[ET단상]효율적 보안관리시스템 운영 방안

　귀사는 보안관리시스템을 운영하고 있는가? 운영하고 있다면 그 시스템이 온전히 잘 작동하고 있는지 방화벽 담당자나 통합보안관리시스템(ESM) 담당자에게 이렇게 물어보자. “지금 방화벽 데이터는 실시간으로 수집·저장·분석되고 있는지?”. 만약 “그렇다”라는 답변을 받은 최고정보책임자(CIO)는 “고맙다”, “자네가 있기에 우리 회사 보안이 한층 강화되었다”라고 담당자에게 금일봉을 전달해도 좋다. 그러나 귀사에서 동작하고 있는 대부분의 보안관리시스템은 성능 미비로 인해 방화벽 데이터의 보안 분석은커녕 실시간 수집·저장조차도 제대로 이루어지고 있지 않은 상황일 것이다. 혹 그동안 보고받지 않았다고 염려할 필요는 없다. 내 집뿐만 아니라 남의 집도 마찬가지 상황이니 말이다.

　최근의 보안사고에서도 보듯이 소를 잃고도 외양간이 고쳐지지 않는 이 현실이 안타깝기만 하다. 그나마 보안사고 이후에 그동안 보안 투자에 인색했던 제2금융권 및 중소기업에서 로그 서버를 많이 검토하고 있다. 그러나 도입 검토 내용 중에 중요한 내용이 빠져 있는 것을 자주 발견 하곤 한다. 즉, 로그서버에 로깅하는 내용이 시스템이나 장비 로그에만 국한되는 것을 확인할 수 있었는데 이는 매우 위험한 발상이다.

　해킹 이후의 사고처리를 위해서는 로그의 보존이 필수적이지만 이 로그 데이터 중에 가장 중요한 것이 방화벽 세션에 대한 허가(accept)와 불허(deny) 로그다. 해킹에 성공한 경우 일반적인 시스템에 남은 로그는 해커에 의해 변경될 수 있다. 이것은 해킹 절차 중 반드시 거치는 한 단계의 작업에 의해 일어나게끔 돼있기 때문이다. 하지만 완벽하게 방화벽 로그가 남아 있다면 공격자 IP가 접근한 최초 시기는 물론 공격 대상 시스템 명단, 해킹 당한 시스템에서 외부 시스템으로 접속된 IP 리스트 등을 손쉽게 확인할 수 있다. 더 나아가 방화벽 데이터를 실시간 분석할 수 있게 되면 수십여 종의 유해트래픽 검출이 가능하게 돼 알려지지 않은 제로데이(zero-day) 공격 또한 조기 탐지할 수 있는 확률이 높아지게 된다.

　하지만 현실은 녹록지 않다. 몇 년 전에 도입된 통합보안관리시스템(ESM)은 신규로 도입된 방화벽 2~3대 트래픽도 제대로 감당하지 못해 중요 방화벽에 대해서만 일부 로그만 저장하고 있다. 2~3달 전의 데이터를 확인하기는 어려운 상황이다.

　그렇다면 무엇이 문제인지 꼼꼼하게 확인해 볼 필요가 있다. 즉 적은 비용의 하드웨어 투자로 너무 높은 성능을 요구한 것은 아니었는지, 시스템 과부하에 대한 설계가 처음부터 제대로 돼 있는지, 기존 보안관리시스템의 과대 광고(기능·성능적 측면)를 너무 믿은 것인지, 기존 시스템 도입 전 성능 분석이 치밀하게 되었는지, 지속적으로 변화되는 트래픽 증가량에 대해서 너무 안일하게 대처하지는 않았는지 등이 검토대상이 될 것이다.

　이런 문제점을 인식했다면 이를 개선하기 위한 방안이 마련해야 한다. 물론 각 상황별로 대처해야 할 부분이 다르겠지만, 본고에서는 가장 기본이 되는 중요한 2가지 부분에 대해서 제시하겠다.

　첫째 정보자산을 지키고자 하는 의식의 전환 및 이에 따른 실행이 필요하다. 여기서 실행이라는 부분은 정보시스템에 대한 투자를 말한다. 앞서 언급했지만 현재의 워크스테이션 또는 중소규모의 유닉스 서버에서 동작하는 보안관리시스템의 성능은 기가비트급 방화벽이나 DDoS 공격 시에 발생하는 트래픽을 처리하기에는 매우 부족하다. 즉, 이를 보완하기 위해서는 새로운 소프트웨어(통합로그분석시스템, 성능에 최적 설계된 파일 DB 등)와 하드웨어(대용량 스토리지 등)가 필수적으로 확보돼야 한다.

　둘째, 시스템 도입 시에는 반드시 사전에 자사의 현재 상황은 물론 향후의 사업규모 등을 충분히 고려해서 선택해야 한다는 것이다. 즉 시스템 1대의 최대 성능 수치, 시스템의 병력 확장의 우수성, 보안 분석 능력, 유용한 보안관제 화면, 손쉽게 커스터마이징 가능한 리포팅 기능 등을 검토해야 한다.

　보안사고로 인한 피해와 혼란은 안타까운 일이지만 그런 와중에서도 우리는 앞으로 전진해야 한다. 제대로 된 보안관리시스템의 운영, 즉 자사의 방화벽 데이터를 제대로 분석할 수 있도록 기반을 마련해 줄 수 있도록 CIO의 현명한 결정이 필요한 시점이다.

심종헌 유넷시스템 대표이사 jhsim@unet.kr