[알아봅시다] ESM(Enterprise Security Management)이란

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
1990년대 이후 급속도로 발달하기 시작한 정보기술(IT)은 개인이나 기업의 자산 관리를 편리하게 만들었지만 그에 따른 보안 위협도 커지게 됐습니다. 그래서 1990년대 후반부터 정보보호 부문이 각광을 받게 되면서 방화벽을 필두로 침입탐지시스템(IDS), 가상사설망(VPN), 침입방지시스템(IPS) 등 많은 보안시스템이 등장하였습니다.

이러한 다양한 보안시스템의 등장으로 기업이나 기관에서 이들 시스템을 하나 하나 구축하다보니 소규모 네트워크의 경우에도 복수의 보안시스템을 운영하는 경우가 많아졌습니다. 이에 따라 조직의 보안관리자는 당연히 이러한 다양한 시스템에 대한 모니터링 및 관리문제에 부딪히지 않을 수 없게 되었습니다.

보안관리자의 업무는 매우 다양합니다. 조직의 보안정책도 수립해야 하고 네트워크에 들어오고 나가는 각종 패킷에 대한 모니터링뿐만 아니라 네트워크와 시스템의 취약점도 점검해야 하며 보안시스템의 이상유무도 검사해야 합니다. 보안에 관한 모든 업무를 수행해야 하는 보안관리자가 모니터링에 많은 시간을 할애하는 건 낭비가 아닐 수 없겠죠. 그래서 모니터링 부분을 최소화하기 위한 요구가 많을 수밖에 없었습니다.

이때 등장한 솔루션이 통합보안관리(ESM; Enterprise Security Management) 시스템입니다. ESM은 각 기업과 기관의 보안정책을 반영, 다양한 보안시스템을 관제ㆍ운영ㆍ관리함으로써 조직의 보안목적을 효율적으로 실현시키는 시스템입니다. ESM은 기업이 보유하고 있는 각종 보안제품(방화벽, IPS, IDS, VPN 등) 및 네트워크 장비(서버, 라우터 등)를 상호 연동하여 효율적으로 운영할 수 있도록 지원합니다. 또 다양한 위협에 대한 사전ㆍ사후 대응을 가능하게 하여 기업의 IT자산에 대한 가용성ㆍ무결성ㆍ기밀성 보장을 위한 위험관리를 수행합니다. ESM은 2000년대 초반까지만 해도 단순히 많은 보안시스템과 연동하여 하나의 콘솔에서 동시 관제를 수행하는 정도의 역할을 했었지만 점점 그 역할과 중요성이 커지고 있습니다.

ESM을 도입하게 되면 이벤트 수집ㆍ통합관리ㆍ침해경보ㆍ침해대응 등의 통합보안관리체계가 확립돼 보안관리업무를 보다 신속하고 체계적인 프로세스에 의거하여 효율적으로 진행할 수 있게 됩니다. 또 이벤트 선별 기능ㆍ통합 실시간 모니터링 기능ㆍ보고서 생성 기능을 수행하여 모니터링 및 보고서 업무 등 단순반복성 업무를 상당 부분 줄여 줘 보안관리자가 보안기획 및 정책 수립에 집중할 수 있도록 해 보안업무의 질적 향상을 기대할 수 있게 됩니다.

이러한 ESM이 효과적으로 작동하기 위해서는 ESM 내부에 어떤 분석방식을 써서 얼마나 정확한 분석하느냐가 가장 큰 이슈인데 가장 많이 쓰이는 방식이 `상호연관분석(Correlation)`입니다. 상호연관분석은 보안시스템에서 발생한 로그ㆍ시스템 정보ㆍ변경 정보 등을 하나의 시스템만으로 분석하는 것이 아니라 방화벽ㆍIDSㆍIPS 등과 같이 복수의 시스템을 서로 연계하여 분석하는 방식으로 오탐에 의한 잘못된 분석이 나올 가능성을 줄여주는 역할을 합니다. 그러나 이러한 방식은 사전 예방보다는 최단기간 내의 사후처리에 초점을 둔 관리여서 최근에는 `트래픽 분석` 기반의 ESM이 주류를 이뤄가고 있습니다. 트래픽 분석 기반의 ESM에서는 분석이 네트워크 내부보다 더 앞 부분 즉, 라우터 위치에서부터 이루어지므로 침해사고 발생 이전에 침해를 분석하여 탐지해낼 가능성이 높아진다고 할 수 있습니다.

이제 ESM은 진정한 의미의 통합보안관리를 수행하기 위해 더 넓은 영역으로 확장되고 있습니다. 기존에 보안시스템에 국한되었던 관제대상을 일반 서버에까지 확장하여 보안관리에 의한 보안 사각지대의 최소화를 꾀하고 있습니다. ESM은 실제적인 `위협` 수준이 아니라 잠재적인 `위험` 수준에서 관리가 이루어지는 위험관리시스템(RMS; Risk Management System) 수준으로 개발되고 있습니다. 모든 보안 프로세스를 단일한 시스템에 포함시켜 수집-모니터링-분석-경보-대응-처리-보고-정책 피드백 등 일련의 프로세스를 지원하도록 시스템을 구성함으로써 실질적인 의미의 통합관리를 구현하고 있습니다.

<자료: 이글루시큐리티>

이홍석기자@디지털타임스

추천기사