보안위협, 이제 TMS로 깨끗이 청소하자
[보도자료/2009-02-06]
보안위협, 이제 TMS로 깨끗이 청소하자
TMS는 Threat Management System의 약자로 위협관리시스템을 일컫는다. ㈜정보보호기술에서 최초로 명명(命名)한 ‘TMS’는 2003년에 발생한 1•25 인터넷 대란을 계기로 각 기관에서 외부 위협으로부터 내부 정보자산을 보호하기 위해 위협을 조기에 감지하고 발생한 위협을 감소 또는 제거하는 것을 목표로 하는 통합된 보안관리시스템 중의 하나이다.
그렇다면 위협은 무엇인가? 위협은 정보자산의 보안에 부정적 영향을 줄 수 있는 외부의 환경 또는 발생 가능한 이벤트를 의미한다. TMS는 이러한 보안위협(서비스방해공격, 인터넷 웜 확산, 정보유출 등)을 사전에 인지하고 조치함으로써 사후 복구에 따른 경제적/사회적 비용을 절감할 수 있는 솔루션이다.
2007년 11월에 한국정보보호진흥원에서 발간한 <2007 국내 정보보호산업 시장 및 동향 조사>에 따르면 위협관리시스템(TMS), 기업보안관리(ESM), 패치관리시스템(PMS), 로그관리/분석 툴, 그리고 취약점 분석 툴 등이 포함된 보안관리 부문의 매출은 2006년도와 2007도에는 각각 약 650억 원이었고 연평균성장률은 2012년까지 약 8.0% 성장할 것으로 전망되고 있다. 이중 위협관리시스템(TMS)은 같은 기간 동안 매년 약 7.5%씩 성장하여 2012년의 시장규모는 각각 약 216억 원에 이를 것으로 전망되었다.
[표 1] 보안관리시스템 매출 전망
|
구분 |
2008년 |
2009년 |
2010년 |
2011년 |
2012년 |
*CAGR(%) |
|---|---|---|---|---|---|---|
|
위협관리시스템 |
15,424 |
16,982 |
18,540 |
20,098 |
21,656 |
7.5 |
|
기업보안관리 |
32,841 |
35,192 |
37,543 |
39,894 |
42,245 |
6.4 |
|
패치관리시스템 |
13,055 |
14,699 |
16,344 |
17,988 |
19,633 |
15.8 |
|
로그관리/분석 툴 |
10,195 |
11,098 |
12,001 |
12,904 |
13,807 |
4.1 |
|
취약점 분석 툴 |
3,590 |
4,186 |
4,782 |
5,378 |
5,974 |
12.8 |
|
합계 |
75,105 |
82,157 |
89,210 |
96,262 |
103,315 |
8.0 |
* 출처 : “2007 국내 정보보호산업 시장 및 동향 조사”, 한국정보보호진흥원, 2007
* CAGR(Compound Annual Growth Rate) : 연평균성장률
[표 2] 시장초기와 현재의 TMS 주요 특징 비교
|
시장 초기 |
현재 |
|---|---|
|
- 단순한 IDS와 NMS 결합 형태 - 탐지에 의한 정보 수집에 집중 - 오탐(False Positive) 다수 발생 |
- 탐지에 이은 차단 대응 가능 - 비교적 정확한 트래픽 정보 제공 |
향후 지속적으로 높은 성장률을 보일 것으로 전망되는 TMS도 시장 도입 초기에는 IDS(Intrusion Detection System)와 NMS(Network Monitoring System)를 결합한 단순한 형태였다. IDS로부터 보안 이벤트를 수집하고 NMS로부터 트래픽 데이터를 받아 조직의 네트워크 보안 상황을 종합하여 직관적으로 보여주려고 노력했지만 정작 보안관리자가 원하는 정보를 정확하고 풍부하게 제공하지는 못했다.
이후 TMS의 도입이 늘어나고 다양한 기관의 요구가 새로 추가되면서 TMS는 진정한 통합보안관리시스템으로 발전하게 된다. 초기에는 수동적으로 사이버 침해에 대해 탐지만 했지만 현재는 공격 트래픽에 대해서 능동적으로 대응하고 방어할 수 있게 되었을 뿐만 아니라 이상 트래픽 증가 시에 관리자가 원하는 정보(상위 5개 공격 IP, Port, Protocol별 분석, 최근 5분간 공격유형 등)를 비교적 정교하고 다양하게 제공해주고 보고서 예약 및 자동 전송 기능까지 제공하고 있다.
TMS는 통합보안관제를 수행하고 있는 정부기관과 ISP(Internet Service Provider)부터 대기업, 교육기관, 병원에 이르기까지 다양한 조직에 구축되어 지금도 확산되고 있는 추세이다.
현재 TMS의 문제점과 대안
그러나, TMS 시장규모의 성장에 반하여 그 동안 우리가 간과했던 것이 하나 있다면 그것은 TMS의 손과 발의 역할을 하고 있는 유해트래픽 탐지/분석 센서(TAS)의 정확한 탐지율이다. IDS/IPS(Intrusion Prevention System) 무용론이 대두된 것도 실제 정보자산에 피해를 입히는 ‘진짜’ 공격을 찾아내지 못한 것 때문이었다. 어떤 지방자치단체에 구축된 IPS는 안티바이러스관리시스템과 에이전트간의 통신 패킷을 바이러스로 오인(False Positive)하여 차단함으로써 해당 기관에 혼란을 야기한 경우도 있었다. 이외에도 Unknown Attack 탐지 기술과 DDoS 패턴 탐지 기술, 시그니처 생성 기술, Abnormal Traffic 탐지 기술 등의 향상을 위한 노력들이 필요하다.
개발업체들은 유해트래픽 탐지/분석 센서가 최신 해킹 공격을 정확하게 탐지할 수 있도록 시그니쳐를 정교하고 빠르게 제작해야 한다. 이것이 가능하기 위해서는 취약성 분석과 시그니쳐 제작을 담당하는 부서에 과감한 인적, 물적 투자를 해야 할 것이다. 그럼으로써 TAS로부터 올라오는 신뢰성 있는 공격 이벤트를 정확하게 분석하여 보안관리자에게 정보를 전달함으로써 사이버 침해사고 발생 시 의사결정을 빠르고 정확하게 할 수 있을 것이다.
향후 고려사항
완벽한 보안은 없다고 한다. TMS는 기관의 완벽한 네트워크 보안을 구현하는 데 있어 없어서는 안 될 중요한 솔루션임에는 틀림이 없다. 최근에는 TMS의 일부 기능을 ESM(Enterprise Security Management)에서 벤치마킹을 할 정도로 TMS의 네트워크 트래픽 모니터링과 분석 기능은 통합보안관제센터의 핵심 기능이 되었다. 또한 DDoS 공격 등 알려지지 않은 네트워크 트래픽을 대상으로 한 공격의 증가가 예측되므로 TMS의 필요성은 더욱 증대될 것으로 전망된다.
향후에는 TMS가 해결해야 할 문제로 남아있는 Unknown Attack 탐지, DDoS 패턴 탐지, 시그니처 생성, Abnormal Traffic 탐지 등에 대한 기술개발과 적극적 해결이 필요하다. 더불어 기존 유선망에 무선 통신망과 방송망까지 융합되고 IPv6가 확산되면서 홈네트워크, 병원, 재난관리의 영역을 지원하는 유비쿼터스 환경 속에서 TMS가 개인단말 보안부터 엔터프라이즈 네트워크 보안까지 아우르는 진정한 통합보안관리 솔루션 ‘TMS 2.0’으로 발전하기를 기대해본다. 코스콤 사장이 한국전자문서산업협회 3대 회장으로 내정됐다.
<문의> (주)코스콤 ISAC팀 팀장 차승현 ☎.767-7380 (011-9774-3849)