정부보안관제 전문 업체 지정과 공공기관 관제 의무화로 관제시장 분위기 한껏 고조 통합보안관리(ESM)시장의 대표주자인 보안관제 솔루션이 최근 통합관리의 중요성이 높아지면서 시장 규모 역시 확대되고 있다. 또한 기존 ESM시장에서 로그 분석 솔루션으로 이동하는 추세도 보이고 있으며 기존 구축된 보안솔루션을 적극 활용하지 못해 발생했던 보안 사고를 최소화하기 위한 방안으로 통합 보안관제 솔루션에 대한 업계 내 관심이 높아져 가고 있다. 2000년부터 형성된 보안관제 시장은 작년 정부가 12군데 보안관제 전문 업체들을 제도화 하면서 올해를 더욱 활성화되는 원년으로 기대하고 있다. 이지혜 기자 jh_lee@ciomediagroup.com 기술개요 -1. 시장동향 -2. 기술동향 -3. 각 사별 솔루션 특징 (유넷시스템, 윈스테크넷, 이글루시큐리티 : 가나단 순) 1. 시장동향 ‘원격·파견’ 관제 수요 ‘상승 곡선’ 최근 2~3년 사이 보안관제 솔루션은 수요가 급증하며 약 30% 이상의 높은 성장률을 보이고 있다. 최근에는 해외시장 개척도 활발히 이뤄지면서 파견관제와 원격관제로 구분되어 지는 관제서비스의 수요는 총 1000억 원을 훌쩍 선회하는 시장 규모를 나타내고 있다. 공공, 금융, 일반 기업들의 관제 수요 성장의 견인차 역할이 예상됨과 동시에 보안 문제로 꺼려했던 금융권 역시 최근 원격관제를 허용하고 있기 때문이다. 증권사 등 일부 원격관제가 허용된 가운데 공공과 기업뿐 아니라 금융권 전체의 통합관제의 수요가 증가할 것이란 게 전문가들의 의견이다. 또한 정부의 보안관제 전문 업체 지정과 공공기관 관제 의무화 등 정책이슈와 함께 보안사고 등이 맞물려 관제시장의 분위기는 낙관적이다. 이는 일반기업과 공공기관 등에서 자체적으로 보안전문가를 양성하거나 계속적인 기술훈련을 통한 전문적인 보안관제 수행에 있어 어려움이 있기 때문이기도 하다. 보안관제서비스는 외부 전문 업체의 기술력과 노하우를 사용자 기업 내부 인프라 보호에 접목하는데 유용하며 24/365 무중단 실시간 관제 업무에 투입할 기술적 요건과 인건비가 높다는 이유로 보안관제 위탁을 선호하는 경향이 크다. 반면 관제전문 인력의 수급 어려움과 처우 문제 및 이에 따른 보안관제 전문 업체의 사업 수행 규모와 수행능력 문제, 대기업 시장 참여에 다른 인력이동과 보안 전문기업 하청 문제가 우려되며 국내 관련 기업들은 기술역량에 집중해 서비스 확대와 서비스 기반 솔루션 공급 확대 양쪽을 공략한다는 전략이다. 또한 하이엔드 솔루션과 관제서비스로 보안 SI사업과 함께 클라우드 분야 특화서비스에 대한 빠른 접근을 보이고 있으며, 단순관제 서비스 제공이 아닌 파견 관제 인력과 내부 상시 침해사고 분석 대응 인력과의 연계로 기술적 시너지 기반의 패키지 제품을 제공한다는 방침이다. 2. 기술동향 산업군별 보안관제 접근 방식 틀려 보안관제 솔루션은 보안관제 업무를 수행하기 위해 가장 기본이 되는 장비로 올해를 원년으로 시작된 파견관제나 원격(중앙)관제 모두 포함된다. 탐지와 분석(포렌식), 통제의사결정, 사후관리 등의 특화된 관제업무를 수행하는 보안관제는 최근 보안관제 전문 업체 지정제도에 따른 관제 요원의 자질과 기술을 중시하는 트렌드가 중요시 되고 있다. 보안 전문가들은 다양한 보안관제 솔루션이 보다 정확하고 효율적인 단시간 내 다루는 역량이 보안관제 기술의 핵심이 될 것으로 전망하고 있다. 각 산업군별 사용자 입장의 접근법에 대해서는 서비스 또는 애플리케이션의 특성에 따른 차이점이 나타난다. 대형 ISP나 통신사 입장에서는 네트워크 안전성을 우선으로 하는 관제모델 및 방법론이 우선되며, 중소기업이나 민간기업을 대상으로 하는 서비스 중심에서는 서버 취약성 커버 관제 모델 및 방법론이 중요하다. 또한 웹이나 콘텐츠를 기반으로 사업을 영위하는 기업에서는 기술·관리적 보호조치를 통한 관제 모델 및 방법론 등 각 사업 분야 및 성격에 따른 자산가치의 보호대상 정점을 기준으로 보호정책을 마련해 관제서비스에 접근해야 한다는 의견이다. 3. 각 사별 솔루션 특징 유넷시스템 - “모든 로그 관리 프로세스가 고려 대상 돼야” 유넷시스템은 기존 ESM 시장이 주도하던 보안관제 솔루션을 로그 분석 솔루션으로 전환해 시장 공략에 나서고 있다. 민경원 팀장은 “보안관제 솔루션을 도입하는 주요 목적은 연동하는 장비 및 비즈니스 트렌드가 지속적으로 변화함에 따라 방대한 로그를 어떻게 효과적으로 수집하고 안전하게 보관하며 저장된 로그에서 필요 정보만을 빠르게 검색·추출할 수 있는가이다”라며 “이에 대한 로그 관리 업무에 대한 프로세스 정립 및 자동화를 목표로 필요성 및 기대효과가 변해가고 있다”고 말했다. 작년 CC인증을 획득한 통합로그관리 솔루션 ‘애니몬 플러스(PLUS)’는 대용량 데이터를 실시간 수집·저장하고 나아가 ESM수준의 보안 분석이 가능한 UI를 제공한다. 민 팀장은 “수집하는 로그 종류에 상관없이 분석에 필요한 필드를 자동으로 추출하는 자동로그필드 추출 기능이 최대 특징으로 로그 발생시간, IP주소, 포트 등 사전 정의된 특정 필드 기준을 기반으로 했던 기존 로그관리 솔루션의 한계를 극복한다”며 “추출된 로그 필드 중 관리자에게 유용한 필드만으로 실시간 모니터링·상관분석·리포팅 등이 연동돼 효율성을 극대화할 수 있다”고 설명했다. 또한 유무선 통합 사용자 인증시스템인 ‘애니 클릭 AUS’로 강력한 사용자 인증 및 암호화를 통해 허용되지 않은 사용자와 단말의 네트워크 접속을 차단하고 안전한 데이터 전송을 제공해 내부 인프라를 보호하는 무선보안에 특화된 솔루션을 지원한다. 민 팀장은 “뿐만 아니라 무선침입방지솔루션(WIPS)인 ‘애니클릭 AIR’은 무선 네트워크 인프라 구축의 적절성을 모니터링하고 모든 WLAN 표준 프로토콜 장비의 보안 취약점을 탐지/차단해 안전하고 효율적인 무선 네트워크 환경을 구축한다”고 전했다. 유넷시스템은 향후 무선 보안전문업체로서 새롭게 출시하는 WIPS 제품인 애니 클릭 AIR의 시장 안착 및 글로벌 제품보다 우월한 성능과 가격 경쟁력을 지닌 통합로그분석시스템인 애니몬 플러스의 시장선도를 주요 목표로 하고 있으며 사용 기업들이 목적과 용도를 구체적으로 고려해 로그 처리량 및 보관 방법 등을 면밀히 살펴볼 것을 권장하고 있다. 민 팀장은 “이에 따라 로그 수집방법과 실시간 로그처리 , 분석방법, 모니터링, 리포팅 기능 등 보안관제 솔루션 기능에 대한 모든 프로세스가 고려대상이 돼야 하며 유지 보수 및 운영 편리성 면모도 검토해야 한다”고 강조했다. 윈스테크넷 - “금융권 중심으로 틈새시장 공략” 보안관제 업체 중 후발주자에 속하는 윈스테크넷은 관련 솔루션과 함께 향후 악성코드 배포지 모니터링, 공공기관 악성코드 삽입 유포지 모니터링 등 특정 분야의 맞춤형 시그니처 서비스를 강화해 관제서비스의 기술적 경쟁력과 고객 만족도를 높인다는 방침이다. 손동식 센터장은 “보안관제 업체들의 경쟁이 심화되면서 프로젝트 실패 시 2년간 피 지정 불가로 인해 보안사업 진출에 어려움이 생기며 선행사업자의 벽을 무너뜨리기 위한 노력이 불가피하다”며 “대기업 수행 관제 사이트를 공략한 틈새시장 확보에 중점을 둘 것이다”라고 강조했다. 이에 따라 윈스테크넷 보안관제서비스 ‘스나이퍼(MSS, Managed Security Service)는 사용자 네트워크에 설치된 보안시스템 또는 유사시스템에 대해 24/365 무중단 모니터링을 통해 외부 및 내부 네트워크로부터의 불법 침입시고 및 침해사고, 비정상 트래픽 유발 시스템에 대한 실시간 관제와 즉각적 침해대응을 제공한다. 손 센터장은 “보안정책 수립과 적용, 이기종 보안장비의 통합 운용 및 관리, 상관관계 분석, 침해사고 대응 등 다양한 기능과 체계적인 절차, 방법론에 따라 서비스를 지원할 방침”이라며 “금융권을 시작으로 한 파견관제 노하우를 바탕으로 관제 서비스 경쟁력을 높여나갈 계획”이라고 덧붙였다. 윈스테크넷은 이미 공공 분야에서 관제사업 초기단계임에도 불구하고 탄탄한 경쟁력을 보유하고 있어 기존 고객을 대상으로 한 관제사업 확대가 용이할 것이라는 의견이다. 손 센터장은 또 “10년 이상 쌓아온 공공기관 보안 솔루션 구축 노하우를 바탕으로 기관별 네트워크 특성에 적합한 맞춤형 시그니처 제작 서비스(SOD, Signature On Demand)가 가능하며 해킹 및 악성코드, 취약점 현황을 실시간으로 전달하는 위협 예·경보서비스인 시큐어 캐스트를 통해 위협정보 공유와 위험경보서비스를 함께 지원할 방침”이라고 말했다. 한편 기존 관제서비스와의 차별화를 위해 대형 보안관제 사업을 중점적으로 공략하는 동시에 보안솔루션 사업을 기반으로 보안시스템통합(SI)사업과 연계해 관제서비스 영역을 확대해나갈 방침이다. 이글루시큐리티 - “스파이더 TM 기반으로 보안체제 지원” 이글루시큐리티는 보안관제서비스 파견인력들의 전문성은 물론 본사 지원조직과 인력의 중요성을 인지해 지원인력의 규모와 능력을 강화해 업체들과의 차별성을 부각시킨다는 방침이다. 이를 위해 대기업으로의 대규모 인력 유출을 우려해 지속적으로 인재를 양성할 수 있는 프로세서를 유지하고 있으며 짧게는 수개월이 소요되는 전문 인력 양성을 위해 멘토 제도를 기반으로 한 신입사원을 현장 교육을 실시하고 있다. 조창섭 상무는 “이글루시큐리티 허스키(HUSKEY) 서비스는 고객이 본연의 비즈니스에 안심하고 전념할 수 있도록 하는 인터넷 기반 비즈니스에 필수적인 보안관리 서비스이며 국내 통합 보안관리 분야를 아우르는 ESM제품인 ‘스파이더TM’을 기반으로 강력한 보안체제를 지원 한다”고 설명했다. 허스키 서비스는 보안정책 수립 및 취약점 분석과 보안솔루션 제공 및 구축, 보안 시스템의 24x7 실시간 원격관리, 모니터링·장애처리·보안 교육서비스가 주요 기능이다. 특히 통합보안관리 솔루션인 ‘스파이더 TM’은 일관된 정책 아래 네트워크상에 존재하는 이기종 보안장비를 통합해 관리해준다. 조 상무는 “외부로부터의 다양한 보안위협에 대한 사전 및 사후 대응이 가능해 기업 IT 자산을 방어할 수 있다”며 “이기종 보안시스템과 부요 네트워크 장비에서 발생하는 다양한 형식의 개별 로그와 이벤트를 수집해 동일 포맷으로 정규화하며 정규화 된 이벤트 중 보안에 중요하지 않은 데이터 또는 중복 데이터를 축약 처리해 트래픽 부하를 감소시킨다”고 전했다. 또한 의심스러운 로그 발생 시 연관된 다른 보안 시스템 이벤트 로그를 확인해 이상 징후에 대한 면밀한 판단을 할 수 있는 상호연관성 분석을 진행하며, 이 기술은 보안 이벤트 간 복합분석을 통해 이상 징후와 침입증거를 파악한다. 이와 같이 ‘스파이더 TM^을 적용한 허스키 서비스는 만일 장애가 발생할 경우 ESM솔루션을 통해 체계적인 대응을 실시해 사고로 인한 고객사의 피해를 최소화하며, 정기적인 리포트를 통해 고객이 직접 자사의 보안 상태를 점검할 수 있도록 지원하게 된다. 조 상무는 “허스키 서비스는 24시간/위험요소별 모니터링과 보안 보고서/취약점 분석/침해 대응 서비스 등을 중심으로 다양한 기업의 상황과 요구에 적합하다”고 강조했다.