세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
국가주요시설에서 W사 보안장비 운용하다 ‘싹’ 걷어낸 이유
  |  입력 : 2018-09-10 16:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국가주요시설 보안담당자, W사 제품 사용하다 다른 보안제품으로 바꾼 사연
특정 제품은 앱으로 다른 제품과 연동...W사는 엔지니어가 직접 작업해야 가능
SIEM 위한 로그 통합 어렵고, 정확한 트래픽량 제시 못해 빅데이터 솔루션 도입 힘들어


[보안뉴스 원병철 기자] 어떤 제품이든 성공하기 위해서는 해당 제품을 사용하는 고객들의 니즈를 충실히 반영해야 한다. 이는 해당 제품이 갖춰야할 기본이며, 여기에다 사용자의 편의를 담은 유저 친화 기능과 다른 제품과의 협업이 가능하도록 하는 확장성도 포함돼야 한다.

[이미지=iclickart]


이는 보안제품 역시 마찬가지다. 각 장비별 특성을 반영한 ‘보안’ 기능이 최우선이며, 더 나아가 다른 보안제품과의 연동을 쉽게 할 수 있는 ‘확장성’과 엔지니어가 아닌 사용자도 쉽게 사용할 수 있도록 ‘편의성’을 갖춘 장비를 만드는 것이 중요하다.

국가주요시설 등 공공분야, 국내 CC인증 탓에 국산 사용하지만 아쉬움 많아
국가주요시설 중 한 곳의 보안담당자는 이러한 측면에서 그동안 사용했던 국내 브랜드 제품들에 있어 아쉬움이 많다고 본지에 밝혔다. 국가주요시설의 보안은 일반기업이나 연구소 등과의 보안과는 또 다른 중요성을 갖고 있다. 특히, 세계 유일의 분단국가라는 특수성 때문에 ‘보안’ 혹은 ‘안보’를 이유로 해외 제품보단 국내 제품에 우선순위를 두고 있는 상황에서 몇몇 국내 제품의 문제가 두드러져 보인다는 얘기다. 그가 국내 대표적인 보안기업 W사의 보안장비를 사용하다가 싹 걷어내고 글로벌 제품으로 교체한 사연을 들어보면 시사하는 바가 크다.

“제가 담당하는 국가주요시설에서 보안장비로 W사 제품을 사용하다 최근 몇 년 사이 글로벌 기업 제품으로 교체했습니다. 다들 잘 아시겠지만, 국가주요시설에서는 국내 CC를 취득했거나 별도의 보안성 검사를 통과한 제품만 사용할 수 있는데, 사용자 입장이나 제품을 판매하는 입장에서 별도의 보안성 검사를 진행하는 것이 사실 쉽지 않습니다. 이 때문에 국내 CC를 취득한 국산 제품을 주로 사용하죠. 그럼에도 우리 시설에서는 별도의 보안성 검사를 받은 글로벌 기업의 IPS와 디도스 대응장비 등을 도입해 사용하고 있습니다.”

해당 보안담당자는 이러한 번거로움을 감수하고서 글로벌 기업의 제품을 도입한 이유로 크게 세 가지를 꼽았다.

첫 번째는 바로 이기종 보안장비의 로그 통합을 통한 연관성 분석, 혹은 빅데이터 분석 이슈다. 오래 전부터 보안담당자들은 빅데이터 기반 보안관제 시스템인 SIEM(Security Information & Event Management) 솔루션을 도입해 사용하고 있다. SIEM이 도입되면서 서버로그, 메일 시스템, 스팸 솔루션, 방화벽, IPS, APT 탐지 솔루션, 백신 등 회사에서 운영하는 모든 장비의 로그를 통합하고, 시나리오를 기반으로 한 연관성 분석이 가능해졌다고 보안담당자는 설명했다.

“예를 하나 들어볼까요? 위험도가 낮은 공격이 IPS에 탐지될 경우에 SIEM이 없을 때는 단순 공격으로 판단해 사건을 종결하지만, SIEM이 있을 때는 최근 6개월간의 방화벽 로그를 검사해 해당 IP가 접근한 적이 있었는지 검사하고, 주기적으로 접근한 기록이 존재할 경우에는 타깃 공격으로 간주하고 IP를 별도 관리합니다.”

이러한 SIEM을 도입하면 첫 번째로 장비에서 로그를 수집해 SIEM 솔루션으로 수집하고, 두 번째로 수집된 로그를 분석해 필드를 식별해야 한다.

예를 들어 특정 장비의 로그가 아래와 같이 수집됐다고 가정해 보자(이는 실제 수집된 로그다).
CEF:0|Trend Micro|Deep Security Agent||4000000|Eicar_test_file|6|cn1=1 cn1Label=Host ID dvchost=hostname cn2=205 cn2Label=Quarantine File Size cs6=ContainerImageName | ContainerName | ContainerID cs6Label=Container filePath=C:\\Users\\trend\\Desktop\\eicar.exe act=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/TrendMicroDsFileMD5=44D88612FEA
8A8F36DE82E1278ABB02F TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256=275A021BBFB6489E54D471899F7DB9D1663FC
695EC2FE2A2C4538AABF651FD0F TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_
CERBER.C;Ransom_CRYPNISCA.SM

해당 로그는 ‘|’ 문자를 기준으로 구분된다. 이 때문에 ‘|’ 문자를 기준으로 모든 필드를 구분한 후, 각 필드의 역할을 정의해야 하며, 모든 로그, 모든 필드에 대해 이름을 부여하는 필드식별 과정을 진행해야 한다.

필드 식별이 완료되면 해당 필드명을 기준으로 시나리오를 생성한다. 예를 들면 다음과 같다.

source=IPS
AND (myfield1="true" OR myfield2="red")
AND myfield3="blue"

이처럼 SIEM을 성공적으로 도입하려면 데이터의 필드 식별이 매우 중요하다. 글로벌 기업은 대부분 이러한 로그포맷에 대한 개념을 명확하게 이해하고 있다. 시스코의 시스로그(SYSLOG)는 빅데이터 분석에 활용이 가능한 형태로 로그포맷을 제공하고 있으며, 이에 대한 상세한 명세도 외부에 공개하고 있다. 팔로알토 네트웍스 역시 자사 홈페이지에 로그포맷 명세를 공개했으며, 임퍼바 역시 모두 공개되어 있다.

“하지만 저희가 사용했던 W사를 비롯한 일부 국내 보안장비들은 이러한 측면에서 미흡한 점이 있었습니다. 예를 들면, W사 장비는 정해진 내용으로만 식별돼서 W로그를 일일이 맞춰줘야 했습니다. W사 장비에서 로그가 발생하면 SIEM에 필드 식별작업을 일일이 해줘야 했죠. 글로벌 기업 제품은 제공되는 앱으로 설정할 수 있는데, W사의 경우 엔지니어가 직접 와서 일일이 작업해야 했습니다. 심할 경우 한두 달이 걸리는 일도 있더군요.”

또 다른 국가주요시설 보안담당자는 “로그 문제 때문에 15년간 사용했던 W사 방화벽을 글로벌 기업 제품으로 교체했다”고 밝혔다.

이에 대한 본지의 답변 요청에 W사는 “스플렁크 등 외산 SIEM 장비와 연동하고 있고, 일본 최대 모바일 통신사에 10Gbps급 장비 수백 대가 연동되어 7년째 운영 중에 있다”고 강조했다. 또한, 글로벌 브랜드는 아크사이트와 스플렁크, 국내 제품은 모두 연동이 가능하며, 비 암호화 프로토콜은 SYSLOG, SNMP 또한 지원한다고 밝혔다.

또한, 국내외 보안 탐지 이벤트의 원활한 연동을 위해 국내 표준화 작업을 지속적으로 진행하고 있다고 설명했다. 실제 W사는 TTA 등과 함께 국가표준을 위한 활동을 하고 있으며, 2017년부터는 과기정통부 국책사업인 ‘Security Analytics 기반의 이기종 보안솔루션 위협분석 및 대응기술 개발’을 6개 보안업체와 함께 추진하고 있다고 강조했다.

커스터마이징도 좋지만 체계적인 제품관리 통해 품질완성도 높여야
두 번째 문제는 바로 디도스 공격시 트래픽량에 대한 명확한 데이터 부재다. W사의 디도스 방어 솔루션의 경우 탐지로그를 보낼 때, 탐지된 데이터량은 기록하지 않는다고 보안담당자는 설명했다. 디도스 공격 특성상 트래픽량 추적이 매우 중요하기 때문에 트래픽량에 대한 항목이 존재하지 않을 경우 분석이 어려울 수 있다는 것. 결국 W사처럼 테이터량을 기록하지 않을 경우 빅데이터 솔루션 도입에 큰 어려움을 겪고 있을 수 있다는 얘기다.

이에 대해 W사는 자사 장비의 경우 디도스 공격 발생시 공격자 및 공격 트래픽을 정밀하게 식별해 탐지·차단하는 기능을 내장하고 있으며, 이는 디도스 제품의 CC 인증시 요구사항이기도 하다고 밝혔다. 또한, 공격 이벤트에 트래픽의 패킷수와 트래픽 총량이 수록되어 연동된다고 강조했다. 그리고 기존 제품 이후 차세대 디도스 방어 솔루션이 출시됐고 버전 3.0까지 나왔기 때문에 기존 제품과의 차별점도 있다고 설명했다.

하지만 현장에서 이를 사용했던 보안담당자는 트래픽 총량은 찾지 못했으며, 이로 인해 빅데이터 분석 기능을 제외할 것을 고려했다고 반박했다. 또한, 5년간 W사의 해당 장비를 사용한 후, 조달시장을 통해 다시 최신 버전을 구입했지만 업데이트 흔적도 없었다고 강조했다.

마지막 세 번째는 체계적인 제품관리와 고객과의 커뮤니케이션이다. 보통 국내 보안기업들이 고객들에게 내세우는 장점 중 하나가 바로 ‘커스터마이징’, 즉 맞춤 제작이다. 엔지니어들이 모두 국내에 있는 우리나라 기업의 특성상 고객의 니즈를 현장에서 바로 수용할 수 있다는 점은 분명 장점이라 할 수 있다.

문제는 이렇게 반영된 개선점이 다른 고객 혹은 다음 버전에는 적용이 안 된다는 사실이다. 고객의 니즈에는 대응하지만 관리가 제대로 이뤄지지 않아 제품이 개선되지 않으면 결국 회사에도 도움이 되지 않는다는 게 보안담당자의 우려다.

“W사 장비를 사용하던 중에 또 다른 국가주요시설에서 이메일 관련 기능을 추가했다고 하기에 우리도 그 기능을 추가해달라고 했더니 소스코드가 없어서 안 된다는 답변을 들었습니다. 글로벌 기업은 사이트에 질문을 올리면 반드시 답변이 돌아오며, 이는 다시 정식 릴리즈되어 제품에 반영됩니다. 이러한 문제는 나중에 취약점 관리에도 도움이 안 됩니다. 같은 제품이라도 구축된 기업마다 기능과 성능이 틀리면 보안도 각각 진행해야 하니까요.”

이에 비해 글로벌 기업들은 대부분 제조사 차원에서 고객과의 커뮤니케이션 창구를 운영하고 있으며, 커뮤니티 창구가 없는 기업은 TMS(Ticket Management System)를 운영하고 있다는 것이 보안담당자의 설명이다.

TMS의 경우 질문에 티켓 번호를 부여한 후, 접수부터 완결까지 모든 과정을 티켓 번호로 관리하며, 제조사는 물론 다른 고객사까지 답변을 달 수 있도록 해 다양한 의견과 시장의 흐름을 알 수 있다.

이에 대해서도 W사는 국내 브랜드 커뮤니케이션 창구가 미비하다는 것은 국내 소규모 보안제품 개발사의 일부 문제로 본다고 설명했다. 반대로 우리나라에서 W사를 제외한 외산업체 중 가장 큰 매출을 점유하고 있는 C사의 침입탐지(IPS) 제품의 경우, 자사 제품을 이해하고 있는 엔지니어가 국내에 없어 기술지원에 한계가 있다는 지적이 많이 제기되고 있다고 밝혔다. 외산업체 중 가장 많은 엔지니어를 보유하고 있는 업체의 기술력이 이 정도인데, 과연 다른 외산 보안업체의 기술지원은 어떤 수준인지 판단할 수 있을 것이라고 W사는 덧붙였다.

무엇보다 W사는 “전국 16개 시도에 촘촘하게 짜인 고객사-채널 조직을 가지고 있고, 24시간 콜센터를 운영 중에 있다”며, “채널의 기술지원으로도 부족한 경우 우리의 기술지원 엔지니어와 개발자가 직접 기술지원을 한다”고 강조했다.

마지막으로 해당 사실을 제보한 국가주요시설 보안담당자는 “글로벌 기업들은 고객과의 소통 및 지속적인 연구개발을 통해 혁신을 거듭해 왔고, 이를 바탕으로 이제는 대량의 데이터를 에러 없이 안정적으로 처리할 수 있게 됐으며, 커스터마이징 없이도 고객이 요구하는 기능들을 대부분 충족시킬 수 있게 됐다”면서 “우리 기업들도 글로벌 시장의 흐름을 알고 따라가려는 노력이 필요하다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 6
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)