[칼럼] 보안전략 수립을 위한 필수 기반 솔루션 전망

보안 취약점 아우르는 보안관리 시스템으로 성장

2009년 IT보안의 화두, 보안 취약점

▲ 황태현 소프트런 사장

운영 체제나 응용소프트웨어 등의 소프트웨어에는 설계 및 운영 시 알려지지 않은 다양한 보안 취약점이 존재한다. 문제는 IT보안에 있어서 이러한 취약점이 보안 사고를 일으키는 주요 원인으로 작용한다는 것이다. 공격자들이 보안 취약점을 악용해 악성코드 감염의 경로로 활용하기 때문이다.

갈수록 인터넷 보안 취약성과 그로 인한 문제는 심화되어 가고 있는데 전체 인터넷의 보안 취약성은 소프트웨어의 복잡성 증가와 밀접한 관련이 있다. 시간이 지날수록 기능이 향상된 업그레이드 버전의 출시로 인해 소프트웨어의 크기가 증대되고 있을 뿐만 아니라 다양한 기능 구현을 위해 소프트웨어의 크기가 커짐과 동시에 코드가 복잡해지면서 소프트웨어의 보안 취약점도 증가하고 있다. 그리고 이러한 보안 취약점을 파고드는 공격 위협도 커지고 있다.

보안 전문가들은 각종 자료나 언론을 통해 운영체제 및 다양한 애플리케이션에 대한 패치 및 백신 설치 등을 통한 사전 예방의 필요성이 증대하고 있다고 지적하고 있다. 특히 한국정보보호진흥원은 발간 자료를 통해 보안 취약성의 증가는 대부분 인터넷 침해 사고 발생 가능성 증대로 직결되므로 적극적인 대응이 필요하다고 설명하고 있다. 이와 같은 사실을 증명이라도 하듯이 지난해 운영체제를 비롯해 보안 패치에 대한 관심이 적은 MS Office 및 Acrobat 등의 문서 파일 애플리케이션 취약점이 악성코드 전파 경로로 많이 악용되었으며, 또한 악성코드 제작자들이 감염 성공률을 더욱 높이기 위해 알려지지 않은 취약점을 악용하는 유형의 공격이 더욱 증가할 것이라는 예측이 연이어 발표되고 있다.

▲ 출처 : 한국정보보호진흥원 인터넷침해대응지원센터

위의 그림은 CVE에서 자체 기준을 적용해 취약성의 심각성을 계산한 내용을 정리한 것으로 취약점 공격 영향력의 변화를 나타내고 있다. 자세히 살펴보면 갈수록 Low레벨의 취약점은 줄어드는 반면 High 레벨의 취약점 비율이 높아지고 있는 것을 확인할 수 있다. 그만큼 취약점으로 인한 침해 사고 위험성이 증대되고 있다는 것이다.

현재 국내에는 이러한 취약점에 대한 진단 및 해결이 가능한 솔루션이 존재하지 않는다. 다만 기존의 패치관리시스템이 패치 관리라는 1차적인 기능을 확대해 IT보안 전반을 관리하는 IT보안 플랫폼으로서의 역할을 담당해 왔다. 운영체제에 관련된 패치뿐만 아니라 3rd Party패치 관리 기능까지 수행하고 있어 응용 애플리케이션 취약점으로 인해 발생할 수 있는 보안 사고에 대한 원천적인 예방을 가능하도록 해왔던 것이다.

패치관리에서 취약점 관리로의 확장

2009년의 패치관리시스템은 취약점으로 인한 보안 위협 심화에 보다 적극적으로 대응하기 위한 R&D에 박차를 가하고 있다. 우선 전사 네트워크를 중앙에서 관리하고 제어하는 기능을 바탕으로 네트워크의 취약점을 자동적으로 진단하고 해결해 나가는 첨단 보안 기술을 장착할 준비를 해나가고 있다. 이것은 공식적으로 공급되는 패치 이외에 네트워크와 시스템, 애플리케이션 전반의 취약점을 총체적으로 보완하고 관리해 나가는 개념이다. 기존의 패치관리시스템이 전체 네트워크 내에서 발견된 취약점을 중앙에서 통제하고 사용자가 인지하지 못하는 상황에서 이를 해결할 수 있는 시스템으로 진화하는 것을 말하며, 기업 보안관리의 영역의 확장을 의미하기도 한다. 패치, 안티 바이러스, 안티 스파이웨어 및 개별 보안 제품으로는 해결할 수 없는 보안 정책을 관리할 수 있는 제품이 될 것으로 기대하고 있으며 어떤 데이터 유형이든, 어떤 경로든 상관없이 지속적이고 원천적인 보안을 가능하게 할 것이다. 특히 정보통신 인프라의 위험 노출, 모니터링, 보안 정책 수립 등을 제공할 수 있는 취약점 관리 소프트웨어의 수요의 증가가 높은 점을 착안했다. 최종적으로는 패치관리시스템을 통해 IT보안 솔루션의 운영이 이루어 질 수 있도록 하는 것을 목표로 하고 있다.

90년대 중반부터 시작된 세계 패치관리시스템 시장은 지속된 성장과 진화를 거듭하여 Patch Management + Configuration and Change Management + Vulnerability Management 의 모습 즉, 3가지 형태가 통합된 ‘취약성관리 소프트웨어’로의 변화를 보이고 있다.

위의 자료에서 세계 정보보호 시장 전망에 관련된 내용을 보면 ‘취약성관리 소프트웨어’는 세계 정보보호시장 내 소프트웨어 제품군중에서도 가장 높은 연평균성장률(CAGR)을 보이고 있다. 즉, 최근까지 정보보호시장 내에서 각광받았던 많은 아이템들이 시장의 경향 변화 등으로 쇠퇴하고 있으며 향후 ‘취약성관리 소프트웨어’가 차세대 기술로 각광받을 것이라는 것을 파악할 수 있다. 국내의 패치관리시스템은 세계시장의 트렌드를 적용한, 즉 기존의 Patch Management에 Configuration and Change Management 그리고 Vulnerability Management가 통합된 기술을 탑재한 ‘취약점관리 소프트웨어’ 로써 국내 IT보안 기술을 선도할 핵심 영역으로 성장해 나갈 것이다.

고객 통찰력이란 고객이 스스로 깨닫지 못한 욕구를 파악해 제품 개발에 반영, 새로운 가치를 창출해 내는 것이다. IT보안 담당자의 고민을 생각하고 반영하기에 점점 더 진화해가는 패치관리시스템이 한발 앞서 보안 취약점의 원인을 찾아내고 신속히 이를 해결하는 차세대 기술을 통해 우리나라의 보안 체질 강화에 더욱 기여하길 기대해본다.

<글 : 황태현 소프트런 사장(hth@softrun.com)>

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)