본문 바로가기
AhnLab 칼럼

보안 컨텐트 관리(SCM)에 대한 이해

by 보안세상 2020. 4. 19.

2007.11.06

 

사내 신규사원을 대상으로 하거나 고객사 요청으로 강의를 가끔 하게 되는데, 이 때 편한 분위기를 만들기 위해 용어에 대한 설명으로 시작한다. “내가 몸담고 있는 회사가 안티바이러스를 기반으로 한 통합보안회사인데, 이 업계에서는 안티바이스러스를 AV로 표현합니다. 사실 안티바이러스 업계에 있지 않은 사람이 AV를 안티바이러스의 약자로 이해하려면 몇 단계를 거쳐야 가능할 겁니다.” 그러면 다들 크게 웃으면서 분위기가 좋아진다. 사실 몸담은 분야가 바뀌면 용어가 바뀌고, 용어를 잘 알면, 그 분야의 반은 이해했다고 말해도 과언이 아니다.

 

어떤 분야든 그 분야에서 많이 쓰는 용어가 있기 마련이다. 잠깐만 생각해 봐도 의학 용어, 법률 용어, 컴퓨터 용어라는 말을 우리는 흔히 사용하고, 그러한 용어들을 위한 전문용어 사전이 나와 있기도 하다. 보안 분야 역시 보안에서 많이 쓰는 용어가 있다. 같은 보안분야라 할지라도 네트웍 보안이나 PKI, 안티바이러스 등에서 사용하는 용어는 큰 차이가 있다. 예를 들어 네트웍 보안이란 분야를 보면, ‘네트웍’ 분야에서의 ‘보안’이기 때문에 네트웍 용어에도 익숙하고, 보안 용어도 잘 알아야 그 분야를 이해하기 쉽다.

 

오늘 제목으로 붙인 SCM 역시 IDC가 분류한 보안의 한 분야로서 용어 자체는 좀 생소할 수 있지만, 알고 보면 우리 주위에 흔히 있는 분야이기도 하고, 어쩌면 흔하기 때문에 그 특성을 잘 이해하고 있지 못한 분야이기도 해서 이번 칼럼에서 간단하게 소개하려고 한다.

 

사실 일반 소프트웨어업계에서 SCM하면 먼저 공급망 관리(Supply Chain Management)를 떠 올린다. 같은 소프트웨어라 하더라도 보안 소프트웨어에서 SCM은 보안 컨텐트 관리(Secure Content Management)의 약자이다. SCM은 메시징과 웹 트래픽 등 컨텐츠에서 오는 보안 위협을 차단하는 보안 솔루션을 말한다. 전통적으로 SCM에 포함되는 제품에는 안티바이러스, 웹 필터링, 메시징 보안(안티스팸, P2P 보안 등) 이 있고, 최근에는 안티스파이웨어, 안티피싱, 유해트래픽 차단, 정보유출차단, 공격적인 컨텐츠 차단 등으로 그 범위를 넓혀 가고 있다.
 
SCM의 가장 큰 특징은, 하루에도 몇 번씩, 컨텐트 보안을 위해 시그니처나 룰(rule)이 바뀔 수 있다는 점이다. 예를 들어 안티바이러스의 경우 하루에도 몇 번씩 ‘엔진 업데이트’를 통해 악성코드의 시그니처를 사용자 PC에 배포한다. 점점 더 기술이 발전함에 따라 악성코드의 변형이나 행위를 모니터링하고 진단하여 그것을 차단할 수도 있지만, 웬만한 악성코드 제작자라면 목표로 하는 백신을 테스트 해 보고 배포하곤 하기 때문에 즉각적인 엔진 업데이트를 하지 않고 대응한다는 것은 매우 어려운 일이다. 안티스파이웨어나 안티스팸도 마찬가지다. 업체마다 중점을 두는 것의 차이가 있을 수 있긴 하지만, 보안 위협을 차단하는 시그니처를 긴급하게 작성, 배포하는 것은 언제나 기본이다. 긴급한 대응 이후에 각 업체는 자신들의 특장점을 살린 좀더 근본적인 처리 방법을 엔진에 넣게 된다.

 

이러한 SCM 기능을 장비로 만든 것이 SCM Appliance이다. SCM 장비가 IPS나 IDS, 방화벽과 다른 점은 실시간 엔진 업데이트 기능에 있다. 앞에서 언급한 것과 같이 계속 새롭게 나오는 보안 위협에 대한 대응은 가장 기본적으로 보안 업데이트를 통해 이뤄져야 하기 때문이다. 아직 우리나라에서는 SCM 장비시장이 형성 초기단계에 있는데, 보안위협이 날로 지능화, 복합화되고, 제로데이 공격이 보편화 되는 보안 현실에서 SCM 장비는 고객의 필요를 채워 주는 중요한 제품이 되리라 생각된다.

 

요즘 한창 보안 제품에 대한 CC 인증이 보안 업계의 뜨거운 이슈가 되고 있다. 인증가격이 비싸다, 인증기간이 길다, 민간 인증업체를 허가하겠다, 는 등 CC인증에 대한 논란이 많다. 보안 인증 관점에서 본다면 CC인증은 SCM 제품의 반쪽만 인증하는 것과 같다. 왜냐면 CC인증이 혹시 SCM 제품에서 갖고 있는 설계상의 보안 문제를 검증해 낼 수 있지만, 하루에도 몇 번씩 이뤄지는 엔진 업데이트의 문제를 매번 인증할 수는 없기 때문이다.

 

국산이냐 외산이냐 라는 관점에서 SCM을 바라 볼 수 있다. 정부의 조달사업 관점에서 본다면 제품이 개발된 곳이 중요하겠지만, SCM 제품 측면에서 국산과 외산을 바라 본다면, 어느 나라에서 엔진 업데이트가 이뤄지느냐를 중심으로 판단하는 것이 합리적이다.

 

          강은성 상무는 안철수연구소에서 사용자의 IT 자산을 지키는 보람과
          즐거움으로 일하고 있으며, 어린이들도 즐겁게 뛰놀 수 있는 안전하고
          편안한 인터넷 세상을 만드는 꿈을 갖고 있습니다.

[출처] 매경 스팟뉴스 2007년 1월 5일