시켜, 각종 공격과 침해사고를 미연에 막을 수 있고 신속하게 조치해 피해를 최소화할 수 있는 방안은 찾기 위해, 현재 부족한 것이 무엇인지 진단해보고자 합니다.

전문가 분들에게 서면을 통해서나 직접 만나 의견을 구해봤습니다. 한국인터넷진흥원 인터넷침해대응센터, 삼성SDS, LG CNS, 싸이버원, 안철수연구소, 윈스테크넷, 이글루시큐리티, 인포섹의 전문가분들과 공공·기업의 보안관제센터 등에서 관제업무를 담당하시는 여러분들이 도움을 주셨습니다.

사용자 삽입 이미지

일단 보안관제의 목표는 중요자산을 보호하는 것입니다. 쉽게 말해 궁극적인 보안관제는 각종 침해사고를 막는데 목적이 있습니다. 그런데 지금의 보안관제체계에서 침해사고를 막을 수 있을까요? 

보안관제가 침해사고를 탐지하고 대응하는데 상당한 효과가 있다는 점은 인정되고 있지만, 공격 예방과 실시간 탐지 측면에서는 아직도 부족하다는 진단이 내려지고 있습니다.

더욱 큰 문제는 알려지지 않은 취약점을 이용한 공격, APT(Advanced Persistent Threat) 공격, 사회공학적 공격 등 지능화된 최신 공격에 한계를 노출하고 있다는 점입니다.

우리가 기억하는 최대규모 고객정보를 유출한 옥션이나 SK커뮤니케이션즈의 사고가 보안관제체계가 부재했기 때문은 아닙니다.

그래서 사고 이후 “보안관제서비스를 받고 있는데 왜 못 막았냐?”, “보안관제 업체의 책임 아니냐”며, 이를 둘러싼 많은 논란이 대두되기도 했습니다. 

전체적으로 보면 보안관제시스템을 제대로 운영해온 기간이 짧기도 하지만, 그동안에는 대형사고 경험 역시 부족한 탓이 있습니다.

또 보안관제를 제대로 하려면 기본적인 보안 투자가 기반이 돼야 하는데, 아직도 정부와 금융기관, 기업의 보안 투자는 부족합니다. 더욱이 지속적으로 새로운 공격수법이 빠르게 개발되고 있는데, 보안시스템을 보강하는 계획을 수립하고 투자를 벌이기 위한 의사결정은 느립니다.

보안관제는 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 분산서비스거부(DDoS) 공격 대응시스템 등 보안 장비를 기반으로 합니다.

그동안 보안투자는 주로 외부에서 내부로의 차단에 집중한 보안시스템을 구성해 보안정책을 설정하는 분야에서 이뤄져 왔지만, 이 또한 일부일 뿐입니다.

이들 장비에서 나오는 이벤트와 로그를 취합하거나 이상징후를 파악한 뒤 침해 여부를 분석해야 하기 때문에 대부분 보안사고가 발생한 뒤의 시점이 됩니다. 때문에 사전탐지 보다는 보안사고를 확인하고 사후대응하는 것, 같은 유형의 2~3차 피해를 예방하는데 더 기능적이라고 할까요. 

더욱이 관제 대상과 범위는 주로 네트워크 분야로 한정돼 있고 외부로부터 들어오는 공격과 침입에 집중돼 있는 체계여서 내부PC단을 대상으로 하는 최신 공격기법이나 지능형지속위협(APT)과 같은 정교하고 지능적인 위협을 대응하는데 역부족이라고 평가됩니다.

최근의 해킹은 주로 상대적으로 취약한 내부 사용자의 PC를 악성코드 등을 통해 감염시켜 내부 시스템 접근한 후 중요정보를 탈취하는 식으로 이뤄집니다. 이로 인해 보안관제의 내·외부의 균형적인 운영에 대한 필요성과 특정한 부문이 아니라 전체 시스템을 유기적으로 연동하는 노력이 요구되고 있습니다.

즉, 인바운드 트래픽뿐만 아니라 내부에서의 정보 흐름, 아웃바운드 트래픽에 대한 통합된 보안관제의 필요성과 함께 관제의 대상도 단순 네트워크 장비, 서버에서 나아가 PC, 저장매체 활용 등 사용자단까지 확대돼야 한다는 것입니다.

일부 기관 등에서는 이미 PC 보안관제도 함께 수행하고 있다고 하는데요. 백신·PC보안 중앙관리시스템 등을 기반으로 한 PC단과 네트워크단의 포괄적인 탐지·분석이 이뤄져야 합니다.

개인정보유출 문제가 확산되면서 최근 잇달아 출시된 정보유출 방지시스템처럼 사용자들의 행위를 통합적으로 추적·감사하고 외부로의 불법적인 정보유출이나 이상행위를 통제·차단하는 시스템을 도입해 보안관제시스템과 연동하는 작업도 필요할 것입니다.

내부망에서 외부로 나가는 것을 차단할 수 있는 정책 수립도 검토해봐야 합니다.

이를 위해서는 먼저 내부에서 외부로 이루어지는 서비스 정의를 수행한 뒤 외부로 나가는 것에 대한 정책을 수립해야 합니다. 다만 추가적인 보안투자와 함께 사용자의 불편함이 대두될 수 있어 보안 수준 사이에서 정책을 어느 정도로 수립할 것인지 결단이 필요할 듯합니다.

보안관제시스템 자체의 기술적인 한계도 지적됩니다.

먼저 보안관제시스템이 다양한 이기종 보안장비 지원에 한계가 있을 경우의 문제입니다. 또 여러 장비에서 나온 이벤트를 동일한 기준으로 탐지·분석·대응할 수 있는 관리체계를 반영하지 못한다면 전적으로 보안관제서비스 수준 자체에 문제가 됩니다. 

공격 여부 등을 판단하는 기본 정보가 되는 탐지 이벤트에 대한 신뢰성 문제도 크게 지적됩니다. 

공격 탐지센서로 활용되는 각각의 보안 제품의 수준이 떨어지는 것과도 연관돼 있습니다. 오탐지(False Positive)된 이벤트가 많을 경우 실제 위협을 판별해내기는 당연히 어렵습니다.

때문에 최적화 작업이 아주 중요한 것으로 인식됩니다.

보안장비에서 발생하는 엄청난 이벤트를 바탕으로 위협에 대응하기가 매우 어렵기 때문에 현실적으로 커스터마이징 처리된 이벤트를 중심으로 분석이 이뤄지게 되기 때문입니다.

보안장비에서 발생하는 수많은 오탐 이벤트를 커스터마이징 작업을 통해 최적화된 탐지·분석·대응체계를 갖출 수 있다는 얘기입니다.

제로데이 공격에 대한 탐지가 어렵다는 점도 한계로 지적됩니다. 만일 솔루션마다 신규 공격에 대한 패턴 업데이트 주기가 길어지면 최신공격 대응이 어려울 수밖에 없습니다. 

솔루션 업체들의 업데이트, 능력에 대한 의존도가 높기 때문에 만일 솔루션 개발업체에서 신규 공격 패턴을 곧바로 제공하지 못할 경우 보안관제시스템에서도 탐지하는데 한계가 있을 수 있습니다.

따라서 기반이 되는 보안 솔루션의 수준이 아주 중요합니다.

패턴이 제대로 제공된다 하더라도 보안관제시스템의 최적화 작업을 계속해서 벌이지 않을 경우에도 문제는 발생합니다.

백신의 경우 설치만 하고 업데이트를 하지 않게 되면 새로운 바이러스를 막지 못하는 것처럼 보안관제시스템도 지속적인 커스터마이징이 필요하다는 게 전문가들의 지적입니다. 각사마다 IT환경과 사업환경 차이로 인해 같은 패턴을 적용하더라도 시스템상에서 충돌이나 오류가 발생해 오탐지로 이어지는 경우도 있기 때문입니다.

전문 보안관제서비스 업체 역시 침입탐지에 전문성을 갖고 지속적으로 신규 공격 탐지 패턴에 관해 연구하며 이같은 능력을 갖춰야 하는 노력도 요구됩니다.

그래야 예방과 실시간 탐지를 수행할 수 있는 신규 공격을 시스템에 반영할 수 있기 때문입니다.

사전예방 기능을 강화하기 위해 최근에는 보안관제의 범위에 취약점 진단과 모의해킹 업무도 포함되고 있는 추세입니다.

지속적인 신규 패턴 업데이트, 커스터마이징 및 최적화 작업, 사전진단 등을 강화하려면 보안관제서비스 업체나 관제업무 담당자를 대상으로 적절한 보안관제서비스 비용을 지불하고 그 업무의 중요성을 인정하는 것도 반드시 병행돼야 할 것입니다.

2011/10/12 11:23 2011/10/12 11:23