보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

안전한 IT인프라 운영을 위한 정보자산 취약점 통합 관리 방안의 필요성

2021.11.03

4,236


정보통신기술(ICT)의 발전과 디지털 전환의 가속화로, 현재 우리는 매우 복잡한 IT 환경 속에 살고 있다. 그리고 이는 마치 각양각색의 나무들로 둘러 쌓인 무성한 숲을 연상시키는데, 이러한 ‘IT 인프라 숲’을 안전하고 쾌적하게 지켜내기 위해 우리는 다양한 공격자들과 팽팽한 줄다리기를 지속해왔다. 단 하나의 작은 불씨가 이 공간을 한 순간에 재로 만들어 버릴 수 있는 만큼 모든 위협 요인을 탐지하고 대응할 수 보안관제 전략아 필요하다.
일반적으로 보안관제 전략은 네트워크 보안 장비를 기반으로 외부와 내부를 분리하는 경계보안(Perimeter Security)의 1세대 단위보안관제에서 시작해 데이터 보안(Data Security)기반의 2세대 통합보안관제, 신뢰 보안(Trust Security)기반의 3세대 빅데이터 보안관제로 발전해왔으며, 최근에는 인공지능을 접목한 관제 기술에 대한 연구가 활발히 진행되고 있다.
 
[그림 1] 보안 패러다임 변화에 따른 보안관제 주요 전략
더욱이 오늘날엔 클라우드로 비즈니스가 확장되고 코로나19가 촉발한 재택 및 원격 근무의 확산으로 원격 데스크톱 프로토콜(RDP)·가상사설망(VPN)과 같이 외부에서 접속할 수 있는 지점이 급증하는 등 IT 인프라 운영 환경이 전반적으로 확장됨에 따라, 이를 통한 침해 위협 가능성 또한 높아지고 있는 상황이다. 한 마디로 복잡 다양해진 IT 인프라 환경을 보다 안전하게 운영할 수 있는 방안에 대한 고민이 그 어느 때보다 필요한 시점이라고 생각되는 바, 이에 대해 논의하는 시간을 가져보고자 한다.
01. 외부 보안 위협에 대한 대응만으로 충분할까?
최근 IT의 경계가 클라우드로 확장되면서 다양한 인텔리전스와 결합된 멀티·하이브리드 및 온프레미스 환경 전반의 위협을 식별하고 이해할 필요가 증가하고 있다. 또한 디지털 전환이 가속화되면서, 기업이 도입하는 IT 시스템들이 늘어나고 수많은 사용자-기기-시스템 간의 연결성이 강화되면서 IT 인프라 환경은 점점 더 복잡해지고 있을 뿐만 아니라 고도화된 위협 또한 증가하고 있다. 이렇듯 급변하는 상황 속에서 안전한 IT 인프라 환경을 구현해낸다는 것은, 현재로서 매우 불가능한 과제로만 느껴진다.
일전 여러 매체를 통해 ‘데이터 경제는 데이터 활용이 다른 산업 발전의 촉매 역할을 하고, 새로운 제품과 서비스를 창출하는 경제를 일컫는다.’라는 내용의 글을 본 적이 있다. 보안 분야 역시 사뭇 다르지 않다고 생각된다. ‘디지털 경제의 핵심이 데이터’라면 ‘디지털 환경의 보안 핵심 또한 데이터’인건 어쩌면 너무나 당연한 일이지 않을까.
사실 IT 인프라의 확장은 대체로 외부 공격에 대한 틈이 되어 언뜻 안전한 IT 인프라 운영은 외부 공격에 대한 만반의 대비로 실현 가능할 것으로 보여진다. 그러나 데이터 관점에서 살펴 본다면, 외부 위협에 대한 데이터 관리만으로 정말 대비가 충분한지 다시 한번 생각해볼 필요가 있다. 다양성이 존재하는 IT 인프라에서 중요한 데이터의 범위는 어떻게 정의할 수 있을까? 적어도 IT 자산에 대한 데이터가 단순히 서버로 한정되기에는 너무나 많은 환경적 변화가 있었다는 사실은 그 누구도 부인할 수 없을 것이다.
02. 자산 및 취약점 통합 관리의 필요성
자 이제 날로 무성해지는 IT 인프라 숲을 안전하게 지켜내기 위해 다시 근본으로 돌아가 생각해볼 필요가 생겼다. 그리고 이를 위해 과거 위대한 스승들이 이야기하고 또 우리가 일상에서도 많이 사용하는, ‘지피지기면 백전불태(百戰不殆)’를 빌리고자 한다. 적을 알고 나를 알면 백 번 싸워도 위태롭지 않다는 뜻으로, 지금 직면하고 있는 모든 보안 위협을 확인할 수 없다면 최소 내가 운영하고 있는 IT 인프라 내부 환경에 대해서라도 정확히 알고 있어야 한다는 말이다.
최근 여러 연구 결과에 따르면 IT 환경이 다양해지면서 사이버 공격은 점차 늘어나고 있지만, 실제 데이터 유출 등이 발생한 보안 사고의 상당수는 패치만으로도 대비가 가능했던 기존에 알려진 취약점을 활용한 공격이었다. 이는 대부분의 사고가 충분히 사전에 예방할 수 있었다는 것을 의미한다. 기업이 보유하고 있는 자산을 완벽한 통제 하에 두고 어떤 보안적 조치를 취해야 하는지 관리자가 파악하여 대처할 수 있다면, 최소한 내부 자산에 대한 위협 및 피해 대응에 대해서 전략적인 접근이 가능할 것이다. 그리고 더 나아가 각 자산에 대한 보안 제품들의 연계를 자동으로 수행해낼 수 있다면, 멀게만 느껴졌던 안전한 IT 인프라 환경 구현에 한 발 더 다가갈 수 있다.
[그림 2] 자산 통합 및 취약점 관리 전략
핵심은 통합에 있다. 개별적으로 파편화되어 있는 IT 자산의 보안 취약점 정보를 수집하여 통합자산에 대한 데이터 표준을 정하고, 이를 이용해 외부 위협으로 탐지된 이벤트가 실질적으로 내부에 유효한 위협인지를 판단, 해당 위협 이벤트의 위험도를 분석하고 객관화한다. 그리고 그 후에는 취합된 자산 위협 정보를 활용하여 취약 자산에 대한 신속한 대응까지 가능하도록 한다면, 단순 일차원적인 대응을 넘어 사전 예방 효과까지 기대해볼 수 있다.
다시 말해 IT 인프라 환경의 안전성 확보를 위해서는 자산 통합 관리 및 취약점 관리 전략의 수립이 요구되며, 이는 다시 다음의 4단계로 구분된다.
① 내부 자산(장치/장비/솔루션/서비스 등)에 대한 충분한 인지
② 사이버 공격 및 보안 사고 발생 시 사고의 범위를 즉시 파악
③ 위협 공격에 대한 유효성 판단
④ 위협 공격에 대한 대상 확인 후 대응
 
[그림 3] 자산 통합 및 취약점 시스템 구성도
여기서 가장 중요한 점은 ‘사고 범위(자산 목록화)’ 그리고 ‘대상 범위에 있다면 얼마나 유효한가’이다. 예를 들어 기업 서버에 내부 취약점을 이용한 침투 시도가 발견되었다면, 이와 관련하여 담당자가 가장 먼저 하게 되는 생각은 ‘해당 문제가 시스템 관리 범위에 있는가, 해당 시스템에 유효한 공격을 받았는가, 관련된 이슈에 대해 우리가 대응해야 하는 대상이 식별되는가’일 것이다. 이러한 상황에서 내부 자산에 대한 충분한 사전 인지가 없다면, 정확하고 신속한 대응이 어려워진다.
그렇기에 IT 인프라 환경에서 작동되는 서버나 컴퓨터, 장비, 가상 머신, 또는 업무용PC, 휴대폰, 태블릿PC, 노트북 등 모든 내부 자산을 아우르는 최신 자산 목록 현황을 파악하고 관리할 필요가 있다. 또 이러한 물리적 자산 외에도 사내 통신 방법과 데이터의 흐름, 사용 중인 메일 서버나 클라우드 서비스와 같은 외부 서비스 등도 정확히 파악하여 잠재적 위험이나 취약점이 있는지를 판단하는 과정을 거쳐, 실물 자산에 대한 현행화가 그 무엇보다 선행되어야 할 것이다.
3. 자산 통합 관리를 활용한 보안 위협 탐지
내부 자산의 통합 관리 및 취약점 관리에 대한 현행화가 이뤄지고 있다면, 보안 위협에 대한 효과적인 탐지도 가능해진다. 우리가 운영하고 있는 자산과 서비스에 대한 정보를 위협 탐지 시스템(SIEM)과 연계하여 발생한 공격 이벤트에 대한 정확도를 평가할 수 있는 것이다. 통합된 자산 정보를 기반으로 사내 중요도에 따른 분류 작업을 수행할 수 있으며 서비스 가용성, 사용 빈도, 편의성, 기존 공격에의 유효성 이력 등 다양한 요소를 종합적으로 평가해 문제 발생 시 우선 순위 결정에 도움을 받아 신속한 대응이 가능해진다. 그러나 이러한 과정에서 자동화를 통해 자산의 현황 및 취약점 정보에 대한 신뢰성을 얼마나 유지할 수 있는지도, 정확한 위협 탐지 조건의 중요한 요소 중 하나로 작용한다는 점을 명심해야 할 것이다.
 
[그림 4] 자산 통합 관리를 활용한 보안 위협 탐지 구성도
4. 자산 정보를 활용한 효과적인 보안 위협 분석·대응
보안 위협에 대한 신속하고 정확한 탐지 및 식별을 넘어, 통합된 자산 정보를 활용한다면 발생하는 다양한 보안 위협에 대한 효과적인 분석 또한 가능해진다. 자산 정보를 바탕으로 IT 시스템 환경 구성 취약점, 제품 취약점 등 각 유효 경보에 적합한 자산을 확인하고 해당 유효 경보의 실효성을 분석할 수 있으며 이를 통해 분석 시점에서 귀중한 시간을 절약해 효과적인 보안관제를 수행할 수 있다. 또 취약점 통합 관리를 통해서 각 자산에 대한 취약 항목을 한번에 파악하고 CCE, CPE, CVE 정보를 자산에 맞게 유기적으로 반영하여 관리할 수 있다.
 
[그림 5] 자산 통합 관리를 활용한 보안 위협 분석 구성도
 
[그림 6] 자산 통합 관리를 활용한 보안 위협 대응 구성도
대응 전략 차원에서는, 발생한 위협에 대하여 통합 자산관리 현행화 작업을 통해 관련 조치가 제대로 수행되었는지 확인해볼 수 있다. 한 마디로 자산 정보를 통합하고, 위협 탐지 시스템(SIEM)과 연동할 수 있다면, 보안 위협의 평가에서부터 대응까지 한층 강화된 보안 체계를 구현해낼 수 있는 것이다.
5. 통합 관리를 통한 안전한 IT 인프라 환경 구현
모든 것이 빠르게 변화하는 디지털 혁신 시대의 도래는 보안 업계에도 커다란 영향을 주고 있다. 인프라 환경이 변화함에 따라 네트워크 보안 장비를 기반으로 경계 보안에 중점을 두었던 과거의 방식은 관리 포인트가 증가한 현 시점에 더 이상 효율적이지 못하다. 그리고 이렇듯 급변하는 상황 속에서 보유하고 있는 자산에 대한 통합 관리가 가장 효과적인 대응 방안이 되어줄 것으로 기대된다. 현재 운영하고 있는 IT 인프라에서 가장 중요한 자산이 무엇인지를 파악하고, 관련 자산에 대한 통합 데이터를 구축, 각 자산에 대한 취약점을 현행화하여 이를 보안관제시스템과 연동 및 적용한다면, 복잡 다양한 인프라 환경 속 분산된 자산을 노리는 여러 보안 위협에 대한 대응력을 한 단계 높일 수 있을 것이다.
사상누각(沙上樓閣)이란 말이 있다. 모래 위에 세운 누각이란 뜻으로, 기초가 약하여 오래가지 못할 일이나 경우를 비유적으로 이르는 말이다. 이제는 날로 고도화되는 보안 위협에 선제적으로 대응해나갈 수 있어야 한다. 그러나 너무나 빠르게 발전하는 ICT 생태계 속 모든 위협을 탐지하고 대응하기에는 매우 제한적이다. 내부 인프라 자산과 환경에 대한 최적화된 취약점 통합 관리를 통해 큰 변화의 바람에도 흔들리지 않는, 가장 기본적이면서도 튼튼한 보안 체계를 구현해나갈 수 있기를 바란다.
 
[그림 7] 자산 통합 관리를 활용한 보안 진단 자동화 솔루션