본고에서는 내부정보유출방지 솔루션이 아닌 대부분 기업에서 보유하고 있는 방화벽을 통해 내부정보 유출을 방지하는 방법에 대해 말하고자 한다. 이를 통해 인터넷을 통한 내부정보유출을 최소화 할 수 있다.

최근 개인정보보호, 산업기술보호 등의 이슈로 내부정보 유출 방지에 대한 중요성이 높아지고 있다. 내부정보유출 방지를 위해 정보유출방지솔루션, PC보안, DRM, DLP 등 여러 가지 내부정보유출방지 솔루션이 출시되고 있고 기업들은 이를 도입해 내부정보유출을 강화하고 있다.

정보기술 및 인터넷의 발달로 외부로 유출할 수 있는 방법은 다양화되고 있다. USB, CD-RW, 인터넷, 메일 등 여러 다양한 매체를 통해서 유출이 가능하다. 매체별 유출경로를 살펴보면 표 1과 같다.

표 1의 매체별 정보유출 방법에서 볼 수 있듯이 여러 다양한 매체를 통해 정보유출이 가능하다.

매체 중 Hardware나 출력물의 경우에는 관리적 보안을 통해 대응이 가능하다. 노트북을 통한 자료유출은 노트북 반출 프로세스를 수립하여 허가된 노트북을 통해 반출을 할 수 있도록 해야 하고 HDD탈취 등은 PC시건장치를 통해 예방할 수 있다. 출력물의 경우 문서 반출입 프로세스와 FAX 수·발신 프로세스를 철저히 수립하여 예방한다. 출력물의 경우에는 관리적인 방법으로도 예방이 가능하지만 문서보안솔루션이나 요즘 출시되는 프린터, 복사기, FAX기 하드웨어 보안제품을 통해서도 보완이 가능하다. 외부저장장치(FDD/USB/CD, DVD-RW 등), 화면 캡쳐 등에 의한 자료유출에 대해서는 PC보안솔루션 등과 같은 보안솔루션의 도입에 의해 대응이 가능하다.

인터넷에 의한 자료유출에 대해서는 DLP(Data Loss Prevention) 솔루션을 통해 대응을 하지만 이를 대부분 기업에서 도입되어 있는 방화벽을 통해서도 어느 정도 대응이 가능하다. 그 외 침입탐지시스템 IDS 등을 통한 대응방법도 있다.

방화벽을 활용한 효과적인 정보유출방지 관리기술

방화벽 Firewall은 침입차단시스템으로 인터넷으로부터 내부망을 보호하는 가장 기본적인 장비이다. 방화벽 정책 설정만 잘해도 인터넷을 통한 정보유출에 어느 정도 대응할 수 있다.

방화벽 정책은 기본 Deny정책이고 필요한 IP와 서비스포트만 허용을 하여 내부망을 보호하고 있다. 일반적으로 방화벽 정책은 외부에서 내부로의 정책을 중요시 하고 있지만 내부에서 외부로의 정책도 고려한다면 정보유출을 효과적으로 방지할 수가 있다.

예를 들어 표 2와 같이 내부에서 외부로 정보유출의 소지가 있는 웹하드, P2P, 원격접속 등의 서비스를 제공하는 사이트 및 외부메신저 등은 완전 차단하고 FTP는 다운로드만 허용하고 업무상 필요한 사이트만 업로드를 할 수 있도록 하고 SMTP는 회사 메일서버만 허용 하도록 하며 내부망에서 외부망으로는 필요한 서비스 포트(HTTP 등)만 오픈하는 방법이다.

웹하드, P2P, 원격제어의 경우, 일반적인 웹서비스를 통해 접속이 가능하기 때문에 따로 차단이 필요하며 메신저의 경우에는 여러 접속 루트를 통해 메신저 사용이 가능하기 때문에 따로 IP대역으로 차단 정책이 필요로 하다.

FTP의 업로드, 다운로드 제어는 방화벽 제품마다 조금씩 차이는 나겠지만 FTP의 GET,PUT을 제어하여 차단하는 방식으로 그림 1, 그림 2에서 그 설정 예를 볼 수 있다. SMTP 서비스의 경우, OUTLOOK 등을 이용해 외부SMTP를 설정하여 외부로 메일을 발송할 수 있다. 따라서 로깅 및 제어가 가능한 내부 SMTP서버만 외부로 오픈을 하고 그 외 모든 외부 SMTP서버로의 접속은 차단해야 한다. 

지금까지 정보유출 매체 중 인터넷에 해당하는 항목에 대해서 방화벽을 이용해 차단하는 방안을 살펴보았다. 그러나 일반적으로 사용하는 웹서비스를 이용하는 웹메일이나 게시판을 이용하여 파일을 업로드하는 행위에 대한 대응에 대해 생각해 볼 필요가 있다.

이에 대한 대응기술은 방화벽과 침입탐지시스템에 존재한다. 침입탐지시스템을 통한 대응기술은 다음 단락에서 소개하기로 하고 우선 방화벽을 통한 웹 업로드 대응기술에 대해서 언급하고자 한다.

웹 업로드에 대한 대응은 업로드 파일사이즈의 제한을 통해서 가능하다. 방화벽 종류에 따라 제어하는 방식이 다르겠지만 HTTP서비스를 제어하는 기능이 있으며 그림 3과 같이 설정할 수 가 있다.

그림 4와 같이 웹메일에 파일첨부나 웹게시판에 파일 첨부시 차단이 이루어진다. 제한한 최대크기 25Kbyte를 초과할 수 없다.

지금까지 방화벽에서의 정보유출 대응 기술에 대해서 살펴보았는데 방화벽 정책설정만 잘 되어도 인터넷을 통한 대부분의 유출차단이 가능하다.

침입탐지시스템에서의 정보유출 대응 기술

침입탐지시스템 IDS(Intrusion Detection System)는 본연의 업무인 침입탐지의 업무 이외에 유해사이트 차단, 메일로깅 등의 기능으로도 사용할 수 있다. 또한 기본적으로 업데이트 되는 패턴 룰 외에도 사용자 정의 룰을 사용하여 Input, Ouput 패킷을 제어할 수 있는 기능이 있다. 침입탐지시스템 종류에 따라 다르겠지만 패킷 Reset기능, 방화벽 연동기능을 이용하여 차단이 가능하다. 침입방지시스템 IPS(Intrusion Prevention System)의 경우에도 마찬가지로 차단기능이 있어 더욱 유용하게 활용할 수가 있을 것이다.

이에 앞서 설명한 방화벽을 이용한 웹 업로드 제한한 기술을 침입탐지시스템에 적용하여 웹 업로드 제한하고자 한다. 적용하려고 하는 침입탐지시스템의 위치는 그림 5에서 볼 수 있듯이 인터넷 망으로 나가는 길목에 위치하고 있어야 한다.

침입탐지시스템의 웹 업로드 제한 설정은 HTTP 모니터링을 통해 클라이언트 전송량에 제한을 두어 설정이 가능하다. 그림6은 NeoWathcer IDS 설정의 예이다.

그림 7과 같이 웹메일에 파일첨부나 웹 게시판에 파일 첨부시 차단이 이루어진다. 이렇게 침입탐지시스템을 통하여 웹 업로드 제어정책만 잘 설정하여도 정보유출방지에 큰 기여를 할 수가 있다.

방화벽이 차단기능과 동시에 HTTP 패킷모니터링 기능을 수행하여 웹 업로드 차단까지 하기에는 무리가 있었지만 침입탐지시스템에서는 침입탐지시스템  본 기능인 패킷모니터링을 하면서 웹 업로드 차단하는 방법이라 좀더 용이하게 처리할 수 있었다. 방화벽 웹 업로드 차단방식에 비해 침입탐지시스템의 웹 업로드 차단방식이 좀 더 효과적이라고 할 수 있겠다. 

방화벽 관리기술, 기업의 사활 좌우

방화벽, 침입탐지시스템을 통해 대응을 하더라도 HTTP 등 정상적인 서비스를 이용한 제어에 대해서는 한계가 있다. 외부 프록시 서버의 경우, 이러한 정상적인 서비스를 이용하여 우회 경로를 제공한다. 즉, 방화벽에서 메신저 대역을 차단하더라도 프록시 서버를 통해 메신저 사용이 가능하다. 그림 8은 메신저에서의 프록시 서버 설정을 보여준다.

프록시 서버를 통한 우회에 대응하기 위한 방법으로 내부 HTTP 프록시 서버를 구축하는 방법이 있다.

모든 HTTP 패킷에 대해서 L4스위치에서 무조건 내부 HTTP 프록시 서버로 포워딩 하도록 하여 외부 프록시 서버 사용을 불가하도록 한다. 이러한 설정을 함으로써 외부 프록시 서버에 접속을 할 수 없으며 프록시 서버를 통한 메신저 접속은 할 수 없게 된다.

외부 프록시 서버가 다른 포트를 사용하더라도 이미 방화벽에서는 Outbound 트래픽에 대해 허가된 서비스에 대해서만 오픈이 되어 있으므로 문제가 되지 않는다.

여기서 한 가지 언급하지 않은 내부 SMTP서버를 통한 메일발송의 경우에는 정상적인 발송이기 때문에 정보유출의 취약점이 존재한다. 이에 대한 대응으로는 DLP(Data Loss Prevention) 솔루션이 사실상 필요하다.

지금까지 방화벽 등 기 보유한 보안시스템을 이용해 인터넷을 통한 정보유출에 대해 대응하는 방안에 대해서 알아보았다.

본고에서 소개한 기업의 중요정보 유출을 방지하기 위한 방화벽 관리기술은 기업의 사활이 걸려있는 중요정보가 유출 되는 것을 예방할 수 있다. 기업뿐만 아니라 중요정보를 보유하고 있는 국가기관, 공기업, 연구소 등에도 효과적으로 적용되어질 수 있을 것이다.

<글 : 김도형 디앤샵 기술본부 정보기획팀 과장(pccop@dnshop.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>