TMS(Threat Management System, 위협 관리 시스템) 이란?

TMS는 요즘 효율적인 통합 보안관리를 위한 대안으로 각종 위협으로부터 내부 정보자산을 보호하기 위하여 글로벌 위협정보를 실시간으로 분석해서 내부 정보 인프라에 능동적으로 적용함으로써 조기에 위협을 제거하고 관리 할 수 있는 통합된 정보보호 기술 체계를 가리키며 전사적이고 능동적인 보안 솔루션으로 자리 잡고 있다.

 

TMS(Threat Management System) 솔루션은 전사적 IT인프라의 위협정보 들을 수집·분석·경보·관리하는 정보보호 통합관리 시스템이며 실시간으로 공신력 있는 대외 정보보호기관의 위협정보들을 수집·분석하여 정보보호관리자에게 제공함으로써 각종 보안위협으로 부터 사전 대응 및 예·경보 체계를 구축하고 이를 통해 알려지지 않은 공격들에 대한 조기 대응을 유도하는 시스템이다.

 

각종 위협으로부터 내부 정보자산을 보호하기 위해 통합된 정보보호 기술 체계를 지칭하는 위협관리 시스템인 TMS 솔루션은 현재 표준이 정립되지 않아 기존 ESM, IDS, IPS 등 자사가 보유한 솔루션을 기반으로 변화, 발전시킨 솔루션들을 저마다 내놓는 상황이다. 그리고 유사 형태로 RMS(Risk Management System) 솔루션 등도 출시 되고 있어 그 차이점에 대해 분간하기 어려운 실정이다.

 

 

TMS(RMS) 솔루션 개발 업체가 보유한 기반 기술과 성격에 따라 장단점이 있기 때문에 구매자의 입장에서는 내가 필요로 하는 부분은 무엇인지 먼저 잘 살펴보고 관련 솔루션의 특징을 고려해서 자사의 네트워크 환경 및 운영 환경에 맞는 제품을 선택하는 것이 좋다.

 

※ 사전적 의미 : This brings us to the concept of Threat Management and the prospect of having an automated and manageable enterprise security system. This researcher defines Threat Management as; a centralized system the incorporates system logs from vendor independent devices and provides a correlated an calculated representation of security events that may pose a threat. Threat Management Systems  The State of Intrusion Detection

 

2. TMS 필요성

 

웜, 바이러스, 해킹 등 위험요소는 글로벌하게 시시각각 늘어나고 있지만 이에 대응할 수 있는 효과적인 보안 관리 방안이 없다는데서 출발한 TMS는 기존 보안 관리 솔루션들의 단점을 극복하며 효율적인 대안으로 부상하고 있다.

 

또한, 특정 정보 시스템으로 한정된 공격 패턴을 넘어선 전사적 인프라 스트럭쳐에 대한 공격으로 침해 사고 유형의 변화와 위협의 다양성 및 복합, 복잡성이 증가 하고 있다. 따라서 관리자의 대응책 판단 곤란(위헙 식별 및 우선순위 결정 곤란)으로 인하여 알려지지 않은 공격에 대한 보다 사전적이고 신속한 대응 체계가 필요하게 되었다.

 

 

최근에 수적, 질적인면에서 단기간내 기하급수적으로 증가하는 위협으로 정보 보안 사고의 위험이 급격히 증가 하고 있으며 다차원적인 공격 경로를 통한 시스템 취약점, S/W 결함, 유해트래픽, 컨텐츠를 통한공격 등 다양한 공격형태로 진화하고 있다.

 

그리고 이 기종 단위 보안 제품에서 발생되는 이벤트의 중복 분석 곤란으로 보다 효과적인 보안 관리의 필요성이 대두되고 있다. 다양한 공격 유형별 단위 보안 솔루션 도입으로 제한된 인력의 과중한 업무 부담과 소홀한 관리와 운영에 따른 업무 효율성 저하로 Security Hole이 발생된다.

이기종 보안 솔루션에서 발생되는 False Positive는 관리자로 하여금 보안 경보(Security Warning)에 대한 신뢰도 저하 현상을 일으키는 단위 보안 솔루션의 한계에 이르고 있다.

 

 

보호하고자 하는 정보 자산에 대한 위협을 사전에 인지함으로써 조기에  대응하고자 하는 시스템의 필요성이 대두되고 있는 것. 최소한의 인력으로 복잡하고 다양한 보안 정책 관리 요구와 단위 보안 솔루션의 맹점인 False  Positive의 대안 요구에 의해  Correlation Analysis 분석 기법을 적용한 통합 보안 관제 및 전사적 위협 관리 방안이 절실히 필요하게 되었다고 볼 수 있다.

 

3. TMS 기능

 

TMS의 표준 기능은 정보 수집 대상에 의해 솔루션에 따라 차이가 있지만 일반적인 기능을 정의한다.

 

 

1) 정보수집 기능

ㆍ내부정보 수집 : 내부 자산에 대한 위협정보 수집. Agent 정책 할당

ㆍ외부정보 수집 : 글로벌 취약점 정보, 대응정보, 보안권고 정보 등 예·경보를 위한 글로벌 정보 수집

 

2)정보분석 기능

ㆍ수집된 내·외부 정보를 상관분석하여 보다 신뢰성 있는 정보제공

ㆍ분석된 정보에 대한 대응방안 제시

ㆍ취약점 및 악성코드 분석

ㆍ시스템 별 무결성 정보 분석

ㆍ유해트래픽 분석 및 차단

ㆍ예·경보 룰 설정 및 Alert 지정

ㆍ시나리오 수립/적용

 

3) 대응 기능

ㆍ수동적 대응 

ㆍ능동적 대응

 

4)종합상황 관제 기능

ㆍ위협 레벨   

ㆍ글로벌 침해 유형 및 침해 현황

ㆍ내부 네트웍 운용·이상 현황

ㆍ공격명 TOP10 및 블랙리스트       

ㆍ취약성 권고 정보

ㆍ예·경보 정보 쪾각종 실시간 현황 정보 종합관제

5) 네트워크 관리

ㆍ전사적 네트웍 관제 맵

ㆍ실시간 이상유무 식별

ㆍ실시간 트래픽 및 Resource 관제

ㆍ네트웍 트래픽 분석

 

6) 자산관리

ㆍ자산분류 체계 채택

ㆍ관제 대상 장비 등록 및 이력관리

ㆍ자산별 침해 유형 및 침해 현황

 

7) 보고서 등 보안 관리

ㆍ일/주간/월간/분기 침해 현황

ㆍ통합보안관제 등 다양한 보고서

ㆍ권한 관리·이력 관리

ㆍGUI 제공

 

4. 기대효과

 

1) 단위보안 솔루션의 통합관리를 통한 관리인력 소요 절감의 효과를 얻을 수 있으며, 정보 보안과 관리 시스템을 구현 한다.

2) 전사적인 IT Infra structure 관제를 통한 광범위하면서도 체계적인 위협관리 시스템을 구현 한다.

3) 글로벌 침해·유해 정보 분석을 통해 조기·사전 대응 시스템 구축으로 IT 자산을 보호 한다.

4) 단위 보안 솔루션,  Network Device, System 등 IT Infra Structure 전체에서 수집된 정보 분석을 통해  False Positive가 감소하게 되고 위협 경보의 정확성 및 신뢰도 향상을 가져온다.

 

5) 국가 사이버 안전센터를 비롯한 공인된 정보보안 기관과의 자료 공유를 통한 침해 정보의 신뢰성을 제공 한다.