보안관제서비스(Managed Security Service)의 동향 및 전망
<구성>
1장에서 보안관제서비스의 일반현황에 대해 기술할 것이다. 여기서 보안관제서비스 정의, 동향을 비롯한 구성요소와 프로세스 등을 알아 볼 것이며 2장 보안관제서비스 종류에서 현재 국내 주요 보안관제서비스 업체들의 보안관제서비스 상품의 종류가 어떠한 것이 있는지 살펴 보고 각각의 특징을 이야기 할 예정이다. 그리고 3장 보안관제서비스 전망에서는 최신 정보기술 개념들 즉, SOA와 ITSM 등과의 관계와 고객 중심의 보안관제서비스 구조를 사례를 들어 살펴 보고 비롯한 보안관제서비스의 일반적인 전망에 대해 언급할 것이다.
<목차>
1. 보안관제서비스 현황
① 보안관제서비스 정의
② 보안관제서비스 동향
③ 보안관제서비스 구성요소
i 보안관제솔루션
ii 보안관제프로세스
iii 보안관제관련 규정
2. 보안관제서비스 종류와 절차
① 관제서비스 종류
② 관제서비스 구성 절차
3. 보안관제서비스 전망
① SOA와 보안관제서비스
② IT-Governance와 보안관제서비스
③ 고객 중심의 보안관제서비스 구조
④ 보안관제서비스 발전 전망
<요약>
정보보호라고 하면 해커, 기밀, 개인정보 등의 용어와 함께 침입차단시스템(Firewall), 침입탐지시스템(Intrusion Detection System: IDS), 보안관리시스템(Enterprise Security Management: ESM) 등의 정보보호 솔루션을 연상하게 된다. 그런데 언제부터인가 정보보호 분야에 서비스라는 개념과 그와 관련된 항목들을자주 접할 수 있게 되었다. 정보보호 솔루션 구축 및 조직의 보안정책 수립부터 요즘 정보보호관리체계 및ISO27001 등의 인증에 대한 자문 컨설팅으로 대표되는 정보보호 서비스 분야가 있다. 이 분야를 나누는 방법은 몇 가지가 있지만 여기서는 크게 정보보호 컨설팅과 보안관제서비스 분야로 나누어 보겠다. 앞서 말한 정보보호 컨설팅은 정보보호 시장이 형성될 때부터 활발한 분야라서 일반인들이 알고 있는 사항이지만 보안관제서비스에 대해서 아직까지 익숙한 분야가 아닌 것은 사실이다. 이 글에서 아직은 낯설지만 이미 IT기업뿐만 아니라 비IT기업까지도 그 서비스 상품을 이용하고 있고 꾸준한 성장을 하고 있는 보안관제서비스에 대해형태와 특징 그리고 관련된 정보기술의 개요에 대해 살펴 볼 것이다. 또한 변화된 환경에서 보안관제서비스가 향후 어떤 형태로 발전해 나갈지에 대한 소개도 할 예정이다.
1. 보안관제서비스 현황
① 보안관제서비스 정의 및 특징
보안관제서비스(Managed Security Service: MSS)는 다양한 정의들이 존재하는 것이 사실이다. 일반적으로 1) 의심스러운 행위, 악의적인 스캔, 권한 없는 접근, 웹 어플리케이션의 오용 및 내부자의 남용에대해 24x7x365 동안 실시간 사고 대응을 제공하는 것으로 이야기하거나 2) 기업이 취약점과 위협을 실시간으로 방어하고 탐지하며 대응하는 것을 돕도록 인력, 프로세스, 기술 및 전문지식을 제공하는 것으로정의하기도 한다. 또는 보안운영서비스(Security Operation Service)[2]를 동일한 의미로도 사용하기도하지만 일반적으로 보안관제서비스의 하위 개념으로 사용한다[3].
그러면 포괄적인 의미에서 보안관제서비스란 정보보호 정책위반 또는 침입으로부터 시스템과 네트워크 자원의 손상을 막기 위해 관제가 필요한 모든 시스템을 실시간으로 모니터링하여 즉각 대응, 관리할수 있도록 전문 보안업체가 해당인력, 프로세스, 기술 및 전문지식을 제공하고 고객은 자신의 핵심 역량에 집중할 수 있도록 하는 서비스라고 할 수 있다[1,9].
그러면 정의에 포함되어 있는 내용이지만 현재 서비스되고 있는 실체적 측면에서 서비스가 제공되고 있는 형태로 구분하면 첫째, 기업/기관(고객)과는 독립된 장소에 있는 물리적으로 분리된 보안관제 센터(Security Operation Center)에서 보안 관리/운영을 위탁관리하거나(원격관제서비스 또는 협의의 보안관제서비스) 둘째, 고객의 보안정책을 구성하고 구객사 내부에 구축된 보안관제 센터에 전문 보안업체가 해당인력을 파견하여 ‘보안업무 및 IT 운영업무를 총체적으로 관리하고 운영’하는 형태가 있으며(파견관제서비스) 마지막으로 단순히 기업/기관에 보안정책 또는 보안관제 센터를 구축하고 해당 기업의 직원이 직접 관리하도록 제공하기도 한다(보안SI). 또한 보안관제서비스의 기대효과 측면에서는,보안관제 서비스를 이용하는 기업은 보안전문인력의 지원을 받으며 보안시스템 관리와 운영에 드는 비용도 절감할 수 있다. 이것은 전문지식을 보유한 인력이 보안솔루션의 기능을 최적화할 뿐만 아니라, 보안정책들(Security Policies)에 의한 로그 및 이벤트를 실시간 수집/분석하여 정기/비정기 보고와 보안대책의 기본 자료를 제공하기 때문이다.
앞선 정의, 제공형태 및 기대효과를 정리하면 1) 최적화된 보안 솔루션 구성과 관리, 2) 전문 보안 기술자들에 의한 보안 장비의 효율성 극대화 3) 자체 보안 인력 보유의 비용 및 시간 절감 4) 실시간으로 발생되는 위험에 능동적 예방과 대처 5) 전문 보안 기술자에 의한 24시간 관리 서비스 등으로 보안관제서비스의 특징을 정리할 수가 있다.
그런데 현재 이와 같은 정의와 특징을 갖고 있는 보안관제서비스는 지금까지 어떤 기술을 기반으로 하고 있으며 시장상황의 영향에 따라 어떻게 발전되어 왔는지, 그와 관련된 사항들을 살펴 보도록 하자.
- 정보보호 패러다임의 변화
[그림.1] 정보보호 대응기술의 변화, [출처: Symantec]
정보기술의 변화와 비슷한 시기구분으로 1980년대까지 침해사건의 주종은 전통적 해킹(Hacking)이라고 하는 패스워드를 크랙(Crack)하거나 시스템의 취약성을 공격하여 특정시스템에 침입하고 백도어(Backdoor)를 설치하는 형태에서 1990년대에 이르러 스니핑(Sniffing[iv]), 세션 하이젝킹(Session Hijacking[v]) 등의 공격을 비롯하여 2000년 대 공격의 주류를 이루고 있는 서비스 거부(Denial of Service[vi]) 공격까지 나타났다. 그리고 요즘침해사건의 주류는 웜/바이러스 등에 의한 서비스 거부 공격, 웹사이트 공격과 더불어 피싱(Phishing[vii]) 및 개인명의 도용과 같은 개인정보와 관련된 사건이다. 이렇듯 침해사건의변천과 더불어 정보보호 대응기술도 그림.2[8]와 같이 보호대상에 대해 다양한 취약점을 이용한 공격에 대응하기 위하여 단위 정보보호 솔루션을 통합(Integration, Unification)하거나 통합된 솔루션으로 위험관리를 실시하여 정보자산 자체를 보호하는 형태로 변환하였다. 이러한흐름에 따라 정보보호 프레임도 초기 접근제어 중심에서 2000년대에 들어오면서 관리 중심으로 변화하였고 아직 국내는 초기단계이기는 하지만 점차 제도(규제) 중심으로 변화하고 있다[4].
- 정보보호 시장의 변화
따라서 앞서 살펴 본 정보보호 패러다임의 변화와 함께 정보보호 시장도 암호화와 인증과 관련된 데이터 접근제어 관점의 제품에서 1990년대 말부터 범용적인 시스템 관점의 제품들이 폭발적으로 출시되어 정보보호 솔루션에 대해 일반인들까지 널리 그 기능을 알게 된 계기가 되었다. 이후 침해사고 변화와 그에 따른 정보보호 프레임의 변화는 시장에 웹 서비스, 이메일(e-mail) 서비스 등을 보호하는 서비스 관점의 제품들이 나오게 되었다[5]. 물론 이런 다양한 정보보호 솔루션들은 한층 강화된 정보보호 단계를 실현하는데 일조하는 것은 사실이지만 이를 운영하고 관리하는 관리자 입장은 보안관제 센터의 구축 및 보안관제업무를 가중시키는 등 보안운영을 하는데 난제를 만드는 주요원인이 되기도 한다.
그리고 서비스 관점의 흐름과 더불어 정보기술 전체 흐림 중 하나인 ‘통합화’도 정보보호 분야에 몇 년 전부터 화두가 되어 있다. FW과 IDS 등의 결합으로 나타난 IPS를 비롯한UTM[viii](Unified Threat Management) 등의 단순한 결합(Integration)부터 라우터(Router), 스위치(Switch)의 IDS 탐지 기능의 탑재나 운영체계(OS)에 FW 등의 차단 보안기능이 이식되는 등의 통합(Convergence)도 뚜렷한 경향이다[11, 12].
② 보안관제서비스 동향
이렇게 변화되는 환경에서 다양한 정보보호 솔루션들 중, 자기조직의 정보보호 정책과 시스템/네트워크 상황에 적절하게 배치하고 그에 따른 운영계획을 수립하고 24x7x365 동안 효과적으로 운영하며 관리하는 것은 조직 내부에 독립적인 정보보호 부서가 있다고 하더라도 충분한 비용과 전문인력이 확보되지 않는 한 쉽지 않은 일이다. 따라서 조직의 시간과 비용, 전문인력의 부족을 해결해주며 그 조직의 핵심 비즈니스에 집중할 수 있도록 전문적으로 보안관제서비스를 제공하는 업체가2000년대 초부터 나타났고 점차 그 시장을 넓히고 있는 상황이다[6,9].
i. 세대별 서비스 특징
보안관제서비스에 대한 세대를 나눈다는 것은 관점에 따라 여러 가지가 있을 수 있지만 앞서살핀 정보보호 패러다임 및 그에 따른 시장의 변화에 따른 서비스적 측면으로 ‘도입기’, ‘확대기’, ‘특화기’[7,10]라는 기준으로 나누면 각각의 특징은 표.1과 같다.
[표.1] 세대별 보안관제서비스의 특징
구분 | 세대별 특징 |
도입기 | 정보보호 솔루션의 정책관리를 시작으로 보안로그의 중앙관리 |
확대기 | 기초적인 보안 종합분석과 그에 따른 기본적인 보안관리 |
특화기 | 전사적 보안관리(포렌식[ix], 조기예경보, 위험관리)와 각각의 기관마다 특화된 종합분석(자산평가 등) |
ii. 기능별 서비스 특징
또 이와 다른 시각으로 요구사항에 따른 대응방안 기준으로 보면 각기 아래와 같이 표.2의 기능적인 특징으로 구분 지을 수 있다[7]. 물론 현재 모든 보안관제서비스 업체가 아래 구분 중,모두를 제공할 수 있는 단계는 아니지만 국내 기업 전체로 보면 정보보호관리체계 중 일부를제외하고 모든 형태가 서비스로 제공 가능하다.
[표.2] 기능별 보안관제서비스의 특징
구분 | 기능별 특징 |
단위보안장비 | 개별 정보보호 솔루션 중심의 운영/관리 서비스 |
기술적 취약점 점검 | 컨설팅 서비스(취약점 분석, 모의해킹 서비스) |
보안로그 통합관리 | ESM(단위보안장비의 로그 통합 및 상관분석)을 통한 서비스 |
정보공유 및 공동대응 | ISAC(Information Sharing & Analysis Center) 운영 |
정보보호관리체계 | ISMS[x]/ISO27001[xi]/ISO20000[xii]/IT-Compliance, |
iii. 서비스 우수항목 및 고려사항
보안관제서비스는 정보기술 아웃소싱(IT Outsourcing) 특성도 포함하고 있다. 관제서비스는비용, 전문인력, 전문기술 등에서 직접수행 했을 때보다 우수한 항목을 갖고 있고 고객이 이서비스를 선택할 때 제공업체에 대한 상호신뢰성 문제와 정보보호라는 중요한 문제를 어느정도까지 의존할지에 대한 문제 그리고 정보보호장비 소유권을 누구에게 귀속시킬지, 또 아웃소싱을 진행하다가 중단했을 때 내부정보를 어떻게 이관 받고 파기해야 되는지 등에 대한여러 고려사항도 갖고 있다[13]. 아래 표.3은 이와 같은 사항을 정리한 것으로 보안관제서비스를 아웃소싱 하고자 할 때 반드시 점검해야 될 기초사항이다.
[표.3] 보안관제의 아웃소싱 점검 항목
우수 사항 | 고려 사항 |
§ 인력/설비 비용 절약 § 보안전문인력 § 보안전문기술 § 시설(보안관제센터) § 객관성 & 독립성 § 지속적인 보안인식 제고 § 법적 증거 제공 § 서비스 수행능력 § 서비스 보안과 기술 | § 상호신뢰 § 업체에 대한 의존성 § 보안장비의 소유권 § 공유 환경의 보안성 § 서비스 이행 능력 § 협력 실패의 위험성 § 감추어진 비용과 영향 § 법적 논쟁점 |
③ 보안관제서비스 구성요소
위와 같이 보안관제서비스가 갖고 있는 특징은 그 서비스를 구성하고 있는 요소들을 분석하면 보다 자세한 특징을 알 수가 있는데 관제서비스를 제공하기 위한 구성요소는 관제서비스의 물리적요소 중 일부인 관제도구(툴, 솔루션)과 이를 이용하여 만들어 내는 서비스의 내용과 품질에 따른절차(프로세스), 그리고 이 모든 것을 통제하는 규정(Compliance)/가이드라인(Guideline)이 있을것이다.
i 보안관제솔루션
- 정보보호 솔루션
일반적으로 정보보호에 필요한 솔루션들로 초기 보안관제서비스의 대상이었던 침입차단시스템(FW)과 침입탐지시스템(IDS)로부터 안티-바이러스(또는 Virus-Wall) 등을 운영/관리하면서 ESM을 통한 통합관리 형태로 발전하였다. 일반적인 침입에 대한 차단과탐지 및 웜/바이러스 전파 차단을 하는 기본적인 서비스를 제공하며 그에 대한 통계 및침해사고에 대한 분석/권고 보고서를 제공하기도 한다. 그리고 현재 침해사고의 중심에있는 웹사이트 침입에 대한 방어와 보안관리를 위해 웹 방화벽(Web FW)을 도입해 보안관제서비스 항목을 추가하기도 하였다.
- 보안관제 솔루션
단위 정보보호 솔루션의 통합관리를 위해 도입되었던 보안관리시스템(ESM)으로 대표되는 보안관제솔루션은 취약성정보와 결합된 정보를 제공하는 위협관리시스템(Threat Management System: TSM)과 고객의 정보자산정보까지 포함하여 종합적인 정보를 제공하는 위험관리시스템(Risk Management System: RMS) 등으로 확장되었다. 그리고ESM처럼 관제서비스 내용을 만드는 시스템이 아닌 보안관제서비스 품질 및 업무절차(work-flow)를 지원하기 위한 시스템으로 보안관제서비스 업체 내부적으로 개발, 사용되는 순수한 보안관제시스템이 있다. 보안관제 프로세스에 따라 구분되어 개발되는데對 고객용 시스템과 對 관제요원용 시스템으로 크게 구분할 수 있다.
 |  |
a. 對 고객용 관제서비스 시스템 | b. 對 관제요원용 관제프로세스 시스템 |
[그림.2] 보안관제 운영/관리 시스템
(넷시큐어테크놀러지㈜ 보안관제시스템 예시)
ii 보안관제프로세스
보안관제서비스를 고객에게 제공하기 위한 일련의 절차로서 MSS 사전작업, MSS 체계수립,보안운영/침해대응 항목으로 나뉜다. 사전작업 및 체계수립보다 보안운영/침해대응 프로세스가 일반적인 항목으로 이를 자세히 살펴본다.
- 보안운영 프로세스
MSS 사전작업과 체계수립을 통해 서비스를 제공한 고객에 대해 ‘환경분석’, 체계수립’, ‘관제운영’ 단계를 반복적으로 실시한다.
[표.4] 보안운영 프로세스 단계별 내용
단계 | 내용 |
환경분석 | l 위험/공격유형 별 이벤트 탐지 l 공격대상별 현황(도메인, 네트워크) l 침해사고발생 내역(웹서버, 일반) |
체계수립 | l 서비스망 월간보고 요청 l 침입유형(패턴)의 최적화 및 튜닝 l 블랙리스트 등록 및 경고메일 발송 l 유지보수 내역 |
관제서비스 (관제운영) 적용 | l 공격유형별 탐지 및 조치 l 취약점분석 및 모의해킹 |
- 침해대응 프로세스
침해사고 발생시 관제요원은 침해사고의 심각성 정도를 파악하여 사전에 정의된 침해사고 대응 프로세스(그림.4)를 진행하고 사고의 심각성 정도에 따라 차별화된 보고 및 상세화된 대응체계에 따라 관제요원, 긴급대응팀(CERT[xiii]), 협력사와 협력을 통해 사고의 피해를 최소화하는 절차이다.
[그림.3] 침해대응 프로세스(예시)
현재 이러한 프로세스는 앞서 언급한 보안관제 운영/관리 시스템에 담겨 보안관제서비스를받고 있는 고객과 이를 제공하는 관제요원/CERT/영업사원 등이 사용하고 있다.
iii 보안관제관련 규정
현재 보안관제서비스에 직접적으로 관련된 법률은 없으나 정보보호서비스를 제공하고 있는전문업체로서 갖추어야 할 관련된 규정이 있다. 이 규정들을 준수함으로써 더욱 신뢰성이 있는 서비스를 제공할 수 있는 기반을 갖추었다고 할 수 있다.
- 정보보호관리체계(Information Security Management System: ISMS)[16]
정보통신망 이용촉진 및 정보보호 등에 관한 법률 47조, 동 법률 시행령 23조의 2, 동 법률시행규칙 제6조 등에 의거 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와과정을 체계적으로 수립, 문서화하고 지속적으로 관리, 운영하는 체계를 말하는 것으로보안관제서비스를 제공하는 기업에 적합한 정보보호 정책 및 조직수립, 위험관리, 대책구현, 사후관리 등을 유기적으로 통합된 체계를 구성하고 운영함을 인증 받는 것이다.
- ISO27001: 정보보안관리를 위한 프레임워크[17]
정보보호관리체계의 국제표준으로 국내표준인 ISMS와 내용적으로 동일하며 단지 분류방법과 통제방법이 다를 뿐이다.
따라서 위 두 항목 모두 현재 필수적 사항이 아닐지라도 보안관제서비스 제공업체들은서비스 신뢰성 기반을 확보하기 위해 국내외 인증을 획득하고 유지하고 있다.
댓글 없음:
댓글 쓰기