2009년 9월 14일 월요일
2009년 2월, Whistler
보안관제서비스(Managed Security Service)의 동향 및 전망(3)
3.
보안관제서비스 전망
앞선 1,2장에서 전반적인 보안관제서비스 현황과 보안관제서비스업체에서 제공하고 있는 관제서비스 상품에 대해 살펴보았다. 그러면 마지막으로 현재 보안관제서비스와 관련된 최신동향과 함께 관계를 살펴 보고 이 개념들을 종합해 보안관제서비스의 향후 발전방향을 제시하고자 한다.
①
SOA와 보안관제서비스
SOA(Service Oriented Architecture)는 재사용성, 애플리케이션 통합, 기업환경이나 사업 프로세스의 변화에 대응할 수 있는 정보시스템 구축을 가능하게 개념으로 근래 정보기술 패러다임의 변화를 이끌고 있다[14]. 또한 SOA의 구현기술이라 할 수 있는 웹 서비스는 과거 컨텐츠와 애플리케이션 지향적인 형태에서 서비스지향적이며 상호운영적인 SOA 기반의 웹 서비스로 진화하고 있다[15].
그런데 보안관제서비스는 과거 솔루션이 제공하는 기능 중심으로 차단/탐지 등의 솔루션 중심의 관제서비스를 제공하다가 근래 외적인 형태로는 프로세스 및 업무절차 중심으로 서비스 구조를 재편하고 있는 추세이다. 전체적으로 아직까지 서비스 중심적인 구조로 변화하지 않았지만 외적인 변화가 실질적인 변화를 일으키기에 역부족인 듯하지만 증대되는 대내외적인 요구사항에 맞추기 위해 내적인 구조와 그를 구성하는 인프라도 SOA 기반으로 변경이 촉발될 것이라고 판단된다.
[그림.5] SOA 기반의 서비스 접근 계층구조
[표.5] SOA 개념 중심의 정보기술 패러다임 전후 특징
기능 중심 |
서비스 지향 단계 |
• 연결고리: 비용 • 기능 지향적 • 최종형태로
구축 • 긴
시간 동안 개발 |
• 연결고리: 가치 • 프로세스 지향적 • 변화
동안만 구축 • 조금씩
추가로 구현 |
• 단일
애플리케이션 • 단일
벤더 • 강하게
결합됨 • 객체
지향 |
• 편성된(orchestrated) 솔루션 • 다양한
벤더 • 느슨히
결합됨 • 메시지
지향 |
②
IT-Governance와 보안관제서비스
전반적으로 IT 거버넌스 또는 인터넷 거버넌스와 정보보호(보안관제서비스)와의 관계에 대한 논의는 초기단계이며 특히 국내는 아직 명확하지 않은 것이 사실이다[18]. 정보보호 의제는 1) ‘사이버범죄, 해킹/바이러스’ 2) 프라이버시 보호 3) 불법 스팸 대응 등이 있으며 그 중 근래 가장 정보보호 침해 이슈사항인 프라이버시 부분을 보면 프라이버시 및 개인정보는 기술적, 제도적, 자율규제 등의 다양한 방법으로 보호 되어야 하고 그와 관련된 입법이 부족한 국가의 경우 해당 규칙과 업무 기본 틀을 마련하도록 권장하는 등 이와 관련된 침해와 관련된 솔루션과 서비스뿐만 아닌 거버넌스 측면의 수요와 시장 창출이 기대된다고 할 수 있다.
[그림.6] ITSM/ITIL과 MSS의 프레임(예시)
그리고 IT 거버넌스 구성요소 중 ‘조직 및 운영관리 체계’, ‘자산관리’ 및 ‘변경관리 및 모니터링’ 분야에 보안관제서비스가 직간접으로 연결되어 있다[19, 20]. 그러나 아직 보안관제서비스 분야에서도 이미 사용하고 있는 SLA(Service Label Agreement) 등 일부 개념이 중복되기는 하나 업무 프로세스 개선과 이를 통해 서비스 품질 개선 및 비용절감을 목적으로 하고 있는 ITSM/ITIL과의 직접적인 연결고리를 만들지 못한 상태이다. 이 분야에 대한 긍정적 접근은 보다 체계적인 프레임 안에서 서비스 품질, 가용성, 신뢰성, 서비스 비용 관리 등 서비스 품질관리가 가능하게 될 것이다.
③
고객 중심의 보안관제서비스 구조
고객에게 제공되어야 할 보안관제 서비스 기능이 추가될 때마다 관리도구의 변화와 각기 프로세스의 변경이 필요했던 현재의 구조는 고객 중심적이며 서비스 지향적인 구조로 변경이 필요하다. 이것에 가장 적합한 구조로 SOA기반의 인프라가 필요한데 SOA기반의 보안관제서비스 구축 전략은 아래와 같이 설명할 수 있다.
가.
보안관제서비스는 조립이 가능
나.
보안관제서비스는 프로세스 중심의 아키텍처
다.
보안관제서비스는 플랫폼에 관계없이 상호운영이 가능
라.
보안관제서비스는 컴포넌트와 같이 독립된 모듈로 구성
마.
보안관제서비스는 네트워크 주소로 접근 가능한 인터페이스
위와 같은 구축 전략에 부합되게 SOA기반의 보안관제서비스 구현방안은 1) 언제 어디서나 유무선 인터넷을 통해 접속 가능하며 2) 어플리케이션 공유가 가능하고 3) 사용자 수에 상관없이 어플리케이션들이 견고하고 최적화된 플랫폼에 구축을 하며 4) 고객이 필요한 때에 필요한 만큼만 서비스를 이용 가능하면서 5) 이용한 만큼의 비용만 사용료로 지불 가능한 형태로 6) 고객들이 특정 기술과 특정 소프트웨어를 보유할 필요가 없고 7) 유지보수에 대해 별도로 투자할 필요가 없도록 하는 것이다.
그리고 그림.7은 이러한 구축전략과 구현방안에 대한 SOA기반의 보안관제서비스 구조를 형상화한 것이다.
[그림.7] SOA기반의 보안관제서비스 구조
(넷시큐어테크놀러지㈜ 차기 보안관제서비스 시스템 개념도)
위의 5단계를 크게 legacy, 컴포넌트를 Data Layer로 서비스 및 비즈니스 프로세스를 Business Logic으로 마지막으로 서비스 사용자를 Presentation Layer로 3개 층으로 나눌 수도 있다. 이러한 인프라에서 고객은 정보보호 장비 및 솔루션에 대한 제약을 가장 적게 고민하면서 원하는 보안관제서비스 항목을 선택하고 그것을 서비스 받을 수 있게 되는 것이다.
④
보안관제서비스 발전 전망
지금까지 살펴 본 바와 같이 IT 아웃소싱 측면에서 보안관제서비스는 단순한 솔루션 및 기능 중심의 서비스로부터 출발하여 보안관제 프로세스 중심 및 고객이 원하는 서비스 중심적인 구조로 변화되어 진화할 것이다. 이는 기존 단위 솔루션 및 끊임없이 변하는 침해사고 경향에 따른 신규 솔루션이 제공하는 정보보호 기능들은 고객이 원하는 서비스로 재편성되어 제공될 수 있게 SOA기반의 보안관제서비스 인프라가 구축될 것이다. 또한 표준 및 보증 고려사항의 증가에 따른 IT-Compliance/Governance의 필요성이 증대되고 이를 만족시키는 조직 내부의 위험관리와 더불어 보안관제서비스도 함께 정보보호 패러다임을 이끌 것이다.
[참고문헌]
[1] 넷시큐어테크놀러지 보안관제서비스사업본부,
시큐어컴파스센터(Secure
Compass Center), http://www.securitycenter.co.kr
[2] 한국소프트웨어진흥원, ‘국내 정보보호 시장 동향과 전망’, SW시장분석,
http://www.softworare.or.kr/,
[3] Cybertrust (Verizon
Communications Inc),
“http://www.cybertrust.com/solutions/secure_operation_services/”,
” http://www.cybertrust.com/solutions/managed_security_services/”
[4]
정보보호학회지 제17권 제4호, 2007.8
[5]
[6]
[7]
[8] 시만텍(Symantec), “차세대 보안 비전 ‘Security 2.0’ 발표”,
http://www.symantec.com/business/theme.jsp?themeid=security2.0, 2006.12
[9] 한국정보보호산업협회, “2007 국내 정보보호산업 시장 및 동향 조사”, http://www.kisia.or.kr
[10]
[11] 한국소프트웨어진흥원, “2008년 IT 산업(1) – SW 컨버전스와 IT서비스의 확대”,
http://www.software.or.kr/,
[12] 한국정보보호진흥원, ‘보안기술 패러다임 변화에 따른 미래 정보보호산업구조 변화’,
http://www.kisa.or.kr/, 2004.7
[14] Julia Allen, Derek Gabbard, Christopher
May, “Outsourcing Managed Security Service”,
http://www.cert.org/archive/pdf/omss.pdf
[14] Roy W. Schulte, Yefim V. Natis, “Service
Oriented Architecture”, Gartner Group, SSA Research Note SPA-401-068, 1996
[15] 전자부품연구원, “SOA 동향 및 구축 사례”, http://www.eic.re.kr, 2007,5
[16] 정보보호관리체계인증, http://www.kisa.or.kr/kisa/isms/jsp/isms.jsp
[17] DNV 인증원, http://www.dnv.co.kr/certification/managementsystems/iso27001.asp
[18] 한국정보보호진흥원, “인터넷거버넌스 정보보호 논의방향”,
http://www.kisa.or.kr, 2006.3
[19] 한국소프트웨어진흥원, “IT 거버넌스 국내 동향과 전망”, http://www.software.or.kr,
[20] 송복섭, 권수갑, “IT 서비스 관리 동향 및 전망”,
정보통신연구진흥원(http://www.iita.re.kr) 주간기술동향 통권1330호,