2회 : IT 위험관리시스템 필요기술과 주요기능

홈 > 뉴스 > 테크가이드 > 통신/네트워크

2회 : IT 위험관리시스템 필요기술과 주요기능

IT 위험관리시스템

2007년 06월 21일 00:00:00

데이터넷

체계화된 평가·대응으로 비즈니스 위험 최소화

위험도 정량화로 적절한 대책 수립 … 자동화된 대응 프로세스로 신속한 보안관리 수행

주요 자산을 보호하기 위한 IT 위험관리시스템은 급박하게 변화하는 오늘날의 환경에서 필수적으로 요구되는 것이라고 할 수 있다. IT 위험관리시스템을 위해서는 위험에 대한 적절한 평가, 이에 따른 올바른 대책적용이 요구된다. 이번호에서는 공격수준 평가방법과 대책 적용방법, 그리고 자동화된 종합위험관리시스템에 필요한 기능에 대해 살핀다. <편집자>

연재순서
1회 : IT 위험관리시스템 개요
2회 : IT 위험관리시스템 필요기술과 주요기능(이번호)

최대수 //
이글루시큐리티 보안연구소 선임연구원
dschoi@igloosec.com

IT 위험관리시스템에서는 자산의 위험도를 정량적으로 표현하기 위해 자산별 취약성에 위험도를 곱하는 등 일정한 수식으로 위험도를 계산한다. 자산 위험도를 평가하는 부분은 보안관리 수준 측정 방법과 함께 가장 핵심적인 부분으로 자산의 위험도를 평가할 때 이용 가능한 요소들을 많이 활용한다면 질적으로 우수한 위험도를 정량적으로 표현할 수 있고 이 결과는 올바른 대책 개발과 연결될 수 있다.
이글루시큐리티의 스파이더X의 경우, 다음과 같은 자산 위험평가 메커니즘을 사용한다.

자산위험도 = 자산(Asset) + 취약성(Vulnerability) + 위협·공격(Threat·Attack) + 서비스 가용성

공격 시 자산위험도 평가요소로 자산 존재유무, 자산가치, 해킹이용 주요 포트의 개방 여부, 공격 반복성, 블랙리스트(Black List) 전과유무, 주요 프로세스의 가용성, 자산 서비스 포트별 개방/차단 여부 등을 종합해 위험등급을 합산하고 수치화하는 것이다.

이러한 메카니즘에 따라 자산 위험도를 5단계로 나누어 각 단계별로 내용을 살피면, <표 1>과 같다.

자산에 대한 보안관리 수준을 측정하기 위해서 측정방법(assessment)을 <표 2>와 같이 분류할 수 있으며, 이 때 웹 애플리케이션과 웹 서버에 대한 평가 항목을 별도로 구분해 측정할 수 있다.
그 외 경영지표(KPI : Key Performance Indicator)를 활용한 측정방법이 개발되고 있다. 이 방법은 비즈니스 주요 프로세스 단계마다 또는 전체 관리 성과를 측정하고 정량적인 수치로 표현하며, 이를 위해 측정항목을 개발하고 활용하기 위한 방법으로 경영자용과 실무자용으로 구분된 관리지표가 필요하다. <표 3>은 프로세스 성능관리를 위한 운영 KPI 예이다.

자동화된 보안대책 적용방법
자동화된 종합위험관리시스템의 대표적인 특징으로는 자동화된 대책적용 방법 제공을 들 수 있다. 모든 점검항목에 대한 자동화된 대책적용은 근본적으로 한계가 있음을 인지하고, 자동화가 불가능한 부분에 대해서 관리할 수 있는 프레임웍을 제공하는 한편, 자동화 대책적용이 가능한 항목들을 추출해 충분한 검증과정을 거친 후 자동화를 수행해야 한다. 대규모 시스템과 단순 반복적인 업무에 대해 자동화된 대책적용이 수립될 경우, 위험을 감소시키기 위한 보안관리 활동은 신속하게 체계를 갖춰갈 수 있다.
각각의 정보자산에 대해 발견된 취약점과 보안정책에 위배되는 평가 항목 중 대책적용이 가능한 영역을 분류하면 <그림 2>와 같이 나타낼 수 있다. 이 때 운영체제 자체에 대한 계정관리 및 파일시스템 권한관리, 로그관리와 관련된 환경설정, 불필요한 서비스 제거 등은 자동으로 종합위험관리시스템에서 가능하지만, 운영체제 패치와 같이 시스템 운영과 밀접한 관련이 있는 부분은 자동으로 대책적용을 하면 서비스에 치명적일 수 있다. 이 외에 각종 애플리케이션도 마찬가지로 제거할 수 있는 부분은 자동으로 적용이 가능하고, 설정과 패치에 대해서는 관리자의 확인 작업이 필요하다. 특히 보안시스템 정책은 관리자의 확인이 필요하다.

종합위험관리시스템 구성
<그림 3>는 지금까지 앞장에서 기술한 IT 위험관리 기반 기술들을 활용해 구성한 종합위험관리시스템 구성도다. <그림 3>에서 볼 수 있듯 종합위험관리시스템은 크게 ▲국가사이버안전센터의 평시안전점검체크리스트와 같은 보안지표의 정량화와 평가 표준을 시스템화한 지침정책 수립 ▲업무 자동화로 인한 소요시간을 단축시킨 보안 운영 ▲ESM 및 유해트래픽 분석시스템을 활용한 자산중요도/위험심각성에 따른 보안 관제/대응 ▲수준평가의 상시화로 대응책 도출 및 대응조치 체계화 등 네 가지 단계로 구성/운영된다.
이 네 가지 각 단계별 활동을 총체적으로 관리하고 시스템화해 종합적으로 위험을 낮춰가는 것이 바로 종합위험관리시스템이다.
지금까지 설명한 IT 위험관리 필수 항목을 포함하고, 구현한 종합위험관리시스템 중 하나가 바로 이글루시큐리티의 스파이더X라고 할 수 있다. 스파이더X의 상세기능은 <표 4>에서 볼 수 있으며, 종합위험관리시스템의 선정에 있어서는 이러한 항목들의 지원여부를 세밀하게 살펴야 할 것이다.