설정의 어려움

보안 전문가들은(뿐만 아니라 공격자들도) 기업 네트워크에 증가하고 있는 심각한 문제인 빈약하게 설정된 시스템에 좀 더 주목하고 있다.

설치만 해놓고 정규적으로 관리되지 않는 조화롭지 못한 애플리케이션과 하드웨어, 보안 시스템 전체는 물론 공개된 불안전한 무선 액세스 포인트에 이르기까지 이 문제가 내제되어있다.

ExchangeGuy Consulting의 대표 리 밴자민(Lee Benjamin)은 “IT 인프라스트럭처가 전체로 패치 된 방식이 내가 마주치는 문제들 중 하나는 하나”라며 “일례로 호텔의 Wi-Fi 액세스 포인트를 살펴보자. 보통 대여섯 개의 액세스 포인트가 항상 사용된다. 주차장에 들어가서도 액세스 포인트를 찾을 수 있다”고 말했다.

그 중에서도 밴자민은 잘 작동하는 것처럼 보이지만 적절하게 설정되지 않은 장치들과 연결된 IT 인프라스트럭처는 익스플로이트하기 위해 보안의 틈을 노리는 이들에게 최우선 타겟이 된다고 말했다.

NAP의 시대가 도래하다

이전 롱혼(Longhorn)이라고 알려졌던 윈도우즈 서버 2008의 발매와 더불어 마이크로소프트사는 현재 네트워크 액세스 보호(NAP : Network Access Protection)를 적절히 제공하기 위해 막바지 작업을 하고 있다.

이것은 수많은 소규모 NAC 업체들이 수년 동안 두려워했던 일이다. 그들은 마이크로소프트사의 기업 영향력이 독립 회사들이 가진 기술적 우위를 무색하게 할 것을 걱정해왔다.

분석가들은 전체 기업 중에서 NAC를 사용하는 곳은 상당히 적은 수에 불과하다며 현 시점에서는 통계 수치를 수집할 만큼의 가치도 없다고 말한다. 이러한 상황은 마이크로소프트사의 진출에도 불구하고 올해에도 크게 달라질 것으로 보이지 않는다.

타겟 : 하드웨어

하드웨어는 수많은 보안 연구자들이 선택하는 새로운 공격 벡터가 되고 있다.

대부분의 연구자들은 일반적으로 소프트웨어 취약성과 공격 방법에 초점을 맞춰왔다. 그러나 하드웨어 가격이 지속적으로 떨어지고 많은 구성 부분들이 필수품이 됨에 따라 대학과 다른 단체들의 예산에 압박받는 연구자들은 하드웨어 공격에 관한 작업을 시작했다. 지난 2월 블랙햇 DC 컨퍼런스(Black Hat DC conference)에서도 상당수의 강연이 GSM 모바일 네트워크 결점 악용을 포함한 하드웨어 기반 공격에 중심을 두었다.

give & take

댄 기어(Dan Geer)는 경제학과 데이터보안에 관한 신간을 발표하고 최근의 좌담을 통해 보안과 컴플라이언스가 여러 방면에서 서로 뒤엉켜있는 한, 대부분의 경우 컴플라이언스가 오히려 보안의 결함을 드러낼 것이라고 지적했다.

기어는 “규칙을 준수해도 돌아올 것이 없다면 우리는 그 규칙을 존중하지 않게 된다”고 덧붙였다.

<글·데니스 피셔 (Dennis Fisher)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>