중소기업을 위한 다계층 보안체계 체크리스트

 

악당 해커들로부터 컴퓨터 자원을 보호하기 위해 다중 방어벽을 구축하는 사례에 관해 들어 보았을 것이다. 이 아이디어의 핵심은 복수의 방어벽을 이용해 잠재적인 보안 침입을 좌절시키거나 최소한 그 피해를 제한하도록 하는데 있다.

 

보안 분야의 변화는 너무 빠른 속도로 진행되다. 기업에 배치되어 있는 안정장치의 구체적인 이름을 정하는데도 어려움을 겪고 있을 정도다. 오늘은 컴퓨터 보안의 좀 더 보편적인 측면들에 대해 조명해보고 개선할 수 있는 잠재 요소에 대한 확인 목록을 제공하고자 한다.

1. 네트워크 방화벽

불편한 방문자를 막는 최전방의 방어선은 아마도 방화벽일 터다. 한 때, 서로 다른 벤더들이 제공하는 이중 방화벽을 사용하는 것이 유행이었으나 지금은 DMZ(Demilitarized zone)를 설정하는 방식이 더 인기를 얻고 있는 것으로 보인다. 인터넷에 연결된 서버들은 일반적으로 DMZ 내에 위치하게 되어 내부적인 기업 네트워크에 비해 더 적은 제약조건과 덜한 감시를 받도록 하는 구조다.

 

여기에는 몇 가지의 방식이 있다. 예를 들어, 소비자용 라우터(Router)는 일반적으로 NAT(Network Address Translation)을 사용한다. 이 기술은 본디 제한된 IPv4 주소의 문제를 해결하기 위해서 고안됐다. 호스트(Host)의 정체가 애매하기 때문에 NAT은 종종 방화벽 기능을 제공하는 것으로 알려져 있다.

 

적절한 방화벽은 최소한 패킷 필터 기술을 이용해 데이터 패킷의 종류, 출처, 목적지 주소 등과 관련된 확립된 규칙을 바탕으로 데이터 패킷을 허용하거나 거부하도록 되어 있다. 스테이트풀(Sateful) 패킷 필터 방화벽은 상태기반 패킷 검사(Sateful Packet Inspection, 이하 SPI)를 수행하는데 이것은 활성화된 연결을 추적하여 도용한 패킷을 걸러내는 것으로 스테이트레스(Stateless) 패킷 필터 방화벽보다 우월한 접근 방식이다. 끝으로, 애플리케이션 계층에서의 방화벽 운용은 애플리케이션 수준의 프로토콜(Protocol)을 이해하여 정교한 침입 시도를 찾아낸다.

 

보안에 대한 인식이 증가하고 전자상거래가 더욱 빈번해지면서 이제 많은 사용자들이 제 3자의 스누핑(Snooping)으로부터 보호받기 위해 암호화를 사용하고 있다. 역설적으로, 이로 인해 정교한 악성 소프트웨어들이 암호화에 편승하여 일반적인 검사를 회피하려 할 때도 네트워크 트래픽을 제대로 확인할 수 없는 일이 발생한다.

2. 가상 사설 네트워크

공공 와이파이(Wi-Fi) 핫스팟 등 안전하지 않은 장소에서 기업 네트워크에 접속하려는 직원들의 경우, 특히 보안에 취약하다. 이런 직원들은 가상사설네트워크(Virtual Private Network, 이하 VPN) 연결을 이용해 네트워크 접속 기밀을 보호할 수 있다. VPN은 모든 네트워크 트래픽을 암호화된 터널을 통해 신뢰할 수 있는 기업 네트워크로 돌린다.

 

단점은, VPN을 배치하는 작업이 중소기업에게는 다소 복잡할 수 있으며 인증, 처리, 대역폭 등의 간접비로 인해 지원 비용이 높다는 점이다. 또한 인증 토큰 또는 인증 기술의 물리적 도난에 취약하다. 이런 단점은 지난 해 RSA의 ‘SecurID’ 기술 침입에서 여실히 드러났다. 마지막으로 사전에 VPN이 설정된 기업 노트북을 도난 당하거나 분실할 경우, 인증 받지 않은 접속을 위한 관문으로 악용될 가능성이 있다.

3. IDS와 IPS

침입탐지시스템(Intusion Detection System, 이하 IDS)은 네트워크 중심적인 전략으로 수상한 활동의 트래픽을 감시하여 기업 네트워크 침입을 찾아낼 수 있다. 가장 단순한 수준에서는 네트워크 또는 서버에 로그인 하려는 시도로 유발되는 포트 스캔(Port Scan)의 탐지가 수반될 수 있다. 전자는 침입 당한 호스트가 초기 정찰을 위해 사용될 수도 있음을 뜻하며, 후자는 다소 강압적인 시도가 될 수도 있다. 더욱 발전된 네트워크 스위치류에서 IDS 네트워크 트래픽 감시는 포트 미러링(Port Mirroring)을 통해 활성화되거나 수동 네트워크 탭(Passive Network Tap)의 사용을 통해 활성화될 수 있다.

 

침입방지시스템(Intrusion Prevention System, 이하 IPS)는 침입을 능동적으로 예방하거나 검출되었을 때 차단하기 위해서 일반적으로 일렬로 배치된다. 구체적인 IP 주소는 자동적으로 차단할 수 있으며 관리자에게 경고 메시지를 전송하게 된다.

4. 악성 소프트웨어 검출

악성소프트웨어 검출이라는 고양이 쥐 잡기 게임 덕분에 2012년 기업용 보안 소프트웨어 시장의 규모는 229억 달러에 이를 것으로 전망되고 있다. 클라이언트 기기에서의 악성소프트웨어 스캔은, 개별 기기들의 처리 성능에 달려 있다. 기업용 버전에는 일반적으로 일정 형태의 중앙 관리방식이 사용되고 있어 새로운 정의 업데이트를 제공하고 간단한 보안 정책을 이행할 수 있도록 되어 있다. 특별히 서버에 최적화된 악성소프트웨어 제품도 공급되고 있지만 값비싼 서버 하드웨어의 처리 주기를 떨어뜨리는 것을 배치하는 것에 대해 지독히도 보수적인 기업들의 특성 때문에 딱히 인기를 얻고 있지는 않다.

 

대부분의 악성소프트웨어 침입이 사용자 행동의 직접적인 결과임을 감안하여 일반적인 백신 패키지들도 포괄적인 스윗으로 발전하면서 다수의 위협 매개체에 대한 보호를 제공할 수 있도록 시도하고 있다. 여기에는 게시에 앞서 URL 링크를 조사하는 구성요소, 첨부 파일을 조사하는 이메일 및 브라우저 플러그인(Plug-in) 등이 포함될 수 있다. 또한 백신 스윗은 점차 소프트웨어 기반의 방화벽, 스파이웨어 검출, 스팸 필터링 등과 통합되고 있다.

5. 화이트리스팅 (Whitelisting)

화이트리스팅은 전통적인 백신 소프트웨어처럼 클라이언트의 기기에서 이행하는 악성소프트웨어 대응 방어책이다. 하지만 화이트리스팅은 알려져 있는 악성소프트웨어를 확인하는 대신에 알려진 파일만 실행되도록 허용하는 것이다. 이를 위해서는 화이트리스트 처리된 애플리케이션의 데이터베이스를 구축하기 위한 초기 베이스라인 스캔이 요구되며, 새로운 애플리케이션은 설치한 후에 따로 추가할 수 있다.

 

화이트리스팅은 비록 전망이 밝긴 하지만 다양한 실질적인 문제들 때문에 기업들이 도입을 꺼리고 있다. 예를 들어, 중요 파일의 의존성이 제대로 확인되지 않아 애플리케이션이 충돌하거나 설치가 제대로 안 되어 로딩이 불가능할 수 있다. 또한 화이트리스팅은 특별히 생성된 문서 또는 실행이 불가능한 파일의 사용을 이용하는 침입에 무용지물일 수 있다. 마지막으로, 급한 직원들은 경고를 무시하고 악성소프트웨어를 포함한 모든 것을 여과 없이 화이트리스트에 추가하도록 선택할 수도 있다.

 

물론, 화이트리스팅은 오랫동안 괄목할만한 성장을 이룩했다. 현재, 대부분의 화이트리스팅 소프트웨어 애플리케이션은 설치 시 일반적으로 사용되는 애플리케이션을 인식할 수 있기 때문에 초기의 화이트리스트를 사용자의 도움을 거의 받지 않고 매우 신속하게 구축할 수 있다. 화이트리스팅 소프트웨어가 기존의 백신 소프트웨어와 공존할 수 있는지 여부는 중요한 문제이다. 일부 화이트리스팅 제품들은 백신 애플리케이션과의 호환성을 광고하고 있지만, 이는 제품에 따라 다른 것이 사실이다.

6. 스팸 필터링

전통적으로 스팸이 컴퓨터 보안의 영역으로 인식되었던 것은 아니다. 그러나 해커들이 기업 워크스테이션에 트로이(Trojan) 또는 제로데이(Zero-Day) 악성소프트웨어를 침투시키기 위해 사용하는 스피어 피싱(Spear Phishing) 공격이 증가하면서 그 경계선이 모호해지고 있는 실정이다. 게다가, 많은 양의 이메일을 처리하는 사용자들이 피싱 시도에 더욱 민감하다는 증거가 포착되고 있다. IT 부서로서는 가능한 많은 가짜 이메일을 걸러내는 것이 이득이다.

 

특화된 클라우드(Cloud) 서비스 제공업체, 서버 기반의 스팸 필터링 소프트웨어, DMZ 내에 배치된 전용 안티스팸 장비 등을 통해 수신되는 모든 이메일 메시지를 채널링(Channeling) 하는 등 스팸을 처리하는 다양한 방법이 있다.

7. 소프트웨어 업데이트

소프트웨어 업데이트와 보안 패치를 최신으로 유지하는 것은 보안 침입에 대한 중요한 방어책으로 널리 인정 받고 있다. 그 이유는 간단하다. 벤더들이 비록 새로운 보안 취약성을 상세하게 공개하지는 않지만 제공된 지침과 보안 패치의 공개는 해커들이 특정 취약성을 역설계하기에 충분하다. 확인된 보안 취약성의 특성에 따라 며칠 만에 악성소프트웨어가 완성될 수도 있다.

 

이것은 광범위한 소프트웨어 애플리케이션이나 다양한 써드파티(Third-party) 툴 또는 코드베이스에 기반한 자체 툴을 사용하는 SMB들에게 문제가 되고 있다. 따라서 새로운 소프트웨어 업데이트 또는 보안 패치를 간과하여 취약성이 노출되는 경우가 흔하다.

 

인터넷을 통해 자체 업데이트가 가능한 소프트웨어의 수가 점차 증가하면서 이런 문제가 다소 완화되고 있다. 하지만 임무 수행에 필수적인 생산 환경에서 자동 업데이트는 바람직한 선택이 아닐 수 있음을 기억해야 한다. 그 목적을 달성하기 위해서 기업들은 새로운 업데이트를 적절한 시기에 새로운 업데이트를 확인하고 테스트하는 적절한 과정을 이행해야 한다.

8. 물리적 보안

물리적 보안은 아무리 강조해도 지나치지 않은 중요한 요소이다. 어쨌든, 물리적 접속이 가능하면 실질적으로 모든 보안 또는 네트워크 장비를 공장출하 시의 기본 상태로 되돌릴 수 있다. 게다가 보안이 뚫린 이더넷(Ethernet) 포트는 방화벽과 기타 주변 방어책을 지나갈 수 있는 직접적인 통로를 제공할 수 있다. 물론, 이런 접근은 식별되지 않는 MAC 주소에 대한 접속을 거부하도록 설정된 관리되는 스위치 정도에서 차단될 수 있다.

 

서버실의 또 다른 걱정은 스토리지 장비 또는 서버의 핫스왑(Hot-swap)이 가능한 베이(Bay)로부터 하드 디스크 드라이브를 도난 당하는 것이다. 도난 당한 스토리지 기기의 암호 파일은 상대적으로 쉽게 해독할 수 있기 때문에 서버실은 항상 잠궈두어야 하며 오직 허가된 직원만 출입이 허용되어야 한다.

 

우리는 보안 배치의 가장 일반적인 면들 중 일부만을 살펴보았다. 분명 사용자 교육의 중요성, 독립적인 보안 감사, 훌륭한 IT 정책의 가치 등 많은 방법들이 있다. 포괄적인 기록과 감사 또한 침입을 탐지하는데 일조할 수 있다.

 

여기서 중요한 점은 보안이 끊임없이 발전하는 다면적인 주제라는 사실이다. 중소 기업들은 보안을 위해 단일 메커니즘에 의존하지 않고 가능한 최신 보안 서비스를 유지하도록 해야 한다.

 

반응형

출처

중소기업을 위한 다계층 보안체계 체크리스트