시만텍이 전하는 보안 이야기

By: 제리 in 기업용 보안이야기

디지털 생활 영역이 확장되면서 보안 위협도 함께 양적, 질적으로 팽창하고 있다. 변종 바이러스, 웹 애플리케이션 및 브라우저 취약성 공격, 인스턴트 메시징을 통한 공격 등 보안 위협은 다각도에서 행해지고 있으며, 그 피해도 확산되고 있는 실정이다.

그러나 정보 보안에 한정해서 보았을 때, 오늘날 대부분의 기업은 취약한 환경을 유지해 오고 있다. 특히 보안 환경이 제공하는 보호 수준과 실제 리스크에 적절히 대응하기 위해 필요한 보안 수준의 격차가 점점 더 심해지고 있는 것이 현실이다. 기업의 꾸준한 노력에도 불구하고, 기업 환경에 대한 보안 공격의 성공 사례가 놀랄만한 속도로 증가하고 있다는 결과는, 이러한 주장을 뒷받침해 준다. 여러 가지 정보들을 종합해 보았을 때, 2005년 한 해 동안 전체 기업 중 3 분의 2 가량이 최소한 한번 이상의 보안 사고를 경험했으며, 절반 이상이 최소한 3 번의 사고를 경험한 것으로 추정되고 있다.

빠르게, 그리고 지속적으로 변화하는 보안 환경과 새로운 법률 규정, 사후 대응적인 보안 환경의 한계 등은 효율적 위협 관리 솔루션을 필요로 하는 오늘날의 기업이 당면한 많은 문제 중의 일부분이다. 오늘날의 기업 환경에 상존하는 이러한 이슈들을 방치한다면, 문제가 더욱 악화되는 결과만을 초래하게 될 것이다. 따라서 기업은 적절한 정보 보안 솔루션을 구현하기 위한 투자를 진행해야만 한다. 적절하면서 효과적인 보안 관리는 바로 사전 예방적이고 전체적인 멀티 보안 환경을 조성하는 것이다. 보안 솔루션에 대한 패러다임을 전환할 필요성이 커지고 있는 상황에서 기업들의 고민을 해결하기 위해 시만텍이 제시하는 것이 바로 ‘Comprehensive Threat Management (포괄적 위협 관리)’이다.

CTM(포괄적 위협 관리)란 무엇인가

Comprehensive Threat Management(포괄적 위협 관리)는 최신 보안 공격을 효과적으로 차단하기 위해 시만텍이 제시하는 개념이다. 이는 사전 예방적이고, 인터넷 경계 지점에 한정되지 않고 전체 컴퓨터 환경을 포괄할 수 있는 멀티-티어 보안 환경을 제공하는 것을 뜻한다.

사전 예방적이란, 명시적으로 파악되지 않은 보안 위협에 효과적으로 대응하고 차단할 수 있음을 의미한다. 사전예방적 보안 환경에서는, 각 보안 위협 별로 시그니처를 만들어 관리하는 대신, 패턴에 추가되지 않은 바이러스 및 악성코드의 검사능력을 향상시킬 수 있는 신기술인 휴리스틱, 취약점 기반 시그니처, 프로토콜 어노멀리 알고리즘과 같은 메커니즘을 이용하여 대응한다. 이러한 메커니즘은 이미 알려진 위협뿐 아니라 알려지지 않은 위협에 대한 대처를 가능하게 한다.

기업은 강화된 보안 환경 하에서 보다 체계적인 방법으로 보안 취약점에 대처할 수 있다. 또는 보안 위협 및 취약점에 대한 조기 경보 환경을 제공하여 기업이 사전에 조치를 취할 수 있도록 하는 것을 사전 예방적인 대응으로 분류하기도 한다. 예를 들어, 한국의 일부 기업에서 최초로 감지된 신종 웜에 대한 경고를 접수한 전세계의 고객들은, 방화벽의 해당 포트를 차단하여 문제의 가능성을 조기에 차단할 수 있을 것이다. 여기서 한 단계 더 나아가, 잠재적인 보안 위협의 발생 가능성을 예측하는 것 또한 ‘사전예방적’ 대응으로 분류된다. 이러한 접근 방식 또한 포괄적 보안 솔루션의 핵심 컴포넌트로 활용되고 있다.

멀티-티어(multi-tier)란 기업 네트워크의 경계 지점만이 아닌, 기업 전체의 리소스를 보호할 수 있는 솔루션을 의미한다. 인터넷 경계 지점 이외에도, 내부 네트워크, 원격 사무실, 엔드유저 워크스테이션, 중요 서버와의 네트워크 연결에 대한 감시를 강화할 필요가 있다. 이러한 대안을 통해 내부에서 발생하는 보안 위협을 차단할 수 있을 뿐 아니라, 경계 지점의 보안 체계를 우회하여 침투한 악성 코드를 차단하는 효과 또한 기대할 수 있다.

그러나 한 가지 솔루션으로 모든 문제를 해결할 수 있으리라 기대하는 것은 곤란하다는 점을 명심할 필요가 있다. 다시 말해, 경계 지점에서 효과적으로 사용해온 보안 솔루션을 전체 인프라스트럭처에 그대로 적용하는 식의 접근법으로는 확실한 보안을 보장할 수 없다. 인프라스트럭처의 각 계층은 서로 다른 요구사항을 가지며, 커뮤니케이션 트래픽의 규모와 유형 또한 서로 상이하다. 따라서 계층별로 독자적인 보안 기능을 구현해야만 하는 것이다.

보안 솔루션에 요구되는 기본 요구사항 적용

포괄적 위협 관리가 보안 솔루션에 대한 근본적인 패러다임 전환을 내포하고 있더라도, 보안 솔루션에 기본적으로 요구되는 사항들은 필수적으로 충족시켜야 한다. 기업은 당면한 개별적인 문제의 성격과는 무관한, 범용적인 보안 솔루션을 적용해야 하기 때문에, 실제로 이것은 모든 IT 솔루션에 대해 요구되는 기본적인 요구사항이다. 따라서 보안 솔루션은 효율적이고, 효과적이고, 유연하고, 검증된 것이어야만 한다.

효율적(efficient)이란, 쉽게 설치하고 운영할 수 있으며, 그 효과를 단기적으로나 장기적으로 확인할 수있음을 의미하는 것이며, 효과적(effective)이란, 보안 위협을 완벽하게 차단하는 한편으로, 정당한 접근 요청을 보장하고 핵심 비즈니스 정보의 가용성을 보장할 수 있어야 함을 의미한다. 또한 유연성(flexible)은, 오랜 기간에 걸쳐 변화하는 요구사항에 대응할 수 있음을 뜻하며, 검증된(proven) 솔루션이란, 오랜 기간에 걸쳐 성공적으로 보안 솔루션을 제공해 온 벤더로부터 기대할 수 있는 안정성을 말하고 있다.

그림 1) Comprehensive Threat Management(포괄적 위협 관리) 개념도

포괄적 위협 관리는 왜 중요한가

오늘날 보안 환경에서 가장 큰 문제는 대부분의 기업이 구축하고 있는 사후 대응적 보안 솔루션으로는 보안 위협 환경의 빠른 변화속도에 대처하는 것이 불가능하다는 사실이다. 그 어느 때보다도 보안 위협의 발견 및 확산이 신속하고 효율적인 형태로 수행되고 있으며, 그 피해 범위 또한 꾸준히 증가하고 있다. 하지만 이러한 상황에 대처하기 위한 예산은 극히 제한적인 수준에서만 집행되고 있다. 언스트앤영의 ‘글로벌 정보 보안 조사 2005’ 자료에서는, 기업이 전체 보안 예산의 절반 이상을 ‘일상 업무 및 보안사고 대응’에 할당하고 있으며, 17%의 예산만이 ‘핵심 전략 프로젝트’를 위해 사용되고 있다고 밝히고 있다. 그 결과, 기업은 오늘날의 보안 위협에 어느 한 분야만이 아닌, 총체적인 분야에서 효과적으로 대처할 수 있는 개선된 솔루션을 필요로 하게 되었다.

기업은 사전 예방적인 위협 관리 기능을 통해 알려지지 않은 공격을 차단하고, 기업의 내부 및 외부에서 발생한 보안 공격으로부터 모든 리소스를 효과적으로 보호할 수 있는, 성능 및 비용 면에서 효율적인 솔루션을 필요로 한다. 포괄적 위협 관리 솔루션의 필요성이 부각되고 있는 현실을 좀 더 자세하게 살펴보기로 하자.

사후 패치 관리만으로는 증가하는 보안 위협에 대응 어려워

파일 기반 바이러스와 매스메일링 웜은 여전히 매우 광범위한 확산 추세를 보이고 있다. 2005년 상반기 동안 이 두 가지 보안 공격 형태는 시만텍이 보고한 최상위 10 개 악성 코드 샘플 중 3 개를 차지했다.

보안위협의 수적인 증가 양상은 보안 담당자뿐 아니라 기존에 구축된 보안 시스템에도 상당한 부담으로 작용하고 있다. 이 때문에 어떤 보안 위협이 가장 심각하게 고려되어야 하는지에 대한 연구를 통해 사전 예방 차원의 조치를 강화해야 할 필요성이 커지고 있다. 처리해야 하는 이벤트와 보안 사고의 수 또한 증가될 것으로 보인다. 기울어진 균형을 되돌리기 위해서 보안 관리자를 추가로 채용하거나 보다 효율적인 보안 관리 툴을 추가로 구축해야 할 수도 있다.

보안 위협의 양적 팽창과 함께 확산 속도가 점차 증가하고 있다는 사실을 감안하면, 문제는 더 심각해진다. 사후반응적인 보안 체계, 특히 보안 위협 시그니처에만 의존하는 안티바이러스, 침입 탐지 솔루션은 새로운 공격을 조기에 감지할 수 있을 만큼 빠른 업데이트 주기를 제공하지 못하고 있기 때문이다.

또한, 효율적인 패치 관리의 중요성이 점점 줄어들고 있다는 점을 지적할 수 있다. 보안 취약점 이 공개되고 이에 관련한 악성 코드가 개발되기까지 걸리는 시간이 수 개월 단위였던 과거에는 벤더들이 패치를 개발하고, 배포하고, 테스트하기 위한 충분한 시간이 주어졌으나, 최근에는 이 기간이 평균 54일로 줄어들면서, 패치가 제 시간에 개발될 수 있을 것이라 기대하기는 매우 어렵게 되었다. 물론 테스트와 구현에 소요되는 시간에 대한 문제는 여전히 남아 있다. 매우 효율적인 형태로 운영되는 조직이라면 불과 며칠 안에 모든 작업을 완료할 수도 있을 것이다. 그러나 엔터프라이즈 패치 관리 프로세스에도 최소한 30일 이상의 시일이 소요되는 경우가 일반적이다.

물론 이처럼 패치 작업과 같은 사후반응적 대응이 장기적으로 분명한 효과를 가질 수 있다는 것은 분명한 사실이다. 그러나 이러한 이유 때문에 사후대응적 보안 체계가 기업의 보안 전략에서 핵심적인 구성 요소로 간주되고 있는 것이 문제이다.

이와는 별도로, 개발프레임워크의 보안 취약점을 이용하는 사례가 급증하는 새로운 추세가 목격되고 있으며, 우회적인 수법을 차용한 복합적 위협의 빈도가 증가하고 있어, ‘복합적’인 보안 체계의 필요성 이 크게 높아지고 있다. 다시 말해서, 사전 예방적일 뿐 아니라 동시에 다양한 탐지 메커니즘을 제공하는 보안 솔루션, 애플리케이션 계층에 대한 시야까지 제공할 수 있는 솔루션이 필요한 것이다.

변화하는 비즈니스 인프라스트럭처를 위한 포괄적인 보안 방안

이러한 보안 환경의 변화와 관련하여, 문제를 더욱 심각하게 하는 몇 가지 요인들이 존재하고 있다. 그 중 하나는 보안 위협 범위가 확산하고 있다는 것이다. 기업들이 경쟁력 강화를 목적으로, 서둘러 WLAN, VoIP, 웹 서비스 등의 새로운 테크놀로지와 새로운 버전의 소프트웨어를 서둘러 도입하는 것은, 결과적으로 관리, 보호해야 하는 컴퓨팅 인프라스트럭처와 애플리케이션의 규모를 증가하게 한다. 이 뿐 아니라, 인프라스트럭처가 점점 더 새롭고, 복잡하고, 분산된 형태를 나타내는 문제를 초래하고 있다. 그 결과는 코드, 설정, 관리 상의문제로 인한 보안 취약점이 점차 증가하는 현실로 나타나게 되었다.

또한, 지금까지 기업은 인터넷과 내부 네트워크가 연결되는 지점의 보안을 강화해온 반면 내부 네트워크와 시스템에는 그다지 많은 관심을 쏟지 않았던 것이 사실이다. 하지만 외부 업체와의 연결이 강화되고, 파트너 및 고객들이 기업 내부에서 근무하는 경우가 많아지고, 직원들의 외부 이동이 잦아지면서, 인터넷 경계 지점을 우회하는 보안 공격의 가능성이 높아지게 되었다. 이러한 문제 때문에, 기업들은 내부 네트워크와 시스템을 보안 감시 대상으로 추가하기 위한 작업을 진행하고 있다.

도표 2) 기업의 보안 위협 원인으로 내부 요인이 차지하는 비율

보안과 관련하여 다양한 명시적/암시적 의무를 제시하는 법규와 규정 또한 내부네트워크에 대한 보안을 강화하는 주된 동기로 작용하고 있다. 하지만, 이러한 요구사항을 준수하기 위해 많은 리소스를 소모해야 하는 경우가 많다. 또 법규와 규정을 준수하는 것만으로도 보안 수준은 충분하다는 잘못된 판단을 할 수도 있다.

최근 한 설문 조사 결과에 의하면, 컴플라이언스가 정보보안 프로젝트의 가장 우선적인 동기로 작용하고 있지만, 그 결과로 기업의 보안 아키텍처를 강화하거나 전반적인 전략을 개선하는 구체적인 작업이 수행되는 대신 정책, 프로시저의 생성, 업데이트와 같은 작업만이 우선적으로 이루어지고 있는 것으로 나타났다. 또 대부분의 법규는 정보 보호를 위한 ‘최소한의’ 의무만을 규정하고 있어, 최근 발생하는 보안 사고에 대처하기에는 충분치 못한 것이 현실이다.

마지막으로 기업이 가지는 제한된 예산으로 인한 문제이다. 이 부분에 대한 논의는 이미 상당 부분 진행되어 왔다. 최근의 기업 보안예산이 어느 정도 수준으로 책정되고 있지만 실제 보안 위협에 효과적으로 대처하기 위한 지출은 이루어지지 못하고 있으며, 다른 비즈니스 요구사항과 충돌을 빚는 경우가 자주 발생하고 있다.

이러한 인프라스트럭처와 비즈니스 환경이 끊임없이 변화하고 있다는 문제들을 모두 감안했을 때, 이상적인 위협 관리 솔루션은 효율성과 유연성을 동시에 제공할 수 있어야 한다는 사실이 명백해진다. 보안 담당 부서의 입장에서는 현재로서 가용한 리소스를 이용하여 처리해야 하는 과제가 너무도 방대하기 때문에, 효과적인 위협관리 솔루션은 포괄적이면서도 위협에 대해 사전 대응할 수 있어야 한다.

능동적인 보안 시스템으로 개선 필요

네트워크 복잡성이 증가함에 따라 기업에게 노출되는 리스크의 수준 또한 증가한다. 복잡성이 높아지면, 보안 위협이 침투할 수 있는 경로의 수 또한 증가하고, 더 많은 보안 취약점이 존재하고, 적절한 보호 수준을 제공하기 위한 리소스 간의 경합이 발생하게 된다는 점을 감안하면 이는 당연한 결과로 볼 수 있다.

도표 3) Shielding Continuum

이러한 리스크에 대응하기 위해서는 보안 솔루션의 점진적인 개선이 필요하다는 결론을 얻을 수 있다. 복잡성이 낮은 환경에서는 사후 대응적인 조치만으로도 효과적일 수 있겠지만, 알려지지 않은 보안위협에 효과적으로 대처하기 위해서는 점차적으로 사전 예방적인, 그리고 더 나아가 예측 가능한 환경으로의 이행이 필요하다.

대부분의 기업은 높은 네트워크 복잡성과 높은 보안 리스크의 문제를 안고 있음에도, 이에 대응하기 위한 충분한 사전 예방적 보안 환경을 구현하고 있지 못하고 있다. 앞에서 설명한 것처럼, 이러한 문제는 보안 환경이 끊임없이 변화하고 있다는 사실에서 그 원인을 찾을 수 있다. 악성 코드의 개발시간이 단축되고 확산 속도 또한 증가하면서, 벤더와 운영자들이 대응책을 마련하기 위한 충분한 시간이 허용되지 않는다. 안티바이러스, 침입 탐지 툴을 위한 시그니처를 생성하거나, 취약한 시스템에 패치를 적용하는 작업이 제 시간 안에 이루어지지 못하고 있다.

보다 사전 예방적인 성격의 대응 방안이 마련되지 않는 한, 보안 공격의 성공률은 점점 더 높아지게 될 것이다. 그 결과로 기업은 정보 접근의 차단, 데이터 손상, 정보 유출, 법적 제재, 신뢰도 저하, 법률 소송과 같은 피해를 감당해야 하며, 이러한 과정에서 기업의 이미지 하락은 물론 경제적인 피해를 입을 수 있다. 또 사후 대응적인 체제를 상시 유지하는 과정에서 수반되는 생산성 저하의 문제 또한 고려하지 않을 수 없다.

결과적으로, 최신 공격을 차단하기 위해서는 위협 관리를 위한 최신의 방법론을 적용해야 한다. 포괄적 위협 관리는 바로 이러한 사전 예방적인 형태의 대응 조치를 통해 보완이 이루어져야 함을 지향하고 있다. 다양한 기능의 보안 기능을 포함하는 멀티-티어 개념의 포괄적 위협 관리는 사후 대응적, 사전 예방적, 사전 예측적인 대응 조치들을 최적화된 방식으로 조합하여 기업 IT 환경을 전면적으로 보호하고 외부 공격에 대한 대응 수준을 극대화할 수 있다.

포괄적 위협 관리는 변화하는 환경에 대한 뛰어난 적응 능력을 제공할 뿐 아니라, 관리 편의성을 극대화한 효율성을 제공할 수 있는 능동적인 보안 개념이다. 그렇다면 이제 알아보아야 할 것은 단순한 개념의 차이를 넘어, 실제적으로 효율적이면서 즉각적으로 기업의 보안 요구를 실현할 수 있는 포괄적 위협 관리의 구체적인 방법론이 무엇인가 하는 문제이다. 그러므로 다음 기고에서는 포괄적 위협 관리 솔루션이 어떻게 다양한 위협 관리에 대응할 수 있는지, 능동적인 보안 시스템을 구현하는 방법은 무엇인지에 대하여 자세하게 제시하도록 하겠다.

Trackback This Post | Subscribe to the comments through RSS Feed

트랙백 : http://symantec.bloter.net/archives/20/trackback