08.07
주요뉴스
뉴스홈 > 이슈조명
보안시장, 아웃소싱 바람 탔다MSSP 급부상, 올해 30억 달러 전망…IBMㆍ시만텍 주도
기업들은 보편화된 보안 기능들을 대부분 외부 제공 업체에게 이관하고 있다. 스팸 필터링이 대표적인 예이며, 방화벽 역시 상당 부분을 아웃소싱하고 있는 상황이다. 하지만 포렌식(forensic) 분석이나 침입방지 및 차단의 경우는 그렇지 않다.

MSSP에 관심 증폭 = 현재의 보안 요구 사항은 너무나 역동적이며 변화무쌍하다. 물론, 정보 보안 리소스가 제한적인 기업들로서는 보안 분야에 전력을 다할 수가 없다. 이에 따라 매니지드 서비스 보안 제공 업체(MSSP: managed service security provider)의 역할이 급부상하고 있으며 이에 대한 관심도 증폭되고 있다.

美 인포메이션위크가 최근 실시한 설문조사에 따르면, 보안 서비스 제공 업체를 사용하지 않고 있거나 아직 계획이 없는 응답자의 62% 가량은 외부 전문가 고용에 있어 불확실성을 지적했다.

MSSP의 책임과 의무에 대한 규정이 확실하게 정립되어 있지 않으며 문제 발생시 책임 소재를 가리기가 어려울 것이라는 의견이다. 또한 MSSP는 보안을 아웃소싱한다는 개념에 상당히 거부감을 불러일으키고 있다는 점을 인식하고 있다. 버라이즌 비즈니스 솔루션스의 보안 서비스 총괄 부사장인 케리 베일리는 아웃소싱이라는 용어 대신에 코아웃소싱(co-sourcing)이나 코매니지드(co-managed) 형태의 서비스라는 말을 고객에게 제시하고 있다면서, "우리의 전략은 고객의 IT 부서를 확장하는 방식의 전략적인 파트너가 되는 것"이라고 밝혔다.

보안의 경우, 위협 요인의 증가로 인해 기업에서의 관련 솔루션 및 제품 도입이 더욱 복잡한 양상을 띠고 있다. 아울러 공급업체와 파트너, 기타 써드 파트들에게도 사설 웹 포털과 생산성 애플리케이션을 제공하기 위해 VPN의 도입이 활발하게 이루어지고 있으며 직원 및 협력사들은 원격 접속을 요구하고 있다. '확장된 기업'의 개념과 SaaS의 확산으로 인해 기업들은 그 어느 때보다 자사의 정보를 외부에 노출해야 하는 상황에 직면하게 되었다.

이러한 상황에서는 방화벽만으로 기업 정보를 더 이상 안전하게 유지할 수 없게 되었음을 의미한다.

올해 MSSP 시장 30억달러 규모 = 이에 따라 MSSP에 대한 시장의 반응도 긍정적으로 바뀌고 있으며 설문조사 결과, 규모가 작은 기업일수록 클라우드 형태의 보안을 채택할 가능성이 높음을 시사하고 있다. MSSP를 사용하고 있거나 고려중인 1,000명 이하의 직원을 보유한 기업 응답자 125명은 내부에 관련 직원이 부족하기 때문에 MSSP를 이용하고 있다고 밝혔다.

포레스터 리서치에 따르면, MSSP가 올해 30억 달러의 매출을 올리면서 급격히 성장할 것으로 전망된다. 이 시장의 주요 참여 업체는 IBM ISS와 시만텍, 베리사인 등으로, 매니지드 보안 비즈니스를 적극적으로 추진하고 있다.

하지만 상위급 인터넷 서비스 제공 업체 역시 이 시장에 눈독을 들이고 있으며 기업들도 관심을 표명하고 있다. 설문조사를 보면, 선호하는 제공 업체의 형태를 물었을 때, 1,000명 이상의 직원을 보유한 기업의 약 20%가 보안을 위해 ISP를 사용하는 것에 개방적인 태도를 보였으며 소기업은 15%에 불과했다. 대기업들의 경우 순수한 보안 벤더를 선호하는 경향을 보였는데, 40% 가량이 그러한 경로를 채택했다. 중소기업의 No.1 선택 기준은 다양한 서비스를 제공할 뿐만 아니라 많은 경험을 보유한 업체였다.

치열한 경쟁과 이윤률이 매우 낮은 분야에서 경쟁하고 있는 ISP들은 언제나 새로운 성장 기회를 모색하고 있으며 전문 서비스의 경우 높은 이윤률을 보장하기 때문에 이들이 간과할 리가 없다. 하지만 ISP들은 MSSP 사업분야에서 그리 재미를 보지 못했기 때문에 '사들인다' 전략으로 선회해, 순수한 MSSP 업체들을 인수하는 쪽을 택하고 있는데, 대표적인 사례가 버라이즌 비즈니스 솔루션스의 사이버트러스트(Cybertrust) 인수이다.

지금까지는 IBM이 서비스 분야에서 시장을 이끌어오고 있으며 SecureWorks와 Solutionary이 순수한 서비스 제공 업체로서는 선두에 있다.

신뢰성 문제 있지만 전반적으로 호의적 = 10년 전, 대부분의 CIO들은 보안 관련 기능을 아웃소싱한다는 개념을 전혀 받아들이지 않았다. 2년 전, 24곳의 MSSP를 대상으로 조사를 실시한 결과, 공격 형태가 다양해지고 미디어에 데이터 유출 사건이 심심치 않게 보도됨에 따라 그러한 생각이 점차 긍정적으로 바뀌기 시작했다.

현재, IT 전문가와 MSSP와의 토론을 비롯해 이번 설문 조사 결과, 아직 신뢰성의 문제가 제기되기는 하지만 보안 분야의 전문가와 전문 업체에 의뢰하는 개념에 매우 호의적인 반응이 나타나고 있음을 알 수 있다.
하지만 아직까지도 자사 데이터와 정보, 인프라를 다른 기관에 노출하는 것에 대해서는 신중한 태도를 견지하고 있다.

내부 및 외부의 위협 요인에 대응하기 위해, IT 조직들은 외부 벤더들을 포함해 데이터 분실 방지나 네트워크 행동 분석 툴 등과 같은 기술 및 최신 콘텐츠 감시 기술을 활용하는 등 총체적이며 종합적인 접근 방법을 도입해야 한다. 아웃소싱에 대해 확신하지 못하는 기업들이라면 재무 부서에서 회계의 정확성을 확인하기 위해 써드 파티 회계 법인을 사용하는 것과 동일한 방법으로 MSSP를 활용하는 것이 하나의 방법이 될 수 있을 것이다.

MSSP 도입이유, 스팸 차단->방화벽 서비스 순 = 인포메이션위크의 설문조사 결과, 대기업들일수록 보다 전문화된 MSSP 서비스를 사용하는 경향이 높은 것으로 나타났다. 현재 매니지드 보안 서비스를 사용하고 있는 응답자의 73%는 스팸 차단용으로 도입했으며 방화벽 서비스를 위해 도입하고 있는 비중이 그 뒤를 이어 68%로 나타났다.

이메일에 기반을 둔 바이러스와 피싱의 확산에 따라 스팸을 차단하는 것이 보안 서비스의 가장 시급한 것임에는 의심의 여지가 없으며, 대규모 네트워크를 보호하는 것이 쉽지 않음을 감안해볼 때, 네트워크 보안에 높은 우선 순위를 두는 것 역시 당연하다.

아키비아(Akibia)는 체크포인트 방화벽 판매와 서비스를 MSSP 사업에 적용시켜 성공을 거둔 벤더이다. 아키비아의 마이클 할퍼린 부사장은 "아키비아의 매니지드 보안 고객들은 주로 체크포인트 서포트(Check Point Support) 고객들로, 우리가 디바이스를 보다 효율적이며 효과적으로 관리할 수 있음을 알고 있는 업체들"이라고 밝혔다.

사고 관리와 포렌식 로그 분석은 모든 기업들에게 해결해야 할 당면과제이며 MSSP들로서는 '구미가 당기는' 분야이다. 방화벽과 서버 로그를 정기적으로 검사하는 IT 조직은 거의 없는 실정으로, 재난 발생시 무방비 상태에 놓일 가능성이 있음을 의미한다. 엔터프라이즈 로그 관리 벤더인 로그로직(LogLogic)은 자사의 제품이 일부 MSSP의 서비스 제품에 통합되어 있다고 밝혔다.

MSSP의 ROI 측정 문제 = MSSP들은 관련 인력을 줄이고 네트워크 보안 및 모니터링과 관련된 고가의 시스템 구입 비용을 없애준다고 주장하지만 모든 기업들에게 적용되는 것은 아니다. 또한 모니터링해야 하는 장비가 많을 경우 ROI에 대한 측정 문제도 제기된다.

MSSP가 사용하는 모델은 장비와 서버 단위, 그리고 서비스 수준 단위의 방법론을 근거로 하고 있다. 버라이즌 비즈니스의 경우 방화벽이나 IDS, 네트워크 장비, 서버 등과 같은 디바이스 개수와 유형, 제공되는 서비스 형태를 토대로 가격을 책정하고 있다.

또 다른 MSSP인 Secure Resolutions는 한달 99달러에 워크스테이션 한대를, 한달 249달러에 서버 한대를 완벽히 모니터링하고 관리해준다고 홍보하고 있다. 10대의 서버와 50대의 워크스테이션을 갖춘 소규모 기업이라면 PC 관리를 위해 한 달에 4,950달러, 서버 관리를 위해서는 한달에 2,500달러, 일년에 총 84,400달러를 지불하게 된다. 이 가격에는 방화벽이나 네트워크 장비가 포함되어 있지 않다. 아키비아측에 따르면, 아키비아의 매니지드 방화벽 서비스 요금은 가용성 수준에 따라 방화벽 한 대당 월 500~1,000달러 선이다.

모든 아웃소싱 프로젝트에서와 마찬가지로, 내부에서 기본적인 보안 기능을 모니터링 및 운영하며 개별 장비와 시스템 관리를 실행하는데 필요한 인력과 시스템을 추가하는 것과 관련된 ROI는 생각보다 훨씬 짧을 수가 있다. 하지만 재난 복구나 취약성 평가, 통합 위협 관리, 종합적인 로그 분석 등과 같은 전문 서비스의 경우, MSSP가 한층 높은 수준의 효율성을 제공해줄 수가 있다.

MSSP 선택 방법 = 결론적으로 말해서, MSSP는 일반적인 아웃소싱과 같은 개념으로 판단해서는 안 된다. 많은 IT 전문가들은 정보 보안을 핵심적인 기능으로 보고 있으며 아웃소싱은 책임을 저버리는 것으로 간주하고 있다. 설문 조사의 한 응답자는 "보안을 아웃소싱하건 내부에서 운영하건, 추후 발생하는 모든 문제에 대해서 법적인 책임을 지는 것은 회사 자체이기 때문에 통제권을 잃어서는 안 된다"고 지적했다.

그렇다면 파트너 선택은 어떻게 해야 할까? 무엇보다 MSSP의 경험을 살펴봐야 한다. 컨설턴트의 이직률이 높다면 해당 업체는 제일 먼저 배제해야 할 것이다. 아울러 SLA도 꼼꼼히 검토해야 한다.

이 시장에 진입한다면 물리적인 보안과 접근 제어, 정기적인 감사 등을 포함한 운영적이고 환경적인 요인에 대한 통제를 어떻게 할 것인지 MSSP에 물어봐야 한다. 아울러 MSSP의 재무 건전성도 조사해야 한다. SLA와 기술적인 사항이 만족스럽더라도 비즈니스 로드맵과 재무 건전성이 의문스럽다면 당연히 해당 업체는 탈락 대상이다. 또한 MSSP의 주요 벤더 관계는 어떤지도 알아보아야 한다.

MSSP가 원격지 및 모바일 사용자들에게 보안을 제공할 수 있을까? 설문 조사의 한 응답자는 "아웃소싱된 보안이 사무실 내에서 효과적이라면 스마트폰과 노트북을 사용하며 가정이나 이동 중에 회사 네트워크에 접속하는 모바일 사용자들에게도 그러해야 한다"고 말했다. 스마트폰은 관리하기가 어렵지만 사용 방식에 대한 모니터링과 통제 방법을 강구해야 한다.

"MSSP에게 통제권 줘서는 안된다" = 이번 설문조사의 응답자 중 3분의 1 가량은 내부에 보안을 관리할 리소스가 충분하지 않다고 밝혔으며 MSSP에 대해 직원의 반발로 인해 도입하지 않을 것이라고 밝힌 비중은 1%에 불과해 매우 고무적인 결과가 나왔다.

매출액이 10억 달러가 넘는 한 금융 서비스 업체의 부사장이자 최고 보안 책임자는 "아웃소싱이 모든 기업들에게 적합하지는 않을지 모르지만 많은 경우에 있어 효과적이다. 내부 인력을 활용할 경우 불가능한, 단기간에 보안 프로그램을 강화할 수 있다"고 밝혔다.

MSSP는 확실히 리소스가 부족한 기업들에게 우선적으로 혜택을 줄 것으로 전망된다. 하지만 운영적인 면에서 통제권을 MSSP에게 위임해서는 안 된다. 정기적인 회의를 통해 보안 침해 사례를 규명하고 리포트를 분석하며 최신 보안 위협에 대처할 전략을 세우는데 있어 주도적인 입장을 견지해야 할 것이다.

여백
컴퓨터월드 추천기업 솔루션
인기기사 순위
IT Daily 추천기업 솔루션
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL: 02-2039-6160  FAX: 02-2039-6163   사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:금천 라 00077  등록일자:2006.01.03  발행인:김용석  편집인:김선오