방화벽, 침입 탐지 시스템, 가상 사설망 등의 보안 솔루션을 하나로 모은 통합 보안 관리 시스템. 최근 기업 보안 관리(ESM)는 통합 관리 수준에서 벗어나 시스템 자원 관리(SMS), 망 관리 시스템(NMS) 등 기업 자원 관리 시스템까지 확대, 개발되고 있다. ESM은 기업들이 서로 다른 기종의 보안 솔루션 설치에 따른 중복 투자, 자원 낭비를 줄일 수 있으며, 솔루션 간 상호 연동을 통해 전체 정보 통신 시스템에 대한 보안 정책을 수립할 수 있다는 장점이 있다.
ESM의 등장배경
보안의 개념은 처음에는 침입차단시스템(Firewall) 수준을 넘지 못했지만 최근의 보안은 침입차단 (방화벽), 가상사설망 (VPN), 침입탐지(IDS), 시스템 보안, 인증, 안티 바이러스, 데이터 백업에 이르기까지 전문화하는 양상을 보이고 있다. 보안의 핵심이 보안 제품 적용 후 적절한 보안정책에 따른 유지 관리라는 것은 주지의 사실임을 감안할 때 이 같은 전문적이고 세분화된 제품의 통합 보안관리에 대한 요구.
ESM의 정의
l 기업과 기관의 보안정책을 반영, 다양한 보안시스템을 관제ㆍ운영ㆍ관리함으로써 조직의 보안목적을 효율적으로 실현시키는 시스템
l 통합보안관리 솔루션으로 보안 시스템 등의 개별적인 보안 장비들의 모니터링과 다양한 종류의 보안 솔루션을 하나로 통합 관리하며, 이에 소요되는 자원 및 인력의 손실을 방지하기 위해, 중앙에서 통합하여 보안 현황을 모니터링 함으로써, 집중화된 보안 관리가 가능.
l 방화벽, 침입 탐지 시스템, 가상 사설망 등의 여러 보안 시스템으로부터 발생한 각종 이벤트를 관리, 분석, 통보 대응 및 보안 정책을 관리하는 시스템
l 기업이 보유한 IT 보안 인프라에 대해 가용성, 무결성, 보안성을 보장하기 위한 전사적인 보안관리 시스템
ESM의 필요성
l 인터넷 사용의 급격한 증가로 인한 보안관리 필요성 증가
l 해킹, 웜, 바이러스, 정보전 등 정보화 추진에 대한 역기능 대두
l 다양한 보안시스템 도입에 따른 전체 보안관리 및 정책관리의 어려움 증가
l 다수의 보안시스템 관리에 대한 관리비용의 지속적 증가
ESM의 구조
l 1 계층 : Agent
- 보안장비, 시스템장비, 네트워크 장비 등에 탑재되어 사용
- 사전에 정의된 규칙에 의한 이벤트 수집 및 보안정책 반영
- 수집된 이벤트 데이터를 Manager로 전달 및 통제 받음
l 2 계층 : Manager
- 사전에 정의된 규칙에 의한 이벤트 데이터 분석 및 저장
- 다양한 정책에 대한 분석, 저장 및 관리자 Console로 리포팅 기능
l 3 계층 : Console
- Manager에 의해 전달된 자료의 시각적 정보 전달 및 판단
- Manager에 대해 규칙을 설정하도록 통제
ESM의 기반기술
l 위험등급 구분 방법론 : Risk Classification Methodology
- 각 보안 제품별 보안 패턴에 대한 분석을 통한 위험 분류 방법론
- 관리 시스템의 위험도에 따른 대응기준을 수립한 Rule
l 정규화/규칙 기반 이벤트 수집 : Normalization/Rule base Event Collection
- 관리 대상 시스템 평가기준의 표준화 및 규칙 기반 이벤트 수집 기술
l 비정상 감지 및 대응 : Abnormal Detection/Reaction
- 비 정상적인 시스템 사용의 탐지 및 이에 대한 실시간 대응 기술
- 탐지 방법 : 통계적 방법, 규칙기반, 패턴 분석 등
l 통합정책 관리 : Integrated Policy Management
- 이벤트 데이터의 수집/분석에 의한 보안 취약점 및 그에 대한 대응조치를 통합관리
- ESM 시스템이 단위 보안 시스템에 대한 보안정책 반영
ESM 도입효과
l 각종 보안 솔루션의 알람 및 로그 정보를 중앙 집중화된 시스템에서 통합관제 및 관리하여, 보안 시스템 관리의 효율성 증대
l 소수의 특정 관리 인원을 할당하여 관리를 담당하게 할 수 있어 비용 효율적인 보안 관리 가능
l 보안 관리자의 교육 시간과 숙달 시간을 최소화
l 각종 로그 정보에 대한 통합 관리를 통해 사전 예방책 마련 가능
l 통계 처리 기능을 이용하여 주기적인 시스템 상태 분석 가능
l 표준화된 보안관리 정책/절차의 수립
l 문제 발생 후 사후조치에서 예방적인 보안관리 체계로의 수립
ESM의 발전방향
l ESM은 진정한 의미의 통합보안관리를 수행하기 위해 더 넓은 영역으로 확장
l 기존에 보안시스템에 국한되었던 관제대상을 일반 서버에까지 확장하여 보안관리에 의한 보안 사각지대의 최소화
l ESM은 실제적인 `위협` 수준이 아니라 잠재적인 `위험` 수준에서 관리가 이루어지는 위험관리시스템(RMS; Risk Management System) 수준으로 개발
l 모든 보안 프로세스를 단일한 시스템에 포함시켜 수집-모니터링-분석-경보-대응-처리-보고-정책 피드백 등 일련의 프로세스를 지원
ESM의 전망
l 국제적으로 OPSEC(Open Platform for Security)을 통한 인터페이스 표준화 진행
l 국내에서 인터넷 보안기술 포럼에 의해 ESM API 표준화 진행
l 보안에 대한 요구사항 및 시스템 도입이 증가함에 따라 이들의 효율적인 운영관리 및 보안정책의 관리 필요성 인지로 ESM 도입 증가 예상
통합된 보안 관리 솔루션으로 등장해 각광을 받은 ESM은 TMS, SIEM, RMS 등으로 진화해 나가고 있다. 특히 차세대 ESM 솔루션은 NAC이나 네트워크 관리 등과의 통합에 힘입어 이제는 기존의 사후 대책 마련 수준에 머무르던 ESM을 넘어 능동적인 문제 해결 방법을 제시하고 있다. 네트워크 관리자에게 보안은 더 이상 생소한 영역이 아니며, 더 나아가서 이제는 보안 담당자만의 영역이던 보안 관리까지 관심을 가져야만 하는 상황이 되고 있다. 통합은 범위를 확장해 가면서 IT 업계의 핵심 키워드로 주목받고 있으며, 네트워크와 보안 분야에서도 오래 전부터 통합이 진행되고 있다. 그러나 초기 ESM이 수동적으로 사후 관리에 치중한 솔루션이기 때문에 네트워크 보안 환경에 능동적으로 대처하기에는 부족했다. 진화의 한 방향은 ESM을 기반으로 TMS(Treat Management System) 기능을 통합하는 것이다. ESM이 네트워크 장비들로부터 수집한 이벤트나 플로우 데이터를 데이터베이스에 저장하려면 일정한 규격으로 다듬는 규격화(Normalization) 과정이 필요하다. 네트워크 관리자가 바라는 것은 빠르게 네트워크의 문제점을 해결하는 것이다. (그림 4)는 위치 기반 데이터를 처리하는 차세대 ESM이 공격자를 색출해 네트워크에 접속한 공격자를 조치하는 최종 과정까지 모두 자동화하는 순서다. (화면 1)은 홀트-윈터스 알고리즘을 실제로 응용한 장비에서 기능을 정의할 수 있도록 구현한 예를 보여준다. 학습범위뿐만 아니라 분석 트래픽의 특성까지 수준을 정할 수 있도록 하는 기능이 보인다. SIM을 진화 모델로 하는 ESM은 취약성 분석 도구와 미래의 위험을 능동적으로 관리하고, TMS는 정책이나 추세의 수학적 분석을 통해 장래의 위협에 대응한다. ESM과 TMS를 통합한 기반의 관리 도구는 두 가지 기반에서 주는 장점들을 사용해 위험에 대한 좀 더 높은 수준의 정보를 제공한다. 특히 최근에는 ESM과 TMS의 통합을 통해 제공하는 위험정보의 수준이 높아지고, 오탐 등의 오류 감소뿐 아니라 조치에 필요한 정보를 NMS와 연동해 위치정보를 제공하고 있다. 그리고 이들을 NMS와 연동시키는 네트워크 관리의 일상적인 업무 프로세스도 보안관리 프로세스 자동화처럼 컴플라이언스 등의 이슈를 해결하기 위한 통합 솔루션으로 거듭나고 있다.
안종석 | 엔터라시스네트웍스코리아 컨설팅지원팀&서비스팀 이사
<출처- 온더넷>
보안 관리에 네트워크 관리가 통합되는 경향이 네트워크의 안정화에 크게 기여하기 시작했기 때문이다.
보안 관리를 위해 초기에는 파이어월이나 IDS/IPS 등의 보안 장비가 생성하는 이벤트를 통합 수집해 모니터링하는 ESM(Enterprise Security Manager) 또는 전사적 보안관리 솔루션이 있었다(이는 해외 시장의 로그 관리 솔루션 시장과 비교될 수 있다).
시장에서는 초기 ESM에서 부족한 것을 보충할 수 있는 요구를 수용해 기능 추가에 주력해 왔으며, 이제 차세대 ESM이라 불러도 될 만한 수준의 솔루션들이 선보이기 시작했다.
이같은 차세대 ESM은 데이터 수집 대상 장비의 종류를 확장했고, 분석 수준도 높아지면서 해외 시장의 SIEM(Security Information and Event Management)과 비교될만한 수준으로 진화하고 있는 중이다.
그리고 최근에는 ESM와 TSM를 본격적으로 통합해 RMS(Risk Management System)라는 종합위험관리 기능을 제공하기도 한다(TMS는 해외 시장의 NBAD(Network Behavioral Anomaly Detection)와 비교할 수 있다).
네트워크와 보안 관리의 통합으로 기능 확장
보안 전문 담당자는 ESM의 발전 추세를 보안 처리의 프로세스 관점으로 이해함에 따라, 프로세스를 위한 포렌직과 프로세스의 자동화를 개선하는 관점으로 보고 있다.
그러나 차세대 ESM에는 네트워크 관련 장비에서 수집한 데이터를 기반으로 정보가 생성돼, 이를 이용하면 네트워크 담당자가 능동적으로 빠르게 문제점을 해결할 수 있다.
또한 최근 화두가 되고 있는 NAC(Network Access Control)는 기술 자체가 네트워크와 보안을 통합한 기술이기 때문에 ESM에 NAC의 관리 기능을 추가해 사용자 인증을 강화하면 네트워크 관리자에게 유용한 고급 정보를 생성할 수 있다.
초기의 ESM은 이벤트 모니터 결과를 정리하는 수준이었기 때문에 문제 해결을 위해서는 네트워크 관리자가 직접 작업을 수행해야 했다.
이것만 보자면 ESM 도입 전과 별로 달라진 것이 없으며, 단지 보안 측면에서 로그 관리가 통합된 포렌직 측면의 개선이 있었을 뿐이다.
이 때문에 초기의 ESM 사용자는 무엇인가 대단한 일을 할 수 있을 것 같았던 환상으로부터 일찍 깨어나야 했고, 기대했던 기능을 업체에 요구하기 시작했다.
이에 따라 ESM에 능동적으로 문제를 해결하기 위한 기능이 추가되면서 ESM의 진화가 시작됐다.
ESM은 이제 애플리케이션 계층까지 영역을 확대하면서 더 많은 종류의 이벤트와 데이터를 수집하고 더 높은 지능을 사용해 제로데이 공격 차단은 물론 스파이웨어 차단과 온라인 도용방지 그리고 사기성 사이트에 대한 검색 차단 등의 기능까지도 연동해 관리해 나가고 있다.
(그림 1)에서는 공격자의 트래픽이 지나는 경로의 장비에서 발생하는 이벤트를 관리 시스템에서 수집해 처리하는 과정을 보여준다.
파이어월에서 수집하는 차단/허용 이벤트 데이터에는 OSI 3/4계층 정보를 포함하고 있으며, IDS나 IPS에서 수집하는 이벤트는 카테고리별 분류와 함께 3~7계층 정보를 포함한다.
NAC(Network Access Control) 솔루션으로부터는 2/3계층은 물론 사용자 ID나 PC 이름 등의 신원 데이터를 수집한다.
또한 네트워크 장비로부터 플로우 데이터를 수집할 수 있어, 플로우 발생의 물리적인 위치를 포함하는 1~4계층 데이터를 얻을 수 있다.
이렇게 수집한 데이터는 관리 시스템의 분석에 의해 위협 또는 위반이라고 판단될 경우 사용자 인증을 포함하는 공격자 위치 기반의 정보를 경보와 함께 알리고, 이때 공격자의 사용자 인증을 포함한 자세한 정보는 네트워크 관리자가 문제 해결에 소요하는 시간을 대폭 경감할 수 있도록 도움을 준다.
업체에 따라 자동으로 장비를 인식하고 규격화하거나 수동으로 규격화하는 방법을 사용한다.
규격화하는 과정에서 자연스럽게 처리에 불필요한 데이터를 필터링하기도 한다.
규격화와 필터링 후에는 생성한 데이터베이스를 기반으로 상호연관 관계(Correlation)를 분석한다.
이때 상호연관 관계 분석의 지능 정도에 따라서 큰 차이의 결과를 보여줄 수 있다.
또한 결과를 실시간으로 분석하는 것과 아닌 것은 효과 측면에서 큰 차이를 보인다.
데이터베이스를 구축한 다음 분석을 시작하는 시스템은 실제로 사건이 발생하고 시간이 경과한 후에 경보하므로 경보의 효과가 대폭 감소한다.
4계층 기반으로 분석하는 지능을 가진 시스템보다는 7계층 기반으로 분석하는 시스템에서 제공하는 정보가 더 우수하다.
한편으로는 NAC 정보를 같이 처리하는 시스템은 그렇지 못한 시스템보다 사용자 인증 정보 제공 능력이 더욱 우수할 수 있다.
이벤트 수집과 동시에 플로우 데이터를 수집하는 관리 시스템은 TMS 기능까지 제공하는 경우가 증가하고 있다.
최근에는 ESM과 TMS의 통합을 기반으로 고도의 분석 기능을 추가해 RMS 기능까지 제공하는 솔루션이 출현하고 있다.
협의의 ESM은 초기의 EMS 시스템에 초점을 두고 있지만, 광의의 ESM은 ESM을 기반으로 시장에서 요구하는 다양한 기능을 추가하고 있다.
차세대 ESM이란 광의의 ESM이라는 이름 속에 포함한다.
그러나 이같은 차세대 ESM은 기능이 너무 광범위해 TMS이나 RMS라는 용어로 기능이나 제품을 세분화해 표현할 수도 있다.
차세대 ESM의 처리 과정
SEIM으로 진화하고 있는 ESM은 상호 연관 관계 분석 후에 최종적으로 처리의 우선순위를 정하기 위해, 등급(Magnitude)을 정하는 과정이 필요하다.
등급을 정하는 과정은 크게 관련성(Relevance), 신빙성(Credibility) 그리고 가혹성(Secerity)등 3가지 요소가 있으며, 정도에 따라 처리의 우선순위를 정한다.
(그림 2)는 처리 등급을 정하는 과정을 보여주고 있다.
관련성은 위반 시 우선순위를 정하는 가중치이며, 예를 들어서 서버나 중요한 단말기는 우선순위를 높여서 처리한다.
신빙성은 같은 사건이라도 더 많은 장비에서 이벤트 데이터가 수집됐을 경우가 우선순위가 높으며, 오탐이 아닌 확실한 사건으로서 관리자에게 경보할 수 있도록 한다.
가혹성은 공격자의 위협 정도이며, 공격 대상의 중요도나 목표 대상의 보호 장치 등에 따라서 처리의 우선순위를 정한다.
가혹성의 예를 들면 동일하게 윈도우 XP를 사용하는 두 명의 사용자가 각각 SP1과 SP2를 사용할 경우 취약한 SP1 사용자에 대한 위험 순위를 높여서 처리한다.
그리고 이를 위해 보안 관리 시스템이 도움이 될 수 있기를 바라는 것이다.
진화하고 있는 ESM은 네트워크 관리자가 필요로하는 정보를 점점 더 유효하게 제공하고 있다.
발생하고 있는 수많은 이벤트를 분류해 압축하고, 위협 정도에 따라서 우선순위를 부여해 관리자에게 경보한다.
이 정도만으로도 관리자의 작업량을 대폭 줄일 수 있다.
그리고 좀더 진화한 ESM에서는 공격자의 위치 정보나 공격자에 대해 발생한 모든 이벤트를 분류하고 분석해 관리자에게 알려준다.
(그림 3)에서는 ESM이 진화해 가는 방향인 SEIM(Security Information and Event Management)의 처리 순서를 보여주고 있다.
네트워크 환경의 모든 장비에서 발생하는 이벤트와 정보를 수집해 가공하고 분석해 관리자에게는 꼭 필요한 것부터 차례대로 보여 주는 것이다.
이를 통해 관리자는 빠르게 네트워크 보안 문제를 처리할 수 있기를 기대하고 있으며, 더 나아가 하루에 수백만 개의 이벤트가 발생하더라도 몇 개의 사건이나 공격으로 정리하고 처리 방법을 제시하기를 바라고 있다.
실시간 상호 연관 분석 정보와 응답
진화한 ESM일수록 실시간으로 보여주는 정보의 품질이 우수하다.
실시간으로 유해성 정도에 따른 공격자의 우선순위나 심각성에 따른 공격의 우선순위 등을 대시보드 등을 통해 보여준다.
그리고 해당 공격이나 해당 공격자를 중심으로 모든 이벤트에 대해서 정리하고 분석한 것을 실시간으로 갱신하며 제공한다.
초기의 ESM이 디스크 I/O나 초당 이벤트 수집 건수로 처리량을 산정했다면, 차세대 ESM은 그 위에 CPU 사용 위주의 처리량이라는 척도를 더해야 한다.
그리고 공격이나 공격자에 대해서 자동으로 응답하는 시스템은 보안과 네트워크가 연동해 보여줄 수 있는 최고의 정점이라고 볼 수 있다.
ESM이 네트워크를 연동하는 것이 보안 프로세스 자동화의 마지막을 완성하는 모습으로 생각해도 좋을 것이다.
차세대 ESM 기반의 응답 자동화는 IP 어드레스 기반과 이보다 진보한 위치 기반이 있다.
이는 위치 기반 데이터 수집이 가능한 NAC을 연동하느냐 여부에 따라 차이가 있다.
IP 어드레스 기반은 공격자나 해커 등이 자신의 IP 어드레스를 숨기기 때문에 바로 응답하기보다는 관리자에게 응답의 여부를 묻는 경우가 대부분이다.
그러나 사용자 인증를 포함하는 위치 기반의 정보를 제공하는 응답에 대해서는 오탐에 대한 우려가 적어 사건 발생과 동시에 치료를 포함하는 응답 과정까지 자동화할 수 있다.
NAC가 단말기 접속 전에 검사를 통해 사용정책과 권한을 부여하는 것을 자동화했다면, 차세대 ESM은 NAC을 통해 접속한 단말이 접속 후에 사용 정책을 위반할 경우 권한을 조정하고 치료를 유도하는 것을 자동화하는 것이다.
이를 위해 ESM은 오류를 최소화해 이벤트를 NMS로 전송하고, NMS는 ESM의 이벤트로부터 공격자의 위치와 축소된 권한을 확인한다.
NMS는 축소된 권한을 스위치에 적용하면서 동시에 치료를 유도하는 강제 유도(Redirect) 정책을 적용한다.
결과적으로 공격자가 PC를 치료하거나 ④와 같은 안내 화면이 표시된다.
리포팅 기능의 강화
ESM은 등장 초기부터 리포트를 중요한 요소로 생각해, 이와 관련된 많은 서비스를 제공했다.
그리고 능동적인 문제 해결 기능을 다수 추가한 차세대 ESM에서도 리포트는 중요한 요소다.
능동적인 보안 관리를 위한 정보는 주로 모니터에 실시간으로 제공하는 반면, 리포트는 사후 관리에 필요한 정보를 제공해 장기적인 계획이나 튜닝을 위한 기초 데이터로 사용하기도 한다.
차세대 ESM에서는 정기적으로 중요한 리포트를 자동으로 생성, 저장하거나 관련자들에게 이메일 등을 통해 자동으로 배포하는 서비스를 제공한다.
그리고 공공이나 금융, 의료 분야 등에서는 필요한 준수 사항에 대한 분석 리포트도 별도로 작성해 저장, 배포한다.
이같은 리포트들은 사용자에 따라 매우 중요한 부분이 될 수 있다.
하부 기관의 ESM이 일정한 규격의 리포트를 온라인을 통해 자동으로 상위 기관의 ESM으로 전송하면, 상위 기관에서는 광범위한 영역의 이벤트나 정보를 수집해 엔터프라이즈 단위에서 얻을 수 없는 유효한 정보를 얻을 수 있다.
이런 기대는 공공 기관들이 ESM 통합을 서두르는 이유가 되고 있다.
데이터 수집의 장비 연동 자동화와 함께 다양한 리포트 템플릿을 제공하면 리포트 튜닝 서비스의 부담을 줄일 수 있다.
또한 이런 리포팅 기능을 각각의 수직 시장(Vertical Market)의 네트워크 담당자들이 이용할 수 있도록 적절하게 미리 튜닝해 어플라이언스 형태로 제공한다면 네트워크 담당자들도 ESM 도입을 통해 또 하나의 이점을 얻을 수 있게 될 것이다.
실제로 이같은 시도가 많은 업체들을 중심으로 진행되고 있다.
ESM과 TMS의 통합은 거스를 수 없는 현대의 추세다. 기존의 플로우 기반 솔루션인 TMS는 위협에 대한 사전적인 보안 관리가 가능했으나 이벤트 로그 분석에 약점이 있었다. 그러나 최근 들어 TMS는 이벤트를 동시에 처리하면서 향상된 위협 정보를 제공하기 시작했고 이벤트 기반의 ESM도 SIM·SIEM으로 진화하며 플로우 데이터 처리 능력을 보유하게 됐다.
안종석 | 엔터라시스네트웍스 코리아 컨설팅지원팀&서비스팀 이사
이벤트 기반 솔루션인 ESM은 이벤트 로그 관리가 빠르고 가격에 비해 처리 규모가 크다는 장점이 있지만, 수동적인 보안 관리를 해야 하고 보안 패치나 시그니처가 준비되지 않은 상태의 제로데이 공격 등에는 취약하다. 이를 개선하기 위해 ESM은 해외 시장에서 볼 수 있는 SIM또는 SIEM을 모델로 계속 진화하고 있다.
ESM에서 이미 SIM으로 발전한 시스템들은 플로우 기반의 데이터를 처리할 수 있도록 기능을 추가해 제로데이 공격 감지 능력을 강화하는 중이다. 이렇게 능동적인 보안정책 기능을 추가한 제품은 초기 ESM과 차별화를 위해 RMS 등으로 제품을 구분하기도 한다.
한편 플로우 기반으로 출발한 TMS는 제로데이 공격 등에 강하지만 이벤트 로그 분석에 약점이 있었다. 그러나 최근에는 TMS도 이벤트를 동시에 처리하기 시작하면서 위협 관리 정보의 수준을 높이기 시작했고, 나아가 RMS로 거듭나려 하고 있다. 능동적인 보안 관리에 대한 시장의 요구가 ESM과 TMS의 통합을 RMS로 가는 연장선상에 놓고 있다.
ESM이나 TMS를 판매하는 각각의 업체들은 기반 기술이 다르지만 서로의 기술을 통합하는 작업을 진행 중이거나 완료한 상태며, 특히 시장에서 요구하는 능동적 보안 관리 기능을 추가하고 있다.
전사적인 보안관리 도구와 NMS의 연동은 네트워크 관리자의 관리·제어의 시간이나 비용 등을 획기적으로 절약할 수 있다. 또한 보안 담당자에게는 기존의 보안 프로세스 단계를 좀 더 자동화·체계화하는 도구가 된다. ESM과 TMS의 통합은 기업 내 네트워크와 보안 조직의 협력 등을 위한 거스를 수 없는 추세로 자리 잡고 있다.
플로우 기반 TMS의 기술적 특성
플로우란 MAC주소/IP주소/TCP주소 등의 송수신 조합이며, 웹서핑의 경우 대개 10개 이내의 플로우를 통해 처리할 수 있다고 이해하면 된다.
TMS는 플로우를 투시하면서 정상적인 행동과 다른 변칙(Anomaly)을 찾아내는데, 이는 ESM의 진화 모델인 SIM이나 SIEM의 이벤트 비율 분석과 유사하다. 찾아낸 변칙은 애플리케이션, 프로토콜, 위협 등의 위반 형태와 함께 관리자에게 경보한다. 변칙에 대한 분석을 통해 찾아낼 수 있는 것으로는 ‘홈을 부르는 트로이 목마’나 ‘이메일 기반의 웜 바이러스’ 그리고 ‘비인가 서버의 운영 감지’ 등이 있다.
또한 이벤트 기반 솔루션과는 달리 무중단(Non-stop) 서비스의 정지나 비정상적인 동작과 사고를 감지할 수 있는데, 호스트들에게 응답하는 웹서버 중단이나 게이트웨이 기기의 트래픽 손실과 중단을 감지하는 것 등이 예다. 그리고 TMS 기반의 기술을 확장해 RMS에 도입하고자 하는 기능인 정책 관리나 능동적으로 미래를 관리하는 개념을 적용할 수 있는데, 애플리케이션 행동 수준의 변화를 감지해 SSH 서버, 라우터와 스위치의 기능 변화나 웹 서버에서 프록시로의 변화 등을 감지하는 것이 예가 될 수 있다. 또는 TMS를 통해 믿을 수 있는 협력업체라도 사내 정책으로 허용된 기준보다 많은 데이터를 가져 갈 경우 관리자에게 경보를 줄 수도 있다.
이러한 경보들의 종류는 미리 준비한 것을 사용할 수도 있고, 상황에 따라서 새롭게 만들 수도 있다. 이는 솔루션 공급업체의 정책에 따라서 큰 차이가 있다. 중소 규모의 기업을 위해서는 시장의 성격에 따라 필요한 경보의 정형화를 미리 준비하는 것이 추세이고, 대기업이나 서비스업체를 위해서는 요구에 따라서 도입 시에 준비하는 것이 일반적이다.
TMS는 플로우를 모니터링하며 실시간으로 변칙 등의 행동을 분석한다. 그리고 분석한 결과를 보여주면서 동시에 공격 전부터의 상세정보를 제공하는 것은 물론 사건 진행과 사건 이후의 네트워크 플로우를 투시해 보기 좋게 정리한 다음 실시간으로 제공한다.
플로우 분석의 방법은 수학적인 방법에 의존할 수 있으며, 그 중 하나는 부울린(Boolean) 방정식에 의한 테스트다. (그림 1)은 세 가지 사용 예를 보여주고 있다. 첫 번째는 플로우를 수집하면서 실시간으로 공격에 응답하는 피해자를 분석하는 방정식이며, 두 번째는 IRC를 사용해 웜 공격의 발생지가 되는 봇들의 네트워크를 분석하는 식이다. 그리고 마지막 세 번째는 공격에 대한 피해로 서비스 불능인 것을 찾는 식이다.
홀트-윈터스 알고리즘을 이용한 변칙 감지 방식
변칙을 찾는데 사용하는 수학적인 방법 중에는 이외에도 홀트-윈터스(Holt-Winters) 알고리즘과 같은 것도 사용한다. 홀트-윈터스 알고리즘은 플로우의 비율과 양을 시간에 따라 학습하는데 사용하며, 학습결과를 토대로 정상적인 행동에서 벗어난 변칙을 찾아낸다. 이런 알고리즘으로 변칙을 찾기 위해서는 항상 데이터가 있어야 하는 환경(no zero values)이 필요하다. 때문에 백본이나 트렁크 구간에서 플로우를 모니터링할 때 효과적이다.
홀트-윈터스 알고리즘을 사용하는 분석으로 새로운 온라인 서비스 시작 등의 큰 스케일의 대역폭 변화를 감지하며, 웜 바이러스나, 공격 전 스캐닝, DoS 공격은 물론 새로운 형태의 프로토콜이나 애플리케이션 사용을 감지할 수 있다. 특히 장기간에 걸쳐 조금씩 침투하는 행동을 감지하는데 효과적이며, 관리자가 없는 자정쯤 회사의 SMTP 메일을 이용해 메일 바이러스를 퍼뜨리는 행위나 Syn 트래픽으로 통계 엔진이 무력화되는 것을 감지할 수 있다.
또한 플로우 기반 분석에서 사용하는 알고리즘은 이벤트 기반의 관리 솔루션에서 제공할 수 없는 기능을 제공하는데, 예를 들면 변칙적으로 감소하는 트래픽의 경보 등이 있다. 이런 알고리즘 기반의 분석을 통해 공격을 당한 웹 서버 응답 정지뿐만 아니라, 백업 서버까지 응답이 없다면 백업 시스템에 대한 경보도 줄 수 있다.
홀트-윈터스 알고리즘에서 사용하는 학습 범위(Definable Season)는 대개 일, 월, 년 (day, month, year) 등으로 구분한다. 이를 조정 값을 통해 전체적인 추세나 과거 분석을 위한 것 등의 다양한 계정들을 만든다. 홀트-윈터스 알고리즘은 오래 학습한 것일수록 정확한 결과를 제공하며, 지속적인 학습과 보정으로 업무 성장에 따라 적절하게 정상적인 윤곽을 보이도록 유지할 수 있다.
(그림 2)와 (그림 3)은 학습을 하는 장시간 윈도우와 함께 변칙을 감지하면서 시간에 따라 이동을 하는 단시간 윈도우 두 개를 사용하는 방법을 보여준다. 뿐만 아니라 (그림 4)와 같이 수학적으로 미래를 예측할 수 있는 기능을 제공한다. 미래를 예측하면 위협에 대해 능동적 사전 조치가 가능하며 이들 기능을 통해 시장에서 RMS라는 다른 이름으로 구분해 정의하기도 한다.
(화면 1) ‘홀트-윈터스 알고리즘을 응용한 제품의 화면(예)’
플로우 기반 TMS과 이벤트 기반 ESM의 통합
국내 시장에서는 ESM과 TMS에 이어서 RMS가 많은 관심을 끌며 차세대 통합보안관리 기술로 평가받고 있다. 그리고 여러 업체들이 제품을 시장에 활발히 소개하고 있다. 이런 추세 속에서 기존 보안관리업체들도 자사의 ESM이나 TMS 제품에 RMS 기능을 추가하기 위한 작업을 진행하고 있다. 이들이 ESM과 TMS 통합의 원동력이 되는 것이다.
플로우 기반으로 찾은 위협에 대한 정보는 이벤트 기반의 정보를 통합해 더 수준이 높고 더 효과적인 정보를 제공한다. 물론 이와 반대로 ESM 기술 진화 모델인 SIM 또는 SIEM 기술이 플로우 기반 분석 처리를 통합할 때도 같은 효과를 얻을 수 있다.
플로우 기반의 TMS는 위반(offence)에 관련된 플로우 정보를 전후 관계에 따라 제공한다. 그리고 이벤트 처리 기반의 SIM이나 SIEM은 백도어(Backdoor)에 대해서는 많은 센서들로 수집한 이벤트를 로그로 저장하고, 이를 “공격자는 <SRC>이다 공격 목표는 <DST>이다 사용 포트는 새로운 것으로 플로우는 양방향이다 <bi-directional>”과 같은 식으로 표현한다.
이벤트 기반 처리를 위한 센서는 네트워크 상의 파이어월이나 IDS/IPS 등이다. 최근에는 인증서버나 NAC 정보뿐만 아니라 네트워크 장비들로부터 이벤트를 받는 등 기기를 가리지 않고 네트워크 상의 모든 정보를 수집하는 추세다. 그리고 이들의 DB에는 이미 오래 전부터 정형화된 주석이나 조치사항 등이 있어 공격자나 공격 등에 대해 바로 조치 가능한 정보를 제공할 수 있다.
(화면 2)는 플로우 기반으로 처리한 화면에서, 공격자 IP 주소를 표시하는 필드 위에 마우스 커서를 올려놓으면 이벤트 기반으로 처리한 데이터를 연동해 공격자에 대해 좀 더 자세한 정보를 제공하는 모습이다. 수집한 이벤트 제공 장비의 특징에 따라서 공격자의 위치정보까지 얻을 수 있다. 인증서버는 사용자 ID나 MAC주소, 이메일 주소 등 일반 보안장비가 제공할 수 없는 정보를 제공한다. NAC 기기 또한 신원 정보와 함께 취약성 분석 정보를 더할 수 있다.
(화면 2) ‘플로우 기반 처리 화면에서 이벤트 기반 처리 정보를 연동하는 모습(예)’
대규모 네트워크에서 더 강력한 TMS와 ESM의 통합
기반 기술에 상관없이, 시장이 원하는 핵심은 IT자산 전체를 대상으로 취약점과 위협의 사전 파악과 대응을 통해 보안 사고를 예방하고 보안수준을 상시적으로 관리하는 것이다. 이를 통해 내부에서 새롭게 발생하는 취약점과 위협이 발생하고 있는 지점을 즉각적으로 찾아 우선순위별로 대응 조치를 취하고, 보안 문제를 해결하는 시간과 비용 면에서 효율성을 크게 향상시키길 기대하고 있다.
네트워크 관리자 입장에서 TMS와 ESM의 통합이 줄 수 있는 장점은 네트워크 규모가 크면 클수록 그 효과가 크다. 예를 들어 규모가 큰 기업의 경우 보안 장비의 숫자나 네트워크 장비의 숫자가 수백 대에 달하는데, 네트워크의 가용성에 영향을 주는 보안 문제가 발생할 경우, 네트워크와 보안 관리 화면의 이벤트가 너무 많아 수동으로 해결하기에는 너무 긴 시간이 걸린다.
그러나 통합 솔루션의 분류 기능은 (화면 3)과 같이 네트워크 상의 모든 기기들에서 발생하는 모든 이벤트를 분석해 실시간으로 특정 위반 사항에 관련한 1만 여개의 이벤트를 정리해준다. 이는 관리자가 분석하는데 필요한 시간을 대폭 감소시킬 뿐만 아니라 네트워크의 가용성을 높이는데 큰 도움이 된다.
(화면 3) ‘이벤트 기반 처리 화면에서 제공하는 정보(예)’
ESM과 TMS 통합의 의미
현재 시장에서는 기존의 ESM과 TMS를 통합한 기반에서 새로운 기능을 제공하는 환경이 조성되고 있다. 그리고 각 ESM/TMS 업체들은 고유의 기술 기반 위에 필요한 기능을 추가하면서 각자의 약점들을 보완해 시장에서 원하는 능동적인 보안 관리 도구로 진화하고 있다. 또 기존 제품과 차별화하기 위해 RMS라는 이름을 사용하기도 한다. 기존의 ESM나 TMS까지 새로운 버전을 통해 RMS라는 이름을 사용하기 때문에 사용자들을 혼란스럽게 만든다. 영업 전략상 이름은 TMS와 유사하면서 내용은 RMS로 설명하는 경우까지 있다. 그러나 어떤 기술을 기반으로 하든 ‘사후대응’ 방안으로 사용하는 ESM 솔루션과 TMS를 보완해 기업에 ‘사전예방’ 체계를 준비하는 것이 최근의 추세다.
수동적인 관리보다 능동적인 사전 보안 예방을 통해 보안 투자와 운영 관리 효율성을 높일 수 있다. ESM과 TMS의 통합은 기술의 정의로 구분하기 보다는 시장에서 원하는 능동적인 보안관리 기능을 추가해 가는 과정의 한 단면이라고 이해하는 것이 더 옳을 것이다.
월간 온더넷 11월호
댓글