[금융보안특집]SSR

에스에스알(SSR)은 수년간의 정보보호 컨설팅 역량을 기반으로 IT 인프라 취약점 자동화 전수 진단 솔루션인 ‘솔리드스텝’을 개발해 지난해 출시했다.

솔리드스텝은 기존에 컨설팅을 통해 수행됐던 서버, 네트워크 장비, DBMS, WEB/WAS에 대한 취약점을 진단한다. 1000여개 항목으로 자동화 전수진단을 수행할 수 있다. 다른 취약점 진단 솔루션과 달리 진단 항목 기준을 제조사 자체개발 항목과 글로벌 표준 규격으로 하지 않는다.

국내 컴플라이언스와 조직 내 보안정책, 지침을 기반으로 맞춤형 진단을 지원한다. 내부정책에 기반을 둔 취약점 진단은 그 결과를 바로 수용할 수 있다는 것이 특징이다. 시간과 비용의 한계를 넘어 인프라 전수 진단이 가능하고, 관련 컨설팅을 완벽하게 대체해 보안관리 리소스 절감효과가 높다.

개정된 ‘주요정보통신 기반보호시설의 취약점 분석, 평가 방법 상세가이드’에서도 총 313개의 기술적 점검항목에 대해 취약여부를 점검하도록 한다. 정보보호관리체계, 개인정보보호관리체계, ISO/IEC 27001:2005(2013)등과 같은 정보보호 관리인증제도 역시 통제항목에서 취약점 점검에 대해 주기적인 관리·조치활동을 명시한다.

솔리드스텝은 주요정보통신 기반보호시설, 정보보호관리인증제도, 금융위원회 등 관련 컴플라이언스의 통제항목에 100% 대응이 가능한 점검항목을 지원한다. 최소 기준을 만족하는 수준의 보안관리를 넘어 환경 및 유형별로 각각 다른 보안 요구사항에 대해 인프라의 보안을 상향평준화한 관리가 가능하다.

취약점 진단 수행을 통해 나온 결과는 기존 컨설팅을 수행해 나온 산출물과 동일하게 출력된다. 내부 정책 및 지침을 바탕으로 객관적이고 정량화된 값으로 현재 조직 내 인프라 보안 관리 현황을 일목요연하게 확인할 수 있다. 자동화 전수진단을 통한 빠른 점검으로 주기적인 진단이 가능하다. 이는 인프라에 내부 정책 및 지침의 이행여부를 지속적으로 모니터링 하여 향상 수준 관리가 가능해진다.

현재 솔리드스텝은 대규모 인프라를 운영 중인 국내 유무선 통신업체 두 곳과 제조업, 금융권 등에 구축된 상태다.