연쇄 해킹사고 발생으로 보안관제 영역이 화두로 떠오르고 있지만 정보 시스템적 접근이 이뤄지지 않아 한계가 있다는 주장이 제기됐다. 보안관제가 보안솔루션 이벤트를 기반으로 이뤄지다보니 실질적인 내부보안 위협 대응은 미흡하다는 것이다.
보안관제 서비스를 받고 있는 공공기관 및 기업 IT담당자들은 보안관제가 네트워크 단에서 발생하는 보안 이벤트를 주로 수집해 이뤄지다보니 내부 발생 보안 사고에는 한계가 있다고 생각한다. 그렇기 때문에 정보 시스템적으로 접근하는 관제 서비스가 이뤄져야 된다는 입장이다.
■보안업계 “인정은 하지만...”
보안관제 서비스 업체들도 이러한 고객사의 불만을 어느 정도 수긍하는 분위기다. 최근 내부보안이 강조되면서 현재 미흡하다고 지적되고 있는 부분들을 보완해 나가는 단계다. 그러나 보안관제 고객사들에게 갖춰진 인프라 자체가 미흡한 부분도 지적한다.
보안업계에 따르면, 정보 시스템적인 관제를 위해서는 내부자 정보 유출 부분의 로그 분석이 필요한 실정이다. 실질적인 조사를 하기 위해서는 각 엔드포인트 단 로그까지 살펴봐야 한다는 것이다. 볼 수 있다하더라도 많은 데이터들을 처리할 수 있는 시스템적 환경이 마련돼 있지 않은 것도 현실이다.
최근 모든 데이터를 받아낼 수 있는 용량을 가진 장비들도 속속 출시하고 있다. 관제 단에서 부족했던 영역을 보완해 나가기 시작했다는 것이다. 그러나 보안업계에는 여전히 숙제가 남아있다. 수많은 데이터(핵심 보안 이벤트) 가운데 위협요소를 어떻게 걸러내느냐하는 것이 문제다.
보안관제 업체들은 최근 기계 데이터를 처리하는 실시간 운영 소프트웨어인 스플렁크를 기반으로, 여기에 로그를 넣어 보안 이벤트를 체크하거나 통합 로그솔루션을 통해 내부에서 발생할 수 있는 문제들에 대해 대응해 나가고 있다.
조래현 인포섹 관제사업본부 상무는 “지금까지는 실제 장비의 한계가 있었던 부분도 있었지만 고객사와 보안업체 간의 신뢰성을 강화하는 것도 중요하다고 생각한다”면서 “여전히 보안 강화를 위해서지만 내부정보 자체를 남이 보는 것을 꺼려하는 것이 사실이기 때문에 일부는 암호화를 통해 제공하거나 보안업체가 고객사에게 믿음을 주는 것도 필요한 것 같다”고 말했다.
■보안관제 한계 극복? 인프라 업그레이드도 필요
보안관제 시스템의 한계를 극복하기 위해서는 보안업계의 기술력만 향상된다고 될 일은 아니다. 내부 보안 이벤트 관제를 위해 분석이 필요한 많은 로그 데이터를 받기 위해서는 시스템과 장비들의 업그레이드도 이뤄져야 한다는 것이 해당 업계의 설명이다.
그러나 공공기관과 일부 대기업을 제외하고는 이러한 시스템 기반이 충분히 마련돼 있지 않은 것이 현실이다. 보안관제업체 한 관계자는 “국내서 보안관제 서비스를 받고 있는 고객 가운데 약 60%정도는 방화벽만 운영하고 있는 곳이 대다수”라면서 “방화벽은 관문에 불과해 문만 막아서는 방어를 할 수 없는데도 아직도 적은 투자를 하면서 사고가 발생하면 업체탓으로 돌리는 보안인식이 부족한 기업들도 많다”고 지적했다.
관련기사
- SK 보안관제센터 'u-Cert'에 가다2012.05.03
- 2012년, 보안관제 패러다임이 변화한다2012.05.03
- 보안관제, 전문 보안업체 역할론 대두2012.05.03
- 공공 빼앗긴 대형 SI, '보안관제' 제한 받나2012.05.03
이용균 이글루시큐리티 R&D부문장(전무)은 “보안관제는 사람이 운영하는 프로세스는 물론이고 인프라 조성도 필수”라면서 “이제는 각 계층별로 발생하는 보안 이슈들을 어떻게 제대로 통합해 관리하느냐 하는 것도 보안관제 영역에서는 중요하다”고 말했다.
또 조래현 상무는 “제대로 보안관제를 하기 위해서는 내부자 정보 유출이든 공격자 외부 공격이든 엔드포인트 단까지 모든 로그 데이터를 처리할 수 있는 체계가 필요하다”면서 “이를 위해서는 국가의 적극적인 투자가 이뤄져 반영되어야 할 것이며 보안 장비만 도입된다고 해서는 새로운 이슈 차단도 어렵기 때문에 이를 제대로 운영할 수 있는 전문가가 반드시 필요하다”고 강조했다.
