“하루에도 수천 건씩 발생하는 파이어월과 IDS 로그…. 이 많은 로그가 모두 해킹 로그일리는 없고, 그렇다면 분리할 방법은 없을까. 게다가 여러 보안 제품에서 올라오는 이벤트를 각기 다른 화면에서 보고 관리하는 것도 보통 일이 아니다. 매일 밤새며 보안 제품별 관리화면을 지켜볼 수도 없는 노릇이고….” 파이어월이나 IDS(Intrusion Detection System) 등 보안 제품만 들여놓으면 모든 문제가 해결될 것 같았지만, 통합보안관리라는 새로운 골칫거리가 생겼다. 필요한 보안 영역마다 보안 제품을 들여 놓다보니 전체적인 관리가 이뤄지지 않아 효율성은 갈수록 떨어지고 해킹에 대한 노출도 위험 수위에 다다른 것이다. 그렇다면 기업의 보안 관리자가 효과적인 보안관리를 할 수 있는 방법은 없을까. 이에 대한 해결책으로 등장한 것이 바로 ESM이다.
늘어나는 ESM의 필요성 ESM은 파이어월·IDS·VPN 등 다양한 보안 솔루션을 하나의 툴에서 관리한다. 따라서 기업이 개별적으로 도입해온 각종 보안 솔루션을 서버단에서 하나의 콘솔로 관리할 수 있다. 지난 2000년부터 등장한 ESM은 관리 인력을 최소화하기 위한 로그 통합에서 출발했지만, 이후 보안 제품의 연동이라는 관점에서 이슈가 됐다. 지난해부터 ESM과 연동하는 각 보안 제품에 대한 이해를 기반으로, 탐지 기능을 높이는 작업이 진행됐다. 많은 로그 이벤트를 관리자에게 그대로 보여주는 것이 아니라, 일정 기준에 따라 필터링해서 실시간 대응체제를 갖추자는 것이다. 최근 들어서는 능동적으로 자기제어를 할 수 있는 추가 기능으로 들어가고 있다. 스스로 패턴을 만들고, 이에 맞지 않는 데이터는 해킹으로 간주하는 인공지능 개념의 IPS(침입방지시스템) 기능이 첨가되고 있는 것. 코코넛의 전익수 보안 컨설턴트는 “이 기능은 라우터에 의존하기 때문에 실시간 대응력이 떨어지는 파이어월이나 IDS의 단점을 극복해 ESM을 지능화하자는 취지에서 나왔다. 님다와 코드레드 바이러스가 난무할 때마다 DoS 공격으로 라우터가 죽어 파이어월이나 IDS가 무기력해지곤 했던 일이 빈번했던 사례를 돌이켜보면, 인공지능이 ESM의 즉각 대응 문제를 해결해 줄 수 있을 것”이라고 설명했다. ESM의 구성 요소일반적으로 ESM 제품은 보안 시스템과 일반 시스템의 보안 정보를 수집하는 ESM 에이전트, 에이전트가 보내온 정보를 취합·분석·가공해 에이전트에 명령을 하달하는 ESM 마스터 서버, 이 서버가 보내온 정보들을 저장하는 ESM 데이터 서버, ESM 콘솔 등으로 구성된다. ESM은 정보의 수집·분석·재분배 과정을 통해 여러 보안 시스템에서 나오는 보안 관련 정보를 효과적으로 관리할 수 있도록 해주고, 유기적이고 조직적인 연동을 통해 두 개의 보안 시스템이 마치 하나의 보안 시스템인 것처럼 동작하게 해준다. ESM이 제공하는 기능은 다음과 같이 나눌 수 있다. ·멀티 티어 구성 : 멀티 티어 구성으로 확장, 통합이 유연해 적용이 용이·다양한 보안 시스템 지원 : 파이어월, IDS 등 보안 솔루션 모두를 지원해 전사적 인 보안통합관리 가능 ·네트워크·시스템 관리 : 유닉스·리눅스·윈도우 등 일반 시스템은 물론 라우터 등 네트워크 장비에 대한 보안 관리 ·즉각적인 보안 대응 : 보안 위험을 경고하면 마스터 서버는 내용을 분석해 다른 보 안 시스템들이 대응할 수 있도록 적절한 조치를 취한다. 대응 체계를 통해 각 보 안 시스템은 유기적으로 행동하는 하나의 보안 시스템 구성 ·통합 로그 : 로그 종류별/일자별/서비스별/사용자 정의, 각 보안 시스템 로그 보기·통합 모니터링 : 실시간/통합·개별 모니터링, 이벤트 필터링, 새로운 보안 시스 템 운영 알림, 임계치 설정·보기, 성능 이상 알람, 시스템 상태 정보 열람 ·의사결정 지원 : 보안 시스템의 위험도 설정에 따른 검색, 역추적, 리포트·통계 기능·자동 대응 : 파이어월, IDS 연동을 통한 자동 차단 기능·정책 설정 : 단일 뷰를 통한 통합 정책 조회/설정/변경, 선택적인 로그 수집 정책 설정, 사용자 정의에 따른 오브젝트별 정책 설정 ·운영 관리 : ESM 관리 사용자 등급별 관리, 관리자 로그인 알림, ESM 서버와 에이 전트 상태 정보 확인, 보안 현황 검색·출력, 데이터베이스 싱크를 통한 실시간 데이터베이스 업데이트 기업에서의 ESM 활용 ESM 도입을 준비중인 업체라면 이미 기존에 보안 제품을 솔루션별, 시스템별로 도입한 상태일 것이다. 따라서 보안 시스템간의 운영 효율성을 높이고 보안 기능을 강화하기 위한 차원에서 ESM을 도입하기로 했다면, 제품별로 강조되는 특징에 따라 무엇이 우선 기능인가에 대한 검토를 해야한다. 가장 중요한 항목은 체계적인 위험요소 식별을 통한 적절한 위험 관리를 지원하는가 여부다. 이밖에 정책 기반의 워크플로우·관리 여부, 보안 제품과 네트워크 장비간의 연동성, 지원되는 플랫폼, 지원하는 보안 제품의 종류, 부작용(성능·부하 등) 최소, 다양한 리포팅 기능이 있는지 등을 알아보는 것도 필수다. 최근 ESM 도입을 결정한 다음 사례를 보면 필요성, 적용, 활용에 대해 어느 정도 알 수 있을 것이다.
(사례) 전자상거래 전문업체 A사 : 기존에 파이어월·IDS 구축 환경 : 100대 이상의 서버와 기가비트급의 전용회선을 사용하고 있다. 매달 300만 건에 달하는 파이어월 로그 수와 15만 건에 달하는 IDS 로그로 인한 네트워크 과부하가 잦았다. 진단 : DoS 공격에 따른 문제 발생 분석. 해결 : 올 초 ESM을 도입한 후 로그가 시간당 1.38건으로 줄었다. DoS 여부를 IDS가 판단, 파이어월에 알려줬기 때문이다. 모든 로그를 관리자에게 보여주는 것이 아니라, 해킹과 관련된 주요 로그만 보여줄 수 있도록 ESM의 분석모듈을 강화했다. IDS의 침입경고와 파이어월의 로그, 그리고 서버의 상태를 종합 판단한 ESM의 기능이 제공됐다. 사례의 경우는 내부 네트워크와 보안 시스템을 점검한 후 ESM의 필요성과 적용, 도입 효과에 대해 수차례 컨설팅 업체와 협의를 거쳤다. 전자상거래를 전문으로 하는 업체인 만큼 갈수록 늘어나는 방대한 고객 데이터베이스 분석과 보안, 운영중인 각종 시스템과 보안 시스템을 효율성있게 활용하기 위해 ESM 도입을 결정했다. 국내 시장 150억원 규모 성장통합관리 솔루션에 대한 시장의 요구가 늘어남에 따라 국내 ESM 시장은 지난해 60억 원에 이어 올해는 150억 원대로 성장할 것으로 보인다. ESM 시장은 이미 파이어월이나 IDS를 도입했으나, 하루에도 수없이 올라오는 이벤트 때문에 고민중인 대기업이나 금융권이 주 타깃이다. 이밖에 해킹이나 바이러스를 통합관리해서 즉각 대응하는 ISAC(정보공유분석센터)의 핵심 솔루션으로도 주목받고 있다. 이 시장에 참여하고 있는 인젠, 이글루시큐리티, 시큐어소프트, 어울림정보기술 등 국산 ESM 솔루션 개발업체들은 그동안 보안 시스템 구축하는데 주력해온 기업들이 올해는 ESM 솔루션 도입에 적극 나설 것으로 예상하고, 영업 전략 구상에 들어갔다. 따라서 각사가 보유한 제품의 기능은 물론이고, 기술 지원, 컨설팅 등 다각적인 활동에 집중하고 있다. 이들 업체는 모두 보안관제서비스나 컨설팅을 제공하거나, 자체 솔루션(파이어월이나 IDS 등)을 개발하고 있다. 보안 사업을 하다보니, 통합관리와 즉각 대응의 중요성을 절감하게 된 것이다. 현재까지는 여러 보안 제품의 이벤트 로그를 통합해서 볼 수 있도록 하거나 부분적인 제어를 지원하는 수준이다. 하지만 국내 업체들이 앞다퉈 개별보안 제품에 대한 시스템 리소스 관리 기능까지 개발하고 있는 만큼 다기능을 제공하는 ESM이 속속 등장할 것으로 보인다. 인젠의 ESM 사업본부 김형률 부장은“국내 개발 제품들도 초당 5000건 이상의 이벤트를 관리하고, 개별 보안 제품에 대한 시스템 리소스 관리 기능에서 앞서 있다. 올해 들어 국산 ESM 솔루션들은 단순히 여러 보안 제품을 한 화면에서 관리하는 것이 아닌, 대용량 데이터를 관리하면서도 네트워크 과부하를 줄이거나 실시간 탐지와 대응 기능에 초점을 두고 있다”고 추이를 설명했다. ESM 시장의 걸림돌이 없는 것은 아니다. 현재 출시된 ESM 솔루션은 단순히 여러 보안 제품을 모니터링할 수 있는 수준에 불과해, 진정한 통합적·유기적 보안시스템을 이뤄내기에는 부족하다는 지적이 많다. ESM 시장의 걸림돌또 표준화된 데이터 처리기술과 개별 보안 제품과의 연동성 문제도 드러나고 있다. 업체별로 연동성 작업을 꾸준히 해나가고 있지만, 대부분 시장 우위에 있는 몇몇 업체와만 연동 작업을 거치고 있어 소규모이거나 지역적인 개발 제품과는 실제로 연동이 안되는 사례가 많다는 것이다. 시큐어소프트의 보안연구소 박수영 실장은 “아직은 대부분의 제품이 IDS 이벤트를 파이어월과 연동해, 문제가 발생하면 파이어월을 작동시키는 수준이다. 여러 곳에서 올라오는 이벤트들을 지능적으로 관리할 수 있는 통합탐지 알고리즘을 개발해 연동성을 높여야할 것”이라고 말했다. 이밖에 ESM의 API(Application Programming Interface) 표준을 마련하기 위해 구성된 세인트나 비스타 등의 컨소시엄이 업계의 무관심으로 제대로 운영되지 않고 있다는 것도 넘어야할 산 중 하나다. @
