<h3 class="tit_desc">위협 관리 시스템(TMS: Threat Management System)</h3><h3 class="tit_desc">인터넷에서 웜ㆍ바이러스ㆍ해킹 등의 사이버 공격에 대한 침입탐지와 트래픽 분석 등의 기술을 통해 로컬 네트워크의 위협분석과 취약성 정보 등을 사전에 관리자에게 통보, 실시간으로 관제하고 대응할 수 있는 시스템이다.</h3><p> ㈜정보보호기술에서 최초로 명명(命名)한 ‘TMS’는 2003년에 발생한 1•25 인터넷 대란을 계기로 각 기관에서 외부 위협으로부터 내부 정보자산을 보호하기 위해 위협을 조기에 감지하고 발생한 위협을 감소 또는 제거하는 것을 목표로 하는 통합된 보안관리시스템 중의 하나이다. </p><p><br></p><p>보안위협(서비스방해공격, 인터넷 웜 확산, 정보유출 등)을 사전에 인지하고 조치함으로써 사후 복구에 따른 경제적/사회적 비용을 절감할 수 있는 솔루션</p><p><br></p><p align="center" style="margin: 0cm 0cm 0pt;"><b style="mso-bidi-font-weight: normal;"><font size="2"><font face="바탕"><span >[</span>표<span > 2] </span>시장초기와 현재의 <span >TMS </span>주요 특징 비교</font></font></b> </p><table class="MsoTableGrid" style="margin: auto auto auto 23.4pt; border: currentColor; border-image: none; border-collapse: collapse; mso-border-alt: solid windowtext .5pt; mso-yfti-tbllook: 480; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-border-insideh: .5pt solid windowtext; mso-border-insidev: .5pt solid windowtext;" border="1" cellspacing="0" cellpadding="0"><tbody><tr style="mso-yfti-irow: 0; mso-yfti-firstrow: yes;"><td width="249" valign="top" style="background: rgb(217, 217, 217); padding: 0cm 5.4pt; border: 1pt solid windowtext; border-image: none; width: 186.75pt; mso-border-alt: solid windowtext .5pt;"><p align="center" style="margin: 0cm 0cm 0pt; text-align: center;"><font size="2"><font face="바탕">시장 초기<span ></span></font></font></p></td><td width="249" valign="top" style="background: rgb(217, 217, 217); border-width: 1pt 1pt 1pt medium; border-style: solid solid solid none; border-color: windowtext windowtext windowtext rgb(236, 233, 216); padding: 0cm 5.4pt; width: 186.75pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt;"><p align="center" style="margin: 0cm 0cm 0pt; text-align: center;"><font size="2"><font face="바탕">현재<span ></span></font></font></p></td></tr><tr style="height: 53pt; mso-yfti-irow: 1; mso-yfti-lastrow: yes;"><td width="249" valign="top" style="border-width: medium 1pt 1pt; border-style: none solid solid; border-color: rgb(236, 233, 216) windowtext windowtext; padding: 0cm 5.4pt; width: 186.75pt; height: 53pt; background-color: transparent; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt;"><p style="margin: 0cm 0cm 0pt;"><font size="2"><font face="바탕"><span ></span></font></font> </p><p style="margin: 0cm 0cm 0pt;"><font size="2"><font face="바탕"><span >- </span>단순한<span > IDS</span>와<span > NMS </span>결합 형태<span ></span></font></font></p><p style="margin: 0cm 0cm 0pt;"><font size="2"><font face="바탕"><span >- </span>탐지에 의한 정보 수집에 집중<span ></span></font></font></p><p style="margin: 0cm 0cm 0pt;"><font size="2"><font face="바탕"><span >- </span>오탐<span >(False Positive) </span>다수 발생</font></font></p></td><td width="249" style="border-width: medium 1pt 1pt medium; border-style: none solid solid none; border-color: rgb(236, 233, 216) windowtext windowtext rgb(236, 233, 216); padding: 0cm 5.4pt; width: 186.75pt; height: 53pt; background-color: transparent; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt;"><p style="margin: 0cm 0cm 0pt;"><font size="2"><font face="바탕"><span >- </span>탐지에 이은 차단 대응 가능<span ></span></font></font></p><p style="margin: 0cm 0cm 0pt;"><font size="2"><font face="바탕"><span >- </span>비교적 정확한 트래픽 정보 제공</font></font></p></td></tr></tbody></table><p><p> 향후 지속적으로 높은 성장률을 보일 것으로 전망되는 TMS도 시장 도입 초기에는 IDS(Intrusion Detection System)와 NMS(Network Monitoring System)를 결합한 단순한 형태였다. IDS로부터 보안 이벤트를 수집하고 NMS로부터 트래픽 데이터를 받아 조직의 네트워크 보안 상황을 종합하여 직관적으로 보여주려고 노력했지만 정작 보안관리자가 원하는 정보를 정확하고 풍부하게 제공하지는 못했다. <br> 이후 TMS의 도입이 늘어나고 다양한 기관의 요구가 새로 추가되면서 TMS는 진정한 통합보안관리시스템으로 발전하게 된다. 초기에는 수동적으로 사이버 침해에 대해 탐지만 했지만 현재는 공격 트래픽에 대해서 능동적으로 대응하고 방어할 수 있게 되었을 뿐만 아니라 이상 트래픽 증가 시에 관리자가 원하는 정보(상위 5개 공격 IP, Port, Protocol별 분석, 최근 5분간 공격유형 등)를 비교적 정교하고 다양하게 제공해주고 보고서 예약 및 자동 전송 기능까지 제공하고 있다. <br> TMS는 통합보안관제를 수행하고 있는 정부기관과 ISP(Internet Service Provider)부터 대기업, 교육기관, 병원에 이르기까지 다양한 조직에 구축되어 지금도 확산되고 있는 추세이다. </p><p><br></p><p><strong>현재 TMS의 문제점과 대안</strong></p><p><strong></strong> </p><p> 그러나, TMS 시장규모의 성장에 반하여 그 동안 우리가 간과했던 것이 하나 있다면 그것은 TMS의 손과 발의 역할을 하고 있는 유해트래픽 탐지/분석 센서(TAS)의 정확한 탐지율이다. IDS/IPS(Intrusion Prevention System) 무용론이 대두된 것도 실제 정보자산에 피해를 입히는 ‘진짜’ 공격을 찾아내지 못한 것 때문이었다. 어떤 지방자치단체에 구축된 IPS는 안티바이러스관리시스템과 에이전트간의 통신 패킷을 바이러스로 오인(False Positive)하여 차단함으로써 해당 기관에 혼란을 야기한 경우도 있었다. 이외에도 Unknown Attack 탐지 기술과 DDoS 패턴 탐지 기술, 시그니처 생성 기술, Abnormal Traffic 탐지 기술 등의 향상을 위한 노력들이 필요하다.<br> 개발업체들은 유해트래픽 탐지/분석 센서가 최신 해킹 공격을 정확하게 탐지할 수 있도록 시그니쳐를 정교하고 빠르게 제작해야 한다. 이것이 가능하기 위해서는 취약성 분석과 시그니쳐 제작을 담당하는 부서에 과감한 인적, 물적 투자를 해야 할 것이다. 그럼으로써 TAS로부터 올라오는 신뢰성 있는 공격 이벤트를 정확하게 분석하여 보안관리자에게 정보를 전달함으로써 사이버 침해사고 발생 시 의사결정을 빠르고 정확하게 할 수 있을 것이다. </p><p><br></p><p><strong>향후 고려사항</strong></p><p><strong></strong> </p><p> 완벽한 보안은 없다고 한다. TMS는 기관의 완벽한 네트워크 보안을 구현하는 데 있어 없어서는 안 될 중요한 솔루션임에는 틀림이 없다. 최근에는 TMS의 일부 기능을 ESM(Enterprise Security Management)에서 벤치마킹을 할 정도로 TMS의 네트워크 트래픽 모니터링과 분석 기능은 통합보안관제센터의 핵심 기능이 되었다. 또한 DDoS 공격 등 알려지지 않은 네트워크 트래픽을 대상으로 한 공격의 증가가 예측되므로 TMS의 필요성은 더욱 증대될 것으로 전망된다.<br> 향후에는 TMS가 해결해야 할 문제로 남아있는 Unknown Attack 탐지, DDoS 패턴 탐지, 시그니처 생성, Abnormal Traffic 탐지 등에 대한 기술개발과 적극적 해결이 필요하다. 더불어 기존 유선망에 무선 통신망과 방송망까지 융합되고 IPv6가 확산되면서 홈네트워크, 병원, 재난관리의 영역을 지원하는 유비쿼터스 환경 속에서 TMS가 개인단말 보안부터 엔터프라이즈 네트워크 보안까지 아우르는 진정한 통합보안관리 솔루션 ‘TMS 2.0’으로 발전하기를 기대해본다.<br></p>
<!-- -->
