네트워크 가시성과 변화하는 위협 및 리스트에 대응하는 상호연동 시스템 구축 오늘날의 보안 솔루션은 네트워크 인프라스트럭처 내 깊은 곳에 위치한 여러 장치 전반에서 보안 위협에 맞게 정책을 조정함으로써 탐지, 격리, 보고 기능을 한 차원 높은 곳으로 끌어 올리고 있다. 이와 같은 새로운 능동적 솔루션은 비용과 시간을 절약하는 것은 물론, 의료, 증권, 뱅킹, 개인정보보호 등을 비롯한 여타 규제를 준수할 수 있도록 지원하며 문서 및 보고서 작성 업무의 부담을 줄여 준다. 특히 능동적 위협 관리 솔루션은 네트워크 가시성과 변화하는 위협 및 리스트에 대한 대응력을 제공하는 다이내믹한 상호 연동시스템을 구축한다.

엔터프라이즈 네트워크상의 웜 또는 바이러스는 IT 운영자들이 방화벽이나 침입탐지 로그를 뒤져야 하고 문제를 해결하기 위해 야근까지 하게 만드는 가장 번거로운 대상이었다. 또한 그 대처방식도 전날 발생한 비교적 단순한 위협에 제한적으로 접근하는 방식이 대부분이었다. 불행히도 오늘날의 가장 위험한 위협 중 상당 수는 개별 보안 솔루션으로는 탐지되지 않을 뿐만 아니라 운영자가 부지런히 감독하더라도 이를 탐지하는 데 실패하고 있다. 그 이유는 다음과 같다.

복합적으로 발생하는 다차원 공격은 모든 단일 보안 솔루션에서 임계치 이하의 이벤트로 처리될 수 있으므로 방어가 힘들다. 공격 속도와 범위가 보유 인력으로 처리할 수 없을 만큼 급속하게 증가할 수 있으며 운영자가 조사할 수 있는 것보다 빠르게 신종 공격이 등장하고 있다. 운영자가 대처할 수 없는 위치 및 시점, 즉 리모트 오피스 또는 지역적인 재난 발생시에 공격이 등장하고 있다. 불만을 가진 또는 재정적인 동기를 가진 운영자 스스로가 가장 위험하고 막대한 손실을 야기하는 공격 중 일부의 배후가 될 수 있다. 여러 보안 솔루션을 자동으로 연계하는 상호 연동형 접근 방식은 이와 같은 엔터프라이즈 위협에 대처하는 데 있어 핵심 관건이라고 할 수 있다. 대부분의 엔터프라이즈 네트워크는 수년 간의 투자를 통해 강력한 개별 보안 기술을 갖추고 있다. 문제는 이들이 그 속성상 대개 포인트 제품이며 보안 위협에 대해 능동적으로 대처하기에 어려움이 있다는 점이다.
오늘날의 솔루션은 네트워크 인프라스트럭처 내 깊은 곳에 위치한 여러 장치 전반에서 보안 위협에 맞게 정책을 조정함으로써 탐지, 격리, 보고 기능을 한 차원 높은 곳으로 끌어 올리고 있다. 이와 같은 새로운 능동적 솔루션은 비용과 시간을 절약하는 것은 물론, 의료, 증권, 뱅킹, 개인정보보호 등을 비롯한 여타 규제를 준수할 수 있도록 지원하며 문서 및 보고서 작성 업무의 부담을 줄여 준다.

능동적 위협 관리
능동적 위협 관리(AdTM : Adaptive threat management) 솔루션은 네트워크 가시성과 변화하는 위협 및 리스트에 대한 대응력을 제공하는 다이내믹한 상호 연동 시스템을 구축한다. 이 솔루션은 위협 조건에 따라 네트워크 보안 정책을 변경한다는 점에서 ‘능동적’이라고 불린다.
예를 들어 의심스러운 컴퓨터, 사용자 또는 네트워크 레그(network leg)를 격리 또는 분리하고 침입 시도가 이루어지거나 네트워크 공격이 진행되는 동안 추가 정보를 수집하거나 명확하게 식별된 애플리케이션에 대해 할당된 대역폭의 제공을 억제할 수 있다.
능동적 위협 관리 솔루션은 주요 네트워크 게이트웨이의 방화벽/VPN 방어, 네트워크 및 애플리케이션 공격을 막는 IDP(Intrusion Detection and Prevention), 그리고 ID에 기초해 보안 정책을 적용하는 접근 제어 솔루션 등을 포함하고 있다.
통합 네트워크 보안 솔루션은 잠재된 보안 위협을 막고 로그, 정보 플로우, 보고서 및 프로세스 규제 준수를 관리하며 다양한 네트워크 및 보안 장치 전반의 감사 업무를 처리한다.
긴밀한 상호 연동을 통해 이들 개방형 플랫폼 솔루션은 다음을 수행할 수 있다.

솔루션 전반의 정보에 대한 상호 연관 분석을 통해 개별 장치 탐지 및 보고 기준을 벗어나는 위협까지도 탐지 전통적인 포인트 보안 솔루션을 빠져나가는 교묘하고 파악하기 어려운 위협 탐지 보안 정책에 의해 지정된 대로 공격을 효과적으로 차단하는 대응책을 구사하는 동시에 운영자에게 경고를 보내고 공격과 관련한 정보를 상세하게 수집 보안 클라이언트 소프트웨어, 시그니처, 정책, 신규 또는 복귀한 네트워크 멤버를 위한 사용자 커뮤니티의 구축 및 업데이트를 포함한 보안 정책 관리 및 적용 전사적인 구축 전반의 정책에서 인시던트 보고서 이르는 포렌식 및 규제 준수에 필요한 정보 문서화 및 보고서 작성 대안 솔루션에 대한 고찰
오늘날 대부분 기업들은 소프트웨어 및 하드웨어 모두로 구성된 다수의 보안 제품을 구축한 상태이다.

● 포인트 제품
포인트 제품의 강점은 특정한 문제를 해결할 수 있는 기능을 가지고 있다는 것이다. 하지만 이러한 강점 자체가 포인트 제품의 아킬레스건이 되고 있다.
이들 제품은 근시안적인 접근 방법을 통해 문제를 해결하려고 하기 때문에 전반적인 흐름을 파악하지 못한다. 이들 포인트 제품 유형은 많은 경우 신생 업체들에 의해 공급되기 때문에 확장성, 안정성 그리고 조직 자체의 장기적인 생존 능력 등에 의문이 제기될 수밖에 없다.
● 전용 솔루션
전용 아키텍처를 토대로 개발된 하드웨어 솔루션은 단일 제조업체의 구성 요소들이 원활하게 상호 연동되고 커버리지 갭을 없앨 수 있을 것이라는 기대를 가지고 도입하게 된다. 하지만 단일 공급업체가 제공하는 제품이라도 통합은 매우 미미한 수준에 지나지 않으며 일부의 경우 전혀 통합되지 않은 경우도 있다.
많은 제품군들은 기업 인수를 통해 확보한 레거시 기술을 가진 컴포넌트를 포함하고 있기 때문에 실제 그 브랜드만 통합된 데 불과하다. 비효율적인 통합 또는 다수의 OS로 인한 성능이 상당한 수준으로 저하될 수 있으며 심지어 보안 취약점을 발생시킬 수도 있다.

기업 측면에서도 단일 벤더에 종속되는데 따른 비용과 위험은 익히 알려져 있기 때문에 제조 업체들은 엔터프라이즈들이 전용 보안 아키텍처에 종속되기 전에 자사 솔루션의 상호 운영성과 커버리지를 검토할 필요가 있다고 주장하고 있다. 진정한 의미의 솔루션 기반 접근 방법은 엔터프라이즈들이 종속되지 않고 솔루션을 구축하는 동시에 단일 OS를 실행할 수 있는 유연성을 보장 받을 수 있도록 해야 한다. 이를 통해 구입비용과 지속적인 운영비용을 최소 수준으로 낮추고 그 투자를 최대한 효과적으로 이용할 수 있다.

첨단 보안을 통한 유연성과 선택의 자유 보장
개방형 플랫폼 능동적 위협관리 솔루션은 보안 구축과 관련하여 매우 광범위한 유연성과 선택의 자유를 엔터프라이즈에게 부여하는 동시에 보안 애플리케이션 및 서비스 제공을 위한 총 비용을 절감할 수 있도록 한다. 이와 같은 개방형 플랫폼 솔루션은 보안 및 네트워크 인프라스트럭처 컴포넌트를 통합 및 상호 연동하여 독립적으로 실행되는 개별 제품으로는 해결할 수 없는 위협에 대응한다.

신종 위협 : 정의 및 시그니처가 게시되기 전이라도 공격 패턴 탐지 가능 복합적인 다중 경로 공격 : 모든 개별 장치의 경고 임계치 이하인 경우에도 여러 보안 장치의 상호 연관 분석 수행 권한을 가진 내부자에 의한 공격 : 훼손된 네트워크 방어 체계에 대한 접근 제어 기능 통합 능동적 위협관리 솔루션은 일련의 실시간 대응 옵션을 제공하며 여기에는 위협의 즉각적인 격리, 보안/네트워크 담당자에게 경고 발송, 공격 받은 단말 장치 격리 또는 네트워크 세그먼트에 대한 대역폭 제한 적용 등이 포함될 수 있다.
자동, 반자동 또는 수동 등 그 어떤 방식으로 조치를 취하도록 구성되었는지에 관계없이 AdTM 솔루션은 전체 네트워크의 보안 태세와 지속적으로 변화하는 위협 환경에 실시간으로 능동적으로 대응할 수 있다. 이와 같은 지능적인 상호 연동 방식은 보안 운영의 범위, 규모 및 효과를 향상시키고 숙련된 인력들을 전문성을 필요로 하는 보안 관련 작업에 집중 투입할 수 있도록 한다. 엔터프라이즈 보안 전문가들은 자체 네트워크 보안 아키텍처를 위해 능동적 위협관리 솔루션을 평가할 때 다음과 같은 기준을 포함시켜야 한다.

여러 보안 제품 전반의 완벽한 통합 : 커버리지에는 방화벽/VPN, IDP(Intrusion Detection/Prevention), NAC(Network Access Control) 및 코어 라우팅 인프라스트럭처 등이 포함되어 있다. 솔루션은 바이러스 및 스팸 차단 소프트웨어, 보안 어플라이언스 하드웨어 및 기존 인프라스트럭처와 완벽하게 상호 연동해야 한다. 세분화된 정책 기반 제어 : 네트워크 및 보안 관리 솔루션은 그룹 및 사용자 레벨까지 세분화된 접근 및 제어 정책을 적용해야 한다. 다양한 장비 유형 전반에서 정책을 복사 및 수용할 수 있는 기능을 이용한 자동 구축을 통해 특히 대규모 분산 조직에서 보안과 규제 준수를 강화할 수 있다. 대응 관리 : 능동적 위협관리에서는 솔루션이 위협 환경이 변화하면 네트워크 보안 정책을 능동적으로 변경해 접근 제한 강화, 네트워크 레그 격리, 권한 변경, 정의 및 시그니처 업데이트 등 정책에서 요구하는 기타 조치를 취해야 한다. 운영을 단순화하는 툴과 기본 설정은 조기에 성공을 거두는 데 있어 매우 중요하다. 모니터링, 리포팅 및 감사 : 장기적인 네트워크 보안을 위해서는 숙련된 전문가가 여러 소스의 데이터에 액세스하여 보안과 성능을 최고 수준으로 끌어 올릴 수 있도록 정책을 관리해야 한다. 상세 보고서 및 감사 툴은 네트워크를 안전하게 유지하고, 정책을 준수하며 장기적으로 능률적으로 운영될 수 있도록 하는 노력을 지원한다. 성능과 보안 간 상충 문제 : 보안을 위해 성능을 희생시킬 수는 없다. 여러 보안 요소가 실행되면 성능에 영향을 미칠 가능성이 높아지는 방화벽의 상태 감시 솔루션과 같은 상충 관계에 유의해야 한다. 향후 비즈니스 요구 사항에 대한 신중한 예측과 보안, 성능 상충 문제에 대한 제조업체의 철저한 조사를 통해 보안 운영자들이 막다른 골목에 봉착하는 상황을 미연에 방지하고 성능에 문제가 있는 솔루션을 피할 수 있다. 확장성 : 보안 설계는 미래의 성장과 변화를 수용할 수 있도록 확장되어야 한다. 확장성은 부분적으로는 신중한 네트워크 설계를 통해, 그리고 OS 인스턴스, 네트워크 계층 또는 최적화되지 않는 패킷 플로우 없이 용량을 추가하는 인프라스트럭처 컴포넌트를 통해 확보될 수 있다. 능동적 위협 관리로 비용 효과적 보안 
솔루션 기반 접근 방식은 조직을 안전하게 보호하고 선택의 자유를 보장받기 위한 노력에 획기적인 발전을 가져왔다. 능동적 위협관리는 IT 보안의 단편적인 구현의 종말을 알리고 있다. 능동적 위협관리는 여러 보안 제품의 정보를 상호 연관 분석하고 공격에 대한 대응을 조율하며 위협 환경의 변화에 신속하고 장기적인 대처를 위해 보안정보를 통합함으로써 비용 효과적인 방식으로 보안을 획기적으로 업그레이드한다.
대체 기술을 신중하게 평가하고 보안과 성능간의 균형에 대해 긴밀히 검토함으로써 엔터프라이즈는 자체 네트워크, 예산 그리고 인력 시간 및 역량을 최대한 활용할 수 있을 것이다.
<글 : 김성로 주니퍼네트웍스 엔터프라이즈 사업부 기술팀장·이사(skim@juniper.net)>

[월간 정보보호21c 통권 제108호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>