취약점 분석도구의 이해

김원규/나일소프트 보안사업부장

정보시스템의 보안과 관련해 관공서나 일반기업 담당자들을 접해보면 의외로 정보보호 제품에 대한 구분을 제대로 못하는 사람이 많다. 그도 그럴 것이 같은 기능의 제품들이 제각기 다른 제품명을 가지고 있으며, 또 새로운 제품이 계속 출시되는 상황에서 이를 분류해서 정확히 이해한다는 것은 사실 무리다. 정보보호와 관련한 많은 보도들이 있지만 기사내용을 보면 정보보안에 대한 기술적인 내용이 많다. 물론 유익한 자료지만 내용이 특정 기술에 국한된 경우가 대부분이고 어디서부터 어디를 정보시스템보안이라 정할까 하는 내용은 찾아보기 어려운 것이 현실이다.

정보시스템 보안은 우리 생활과 완전히 분리되어 있는 것이 아니다. 보안제품 또한 우리의 일상생활 속에 있다고 할 수 있다. 이렇게 보면 정보시스템 보안 및 관련 보안제품을 이해하는 것도 그리 어렵지 만은 않다.

관공서나 기업 등에서 주요 정보시스템 보안을 위해 제품을 구비하는 순서와 진행 형태를 보면 현재 침입차단시스템이라고 하는 방화벽(Fire Wall)을 대부분 설치했고, 최근에 와서는 침입탐지도구(IDS: Intrusion detection system), 그리고 취약점 분석도구(Scanner)를 준비하고 있는 상황이다. 그런데 이는 건강진단도 받지 않고 몸에 좋다고 하니까 보약을 지어먹는 것과는 다를 바 없다. 정보시스템 보안솔루션 구축에도 순서가 있다. 우선 현재의 정보시스템에 대한 전반적인 보안 취약점을 파악하고 거기에 맞는 적절한 솔루션을 구축하는 것이 효과적이라 할 수 있다.

일상생활과 정보시스템 보안

방화벽과 침입탐지시스템, 취약점 분석도구를 우리들의 집에 비유하면, 담과 대문은 방화벽이라 할 수 있고 무인경비시스템은 침입탐지시스템에 해당한다고 할 수 있다. 그리고 마지막으로 취약점 분석도구는 바로 사람에 해당한다고 비유할 수 있다.

담의 기능은 외부의 침입을 막고 사생활을 보호해주는 역할이고, 대문은 집으로 들어가기 위한 통로로 외부의 침입을 우려해 잠겨진 상태로 유지되며 대문을 통과해 집으로 들어가기 위해서는 집주인으로부터 간단한 신원 확인절차를 거쳐야만 통과를 할 수 있다. 방화벽의 역할도 이와 다를 바 없다. 집을 보호하고자 하는 정보시스템으로 생각하면 대문과 담은 바로 방화벽인 것이다. 그래서 방화벽을 통과해 방화벽 내부에 존재하는 정보시스템을 사용하기 위해서는 반드시 방화벽에서 신원확인 절차를 거쳐야만 한다.

정보시스템을 집이라 가정하고 생각해보자. 사람들은 하루에 최소한 1번 이상 취약성분석을 하고 조치를 한다. 잠자리에 들기 전 사람들은 보통 문단속, 창문단속, 수도, 전기, 가스등을 점검하는 행위를 하고 적절한 조치를 취한다. 취약점 분석도구도 마찬가지의 역할을 한다고 할 수 있다. 우리가 사는 집의 구조보다 컴퓨터의 구조는 훨씬 복잡해서 일일이 사람의 손으로 점검하고 조치한다는 것은 불가능에 가깝다고 할 수 있다. 그래서 이러한 역할을 대신해주는 도구가 바로 취약점 분석도구인 것이다.

가장 먼저 보급된 보안소프트웨어

취약점 분석도구는 무엇을 하는 것인가 정보시스템에 있어서 보안취약점이라 함은 정보시스템에 불법적인 사용자의 접근을 허용할 수 있는 위협들, 정보시스템의 정상적인 서비스를 방해하는 위협들, 정보시스템에서 관리하는 중요한 데이터의 유출·변조·삭제에 대한 위협들을 말한다. 이러한 정보시스템 보안 취약점이 정보시스템에 존재하고 있는지에 대한 점검 작업과 점검을 수행한 후 그 결과로서 정보시스템의 보안 수준, 분석을 돕고 보안 취약점에 대한 조치방법을 알려주는 것이 보안 취약점 분석도구라 할 수 있다.

국내에 가장 일반적으로 보급된 보안 소프트웨어인 침입차단시스템(방화벽)이 가장 먼저 들어온 보안제품으로 인식되고 있다. 하지만 보안 취약점 분석도구는 침입차단시스템이 본격 도입된 1998년 보다 2년 빠른 1996년도부터 보급이 시작되었다. 사람들이 이를 인식하는데 있어 착오를 일으키는 이유는 아마도 취약점 분석도구가 민간 주도로 보급된 것이 아니고 국정원, KISA에 의해 SecuDr 1.0(시큐어닥터)라는 이름으로 만들어져 보안 감사보조도구로 사용되었고 이것이 2천여 관공서 및 금융기관위주로 배포돼 사용된 때문일 것이다.

1996년부터 보급되어 1998년 보강된 버전인 SecuDr 2.0이 약 3천여 관공서 및 금융권에 보급되어 사용되어 왔다는 사실을 아는 사람은 그리 많다. 여기서 한가지 생각할 것은 보안 소프트웨어 중에 왜 보안 취약점 분석도구가 가장 빨리 보급되었냐는 것이다. 그 이유는 보안시스템 구축 순서 상 가장 먼저 갖추어야 할 보안 소프트웨어가 보안 취약점 분석도구이기 때문일 것이다. 이러한 관점에서 보면 지난 1996년에서 1998년까지 국가기관에서 주도한 취약점 분석도구 보급사업은 대단히 훌륭한 정책이었다고 판단할 수 있다.

왜 취약점 분석도구가 필요한가

왜 보안취약점 분석도구가 정보시스템 보안에 있어서 가장 먼저 구축해야 되는 시스템일까 일상의 비유를 들어보면 간단히 알 수 있다. 우리의 신체가 병들거나 허약할 때 우리는 의사의 건강 진단(때로는 주기적인 건강진단)을 통해 처방을 받아 치료약 혹은 보약을 지어먹고 건강을 유지해 나간다.

정보시스템에 대해서도 이와 같은 이치로 생각할 수 있다. 정보시스템 보안취약점을 주기적으로 점검조치 한다면 방화벽, 침입탐지시스템 없이도 비교적 안전한 정보시스템을 유지 할 수 있다는 결론을 얻을 수 있을 것이다.

취약점 분석도구를 제외한 다른 여타의 보안 소프트웨어를 이용해 보안시스템을 구축했다고 하자. 과연 정보시스템의 보안취약점이 어디에 존재하고 있는지, 보안이 얼마나 잘되어있는지, 또 그러한 자료를 어떻게 만들어 활용해야 할지에 대해 쉽게 답을 구하기는 힘들 것이다. 바로 이러한 힘든 대답을 쉽게 제시해주는 것이 보안취약점 분석도구 기능 중 하나다. 취약점 분석도구는 현재 정보시스템의 보안수준 진단과 보안취약점에 대한 조치방법의 제공을 통해 정보시스템 보안의 실질적인 행동지침을 알려주는 도구이다.

보안은 관련소프트웨어 구비만으로 끝나는 것은 아니며 프로세스(Process), 즉 절차의 개념이다. 이는 구축된 보안장비 혹은 소프트웨어의 효과적인 운영을 통해 보안사고를 사전에 예방하고, 문제에 대응하는 활동과 과정이라고 할 수 있다. 이러한 활동 및 과정에 가장 효과적으로 도움을 주는 것이 보안취약점 분석도구라 할 수 있다.

방화벽과 침입탐지시스템이 무력해졌다고 가정해보자. 높은 담과 대문, 경비견이 있는 집에도 도둑이 침입하는 것과 같은 상황이다. 이러한 상황에 처해있는 집의 주인이 창문, 현관 등을 경비견, 담, 대문 등에 의지해 집안으로의 출입가능 경로단속을 소홀히 했다면 결과는 쉽게 상상이 갈 것이다. 그러나 창문, 현관 등의 단속을 제대로 한 경우라면 도둑은 쉽게 집안으로의 침입을 하지 못했을 것이다. 정보시스템도 마찬가지다. 보호하고자 하는 정보시스템에 대한 취약점을 주기적으로 점검하고 조치한다면 보안 침해사고를 예방하는데 커다란 도움됨은 물론이요, 요즘 자주거론 되고 있는 재난관리시스템의 의미로서도 그 중요성이 매우 높다고 할 것이다.

보안취약점 분석도구는 현재의 정보시스템 보안 수준 진단과 보안취약점에 대한 조치방법 제공을 통해 정보시스템 보안 활동 및 과정을 가장 효과적으로 돕는 자동화된 도구이다. 아울러 평소 정보시스템의 안전한 유지에 기여하고, 타 정보보안 소프트웨어의 재난에 대해서도 대비할 수 있는 최선의 도구라 할 수 있다.

---

제공 : DB포탈사이트 DBguide.net