<첨단기술의 현장을 가다>35회-통합 보안의 총아, 보안컨설팅

정보보호는 기술적 솔루션도 중요하지만 본질적으로 위험분석, 정책 및 보안구조설정, 시스템통합, 재평가 순으로 이루어진 라이프 사이클을 갖고 있다. 완전한 보안솔루션은 없기 때문에 초기에 네트워크와 애플리케이션 환경 분석 및 적절한 보안정책 설정은 매우 중요하다. 미국 최대 보안솔루션업체인 eSTG사의 보안컨설팅에 대해 살펴본다. 편집자

보안기술로 17년의 역사를 갖고 있는 STG그룹의 본사는 제2의 실리콘밸리로 각광받고 있는 워싱턴 근교에 위치하고 있다. STG그룹은 올해 1억달러 매출을 예상하고 있을 정도의 건실한 중견업체다. 900명의 직원들이 지식관리, 시스템통합, 워크플로관리 등에 종사하고 있다. 그룹내의 eSTG시큐리티 회사는 보안컨설팅 분야에서 선두역할을 담당하고 있다. 특히 eSTG시큐리티는 미 국무부의 보안컨설팅의 주계약자로 탄탄한 기술력과 노하우를 쌓아 왔다. 컴퓨터 기반의 대형 전산망 보안은 독립 시스템에 한정된 정보보호기술에만 국한시킬 수 없으며 비즈니스 목적에 적합한 보안목표 및 정책설정, 전산 환경에 적합한 아키텍처 도출 등이 필요하다. 따라서 기존의 네트워크 환경에서 최적의 보안구조를 도출하기 위해서는 시스템 통합 및 네트워크기술 그리고 운용기술을 바탕으로 하지 않으면 안된다.

eSTG시큐리티는 보안제품을 직접 생산하지는 않으나 제품 도입 및 자체 인증과정을 통해 보안컨설팅의 백업 데이터로 활용하고 있다. 자체 인증시는 성능평가, 상호호환성 테스트, FIPS, CC(Common Criteria) 기준 적용, 취약점 분석 등을 수행하고 있다. 특히 STG의 장점은 시트 관리(seat management)서비스를 둬 사후 관리를 철저히 하고 있다. 뿐만 아니라 1일에서 3년까지 의뢰 형태에 따라 다양한 코스의 교육과정도 같이 운영하고 있으며 이러한 보안 컨설팅의 전과정은 NIST 권고 기준에 의거하고 있다.

전세계적으로 다양한 정보보호 제품에 대한 평가는 점차 국제 표준화로 자리잡아 가고 있다. 98년 10월 미국과 영국 등 5개국이 합의한 CCv2.1(Common Criteria version 2.1:국제공통평가기준 버전 2.1)은 이제 ISO15408(International Standards Organization)의 국제 표준으로 확정됐다. 미국은 NSA(National Security Agency)와 NIST(National Institute of Standards and Technology)가 주도해 NIAP(National Information Assurance Partnetship)를 추진하면서 IT산업 및 소비자마켓을 위한 정보보호 제품의 보안성 테스트, 평가, 인증을 위한 정책을 정했다.

CC는 모든 정보보호 제품에서 적용되는 보안 및 보증에 대한 기본적인 상위 요구사항을 정하고 있다. 이와 아울러 일관되고 공정한 평가가 이루어질 수 있도록 CEM(Common Evaluation Methodology:국제공통평가방법)에 대한 작업도 동시에 수행되고 있다. CC는 PP(Protection Profile:보호프로파일) 및 ST(Security Target:보안타깃)의 두가지 산출물을 요구하고 있다. PP는 특정 보안제품 계열에 대해서 구현형태에 무관한 상위 요구 규격을 정의하는 문서이고 ST는 특정 보안제품에 대한 하위 요구 규격을 정의하는 문서가 된다. NIAP는 통신스위치, 방화벽, 스마트카드 등에 대한 PP를 작성한다. 제품에 대한 보안등급설정은 EAL1(Evaluation Assurance Level 1)에서 7까지 7등급으로 정해졌고 등급이 높을수록 보안에 대한 요구 정도가 강해지며 상용 제품에 적용되는 최대의 보안 수준은 EAL4로 되어 있다.

현재 NIAP가 인정한 COACT와 CSC(Computer Sciences Corporation), 시그나컴 솔루션, SAIC(Science Application International Corporation) CC테스팅연구소, TUVit의 5개 CC 민간평가기관들은 연방정부를 대행해 정보보호 제품평가를 수행하고 있다. NIAP 인증 보안제품들은 13개 국가간에 합의한 CCRA(Common Criteria Recognition Arrangement)에 의거해 EAL1에서 EAL4까지 정보보호 제품을 상호 인정하게 된다.

미국 e비즈니스나 전자상거래 관련 업계들은 중요 정보 및 시스템을 내외부 사이버테러에 대응하는 것도 매우 절실하다고 인식하고 있다. 그를 위해서 공정한 컨설팅, 시스템통합, 체계적인 라이프사이클 서비스, 최상의 보안솔루션 채택 등을 보장해주는 서비스를 찾고있다.

정보가전 시장을 위해 다양한 정보보호 제품들이 있지만 네트워크 형상이 복잡해지면 호환성 및 이중화 문제가 해결되기 어려워 이를 해결하기 위한 플러그 앤드 플레이 보안장비가 절대적으로 필요하다. 또한 보안솔루션의 통합형 하드웨어화가 주요 추세여서 기능추가 및 확장 등이 용이한 형태의 고성능 단일 장비 하드웨어장비를 고려하게 됐고 eSTG시큐리티는 이러한 업계의 요구사항을 반영하기 위해 사이버센트리온 제품 출시중이다.

사이버센트리온은 하나의 박스내 모든 보안 솔루션을 통합시킨 구조를 갖고 있다. 5개의 CPU가 장착돼 있으며 하드웨어 다중화 및 고장감내를 보장하고 있으며 사용자 요구에 따른 최상의 소프트웨어를 장착시켜 바이러스검출, 암호, 방화벽, 침입탐지, 내용기반 검색, 가상사설망, PKI, 생체인식 등 다양한 형상의 보안제품으로 탈바꿈할 수 있다.

eSTG시큐리티는 보안장비를 설치해 주는 것만으로 끝나는 것이 아니라 자체적으로 운영하고 있는 모니터링센터에서 실시간으로 장비들에 대한 원격 모니터링을 수행하면서 사이버테러 발생 통보 및 방어기술 지원까지 제공하는 체계를 구축하고 있다. 이는 고객 전산망의 보안 라이프사이클을 책임지면서 신뢰성 있는 새로운 형태의 사이버 서비스를 창출시키고자 하는 전략으로 볼 수 있다.

eSTG시큐리티는 최신 보안통합연구실을 설치하고 고객에게 솔루션의 데모서비스까지 제공하고 있다. 연구실은 벤더로부터 구매한 다양한 보안제품을 갖고 있으며 모의공격 테스트, 보안모니터링 및 감사, 취약성 평가를 수행하기 위한 도구를 갖추고 자체 네트워크 테스트베드를 구축해 활용하고 있다. eSTG시큐리티는 세계 250 군데 이상의 위치에 보안장비를 설치해 운영하고 있는데 미 국무부, FBI에서도 활용하고 있다.

<워싱턴＝박광선부장 kspark@etnews.co.kr 양봉영기자 byyang@etnews.co.kr 이종태 ETRI 정보보호기술연구본부 책임연구원 jtl@etri.re.kr>