보안 위협이 높아지면서 컴플라이언스도 복잡해지고 있다. 전 세계적으로 강화되는 개인정보보호법을 준수하는 것도 쉬운 일이 아니며, 국내에서는 정보보호관리체계(ISMS), 개인정보보호 관리체계(PIMS), 주요기반시설 보안점검 등 많은 보안 컴플라이언스가 있다. 규제의 주요 항목 중에는 중복되거나 충돌되는 부분도 있어 기업이 자체적으로 모든 항목을 분석하고 대응하는데 한계가 있다.
국내 정보보안 컨설팅은 주로 이러한 컴플라이언스를 위해 진행되고 있으며, 보안 체계를 만들고 사후 관리까지 하는 폭넓은 서비스를 제공한다. 이와 더불어 컴플라이언스 준수를 도와주는 솔루션도 다양하게 제안된다. 컨설팅을 통해 수립된 정보보호 체계를 유지함으로써 다음 인증 시 증적자료로 활용할 수 있도록 하는 것이다.
인성정보의 ‘와이즈 ISMS’, 지란지교 SNC의 ‘미소’는 ISMS 준수를 위한 관리체계 솔루션이며, 이볼케이노의 ‘시큐어웍스시스템’은 종합 컴플라이언스 관리 시스템이다.
공격에 이용되는 취약점 신속하게 제거해야
공격에 사용되는 봇, 악성코드, 멀웨어는 취약점을 이용해 유포되고 감염된다. 취약점이 없다면 공격을 당할 확률을 크게 줄일 수 있다. 취약점은 IT 시스템과 애플리케이션, 웹 등에 전반적으로 분포돼 있다. 소프트웨어 개발 초기부터 보안 취약점을 제거하는 시큐어코딩을 적용해도 운영 과정에서 발견되지 못한 취약점이 드러나게 마련이다. 다른 시스템과 연동되면서 새로운 취약점이 발생하기도 하며, 소프트웨어 소스코드를 입수한 공격자들이 역분석을 통해 취약점을 알아내 공격할 수도 있다.
버그바운티는 알려지지 않은 취약점을 찾아내는데 일조하는 시스템이다. IT 제품의 취약점 신고 포상제도로, 구글, 애플, 마이크로소프트, 페이스북 등 대부분의 글로벌 기업이 운영하고 있다. 국내에서는 한국인터넷진흥원(KISA)이 실시하는 SW 신규 취약점 신고 포상제(버그바운티)에 삼성, 네이버, 카카오, 네오위즈, 한글과컴퓨터 등이 참여하고 있으며, 이니텍, 이스트시큐리티 등 보안회사도 동참했다.
IT 시스템에서 취약점을 찾아 제거하는 전문 취약점 진단 서비스가 다양하게 있으며, 공공·금융기관은 컴플라이언스를 위해 정기적으로 취약점 점검을 실시한다. 그러나 사람이 수작업으로 IT 시스템을 진단하는데 상당히 많은 시간과 인력이 소요되기 때문에 전수검사는 어려우며 일부 핵심 시스템에 대해서만 샘플조사를 하게 된다.
이 문제를 해결하는 전사 시스템의 취약점을 진단하는 서비스를 이용할 수 있는데, 에스에스알, 나일소프트, 엘에스웨어가 대표적이다. 이들은 주로 IT 인프라 취약점을 진단해왔으며, 그 역량을 결집시켜 취약점 진단 소프트웨어도 출시했다. 최근에는 웹 애플리케이션 취약점까지 제거할 수 있는 제품을 선보이며 시장 확대에 나섰다.
이 중 에스에스알은 지란지교시큐리티에 인수되면서 엔터프라이즈와 일본으로 사업영역을 확장할 기회를 갖게 됐다. 또한 클라우드 버전을 업그레이드해 공급환경을 늘릴 계획이다.
전 세계적으로는 취약점 점검 솔루션 기업은 래피드7, 포지티브테크놀로지, 퀄리스 등이 경쟁하고 있다.
규제준수(CCE)·취약점 대응(CVE) 모두 만족해야
래피드7은 취약점 진단 도구 ‘넥스포즈’와 모의해킹 솔루션 ‘메타스플로잇’을 공급한다. 메타스플로잇은 모의해킹에 가장 많이 사용되는 툴로, 커뮤니티를 통해 공개된 오픈소스 버전을 이용할 수 있으며, 보다 정밀한 테스트가 가능한 유료 솔루션도 인기를 끌고 있다. 올해는 웹·애플리케이션 취약점 진단 솔루션 ‘앱스파이더’, UBA 기반 침해 탐지·대응 솔루션 ‘인사이트IDR’ 영업도 강화할 계획이다.
취약점 진단 솔루션은 전사 IT 시스템의 전수조사가 가능하며, 벤더가 자체적으로 갖고 있는 취약점 DB와 외부 취약점 DB 전문기관의 정보도 연동할 수 있어 실시간으로 취약점 정보를 빠르게 공유 받아 조사할 수 있다. 또한 취약점 진단 솔루션과 함께 모의해킹 툴까지 제공해 취약점을 발견하고 제거한 후, 또 다른 알려지지 않은 취약점이 있는지도 확인할 수 있다.
취약점 점검은 공인된 취약점 DB와 시스템에서 발견된 취약점을 비교하는 패턴매칭 방식과 취약점 존재 유무를 확인하기 위해 테스트하는 침투테스트(모의해킹)으로 나뉜다. 패턴매칭 방식은 규제준수를 위한 CCE와 취약점 자체를 찾아내는 CVE 방식으로 나뉘며, 국내에서는 CCE에 초점을 맞춰 발전하고 있다.
포지티브테크놀로지스는 CVE와 CCE를 모두 지원하며, 특히 국내 규제도 준수할 수 있다는 점을 강조한다. 포지티브의 ‘맥스패트롤’은 감사, 침투테스트(모의해킹), 컴플라이언스 관리가 단일 솔루션으로 결합돼 있으며, CVE의 신속한 업데이트로 보안 관리자의 어려움을 해결할 수 있다. 서버, 네트워크 장비, OS, 통신장비, SAP 등 전체 인프라 자원을 지원한다.
포지티브테크놀로지스도 소스코드 취약점 검사 솔루션 ‘애플리케이션 인스펙터’와 웹 취약점 관리 솔루션 ‘애플리케이션 파이어월’의 국내 공략을 강조한다. 더불어 여러 안티바이러스(AV) 엔진을 단일 플랫폼에서 구동시키는 APT 방어 제품 ‘멀티스캐너’ 국내 출시를 예고하고 다양한 파트너 영입에 적극 나서고 있다.
애플리케이션 취약점 관리 시장에서는 오픈소스 소프트웨어 취약점 솔루션이 국내에 정식 출시되면서 성장의 기지개를 펼쳤다. 블랙덕소프트웨어의 ‘블랙덕 허브’, 인사이너리의 ‘클래리티’ 등이 경쟁을 시작한다.
더불어 애플리케이션이 스스로 보호하고, 로그를 남기는 ‘RASP(Runtime Application Self Protection)’가 조용히 부상하고 있다. RASP는 가트너가 ‘2016년 10대 보안전망’을 통해 소개했으며, 애플리케이션을 실제 업무에 구동시키면서 실행을 모니터링하고 데이터와 이벤트 플로우를 이해해 보안위협을 탐지하고 방어한다.
RASP 전문 솔루션은 ‘프리버티(Prevoty)’, ‘컨트라스트(Contrast)’, ‘포티파이’ 제품군에 속한 ‘애플리케이션 디펜더’ 등이 있다. 애플리케이션 디펜더는 정적분석 도구(SAST) ‘SCA’, 동적분석 도구(DAST) ‘웹인스펙트’와 함께 사용되면서 모든 환경의 소프트웨어를 보호한다. 국내에서는 파수닷컴이 ‘스패로우’ 제품군을 SAST, DAST, RASP로 확장했으며, 이 모든 모듈을 하나로 통합하는 허브 ‘IAST’도 추가하면서 플랫폼 영역을 넓히고 있다.
