검수요청.png검수요청.png

통합위협관리

위키원
이동: 둘러보기, 검색

통합위협관리(Unified Threat Management, UTM)은 방화벽, 가상 전용 네트워크, 침입 차단 시스템, 웹 콘텐츠 필터링, 안티 스팸 소프트웨어 등을 포함하는 여러 개의 보안 도구를 이용한 관리 시스템이다. 통합 위협 관리 시스템은 비용 절감, 관리 능력이 향상되는 포괄적인 관리 시스템으로, 중소기업뿐만 아니라 모든 규모의 네트워크에 이용 가능하다는 특징이 있다.

개요[편집]

통합위험관리는 방화벽, 정당하지 못한 침입 탐지 및 방지, 그리고 안티 바이러스의 기능을 하나의 솔루션으로 실현할 수 있는 솔루션이다. 기존 방화벽으로 많은 동시 세션을 대량으로 처리하는 일은 가능하지만, 이에 추가적으로 메일에 첨부되어 있는 파일에 대해 안티 바이러스 소프트웨어의 기능을 각 개체 별로 실시하며, 부정한 접근이라고 판단되는 통신을 차단한다. 즉 기존에 독립적으로 수행하여 왔던 각 솔루션들의 보안 기능들을 통합하여 하나의 장비로 통합보안관리가 가능하도록 지원하는 제품이며, 하나의 보안 어플라이언스에 여러 가지 보안 기능을 통합한 보안 플랫폼으로써 IPS, VPN, 안티 스파이웨어, 안티 바이러스 등의 기능을 하나의 장비 안에서 해결해 준다.[1]

등장배경[편집]

통합위협관리는 /바이러스, 트로이목마, 스파이웨어 등 다양화, 복합화된 보안 위협에 대응하기 위해 통합보안 솔루션의 요구 증대되고 보안 관리의 편의성과 보안장비 관리/운영 비용 절감에 대한 요구 증대되면서 등장하게 되었다.[2]

기능[편집]

통합위협관리는 네트워크에 있는 하나의 디바이스나 서비스에서 다양한 보안 기능을 제공하여 간단한 방식으로 보안 위협으로부터 사용자를 보호한다. 통합위협관리에는 바이러스 차단, 스팸 차단, 콘텐츠 필터링, 웹 필터링과 같은 기능이 포함되어 있다. 아이티 기업은 스팸, 피싱 공격, 바이러스, 트로이목마, 스파이웨어 감염 파일, 무단 웹사이트 액세스, 무단 콘텐츠를 비롯한 진화하는 정교한 위협으로부터 기업의 생산성과 디지털 자산을 보호하는 문제에 지속적으로 직면한다. 이들은 한정된 예산과 자원으로 이러한 문제를 해결해야 한다. 각각 스팸 필터링, 웹 콘텐츠 필터링 또는 바이러스 차단 보호와 같은 특수 기능을 수행하도록 설계된 여러 개의 별도 장치를 보유하는 것은 이러한 작업을 용이하게 하지 못한다. 그보다는 여러 장치와 운영 체제를 관리하는 비용과 복잡성만 가중된다. 통합위협관리의 가장 큰 기능은 아래와 같은 역할을 통해 보안을 유지하는 것이다.

방화벽[편집]

방화벽은 외부 사용자들이 내부 네트워크에 함부로 접근하지 못하도록 정해진 보안 규칙 집합을 기반으로 트래픽을 허용하거나 차단한다. 방화벽은 동작 방식으로 프록시 방식 방화벽과 스테이트풀 인스펙션 방식 방화벽으로 구분할 수 있다. 초기 유형인 프록시 방화벽은 특정 애플리케이션을 위해 네트워크 외부에서 직접 연결을 차단하여 콘텐츠 캐싱 및 보안 기능을 제공한다. 스테이트풀 인스펙션 방화벽은 상태, 포트 및 프로토콜에 따라 트래픽을 허용하거나 차단한다. 필터링 결정은 관리자가 정의한 규칙 외에 상황 정보를 기반으로 실행된다.

가상사설망[편집]

가상사설망(VPN)은 인터넷과 같은 공중 데이터 통신망을 이용해 마치 개인이 구축한 통신망과 같이 이를 직접 운용할 수 있는 기술이다. 가상사설망 기반 기술로는 크게 키 관리 기술, 터널링 기술이 있다. 통신 속도 및 대역폭 보장이 중요하고 암호화와 인증 기술도 필요하다. 가상사설망은 라우터나 방화벽에 내장되거나 전용 가상사설망 서버로 구현되기도 한다.

IDS 및 IPS[편집]

침입 탐지 시스템(IDS)은 기존의 방화벽이 탐지할 수 없는 악의적인 네트워크 트래픽을 탐지하는 시스템이다. 네트워크 기반 IDS는 네트워크 패킷 자료를 칩입 판정에 사용하며 오탐이나 미탐 문제가 발생할 수 있다. 침입 탐지 시스템은 침입을 알려주는 시스템으로 침입에 대한 능동적인 기능은 없으나 침입 방지 시스템(IPS)은 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 능동적으로 공격을 차단함으로써 공격 피해를 최소화하는 특징을 지닌다. 앞으로 통합위협관리는 보안의 서비스화 개념 확산으로 ISP와 연계한 임대 서비스나 보안 관제 아웃소싱 서비스의 핵심 인프라로 지속해서 성장할 것으로 예상된다. 기업 장비 시장이 확산하며, 엔드투엔드 통합보안 솔루션으로 거듭나기 위한 지속적인 기능/성능 개선이 필수적 될 것이다.[3]

콘텐츠 필터링[편집]

콘텐츠 필터링은 네트워크 기반 기기를 위해 부적절하고, 비생산적인 웹 콘텐츠와 불법적인 악성 웹 콘텐츠를 차단하고 관리하는 기법이다. 웹 필터링, 웹 사이트 또는 페이지 차단, 전자 메일 필터링, 안티-스팸(Anti-Spam)의 기능을 제공한다.

안티바이러스[편집]

안티바이러스는 웜, 바이러스, 트로이목마, 기타 악성코드 등 조직의 네트워크로 유입되는 바이러스를 차단하는 기능을 제공한다.[4] 보통 안티바이러스는 바이러스나 멜웨어를 지난 및 치료하는 컴퓨터 백신을 가리키나 통합위협관리 장비에서 안티바이러스는 그 개념이 다르다. 통합위협관리의 특성이 네트워크 트래픽에 대한 검시이기 때문에 안티바이러스 또한 유입되는 바이러스나 멜웨어를 네트워크 레벨에서 차단하는 것을 말한다. 치료가 아닌 차단이 임무이다. 안티바이러스는 신규 바이러스에 대한 대응이 중요하기 때문에 항상 최신의 패턴으로 동작을 해야 한다.[5]

안티스팸[편집]

네트워크를 통해 불특정 다수에게 유포되는 광고성 메일을 가리켜 스팸메일이라고 한다. 스팸메일은 여러 가지 해킹 기술과 접목하여 개인 및 기업 정보보안을 위협하는 요소가 되었다. 이러한 스팸메일을 차단하는 솔루션을 안티스팸이라 한다.

안티스파이웨어[편집]

안티스파이웨어는 각종 스파이웨어 프로그램이나 그 피해로부터 컴퓨터와 네트워크를 보호하는 프로그램이다. 조직 네트워크를 들어오는 악성코드 및 스파이웨어 프로그램을 원천적으로 차단하여 이미 네트워크에 침투한 스파이웨어 및 악성코드로부터 사용자를 보호하는 기능을 제공한다.[4] 최근 스파이웨어에 의한 PC의 동작 지연과 각종 소프트웨어의 파괴 등 피해가 잇달아 컴퓨터 및 네트워크 시큐리티 개념에 스파이웨어가 포함되고 보안회사들의 안티 스파이웨어 프로그램 개발이 본격화 되고 있다. 안티 스파이웨어는 스파이웨어를 시그너처 기반으로 검색하여 제거하는 스파이웨어 스캐너(scanner) 방식과 체크리스트에 근거하여 액티브엑스(Active X) 콘트롤의 설치와 실행을 통제함으로써 스파이웨어를 차단하는 액티브엑스 차단방식으로 나뉜다. 스캐너 방식은 시그너처 기반으로 검색함에 따라 새로운 스파이웨어가 등장하고 치료하는 시간의 갭이 발생하며, 액티브엑스 방식의 경우 액티브엑스 유형의 스파이웨어만 방지하는 단점이 있다. 안티 스파이웨어는 대부분 사용자로부터 수집된 스파이웨어 정보를 업데이트를 통해 제공하며, 사용자는 검색된 결과 중 삭제 여부를 결정한다. 이 경우 안티 스파이웨어의 판매를 위해 스파이웨어를 배포하거나 허위 진단을 통보하는 경우도 있으므로 주의가 요구된다.

이렇듯 통합위협관리 시스템은 심층 패킷 검사를 통해 수신 데이터를 검사하여 바이러스, 멀웨어 또는 악성 첨부 파일로부터 네트워크를 보호한다. 패킷 헤더를 검사하여 공격이 네트워크에 진입하기 전에 방지하고, 강화된 웹 필터링을 설치하여 원치 않는 웹사이트에 접속되지 않도록 한다. 또한 최신 보안 업데이트, 바이러스 백신 정의 및 새로운 기능을 자동으로 업데이터하여 초기 설정 이후에 필요한 수작업을 최소화함으로써 관리자가 단일 관리 콘솔에서 다양한 보안 기능을 관리할 수 있다.

특징[편집]

핵심기술은 내/외부로부터의 침입과 다양한 보안 위협요소의 사전 탐지, 차단, 지능화된 다 계층 공격과 유해 트래픽에 대한 자동화된 대응기술로 기능적 측면에 있어서 다수의 핵심 보안 기능 통합되어 있으며, 전용 보안 솔루션과 유사하게 개별 기능의 활용이 가능, 다중 기능이 통합돼 있어 보안성 우수하다. 성능적 측면에 있어서 단일 장비 수행에 따른 성능 저하를 방지하기 위해 고속 프로세서 탑재하여 고성능 제공하며, 활용과 관리 측면에서 네트워크 환경에 따라 필요한 보안 기능만 선택적 사용이 가능하여 장비 자체의 안정성 보장, 이중화 구성을 통한 고가용성 제공이 가능하다.[2]

고려 사항

통합위협관리를 사용하기 위해서는 몇 가지 고려 사항이 있다. 성능 테스트는 real N/W에서 실제 데이터 테스트가 필요하며, 타 N/W 장비와의 호환성, 프로토콜 지원에 대한 유연성, HA, 확장성 신뢰성을 고려해야 한다. 여러 보안 기능별 단순, 직관적인 UI 지원 여부(관리의 용이성) 발생하는 이벤트 로그의 암호화 전송 가능 여부와 암호화 방식이 필요하며, 이벤트 통계분석 외에 담당자의 직관적 판단 대응 이벤트 제공 여부가 필요하다. 또한, 통합된 각 구성요소 간의 트래픽 정보 공유 가능 여부와 효율적인 분산 환경으로 관리기능 여부, 통합위협관리가 모든 보안 이슈를 100% 만족할 수 없음으로 도입하고자 하는 N/W 환경의 보안 목표를 만족하는지에 대한 판단이 선행되어야 한다.[3]

장점

통합위협관리 솔루션은 안정성 있는 보안 기술 장착과 도입 및 관리 상에 편리성이라는 장점을 갖고있다. 소프트웨어와 하드웨어 양쪽 모두를 안정적으로 지원하기 때문에 방화벽, VPN, 침입 탐지 시스템, 침입 방지 시스템, 안티 바이러스 소프트웨어, 바이러스 월 등 주요 보안 기능들을 네트워크 관리자가 통합하여 편리하게 관리할 수 있는 단일 통합 솔루션 형태로 제공하게 된다. 이러한 통합위협관리 솔루션은 보안 구축 비용과 더불어 보안 관리 비용의 절감을 가져오게 되며 이는 통합위협관리만이 가능한 장점이라 할 수 있다. 또한 다양한 기능구현을 통해 조직의 네트워크를 포괄적으로 보호할 수 있다는 안정감도 제공해 준다. 통합위협관리를 사용하게 되면 한 대의 장비로 다양한 보안 기능들을 통합하고 운용과 관리도 통합할 수 있다. 조직 내 위협 요소나 보안 사고의 발생 요소 등을 분리하여 대처할 수 있도록 함으로써 한대의 통합위협관리로 해당 위협에 대한 대책 및 관련 비용을 추출할 수 있다. 또한 조직에서 설정해 둔 정보보호 정책에 따라 준수사항에 대한 우선순위를 명확하게 구분하여 네트워크의 운영 방침을 설정함으로써 조직이 설정해 둔 정보 보안 정책을 준거하는 기반을 마련한다. 실제로 한 조직에서 방화벽, 침입 탐지 및 방지 시스템, 안티 바이러스 등의 기능이 제대로 동작하며, 일정 수준의 보안도를 확보하려면 상당한 수준의 비용과 장비가 필요하다. 조직 차원에서 위협 관리의 의미로 위협을 통제하려면 실제적으로 속도 저하 및 기능상의 이유로 스트레스를 느끼지 않을 정도의 고속 처리가 필요하기 때문이다. 하지만 조직 안에서 안티 바이러스 기능이 통합위협관리에 필요한 것인지, 혹은 부정한 침입에 대한 방지 및 차단 대책이 좀 더 중요한 것인지를 조사하여 미리 파악해 두어야 한다. 조직이 보유하고 있는 보안 예산 내에서 원하는 기능을 충분히 만족시킬 수 있는 다른 더 좋은 방안이 있을 수도 있기 때문이다.[1]

단점

장애 발생 시 모든 보안 기능에 영향을 미치며, 이 보안 기능을 도입한 후 보안장비 추가 도입이 어렵다는 크나큰 단점이 있다.[6]

비교[편집]

이전에는 보안 시스템이 담당하고 있는 보안의 영역 구분이 명확했으나 모든 보안 기능이 통합되는 현재의 추세로 볼 때 그 경계는 불분명해지고 있다. 차세대 방화벽이라 불리는 NGFW(next generation firewall) 통합 네트워크 보안 장치로 네트워크 보안 정책 기능을 갖추고 실시간으로 작동한다는 점에서 통합위협관리와 매우 유사하다. NGFW는 통합위협관리 솔루션에 포함된 기술의 일부를 제공하고 있다. 통합위협관리는 일반적으로 방화벽, IDS 및 IPS, VPN, 안티바이러스, 콘텐츠 필터링, 원격 라우팅, 네트워크 주소 변환(NAT) 등의 기능을 포함할 수 있다. 이에 비해 NGFW의 경우, 기존 방화벽은 트래픽의 출발 도메인과 도착 포트를 추적하여 트래픽을 제어하지만, 차세대 방화벽은 포트가 아닌 애플리케이션 아이디를 식별하여 트래픽을 분류한다. 또한 아이피 주소가 아닌 사용자를 식별하는 기능을 지원한다. 차세대 방화벽은 일반적으로 1) 스테이트 풀 인스펙션과 같은 표준 방화벽 기능 2) 통합 침입 방지 기능 3) 위험한 애플리케이션을 식별하고 차단하기 위한 애플리케이션 인식 및 제어 기능 4) 향후 정보 피드를 포함하기 위한 업그레이드 경로 5) 진화하는 보안 위협에 대응하기 위한 기술 등의 기능을 포함한다. IPS 기술이 NGFW, 통합위협관리 등 다른 보안 시스템과 경쟁하게 되면서 IPS 전문 기업들도 기존 IPS 고유 기능을 강화하면서 APT 등 다양화하여 네트워크 보안 기능을 제공하며 이를 차세대 IPS라고 정의하고 있다.[7]

동향[편집]

시장[편집]

보안 시스템 시장 중 그 하위 시장인 글로벌 통합위협관리 시장은 2017년 대비 2018년 16.29% 증가하였으며 네트워크 보안 시스템 시장을 지속해서 주도하고 있다. 반면 IPSec VPN과 SSL VPN 시장은 2017년 대비 매출이 감소한 것으로 나타났다. 공격 대비를 위해 특정 목적의 전용 보안 솔루션보다 통합된 보안 솔루션에 대한 요구가 커지면서 나타난 현상으로 해석할 수 있다. 향후에도 통합위협관리는 기존 통합위협관리에 새로운 기능을 추가함으로써 네트워크 보안 시스템 시장을 주도해갈 것으로 예상된다. 한편 국내 보안 시스템 시장은 2016년부터 2020년까지 연평균 3.2% 성장해 5,000억 원을 넘어서고 2020년 5,300억 원 규모에 이르렀다. 기존의 방화벽, 혹은 IDS/IPS에 대한 수요가 애플리케이션 계층까지 확대돼 통합 보안을 지원하는 NGFW를 포함한 통합위협관리 시장으로 대체되는 것으로 조사되었다.[7]

기술개발[편집]

네트워크 보안 시장을 주도하는 통합위협관리는 국내외 다양한 제품들이 개발되고 있다. 통합위협관리 기술을 이끄는 리더와 챌린저 그룹으로 각각 포티넷(Fortinet), 체크포인트 소프트웨어 테크놀로지스(Checkpoint software technologies), 소포스(Sophos)와 시스코 시스템즈(Cisco Systems), 소닉월(SonicWall) 등이 선정되었다. 이 5개 업체들의 통합위협관리 제품들은 소기업부터 엔터프라이즈급까지 업체 별로 다양한 모델들이 출시되었다. 비교 제품들은 대부분 지사나 작은 사무실 급부터 데이터센터 급에 사용되는 제품들이다. 대부분의 통합위협관리 어플라이언스는 방화벽, VPN 및 침입 방지 시스템을 갖추고 있으며 응용 프로그램 제어, 콘텐츠 필터링, 악성코드 및 스팸 방지 기능을 지원한다. 또한 업체별로 네트워크 또는 클라우드 기반 중앙 집중식 관리 기능을 지원한다. 국내 상용 통합위협관리 기술 개발사로는 안랩, 시큐아이, 넥스지, 윈스 등이 있다. 국내 제품들은 해외 통합위협관리 어플라이언스와 마찬가지로 방화벽, VPN 및 침입 방지 시스템을 갖추고 있으며 응용 프로그램 제어, 콘텐츠 필터링, 악성코드 및 스팸 방지 기능을 지원한다. 특히 디도스 공격에 대한 방어 능력을 강조하고 있으나 클라우드 서비스를 위한 가상 방화벽 서비스는 능동적으로 대처하지 못하고 있다.[7]

각주[편집]

  1. 1.0 1.1 에이쓰리시큐리티, 〈UTM(통합위협관리)시스템〉, 《네이버 블로그》, 2013-05-03
  2. 2.0 2.1 달개비, 〈UTM(Unified Threat Management : 통합위협관리)〉, 《네이버 블로그》, 2007-11-13
  3. 3.0 3.1 알렉 알렉, 〈UTM (Unified Threat Management)〉, 《티스토리》, 2007-11-27
  4. 4.0 4.1 이오트레이드, 〈통합위협관리(UTM, Unified Threat Management)란?〉, 《티스토리》, 2014-03-21
  5. Fortigate Q&A〉, 《㈜코마스》
  6. 밤공기후하후하, 〈IT보안-UTM,통합 위협 관리란 무엇인가〉, 《네이버 블로그》, 2018-08-29
  7. 7.0 7.1 7.2 양경아, 신동우, 김종규, 배병철, 〈Trend and Prospect of Security System Technology for Network - 네트워크를 위한 보안 시스템의 기술 개발 동향 및 전망〉, 《ETRI 부설 연구소 미래연구센터》, 2018-10-31

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 통합위협관리 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.