취약점분석도구의 현재와 발전방향

김원규/나일소프트 보안사업부장

취약점분석도구의 발전방향을 살펴보기 전에 국내에서 제작 판매되고있는 취약점분석도구의 개발 배경을 살펴보자. 국내제품은 제작사가 순수 국내(자체)기술을 이용해서 제작한 제품과 인터넷의 공개 툴을 기반으로 만든 제품 크게 두 가지로 분류될 수 있다. 전자의 경우는 순수 자체기술과 외국의 유명제품 등을 벤치마킹해서 나름대로 경쟁력을 확보하고 있으며, 원천소스프로그램을 제작·보유하고 있어 제품의 문제점 발생을 비롯해 고객의 커스터마이징 요구 및 그 밖의 기술지원 요구 등에 대해 신속하고 명확한 대응이 가능한 체계를 가지고 있다.

후자의 경우는 초기 제품의 형태는 인터넷 공개 툴에 GUI를 한글로 처리하고 점검내용도 간단하게 한글로 만든 제품이라고 할 수 있는데 전자와는 다르게 제품의 문제점 발생, 커스터마이징 요구 등에 대응이 원천코드를 인터넷상에서 확보한 상태라도 다소 어려움이 있는 게 사실이다.

취약점분석도구의 구조

취약점분석도구의 구조는 특성상 시스템과 네트워크 취약점분석도구 각기 별도의 구조를 가진다. 구조에 영향을 미치는 부분은 점검엔진(에이전트)이 개발된 운영체제에 따르기도 하고 때로는 관리를 위한 프로그램(콘솔프로그램, 매니저프로그램)에 따라 구조가 결정되기도 한다. 시스템 취약점분석도구의 구조는 2 Tier 혹은 3 Tier로 나뉘며 구조에 따라 점검결과의 저장 위치, 관리방법 등이 상이해 시스템 취약성분석도구의 적용대상 장비가 많고 적음과 조직의 업무 규칙 혹은 조직의 특성상에 따라 적용의 효율성이 다를 수 있다. 대체적으로 2Tier 구조는 적용대상 장비가 적고 관리인원이 적은 규모인 경우에 적합하며 3Tier구조는 그와는 적용대상 장비, 관리인원이 많을 때 적합하다고 할 수 있다.

네트워크 취약점분석도구의 구조는 관리를 위한 콘솔과 점검을 위한 에이전트의 분리여부를 가지고 구조를 구분한다. 이러한 구분은 점검을 위한 에이전트가 유닉스(리눅스포함)로 개발 된 것이냐 아니면 윈도우 기반에서 개발 된 것이냐에 따라 정해진다. 국내에 소개된 외산제품의 경우는 윈도우 기반으로 돼 있으며 일체형 구조를 가지고 있지만 국내의 경우 에이전트가 유닉스 기반인 분리형과 에이전트가 윈도우인 일체형이 혼재돼 있다.

제품이 각각의 구조에 따라 장단점을 가지고 있지만 분리형의 경우 가상 운영체제를 지원하는 소프트웨어의 도움으로 일체형으로 구성되기도 하기 때문에 분리형의 단점을 극복하고 있으며, 일체형의 경우 다수의 네트워크 카드를 장비에 장착 일체형의 단점을 극복하고 있다. 그러나 일체형의 경우 장비가 대부분 노트북 혹은 일반 PC 정도로 운영되기 때문에 때로는 대규모 네트워크환경에서 한계를 보이기도 한다.

국산 제품 대 외산 제품 경쟁

국산 제품이 아직은 외산에 전체적인 면에서 다소 열세인 것은 사실이다. 하지만 취약점분석도구의 특성상 한글처리가 필수적인 것과 국내 현실에 적합하게 결과 보고서 등이 처리돼 나름대로 경쟁력을 가지고 있다고 할 수 있다. 이러한 사실을 증명하는 일례로 외산제품의 경우 그 가격이 현재에 비해 불과 2년 전만 해도 고가에 유통됐으나, 국산제품과 경쟁 구도로 바뀐 지금은 가격이 많아 내려간 상태이다. 이러한 경향은 국산 제품의 기술적인 도약과 관공서를 중심으로 한 국산제품의 보급 확산과 그간 외산을 운영했던 일반 기업들도 국산으로 대체하고 있는 움직임이 있기 때문이라 판단된다. 국산 제품이 외산제품이 경쟁을 하며 나름대로 시장에서 입지를 마련한 것은 한글이라는 가장 큰 혜택 때문일 것이지만 제품의 기술적인 측면에서도 외산 제품에 많이 접근돼 있기 때문이라고 할 수 있다. 최근 일부 외산 제품의 경우 한글화를 통해 국내시장에서의 지속적인 입지를 마련하기 위해 노력하고 있다

최근 취약점분석 도구에 위험관리기능, 취약점 자동 보정, 패치와 복구기능 등이 취약점 분석도구 등에 접목되고 언론 등에 보도가 되고 있기는 하나, 사용자의 판단을 흐려놓는 것에 불과 하다고 볼 수 있다. 그 실상을 파악해 보면, 사용자 입장에서 보면 위험 천만한 기능이 내포되는 것이라 할 수 있다. 몇 가지 예를 들어보면 패치와 관련된 취약점이 있다고 했을 때 이를 자동 패치 한다는 것은 현재 운영중인 서비스를 중단시키는 결과를 초래할 수도 있다. 다시 말해 패치 이전의 상태에서 개발된 프로그램이 패치 이후에도 정상적으로 운용되리라는 보장이 없기 때문이다. 패치를 취약점 분석도구가 자동으로 한다는 것은 현실 적으로 부적합하다. 패치의 경우 패치를 만들어 보급하는 벤더사의 소유이므로 취약점 분석 도구가 패치 자체를 도구에 포함시킬 수는 없는 것이다.

단지 취약점에 따른 패치 정보를 혹은 링크를 제공하는 정도만 도구에 포함하는 것이 옳다. 취약점의 자동 보정도 마찬가지다. 현재 국내에 소개된 외산 제품 중에도 일부 자동 보정 기능이 옵션으로 포함된 제품이 있다. 하지만 이러한 기능은 현재운영중인 서비스의 중단과 같은 부작용으로 인해 전문가 집단인 보안 컨설팅회사의 전문요원자체도 사용을 꺼리는 기능이다. 위험관리기능 또한 마찬가지다. 위험 관리 도구가 우리나라에 소개된지는 대략 10년 전이라고 볼 수 있다.

미국, 영국, 독일 등의 제품이 소개되어 이미 도입이 되어있고 한국전산원에서도 위험관리(분석)도구를 만들어 내놓기도 했다. 하지만 위험관리도구가 국내에서 성공적으로 적용되어 사용되고 있다는 이야기는 거의 들어보지 못했다. 위험관리도구는 일부 전문가 집단에 한정되어 보안 컨설팅에 일부 활용되고 있는 것이 현실이며, 일반 사용자 입장에서 사용하기란 사실상 현재로선 쉬운 일이 아니다. 아직까지는 취약점분석도구에 부가기능으로 위험관리기능과 취약점의 자동 패치, 자동 보정과 같은 기능 등이 제 역할을 하기란 무리다.

취약점 분석도구의 발전 방향

현실적으로 보아 취약점분석도구에 위에서 기술했던 부가 기능이 추가된다는 것이 현재로선 어렵기는 하지만 전혀 가능성을 배제하자는 것은 아니다. 단지 순서가 있다고 말 할 수 있다. 먼저 취약점 분석도구는 현재 국산 제품의 수준이 세계적인 제품의 수준에 접근이 많이 접근되어 있다고는 하나 좀더 본래의 기능을 발전시키도록 노력이 필요한 것이 사실이다. 이러한 기능 발전의 중요한 핵심은 취약점 DB의 일반사용자 입장에서의 보강, 신속한 신규취약점의 반영체계구축, 사용자환경에서 좀더 편리하고 이해하기 좋게 만드는 것이다. 이러한 작업이 어느 정도 궤도에 도달 한 후 부가적인 기능의 추가도 도모하는 것이 현실적이다.

부가기능의 추가는 심사 숙고할 부분이 많다. 위험(관리)분석도구는 취약점분석도구의 상위 개념이다. 즉 취약점 분석도구가 위험(관리)분석 도구의 서브 세트(Sub Set)이며 취약점분석도구는 위험(관리)분석도구의 부가 기능이라고 할 수 있다. 위험(관리)분석도구가 국내 현실에 맞게 개발돼 적용된다는 것이 쉽지는 않다는 것을 위험분석도구를 연구한 경험이 있는 사람은 잘 알고 있다. 하지만 지속적으로 연구되고 개발 중이기 때문에 멀지 않은 시기에 좋은 제품이 출시되리라 본다. 또 최근 관심의 대상이 되고 있는 정보보호관리체계 인증과 관련한 부분도 부가기능이 될 수도 있다는 전망이 나오기는 하지만 현실적으로 쉽지는 않은 이야기일 뿐더러 부가기능이라고도 볼 수 도 없다. 엄밀하게 이야기하자면 취약점분석도구가 그러한 기능에 부가 기능이라고 할 수 있기 때문이다.

취약점분석도구기라고 할 수 있다. 업계의 부단한 노력과 지난 2000년 말 정보통신기반보호법의 제정, 다음해 7월 법의 시행이 시장을 형성하는데 중요한 역할을 했다. 관공서, 군 등에서 국산 제품이 외산 제품에 비해 강력한 입지를 다지고 있는데 이는 ‘행정정보보호제품 선정’이라는 정부 정책이 커다란 도움을 주고 있는 것이 사실이다. 금융권을 포함한 민수시장에서는 초기 외산 제품이 선점하고 있었으나 최근에 와서 국산 제품의 기술적인 도약으로 외산 제품을 대체하고 있는 상태이다.

시장 규모도 점차 확산 조짐을 보이고 있다. 이와 직접적인 관련성을 가지고 있는 국가 정책 즉 정보통신기반보호법에 의한 주요 정보통신 기반 시설 지정은 취약점 분석 도구 시장의 확대를 위해 일조를 하고 있으며, 그 여파가 기반 시설로 지정되지 않은 곳까지 미치고 있기 때문이다. 그간 방화벽, 침입탐지 등 많은 보안 제품들을 도입해 활용했던 수요자들이 보안의 수준을 파악하고 이에 대한 대책을 제시해 주는 역할을 해주는 보안 취약점 분석도구의 필요성을 점차 강하게 느끼고 있어 시장의 규모의 확대는 당분간 계속될 전망이다. 또 아직은 국내의 보안취약점분석도구의 발전은 여타의 기능 추가보다는 본질적인 기능 강화에 주력해야 할 시기이다.

취약점분석도의 본질적인 기능의 발전은 기타 보안 제품에도 도움이 되며 보안시스템 구축에 가장 큰 기본이 되는 중요한 과정이다. 업계도 본질기능을 외면하고 최신기능, 세계최초, 새로운 부가 기능 등과 같은 것을 추구해 수요자를 잘못 이끌기보다는 취약점분석도구 본질에 충실한 제품을 만들고 발전시켜야 할 것이다.