‘통합보안관리(ESM:Enterprise Security Manager)기술’ 현황과 전망
이성만 마크로테크놀러지 사장
84∼88년 서울대학교 수학과 졸업
92∼94년 포항공과대학교 정보통신대학원 정보통신 암호학 공학석사
94∼97년 포항공과대학교 정보통신연구소 전임연구원
97∼97년 펜타컴퓨터 보안시스템 연구개발실 실장
97∼98년 펜타시큐리티시스템 연구개발실 실장
98∼2001년 펜타시큐리티시스템 보안기술연구소 연구소장·부사장
현재 마크로테크놀러지 대표이사, 한국정보보호진흥원(KISA) 학회지 편집위원, 정보통신연구진흥원(ITA) 전문가 평가위원, 한국산업기술평가원 심의위원
◇ESM 탄생 배경=정보기술(IT)은 21세기 인터넷을 기반으로 한 온라인 환경의 대두로 각광받기 시작했다. 최근 인터넷 사용인구의 폭발적 증가와 이에 따른 기업들의 지속적인 투자로 정보시스템의 활용도는 갈수록 높아지고 있으며 기능 및 효과도 매우 만족할 만한 수준을 보이고 있다. 그러나 온라인 환경은 고객들에게 편의성과 신속성을 제공하는 동시에 정보시스템에 대한 보안 위협이라는 문제점을 표면화시켰다. 실제로 해킹·바이러스 등은 이미 널리 알려진 보안 위협의 예들이다. 따라서 이에 대응하기 위한 정보보호 기술(침입차단, 침입탐지시스템, 공개키기반구조(PKI), 바이러스 백신 등)이 속속 등장하기 시작했으며 필연적으로 정보보호 산업이 꽃을 피우게 되는 계기가 되었다.
초기 정보보안시장에서 보안의 개념은 바이러스나 침입 차단의 수준에 머물렀지만 최근의 보안은 가상사설망(VPN), PKI, 침입탐지시스템(IDS), 데이터 복구 등 기능별로 세분화 및 전문화된 양상을 띠고 있다. 소비자의 입장에서는 이러한 기술들이 자체적으로 해결할 수 있는 문제가 부분적이기 때문에 여러 제품을 사용할 수 밖에 없는 현실이고 보면 보안제품이라는 게 번거롭게 여겨질 수 있다. 그러나 최적의 정보보안정책이란 정책에 따른 제품 구현 및 유지 관리라는 점을 상기하면 이 같이 세분화되고 전문적인 제품들을 통합적으로 관리할 수밖에 없다는 결과에 귀착된다. 따라서 과거에 시스템이나 네트워크의 관리를 위해 시스템관리시스템(SMS), 네트워크관리시스템(NMS)라는 관리용 툴이 나타나게 된 것처럼 보안도 이러한 제품들을 관리하기 위한 관리도구(ESM:Enterprise Security Manager)에 대한 요구가 대두되기 시작했다.
한편 보안은 일반인이 접근하기 어렵다는 사실과 동시다발적으로 발생하는 보안 문제를 해결하기 위해 새롭게 등장한 것이 보안관제서비스다. 보안관제서비스는 기업자체에서 보안 전문가가 전무한 상황에서 발생되는 보안 문제에 대응하기 위하여 아웃소싱의 개념으로 나타난 것으로 실제 미국에서는 관리보안서비스(MSS)나 관리보안모니터링(MSM)로 일컬어지는 신조어가 만들어 졌고 국내에서도 보안관제업체가 서비스를 제공하고 있다.
초기 ESM은 이러한 관제서비스를 제공하는 회사들이 여러 고객사를 관리하기 위해 자신의 관제 센터에서 쉽게 관리할 수 있는 툴을 만들면서 시작되었다. 이러한 관리 툴은 관제서비스 회사의 숙련된 전문가들이 작업하기 위한 툴로서 각 보안제품에서 발생되는 기본정보를 한곳에 모아서 고객사의 보안상황을 쉽게 파악하여 대응할 수 있도록 한 1세대 ESM이라 할 수 있다. 대부분의 경우 단순히 보안제품에서 발생되는 정보(로그)를 직접 받아와서 한곳에서 모니터링하는 형태로 되어 있다.
2세대 ESM은 이렇게 만들어진 툴을 이용하여 보다 쉽게 상황을 파악하고 조치를 취할 수 있도록 검색 엔진을 탑재한 형태다. 즉, 이러한 검색엔진에는 동일한 사건에 대하여 보안제품에서 발생되는 정보를 관리자가 선별하여 볼 수 있는 기능이나 여러개의 보안제품에서 올라오는 정보를 나름대로 표준화하여 손쉽게 알아볼 수 있도록 하는 구조 또는 여러 보안시스템에서 발생되는 보안정보를 담고 있다.
3세대 ESM은 이러한 정보를 기반으로 하여 각 보안제품간 상호연동을 통하여 제어까지 가능할 수 있는 지능형 ESM이라 보면 될 것이다. 현재 3세대 ESM이 향후의 제품 개발의 나아갈 방향으로 인식되고 있다.
◇ESM 개념 및 역할=ESM기술의 정의에 대해 정보통신부는 ‘IDS·방화벽· VPN 등 각종 네트워크 보안제품의 통합 관리와 개별 침입에 대한 종합적인 대응을 위해서 각 요소 제품간 인터페이스 및 교환되는 메시지 포맷을 표준화하여 모니터링과 원격지 중앙관리까지 가능한 지능형 보안관리시스템을 연구하는 기술’로 개념화하고 있다. 즉, 서로 다른 보안제품에서 발생되는 보안정보를 한곳에서 손쉽게 관리하여 불법적인 행위에 대해서 대응할 수 있도록 하는 기술로 규정한 것이다.
이와 같은 ESM의 개념을 더욱 쉽게 이해하기 위해서 기존의 SMS 및 NMS의 기능을 되짚어볼 필요가 있다. SMS의 경우 서비스를 제공하는 여러 업무 시스템에 대한 가용성의 확보에서 시작됐다. 즉, 대기업이나 여러 시스템을 사용하는 기관에서 각 서버의 정상적 작동을 위한 관리의 필요로서 개발되기 시작했다. 기존에는 한명의 담당자가 수십대 혹은 수백대에 이르는 업무 서버의 작동상태를 체크하기 위해 콘솔에서 직접 명령어를 수행해 보고 시스템의 상태를 파악해야 했으나 SMS를 통해 한곳에서 손쉽게 관리함으로써 이러한 비효율성을 해소하고 편리성을 제고하게 되었다. 이처럼 업무 서버에 대한 관리가 SMS라면 NMS는 네트워크 장비의 모니터링을 하기 위한 시스템으로 네트워크 장비의 오류로 인한 서비스 불능을 점검하고자 만들어졌다. 공통적으로 두 시스템 모두 원격거리에 존재하는 서버 및 장비를 관리할 수 있도록 설계돼 있다.
ESM의 개념도 부분적으로는 이와 동일한 맥락이며 단지 관리의 대상이 보안 시스템이라고 생각하면 큰 오차가 없을 것이다.
실제 ESM이라는 개념이 나오기 이전에는 SMS가 ESM의 역할을 대신해 왔다. 세계적으로 SMS시장을 점유하고 있는 제품으로는 IBM의 티볼리, 컴퓨터어소시에이츠의 유니센터 TNG, BMC의 패트롤 등이 있으며 각 보안제품에서 생성되는 정보(로그)를 SMS 에이전트를 통하여 수집하여 보여주는 방식을 채택하고 있다.
그러나 위에서 언급한 바와 같이 SMS는 본질적인 목적자체가 서버시스템의 다운을 사전에 막고자하는 가용성을 위주로 하고 있어 근본적으로 기밀성·가용성·무결성을 추구하는 ESM보다는 보안에 대한 대응이 약할 수밖에 없다.
따라서 ESM은 위에서 언급한 바와 같이 단순한 개념의 SMS나 NMS와는 달리 그 설정치 이상의 문제(고객이 설정한 CPU사용량, 네트워크 장비의 문제, 특정 트래픽의 과대 사용 등)에 대해서 경고만 해 주는 형식이 아닌 여러 보안제품에서 올라오는 보안 관련된 정보를 분석하고 판단하여 사용자에게 알려주는 역할을 하게 된다. 즉, ESM은 보안에 관련된 여러 가지 문제점을 판단하여 내용을 알려주어야 하기 때문에 그 역할이 단순 보안제품의 총합 개념이 아닌 여러 보안제품에서 발생되는 정보를 분석하여 정보를 판단하게 된다.
◇ESM 기술(구조)과 이슈=ESM의 구조는 물리적으로 대부분 3티어 형태로 구성되어 있다. 그림1에서 보는 것과 같이 소비자가 화면을 보면서 현재의 상태를 파악할 수 있도록 하는 콘솔, 보안제품에서 정보를 얻어오거나 제어를 할 수 있는 인터페이스 모듈을 지원하는 에이전트, 그리고 들어온 정보에 대해서 분석하고 저장하는 서버(DB 포함) 등으로 분리된 구조다.
이밖에도 △정보의 양이나 네트워크 구간의 트래픽양에 따라 지역별로 서버를 구성하여 ESM서버를 N-티어로 구성하는 방식 △장애 방지를 위하여 ESM서버를 HA구조로 두는 방식 △DB서버가 ESM서버 내부에 속해 있는 방식 등이 있다.
또한 ESM의 논리적인 구성은 대체로 그림2와 같다.
그림2의 논리적인 구성도는 특정 제품에 국한된 것으로 회사별로 다를 수 있으나 대부분 위와 같은 구성으로 이루어져 있다.
ESM의 기술은 크게 특정화되어 표준이라고 할 수 있는 사항은 없으나 아래와 같이 이슈가 되고 있는 몇가지 종류로 언급할 수 있다.
첫째, 표준 포맷이다. 서로 다른 이 기종의 에이전트(구축되어 있는 방화벽 IDS와 같은 보안 시스템이 향후 다른 회사의 제품으로 투입될 수 있는)를 추가로 구축할 수 있도록 표준화된 포맷(또는 API)이 필요하다. 이는 실제로 구축되어 있는 시스템에서 고객이 새로운 회사의 제품을 추가로 투입할 수 있느냐 하는 문제로 확장성에 있어서 가장 중요한 문제가 된다. 또한 이러한 표준화된 포맷은 언급된 보안시스템간 여러 연동에 있어서 중요한 핵심이 된다. 이 부분에 대해서 정보통신부에서도 표준 포맷을 위하여 힘쓰고 있다.
둘째, 데이터 암호화 및 인증이다. 각 보안제품의 관리를 위해서는 제품간 정보를 주고받는 것이 필수인데 이 과정 중 발생할 수 있는 보안 로그의 변조는 문제의 소지가 크기 때문에 데이터 암호화가 필요하다. 또한 허가되지 않은 에이전트에서 정보를 보낼 경우 ESM이 오판할 수 있어 에이전트 인증이 필요하다. 현재 SNMP-트랩이나 sys로그를 이용하여 정보를 수집하는 경우 이러한 정보는 TCP/IP상에서 클리어 텍스트(암호화 되어 있지 않은 상태)로서 이동하는데 이를 스니핑(TCP/IP상에서 흘러다니는 정보를 보는 것)이라는 기법을 통하여 ESM으로 전달되는 정보를 변조해 침입탐지 시스템에서 침입으로 탐지하여 정보를 변경해 침입이 아닌 상황으로 보낸다면 정보를 수집·분석하는 ESM의 입장에서는 수동적으로 들어오는 잘못된 정보를 분석하여 소비자에게 오판을 내릴 수 있는 문제점을 가지고 있다. 또한 해커의 입장에서 인증받지 않은 가짜 에이전트에서 실제 보안 사고가 발생한 것이 아닌 정상적인 상태로 데이터를 보내 준다면 ESM에서는 올바르지 못한 상황을 설명할 수밖에 없기 때문에 인증과정 역시 반드시 필요한 것이다.
따라서 보안로그 변조 방지 및 정확한 정보의 수집 및 분석을 위해 데이터 암호 및 에이전트 인증이 ESM의 주요 기술로 개발되어야 할 것이다.
셋째, 이벤트 정보의 필터링이다. 방화벽이나 IDS 등 개별적인 보안제품의 경우 모든 공격에 대응하도록 돼 있어 동일한 공격이라도 소비자에게 일일이 알려 주게 된다. 그러나 ESM의 입장에서는 여러 보안제품에서 일어나는 이벤트 정보에 대해서 전부 고객에게 보여준다면 이러한 정보는 실시간 모니터링이라는 개념보다는 제품의 작동 여부밖에는 확인할 것이 없다. 따라서 실제 보안에 관련된 문제가 발생하게 되더라도 고객은 수많은 정보 중 어떤 것이 보안과 관련되어 있는지 파악하기 힘들어 지게 된다. 또한 이것은 고객이 사용하고 있는 모니터링을 하기 위한 콘솔에 상당한 부하를 줄 수 있기 때문에 결국은 안정성에 문제를 야기시킬 수도 있다.
넷째, 수집된 정보에 대한 내부적인 가공능력과 이에 대한 대응기술이다. 이것은 ESM의 가장 중요한 기능으로 ESM이 단순한 정보의 수집 차원이 아닌 수집된 정보를 통해 소비자가 올바른 판단을 내릴 수 있도록 지원하는 개념이다. 다만 안타깝게도 현재 국내의 제품 중 이를 100% 완벽하게 지원하는 제품은 없는 실정이다. 이는 수용하는 보안제품의 가지 수와 종류에 따른 개념으로 자세한 이야기는 향후 ESM기술의 향후 전망에서 언급하기로 한다.
다섯째, 정보처리 능력이다. 이는 장비의 사양에 따라 틀릴 수 있으나 네트워크 IDS가 처리할 수 있는 능력이 제품의 선정 기준중 하나인 것과 같이 이벤트의 처리 능력은 에이전트로부터 얼마나 많은 정보를 수집하여 얼마나 빠른 시간 내에 처리하느냐에 따라 ESM이 빠른 대응을 할 수 있는 기반을 이룬다.
기타 관리자의 권한 도용에 따른 문제점을 발생시키는 경우에 관리자 감사에 대한 문제점이나 보안제품의 가장 문제가 되는 리포팅, 관제 센터의 경우 담당자의 사건 처리에 대한 대응 확인 등 여러가지 것이 있으나 현재 대부분 논의되어 있는 것은 위에서 언급한 바와 같이 에이전트의 추가에 따른 표준화 수용, 암호화 통신, 수집된 정보에 대한 가공 및 이에 대한 대응기술 등이 현재 중점화되고 있는 기술들이다.
전체적으로 ESM의 기술이라는 것은 개별 보안제품이 표방하는 기술과는 개념적으로 다를 수밖에 없다. 따라서 ESM자체는 어떠한 보안기능을 발휘하기 보다는 관리개념으로서의 인식되어야하고 올바른 판단을 할 수 있도록 지원하는 기능 및 개별 보안제품의 자체적인 문제점을 보완해주는 기능으로 판단해야 할 것이다.
◇ESM 종류=보안정책을 수립하고 수립된 보안정책에 따라 모니터링 및 신속한 조치를 위한 각종 경보 기능들을 제공하는 ESM은 크게 두가지 종류로 나누어 볼 수 있다.
(1)사용자와 정책관리 위주의 제품군이다. 보안적 측면보다는 시스템 관리적 측면의 성격이 강한 것으로 보안 또는 관리정책에 따른 사용자 및 접근허가 관리에 중점을 두는 경우이다. 대표적으로 CA의 eTrust와 Unisys사의 제품, IBM의 티볼리 리스크 관리, BMC의 패트롤 제품 등이 있다.
(2)취약점과 위험 요소 분석에 주안점을 둔 경우다. 네트워크 및 시스템의 취약점, 위험 요소들을 분석하고 모니터링하는 기능 위주로 구성되어 있는 형태로 체크포인트의 프로바이더-1, 시만텍의 ESM 등이 대표적이다.
(1)의 경우에는 앞서 언급한 시스템의 관리적인 요소를 주안점으로 두는 SMS 기능에서 부가적으로 진행된 ESM이 주가 되고 2)의 경우 최근 기술적으로 취약성을 점검하는 시스템이 주가 된다.
한편 ESM의 단계별 분류라고 하면 (1)보안로그에 대한 모니터링을 제공하여 관리자가 현재 어떠한 문제가 있는지 판단하여 이에 대한 대응사항을 자체적으로 대응할 수 있도록 하는 시스템이 주가 된다. 현재의 ESM이 대부분 이러한 경우로 되어 있다. 다음의 단계로는 (2)에 언급된 보안 문제에 대하여 능동적으로 대응할 수 있는 ESM으로서 향후 지원되어야 할 ESM이 이러한 단계의 ESM이다.
◇ESM 기술의 향후 전망=지금까지 정보시스템의 개발 역사는 서버시스템에 네트워크시스템이 부가되고 다음 단계로 보안시스템이 첨가되는 과정으로 흘러왔다. 그리고 서버시스템 및 네트워크시스템의 관리를 위해 각각 SMS와 NMS가 개발되었듯 이제 보안시스템이 전산망의 새로운 인프라로 구축되고 있는 시점에서 이들의 관리가 이슈화되는 것은 너무나 당연한 일이라 하겠다. 주요 보안기술 보유국인 미국을 비롯한 선진국은 물론 우리나라도 이미 이러한 ESM기술에 대한 관심이 고조되고 있고 기술개발 경쟁 또한 치열하게 이루어지고 있다.
현재 ESM 기술개발에서 가장 중차대한 과제는 보안시스템간 통신 및 데이터 포맷의 표준화와 이기종 보안시스템에 대한 대응기능이다. 또한 ESM의 향후 발전구조에 대한 전망과 추가 기능들을 개발하기 위한 시기를 얼마나 앞당길 수 있느냐도 주요 관심사다.
기업의 보안요구는 갈수록 그 수준이 높아지고 있으며 이에 따른 관리적 효율성과 편리성을 추구하는 기술을 요구하고 있다. 그동안의 보안시스템을 구축하는 차원에서 이제는 효율적 관리측면으로 국면전환을 하고 있는 것이다.
결국 ESM은 보안인프라의 중심기술로 보안시스템의 관리를 총괄하게 될 것이며 향후 SMS및 NMS와 함께 상위계층의 전산망 관리 시스템으로 자리매김하게 될 것이다.