보안 시스템의 안정적인 운영, 침해사고 대응 수준 대폭 향상
농협중앙회 IT지원분사는 과거 이기종의 보안 시스템들을 운영하면서 적지 않은 어려움을 겪어왔다. 운영 및 관리 인력이 소수에 불과한데다 갈수록 늘어나는 보안 시스템을 효과적으로 관리할 수 있는 체제를 갖추지 못한 점이 그 예다. 농협 IT지원분사는 보안 시스템의 지속적인 증설에 따른 체계적이고 효율적인 시스템 운영 및 안정적인 관리가 필요하다고 판단, 통합보안관리시스템(ESM)을 도입했다. 농협중앙회 IT지원분사는 ESM의 도입으로 보안 시스템의 안정적인 운영과 침해사고 시 대응 수준을 대폭 향상시킬 수 있게 됐다. 김정은 기자 jekim@rfidjournalkorea.com
농업협동조합중앙회(이하, 농협)의 핵심 업무는 금융 사업과 유통 사업이다. 서울시 서초구 양재동에 위치한 농협 IT지원분사에서는 이 같은 농협 주요 업무의 근간이 되는 IT 전산 시스템의 안정적인 운영 및 지원 업무 등을 맡고 있다.
금융, 유통 사업에 있어 고객의 정보 보호 및 자산 보호는 사업 성패와도 직결될 만큼 매우 중요하다. 농협 IT지원분사는 이에 따라 2004년 1월 정보보호 전담조직을 전격 발족했다. 농협은 정보보호팀을 신설하기 전에는 소수의 담당자들이 보안 시스템을 관리해왔다. 2003년 당시 보안 담당자 3명이 70여대 보안 시스템들을 별도로 관리했다. 이러한 소수 인력으로 보안 시스템을 관리한 까닭에 많은 어려움을 겪었다는 게 농협 측의 설명이다.
서비스 트래픽 폭증에도 원활한 보안로그 처리
농협 측은 "시스템 관리에 필요한 통합 모니터링 기능을 지원하는 일부 보안 시스템들의 경우 그나마 통합 관리가 이뤄졌지만 이 기능을 지원하지 않는 일부 보안 시스템들의 관리는 사실상 거의 불가능했다"며 당시의 분위기를 전한다. 그런 상황에서 보안 장비는 지속적으로 증가했으며, 그것도 벤더별로 다양한 보안 장비들을 도입함으로써 관리의 어려움을 더욱 가중시켰다. 제한된 인력으로 여러 이기종의 보안 시스템을 운영 및 관리하기에는 한계를 드러낸 것이다. 특히 날로 급증하는 각종 보안 위협을 즉각적으로 인지하고 적절히 대처하기 쉽지 않은 점은 새로운 보안 시스템 구축의 결정적인 계기가 됐다.
농협은 이처럼 이기종 보안 시스템들의 체계적이고 효율적인 운영 및 안정적인 관리의 필요성과 함께 사이버 테러, 불법자료 접근, 정보 유출 등 각종 보안 위협에 대한 적절하고 즉각적인 대처를 목표로 통합 보안 로그 분석을 위한 통합보안시스템(ESM: Enterprise Security Management)을 구축하기로 결정했다.
농협 IT지원분사는 2003년 8월부터 10월까지 금융권, 관공서 등의 통합보안관리 시스템을 도입한 레퍼런스를 검토했고, 3~4개의 관련 제품들의 BMT를 거쳐 11월 이글루시큐리티의 통합보안관리솔루션 'SPiDER TM'을 도입하기로 최종 결정했다.
농협중앙회 IT지원분사 정보보호팀 박성진 계장은 "보안 장비가 많았기 때문에 장비들의 보안 로그도 매우 많았다. 제품의 BMT 과정에서 서비스 트래픽의 폭증 시 보안 로그를 지연 없이 처리하는지에 중점을 뒀다. 당시 초당 이벤트(로그발생) 처리량이 타사 제품들의 경우 4000~5000건인데 반해 이글루시큐리티의 제품은 7000건이었다"고 선정 요인을 밝혔다.
프로젝트 과정에서는 관리 대상 보안 시스템의 정의와 수집서버와의 연동 방안 설계, 그리고 수집을 위한 별도의 연동망을 구축하는 작업이 진행됐다.
박성진 계장은 "다양한 이기종의 보안 시스템을 일일이 연동하는데 어려움이 있었다. 하지만 통합보안시스템과 연동을 해야 했던 각각의 보안 장비 업체의 적극적인 지원과 협력으로 70여 개의 전체 보안 장비들을 통합하는데 무리는 없었다"고 말했다.
농협 IT지원분사는 2003년 12월 통합보안관리시스템(ESM)의 구축을 완료했으며, 전산센터 내에 정보보호 팀이 신설된 2004년 1월부터 정식 가동에 들어갔다. 당시 SPiDER-1을 도입했던 농협 IT지원분사는 현재 기능이 한층 강화된 SPiDER TM 2.5로 업그레이드해 사용하고 있다.
실시간 로그 분석 제공으로 보안 위협에 신속 대응
농협 IT지원분사는 ESM 도입으로 과거 운영 및 관리에 겪었던 문제점을 크게 해소했다. 각각의 보안 시스템들에 대한 보안로그의 통합 관리 및 실시간 보안 로그 분석이 가능해져 보안 시스템의 안정적인 운영과 즉각적인 침해사고 시 대응 수준을 대폭 향상시킬 수 있게 됐다. 또 이로 인해 현재 로그 검색만 하면 어느 장비에서 장애가 발생했고, 침해 사고 위협이 있는지 신속히 파악하고 대처할 수 있게 됐다.
농협중앙회 IT지원분사 정보보호팀 박성진 계장은 "ESM을 도입하기 전에는 보안 시스템이 장애 및 이상 등의 문제가 발생했을 경우 문제가 발생한 정확한 위치와 원인을 파악하는 것조차 쉬운 일이 아니었으며 직접 각각의 보안 시스템에 접속해 확인해야 했다"고 말했다.
하지만 ESM을 도입한 이후 보안 시스템의 리소스 정보를 24시간 모니터링 할 수 있게 됐다. 박성진 계장은 "관리자가 정한 임계치 및 장애가 발생할 경우 문자메시지(SMS)로 장애 내용이 경보된다. 또 상관분석 기능을 통해 각종 침해 위협에 대한 신속한 탐지 및 대처는 물론 블랙리스트를 이용한 위협 정보 관리가 가능해졌다"고 강조했다.
그동안 하나의 ESM 서버에서 모든 보안 시스템들을 운영 및 관리해온 농협은 지난해 많은 보안 장비들을 추가로 도입해 현재 DB서버와 운영서버를 분리하여 운영하고 있다. 웹 애플리케이션 방화벽을 뺀 거의 모든 보안 장비를 다 갖추고 있는 농협 IT지원분사는 앞으로 웹 방화벽을 추가로 증설할 예정이다. 또 올해안에 안성에 있는 백업센터에도 통합보안관리시스템(ESM)을 추가로 구축해 안성 백업센터의 보안 시스템 운영 및 관리가 양재 전산센터와 동일하게 진행될 수 있도록 할 계획이다.
박성진 농협중앙회 IT지원분사 정보보호팀 계장
"리소스 통계정보 제공으로 꼭 필요한 장비만 도입"
ESM의 도입 효과는.
2003년 ESM 도입 당시 농협 양재 전산센터 정보보호팀의 보안 담당자와 보안 시스템은 각각 3명, 70여대에서 현재 13명, 150여대로 크게 늘어난 상황이다. 보안 장비를 증설하는데 있어 ESM은 그 사이징에 필요한 정보를 제공한다. 기존 장비의 사용량을 늘릴 경우 한계가 얼마이고 몇 대의 장비를 증설해야 하는지 등 보안장비에 대한 리소스 통계 정보를 월별/주별 단위로 제공한다. 이로 인해 필요한 장비만 도입할 수 있게 됐다.
실제 ESM을 운영하면서 드러난 개선사항은.
시스템에 장애 및 위협 요인 발생 시 경보 설정기능이 있다. 현재 위험하다, 위험하지 않다 등 이 두 단계만 지원되는데 위험단계를 상, 중, 하 등급별로 좀 더 세분화해 설정할 수 있었으면 한다. 또 ESM 콘솔이 모든 장비를 한눈에 볼 수 있도록 되어 있어 실제 특정 장비에 문제가 발생할 경우 각각의 장비에 들어가 문제를 해결하고 있다. 단축 아이콘으로 바로 문제 장비에 접근할 수 있는 기능이 보강됐으면 한다.
ESM을 도입하고자 할 때 고려할 사항은.
보안 시스템들에 대한 트래픽처리 등의 성능 부분을 가장 먼저 고려해야 한다. 특히 ESM이 각종 보안장비들과 연동해 운영되는 것인 만큼 얼마나 많은 보안 장비와의 연동을 지원하는지의 여부를 따져봐야 할 것이다.