박수훈 brianpark@trendmicro.co.kr
한국트렌드마이크로 마케팅 이사
기업자산 보호에 통합보안전략이 왜 필요한가 ?
우리나라 기업보안의 현주소
2005년 8월 한국트렌드마이크로에서는 국내 553개 상장사를 대상으로 보안 인프라 조사를 실시하였다. 조사대상 업체의 매출액은 평균 3,000억이며, PC대수는 평균 845대, 서버는 평균 20대를 사용하였으며, 업종은 제조>유통>서비스>금융>정보통신 순으로 조사되었다.
이 조사결과에 의하면, 의외로 충분한 보안솔루션을 도입하지 않은 기업이 많음을 알 수 있으며 특히 데스크톱용 보안 솔루션의 도입은 97%의 높은 도입률을 보이고 있으나 기타 게이트웨이나 메일 서버용 보안 솔루션의 도입은 미비한 것으로 나타났다. 또한 최근 급증하고 있는 스파이웨어에 대해서도 거의 무방비 상태임을 알 수 있었다.
한국트렌드마이크로에서는 지난 2005년 10월부터 11월까지 무료 보안 컨설팅 이벤트를 진행하였는데, 국내 약 40개사가 신청하여 무료 컨설팅을 받았다. 이때 각 사를 직접 방문하여 보안 솔루션 도입 현황에 대한 실사를 한 결과, 각 사에서 도입하여 사용중인 AV솔루션은 데스크톱, 서버, 메일 서버, 게이트웨이, AV 중앙관리 솔루션 중 평균 2~3개 정도만 사용하고 나머지는 사용하지 않거나 도입 검토 중인 경우가 대부분이었다.
이처럼 많은 기업들이 클라이언트 및 서버보안에는 집중적으로 투자하고 있지만 피해는 지속되고 있고 이때마다 사후처리에 의존하며 문제를 해결해가고 있다.
즉 새로운 보안위협(대부분 바이러스 사고)이 발생하면 보안패치를 하거나, 백신의 업데이트로 문제를 해결하고 있다. 그러나 일시적인 사후처방보다 더 큰 문제는 해결하기 위해 소요되는 것은 시간이다. 보안패치나 백신의 업데이트는 해당 벤더의 패치를 배포하는 속도에 의존할 수밖에 없고, 그 사이에 네트워크 내부의 피해는 계속해서 증가하고 그로 인한 업무 및 생산성의 피해는 커지기 때문이다.
무엇보다 효율적인 솔루션의 도입을 통해서, 패치배포나 백신의 업데이트 이전에 피해를 최소화하는 방안이 필요할 것이다.
보안시장 환경의 세 가지 변화
이러한 국내 기업들의 현재의 보안 문제를 해결하기 위해서는 '보안시장경의 세 가지 변화' 에 주목할 필요가 있다.
그 첫 번째 변화는 예전에 비해 다양해지고 빨라진 위협이라고 할 수 있다. <그림 1>에서 볼 수 있듯이 보안위협의 침입경로는 날이 다르게 다양해지고 지능화 되고 있음을 알 수 있다. 즉 IT의 눈부신 발전으로 PC 외에도 정보를 저장할 수 있는 매체들이 무수히 많아지고 있고 네트워크의 발전으로 이러한 다양한 매체들 간의 위협요소 상호 감염이 너무나 손쉬워지고 있다는 사실이다. 이는 마치 인간이 서로 왕래를 빨리 하기 위해 많은 돈을 들여 건설해 놓은 교통망(철도,비행기,고속도로)을 통해 감기나 독감이 예전에 비해 더 빨리 퍼지고 있는 것과 같은 이치다.
두 번째 시장변화의 요소는 보안 솔루션에 대한 높아진 기대치다. <그림 2>에서 볼 수 있는 바와 같이 지금까지 보안솔루션에 대한 요구사항은 크게 두 가지로 축약된다. 즉 IPS와 같이 빠르게 위협에 대해 대처해 달라는 요구와 백신처럼 정확하게 위협요소들을 가려내달라는 것이었다. 하지만 이 요구는 반대로 IPS와 같은 보안장비는 정확성 면에서 약점이 있고 백신들은 그 패턴공급의 신속성에서 약점을 가지고 있다는 것을 동시에 의미하고 있다.
따라서 보안솔루션에 대한 요구는 이러한 정확성과 신속성을 모두 겸비한 솔루션을 원하고 있고 이러한 요구에 대한 새로운 기술이 N.C.I.T.(Network Content Inspection Technology)라는 이름으로 트렌드마이크로에 의해 최근 발표되었다.
세 번째 시장의 변화는 <표 1>과 <표 2>에서 정리된 내용과 같이 보안위협과 함께 변화되고 진화되어가는 솔루션들이라고 할 수 있다. 이른바 보안위협이 다양해지고 공격화되어 갈수록 이에 대한 보안 솔루션들 또한 지속적으로 진화되어 왔다는 사실을 <표 1>과 <표 2>에서 확인할 수 있다.
이와 같이 다양해진 위협요소, 높아진 기대치, 진화된 솔루션 등의 보안시장의 변화들과 우리나라가 아직도 보안 취약국으로서 불명예를 안고 있는 것은 바로 통합보안전략의 부재에 그 가장 큰 원인이 있다. 수많은 위협과 수많은 솔루션, 그리고 수많은 보안업체들이 저마다 나름대로 제품 우수성을 내세우고 있지만 정작 원천적이고 근본적인 보안대응체계에 대한 심각한 고민을 하고 있지 못한 실정이다.
국내 보안 솔루션 업체 336개사 중 보안컨설팅 및 서비스 업체만 79개사에 달하지만 실질적으로 통합보안솔루션을 기반으로 한 순수 컨설팅서비스는 아직 국내시장에 자리 잡고 있지 못한 것이 사실이다.
이러한 보안전략의 부재는 결국 위협에 대한 사안별 대처로 이어지고, 이는 보안솔루션의 관리 포인트만을 증가시키고 보안책임자나 네트워크 관리자의 업무 부담을 가중시키고 있다.
따라서 보안에 대한 시장요구는 다음과 같이 요약할 수 있다.
1. 보안 사고는 미연에 방지되어야 한다.
2. 관리 포인트는 최대한 줄여야 한다.
3. 사안별 솔루션보다는 통합보안전략을 가져야 한다.
4. 보안솔루션도 ROI를 생각해야 한다.
이러한 통합보안전략으로의 시장변화란 흐름 위에서 '과연 우리나라 보안 책임자들이 가장 많이 고민하는 내용이 무엇'이고 '왜 이러한 고민들에 대해 구체적인 대안이 마련되고 있지 못하는가'에 대해 좀더 구체적으로 살펴보도록 하겠다.
보안책임자들의 공통된 고민 3가지
현재 보안책임자들이 가장 많이 고민하고 문의하는 내용을 정리하면 크게 세 가지 질문으로 요약된다. 즉 바이러스 유입경로와 사전대응 그리고 자동관리에 대한 요구다.
1. PC, 서버, 게이트웨이마다 보안솔루션을 사용 중이지만, 바이러스로 인한 피해는 지속적으로 발생합니다. 도대체 어디로부터 바이러스들이 들어오는지 확인해 줄 수 없나요?
2. 시스템이나 네트워크에 피해가 가기 전에 이를 미리 막아줄 수 없나요?
3. 앞으로 많은 솔루션들을 알아서 관리해주고, 어떤 유형의 위협이 발생하더라도 안전하게 네트워크를 관리 할 수 있도록 도와 줄 수 없나요?
이러한 보안 책임자들의 고민에 대해 가장 최적화된 대응모델을 제시한 것이 바로 트렌드마이크로가 최근 발표한 엔터프라이즈 통합보안전략이라고 할 수 있다. Enterprise Protection Strategy로 알려진 통합보안전략은 버전5로 업그레이드되면서 보다 근본적인 보안책임자들의 고민을 해결하는 것에 가장 중점을 뒀다.
엔터프라이즈 통합보안전략이란?
엔터프라이즈 통합보안전략(이하 EPS)은 기본적으로 기업들이 보안전략을 세우기 위한 기본적인 밑그림이 되는 보안 아키텍처라고 할 수 있다. 기존의 EPS에서는 주로 위협요소의 라이프사이클에 중심을 두어 취약점 분석, 사전예방, 대응, 복원으로 이뤄지는 대응프로세스에 초점을 두었으나 새롭게 강화된 EPS에선 <그림3>과 같이 모니터링(MONITOR), 정책강화(ENFORCE), 차단(PREVENT), 복구(RECOVER)가 통합중앙관리되는 사전대응중심의 전략으로 진화되었다. 이러한 EPS 전략의 구성요소들은 <그림 4>의 솔루션 맵에서 보이는 바와 같이 모든 트렌드마이크로의 제품군들이 각기 그 역할을 담당하고 있다. 각 통합보안전략의 각 구성요소별로 하나씩 살펴보기로 하자.
MONITOR : 실시간 보안 관제
이미 알려져 있는 위협요소들은 물론이고 아직까지 알려지지 않은 신규위협요소들, 즉 스팸이나 바이러스, 웜 등 제로데이 공격의 위협에서 벗어나기 위한 가장 중요한 보안관제 모니터링 전략이다. 핵심기술은 NCIT로서 네트워크상의 모든 트래픽을 모니터링 하여 위협이 될 만한 요소들을 사전에 분석한 후 이 데이터를 1000명 이상의 보안관제 요원이 24시간 근무 중인 트렌드랩으로 보낸 후 7분이내 대응하게 하는 신개념의 보안관제 전략이다.
ENFORCE : 사전대응 및 정책집행
보안정책의 집행을 가장 효과적으로 할 수 있는 핵심기술인 시스코의 NAC2(Network Admission Control 2)와 가장 완벽하게 대응하고 있는 트렌드마이크로의 제품군이 본 전략의 핵심이라고 할 수 있다. 즉 모든 시스코의 네트워크 장비들과 트렌드마이크로의 솔루션이 NAC을 기반으로 완벽하게 연동됨으로써 보안취약점이 감지되는 어떠한 클라이언트도 네트워크로의 접근이 차단되게 된다.
PREVENT : 사전예방
사전예방은 전방위 보호정책을 수립하여 조기경보 체계를 구축하므로 기업피해를 최소화할 수 있다. <그림 5>에서 보이는 바와 같이 바이러스 유입의 사전예방은 사후대응 중심의 기존 방식에 비해 바이러스 감염수를 획기적으로 줄일 수 있다는 것을 보여주고 있다.
또한 <그림 6>에서 보이는 바와 같이 NCIT의 등장으로 사전모니터링과 사전대응, 사전예방 세 가지 전략이 맞물려 기업의 피해는 제로에 가깝게 유지될 수 있다는 것이 이 전략의 기본 개념이다. 사전예방의 주요 핵심기술로는 네트워크 조기방역솔루션인 네트워크바이러스월이나 메시지 사전방역 솔루션인 IMSA, 또한 웹게이트웨이 사전방역 솔루션인 IWSA 등을 들 수 있다.
RECOVER : 신속한 사후복구
사후복구는 지금까지 트렌드마이크로가 자랑해온 신속한 패턴업데이트 서비스 (Damage Cleanup Service)가 가장 큰 핵심기술이다. 전 세계 6개국 1000명의 보안관제 및 연구개발 인력이 실시간 바이러스 분석을 통해 세계에서 가장 빠른 복구 서비스를 운영하고 있다. 또한 하우스콜로 불리는 온라인상의 온디맨드 사후복원 기술 또한 보다 다양하고 신속한 사용자환경의 복구기능을 지원하고 있다.
보안/네트워크 관리자에게 다가올 변화 5가지
트렌드마이크로 기업 통합보안 전략을 통해 보안 또는 네트워크 관리자들은 많은 변화를 경험할 수 있다. 보안전략을 수립하고 실제로 구현하게 되면 보안 관리자들의 환경은 크게 변화되는데 5가지로 정리될 수 있다.
첫째, 사후대응에서 사전예방으로 우선순위가 바뀌게 된다. 보안솔루션들의 도입목표가 사전예방에 중점이 되며 경영자의 요구도 사고의 사전예방 중심으로 바뀌게 될 것이다.
둘째, 바이러스대응시간의 혁신적인 변화를 겪게 될 것이다. 통합보안전략하의 NCIT는 의심패킷을 자동 신고하게 함으로써 백신이 업데이트 시간을 최소화하거나 실시간화 하는데 그 목적이 있다. 따라서 보안 관리자의 응답속도는 보다 신속해 질 수 있다.
셋째, 관리업무를 최소화할 수 있다. 네트워크바이러스월 등의 솔루션은 백신의 업데이트 및 설치, 유지 관리 등을 자동화 할 수 있는 솔루션이다. 이러한 트렌드마이크로의 기술로 인해 관리 포인트는 줄어들 수 있고 보안 관리자들은 보다 분석적 업무에 투자할 수 있다.
넷째, 근본적 대응체계를 수립할 수 있다. 바이러스 피해의 근원지를 분석할 수 있고 사내에서 가장 취약한 부서 또는 지역에 대한 정보를 쉽게 구할 수 있으며 이러한 취약점에 대하여 기업차원의 보안정책을 제시할 수 있게 된다.
마지막으로 보안관제 서비스를 도입하게 될 것이다. 앞에서 살펴본 모든 통합보안전략에 기반을 둔 대응솔루션들은 트렌드마이크로와 같은 전문보안기업이 제시하는 전문컨설팅 및 보안관제서비스를 통해 쉽고 안전하게 구현될 수 있다. 보안의 중요성이 높아지면 높아질수록 전문 보안관제서비스에 대한 수요는 같이 높아질 것이고 보안 관리자들도 이에 대한 필요성을 더 느끼게 될 것이다.
결론
트렌드마이크로를 비롯한 많은 글로벌 보안업체들이 올해 들어 사전대응과 조기경보의 중요성을 앞세우고 통합보안전략을 이야기 하는 것은 바로 지금까지 설명한 시장요구의 변화에 의한 것이다. 한때 시장을 이끌어 가는 것이 고객인가 아니면 벤더인가 하는 의문들이 제기된 적이 있었다. 솔루션업체들의 너무 빠른 진화에 대한 반문이기도 했었지만, 벤더들이 정확하게 밑그림을 그리지 못한 채 신기술만을 앞세워 고객에게 제시한 이유이기도 했다.
통합보안전략은 그런 면에서 제품도 아니고 솔루션도 아니다. 바로 고객들에게 로드맵과 청사진을 제시하는 아키텍처라 할 수 있다. 트렌드마이크로가 제시하는 통합보안전략이 대한민국의 모든 기업들이 보안전략을 수립할 때 반드시 참고해야 할 좋은 지침서 역할을 할 것으로 기대해 본다.