• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[특집-가상화]가상화시스템을 이용한 보안정책 수립 2008.11.07

관리자를 축소하고 데이터의 중심화가 핵심


가상화라는 기술이 국내에 소개된 것은 벌써 몇 년 전 일이지만 아직도 가상화 기술이 도입적인 차원이 아니라 신기술 적인 의미의 이슈에 머물고 있다는 것은 아쉬운 일이다. 이제 가상화에 대한 기술적인 의미보다는 그 활용에 초점을 맞춰야할 때가 아닌가 싶다. 특히 가상화가 시스템을 효율적으로 사용한다는 장점을 넘어 관리기술적인면에서 본다면 보안정책으로의 접근이 가능해 보인다. 이에 따라 이번 보안뉴스 특집에서는 가상화의 활용과 관리 솔루션을 이용한 보안정책 수립 가능성을 짚어보고 활용적인 측면을 찾아보고자 한다.  - 편집자 주 -


순서 - 1. 가상화 어떻게 활용할 수 있을까?

       - 2. 가상화 솔루션과 보안에서의 활용

     - 3. 가상화를 이용한 보안정책 수립


가상화는 여러 가상환경에 대한 제어 기능이 있기 때문에 이를 활용하는 보안정책 수립이 가능하다. 더불어 일괄적인 패치기능과 자료 이관에 따른 리스크를 줄일 수 있다. 이런 기능을 위해서는 가상화에 맞는 보안정책을 내부적으로 수립하는 것이 중요하다. 그렇다면 가상화를 이용한 보안정책에는 어떤 프로세스가 있는지 살펴보도록 하겠다.


■ 접근권한 프로세스와 자료 분류 프로세스 정립

내부 유출의 경우 타인의 데스크탑에 접근해 정보를 빼내는 경우가 많다. 하지만 가상화를 통해 데스크탑의 접근권한 관리 체계를 세워놓는다면 어느정도 이런 부분에 대한 문제를 줄일 수 있다.


특히 가장 먼저 해야할 것은 데이터의 중앙화라고 볼 수 있다. 이를 쉽게 설명하자면 데이터를 되도록 하나의 가상머신에 중앙화 시켜 접근권한에 따라 접근체계를 줄여나가는 것. 즉 가장 중요한 자료는 가장 안쪽에 자리잡도록 하며, 점차적으로 중요도에 따라 밖으로 자료를 노출하는 것이다.

 

밖으로 갈수록 접근권한을 가진 사람이 많아지고 안으로 갈수록 접근권한이 줄어드는 형태라고 볼 수 있다. 이를 위해서는 데이터의 중요도와 이용자의 접근 필요성에 대해 정확한 파악을 먼저 실행한 후 그에 따라 데이터 관리가 이뤄지도록 한다.

 

가상화 데스크탑 환경에서는 관리자에 의해 승인된 사용자만이 접속을 할 수 있도록 하는 접근제어 기능이 있다. 그리고 접속 채널은 모두 암호화되어 중간에서 다른 사용자가가 정보를 훔쳐갈 수 없도록 하고 있다.

 

▲ 가상화 매니지먼트 기능을 이용한 접근제한  ⓒ아이오차드

■ 보안 패치 프로세스 정립

기업 내 PC의 문제점 중 하나는, 각각의 PC나 시스템에 대한 보안패치가 적절히 이뤄지지 않을 수 있다는 점이다. 보안패치가 이뤄지지 않을 경우 악성코드나 바이러스에 의한 문제가 발생할 수 있고, 악성코드에 의한 키보드 정보노출로 인해 내부 정보가 누출 될 수 있다.

 

따라서 보안패치의 중요성은 이루 말로 할 수 없다. 하지만 기업 내 PC의 보안패치가 적절히 이뤄지지 않는 이유는 사용자들이 각각 PC에 보안패치를 설치하지 않는 경우가 많다는 것.

 

특히 패치 작업이 진행 중일 경우 PC의 성능이 저하되기 때문에 중요한 작업을 진행 중인 사용자는 패치를 뒤로 미룰 수 있다. 하지만  언제 찾아올지 보안의 위협에 대비하기 위해서는 실시간 패치가 필요하다. 가령 유행하는 악성코드에 대한 긴급패치가 나왔을 때는 패치를 바로 실행해야 한다.


따라서 가상화를 이용한 보안패치 프로세스를 구축하면 이런 부분에서 유용할 수 있다. 함께 사용하는 OS의 이미지에 보안패치를 실행시켜주면 사용자의 PC 모두에게 보안패치가 적용되기 때문이다. 


■ 자료 이관 프로세스 정립

가상화의 장점은 즉각적인 복구가 가능하다는 것. 사용자의 PC나 서버에 문제가 발생했을 경우 즉각적인 복구가 가능하다. 더불어 사용자가 회사를 관두거나 부서를 옮겼을 때 사용하던 PC에 있던 자료에 대한 관리가 쉬워진다.

 

하지만 정책적으로 자료에 대한 이관 프로세스를 만드는 것이 중요하다. 이런 작업은 기업의 중요데이터가 분산되는 것을 막을 수 있다. 기업의 중요한 데이터가 분산된다는 것은 언제고 데이터 누출 위험에 놓여있다는 것을 의미하기 때문에 이에 대한 프로세스를 정책적으로 정립하는 것이 중요하다.


일단 사용자가 취급하는 데이터에 대한 이관이 완벽했는지 체크리스트를 만들고 나머지 사용자 개인의 데이터는 새로운 가상화 PC에 이관시키는 것까지 정책에 포함해야한다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>