보안위협, 이제 TMS로 깨끗이 청소하자

위협관리 시스템(TMS)의 이해와 적용방안

TMS는 Threat Management System의 약자로 위협관리 시스템을 일컫는다. ㈜정보보호기술에서 최초로 명명한 TMS는 2003년에 발생한 1·25 인터넷 대란을 계기로 각 기관에서 외부 위협으로부터 내부 정보자산을 보호하기 위해 위협을 조기에 감지하고 발생한 위협을 감소 또는 제거하는 것을 목표로 만든 통합보안관리 시스템 중에 하나다.

그렇다면 위협은 무엇인가? 위협은 정보자산의 보안에 부정적 영향을 줄 수 있는 외부환경 또는 발생 가능한 이벤트를 의미한다. TMS는 이러한 보안위협(서비스방해 공격, 인터넷 웜 확산, 정보유출 등)을 사전에 인지하고 조치함으로써 사후 복구에 따른 경제적·사회적 비용을 절감할 수 있는 솔루션이다.

TMS 개요 및 최신 기술동향

한국정보보호진흥원(KISA)에서 발표한 ‘국내 정보보호산업 시장 및 동향조사’에 따르면 위협관리 시스템(TMS), 기업보안관리(ESM), 패치관리 시스템(PMS), 로그관리/분석 툴, 그리고 취약점 분석 툴 등이 포함된 보안관리 부문의 매출은 2007년 약 650억 원이었고, 연평균 성장률은 2012년까지 약 8%에 이를 것으로 전망되고 있다. 이중 위협관리 시스템(TMS)은 같은 기간 동안 매년 약 7.5%씩 성장하여 2012년의 시장규모는 약 216억 원에 이를 것으로 전망된다.

향후 지속적으로 높은 성장률을 보일 것으로 전망되는 TMS도 시장 도입 초기에는 IDS(Intrusion Detection System)와 NMS(Network Monitor ing System)를 결합한 단순한 형태였다. IDS로부터 보안 이벤트를 수집하고, NMS로부터 트래픽 데이터를 받아 조직의 네트워크 보안상황을 종합하여 직관적으로 보여주고자 했지만 정작 보안관리자가 원하는 정보를 정확하고 풍부하게 제공하지는 못했다.

이후 TMS의 도입이 늘어나고 다양한 기관의 요구가 새로 추가되면서 TMS는 진정한 통합보안관리 시스템으로 발전하게 된다. 초기에는 사이버 침해에 대해 수동적으로 탐지만 했지만 현재는 공격 트래픽에 대해서 능동적으로 대응하고 방어할 수 있게 되었을 뿐만 아니라 이상 트래픽 증가 시에 관리자가 원하는 정보(상위 5개 공격 IP, Port, Protocol별 분석, 최근 5분간 공격유형 등)를 비교적 정교하고 다양하게 제공하고 있으며, 보고서 예약 및 자동 전송 기능까지 갖추고 있다.

TMS는 통합 보안관제를 수행하고 있는 정부기관과 ISP(Internet Service Provider)부터 대기업, 교육기관, 병원에 이르기까지 다양한 조직에 구축되어 지금도 확산되고 있는 추세이다.

TMS의 문제점과 대안

TMS 시장의 지속적인 성장에 반하여 그동안 간과했던 것이 하나 있다면 그것은 TMS의 손과 발 역할을 하고 있는 유해트래픽 탐지/분석 센서(TAS)의 정확한 탐지율이다. IDS/IPS (Intrusion Prevention System) 무용론이 대두된 것도 실제 정보자산에 피해를 입히는 ‘진짜’ 공격을 찾아내지 못한 것 때문이었다.

어떤 지방자치단체에 구축된 IPS는 안티바이러스 관리 시스템과 에이전트간의 통신 패킷을 바이러스로 오인(False Positive)하여 차단함으로써 해당 기관에 혼란을 야기한 경우도 있었다. 이외에도 Unknown Attack 탐지기술과 DDoS 패턴 탐지기술, 시그니처 생성기술, Abnormal Tra ffic 탐지기술 등의 향상을 위한 노력들이 필요하다.

개발업체들은 유해트래픽 탐지/분석 센서가 최신 해킹공격을 정확하게 탐지할 수 있도록 시그니처를 정교하고 빠르게 제작해야 한다. 이것이 가능하게 만들기 위해서는 취약성 분석과 시그니처 제작을 담당하는 부서에 과감한 인적·물적 투자를 해야 할 것이다. 그럼으로써 TAS로부터 올라오는 신뢰성 있는 공격 이벤트를 정확하게 분석하여 보안관리자에게 전달함으로써 사이버 침해사고 발생시 의사결정을 빠르고 정확하게 할 수 있을 것이다.

향후 고려사항

흔히 완벽한 보안은 없다고 말한다. TMS는 기관의 완벽한 네트워크 보안을 구현하는 데 있어 없어서는 안 될 중요한 솔루션임에는 틀림없다. 최근에는 TMS의 일부 기능을 ESM(En terprise Security Management)에서 벤치마킹할 정도로 TMS의 네트워크 트래픽 모니터링과 분석기능은 통합보안 관제센터의 핵심기능이 되었다. 또한, DDoS 공격 등 알려지지 않은 네트워크 트래픽을 대상으로 한 공격의 증가가 예측되므로, TMS의 필요성은 더욱 증대될 것으로 보인다.

향후에는 TMS가 해결해야 할 문제로 남아있는 Unknown Attack 탐지, DDoS 패턴 탐지, 시그니처 생성, Abnormal Traffic 탐지 등에 대한 기술개발과 적극적인 해결책 강구가 요구된다. 기존 유선망에 무선 통신망과 방송망까지 융합되고 IPv6가 확산되면서 홈 네트워크, 병원, 재난관리의 영역을 지원하는 유비쿼터스 환경이 구현되고 있다. 이러한 환경에서 TMS가 개인 단말 보안부터 엔터프라이즈 네트워크 보안까지 아우르는 진정한 통합보안관리 솔루션 ‘TMS 2.0’으로 발전하기를 기대해본다.

<글 : 코스콤 ISAC팀(www.koscom.co.kr)>

[월간 시큐리티월드 통권 제144호 (info@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)