특집

[딜라이트닷넷 창간2주년 기획/보안강국을 위한 쓴소리-보안관제 현황 진단③] 보안관제 실효

이유지 기자
[IT 전문 블로그 미디어=딜라이트닷넷]

보안관제는 네트워크상에 적용된 방화벽을 관제하면서부터 시작했습니다. 여기에 IDS/IPS(침입탐지/방지시스템), DDoS(분산서비스거부) 대응시스템, 웹방화벽 등으로 설치되는 보안시스템이 여러 종류로 늘면서, 다양한 솔루션에서 발생하는 이벤트와 로그를 실시간 수집, 통합관리, 분석해 침해사고·위협을 종합적으로 탐지하고 대응할 수 있도록 운영합니다.

현재 활용되고 있는 보안관제시스템은 이기종 보안시스템의 보안 이벤트와 로그를 취합해 중앙에서 분석·관리하는 ESM(통합보안관리)시스템과 IDS/IPS 등 침입탐지 센서를 기반으로 네트워크 트래픽의 이상징후와 위협요소를 조기에 탐지할 수 있도록 상태변화를 실시간 감시, 분석하는 TMS(위협관리시스템)이 있습니다.

보안관제를 위한 기본 솔루션인 ESM은 여러 보안장비의 관리 효율성을 제공할 뿐만 아니라 IT시스템 전반의 보안정책을 수립하도록 합니다. 보안장비에서 나타나는 정보에만 의존하게 되면 제로데이 공격과 같은 새로운 공격에 대응할 수 없고 지나치는 보안정보가 생겨나게 됩니다.

이 때문에 네트워크 트래픽 이상징후 등 네트워크 상태 변화를 민감하게 감지해 사이버공격을 탐지할 수 있도록 네트워크 트래픽 모니터링 및 분석 기능을 제공하는 TMS가 보안관제시스템을 보강하는 솔루션으로 활용되고 있습니다. TMS는 사이버공격을 탐지해 조기 예·경보체계를 구축할 수 있도록 기반을 제공합니다.

종합분석시스템은 각종 IT자산과 ESM 등에서 수집된 정보를 바탕으로 내·외부 위협정보를 자동으로 추출하고 보다 복합적으로 상관분석하도록 강화돼 있는 최상위 보안관제시스템이라 할 수 있습니다. 종합분석시스템의 가장 큰 특징은 현재의 위협상황 등을 대시보드 형태로 직관적으로 파악할 수 있도록 보여줍니다.

해외에서는 ESM, TMS, 종합분석시스템 등 여러 종류로 나뉘어 있지 않고 SIM(보안정보관리), SIEM(보안정보·이벤트관리)시스템아 포괄적인 통합관리·분석시스템으로 활용되고 있습니다.  

ESM, TMS, 종합분석시스템, SIEM 등과 같은 보안관제시스템을 잘 구축해 놨다고 해도 보안관제의 효용성이 무조건 발휘되는 것은 아닙니다. 인력 수준에 따라 탐지 그 자체와 위협여부 판단, 보안시스템 운영상태나 정책·임계치·경고 설정 등 실무업무에서 차이가 날 수 있기 때문에 결국 관제 품질이 좌우됩니다.

결국 보안관제에서의 문제는 기술측면 보다는 인력에 있다는 것이 전문가들의 공통된 지적입니다. 관제시스템을 통해 탐지된 기술을 이용하지만 결국 최종 판단은 전문인력이 하는 것이기 때문입니다.

더욱이 조직마다 필요한 보안시스템을 100% 완비할 수 없고, 예산과 상황에 맞춰 현실적으로 투자할 수밖에 없다는 점을 감안하면, 시스템상의 한계로 지적되는 한정된 관제 범위나 려진 공격 위주, 과다 탐지됐거나 잘못 탐지된 이벤트 등과 같은 문제나 부족한 점은 사람이 갖고 있는 전문성과 노하우로 해결해 나가고 채워지게 됩니다.

일단 기본 문제는 현재 보안관제 전문인력이 극히 부족하다는 데 있습니다. 보안관제 인력에 대한 인식이나 처우 개선도 시급하다고 지적됩니다. 보안관제 업무를 기피하게 되는 요인이 현재로선 많기 때문입니다.

24시간 365일 돌아가는 관제업무의 특성상 야근과 밤샘, 휴일근무 등 힘든 근무환경에서 보상이나 복지가 미진하고, 개인적인 성장 불확실성도 크기 때문에 경력이 쌓이면 이직이나 컨설팅 등 다른 업무로 전환하는 사례가 많다고 합니다.  

그러다보니 신입 등 경력이 부족한 초급인력이 관제에 투입되는 경우가 많아지겠지요. 심지어 “팔 다리만 달리면 뽑는다”는 식의 이야기까지도 나올 정도라네요. 이 경우 보안관제를 아웃소싱하거나 관제업무 담당자를 두고 있는 기업이나 기관에서도 만족하지 못합니다.

사고가 나면 “보안관제 요원들은 뭐했냐”고 하고, 아무 일이 일어나지 않을 때에는 또 보안관제 인력 투자비용을 아까워하며 “보안관제 인력을 둬야 하나”하는 말이 나옵니다.

변화가 수반되지 않는다면 계속 악순환 될 것입니다.

기본적인 네트워크와 서버, 웹 또는 보안 관련 기초지식만 있을 뿐 경험과 전문성이 크게 부족한 사람에게 중요한 자산을 침해하거나 마비, 탈취하려는 공격을 예방, 탐지하고 최전선에서 대응하는 역할을 맡긴다고 상상해보십시오. 결과는 뻔할 것입니다.

사실 보안관제를 보안위협을 종합적이고 체계적으로 관리하는 차원에서 보면 전문성은  매우 중요합니다.

관제 요원은 분석 능력을 갖춘 전문가라기보다는 단순 ‘운영’요원으로서 인식되는 측면이 있었다는 것이 업계의 이야기입니다. 그러다보니 관제 업무경력도 낮게 평가됩니다.

애초에 전문성을 검증할 수 있는 체계도 부재합니다. 현재 인력의 전문성을 교육프로그램 역시 꾸준히 지원되지 못하고 있는 상황입니다.

부족한 보안관제 전문인력을 전문가로서 인식하고 대우하는 것, 현실적인 처우개선은 시급하고도 중요한 과제로 인식됩니다.

보다 실효성 있는 보안관제가 이뤄지기 위해서는 기업과 기관에서 보안관리서비스와 보안아웃소싱에 대한 전문성을 인정해야줘야 합니다.  

공공분야에 정책적으로 보안관제 의무화 및 활성화 노력을 벌이고 있는데요. 정부에서부터 실천하는 것이 필요해 보입니다.

일례로 보안관제서비스 업체들에게 맡길 경우에도, 발주기관에서는 일반 IT 엔지니어 도입 단가를 통해 제안을 요청하고 있다고 합니다. 이 또한 최저가 입찰을 통해 인력을 수주 받고 있습니다. 업계에서는 적어도 관제 인력 및 서비스 단가를 소프트웨어 노임단가 수준만을 인정해줘도 상황은 나아질 것이라고 이야기합니다.

비단 보안관제만의 문제는 아닐 것입니다. 우리나라는 상시적인 보안서비스에 대한 인식이 척박합니다. 보안업계에서 쉽게 유지보수라 불리는 보안시스템 서비스 요율을 현실화하기 위해 꾸준히 노력했지만 이번 정부에서도 결국 무산되는 분위기입니다.

지속적인 업데이트 및 개선작업, 관리가 이뤄지지 않으면 아무리 훌륭한 보안시스템도 시간이 지나면 무용지물이 될 뿐입니다.    

때문에 전문가들은 보안강국이 되려면 사회와 기업·기관의 전반적인 보안 인식의 개선, 이에 따른 예산 및 투자 확대 노력이 절실하다고 목소리를 높이는 것입니다.

보안관제 서비스 및 인력단가가 현실화된다면 민간 업체들 주축의 인력 양성이나 교육, 회사 차원의 보안관제 요원에 대한 지원 역시 개선될 것으로 전망됩니다.

다양한 경로를 통해 들어오는 새로운 보안관련 이슈와 정보를 수집하고, 이러한 이슈를 분석해 관제에 적용하고, 또 파견관제 인력으로 해결이 어려운 사건·사고 발생시에도 신속하게 지원인력을 투입해 이슈를 보안관제 회사 차원에서 실시할 수 있다면 보안관제 수준을 높이는 대안이 될 수 있습니다.  

개개인의 전문성이 부족하더라도 서비스 회사 차원에서 실제로 발생한 공격 특성이나 대응 방식, 보안관제 서비스 노하우가 지식화돼 효과적으로 공유하고 전수할 체계가 마련된다면 보다 효과적으로 만들어갈 수 있을 것입니다.

[이유지기자의 블로그=안전한 세상]
이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널