| “작은 사고 꼼꼼히 분석해야 큰 사고 막을 수 있다” | 2010.01.10 |
Trend를 읽어라
정보보안의 활동 결과를 매일 매일 정확하게 쌓아 가는 것, 그리고 쌓인 데이터를 정기적으로 분석하여 그 결과 안에서 많은 의미를 찾기 위해 노력하는 것, 이것이 바로 안전한 기업 경영을 위한 보안 관리 노하우다.
그렇다면 나의 경험으로 볼 때 정보보안은 일상의 별거 아닌 현상들을 연계분석하고 그 안에서 문제를 발견하여 정의하며 정의된 문제들을 정책으로 피드백하는 반복적인 일련의 작업들을 하는 것이다. 이것은 정보보안관리체계 기본 사이클이며 누구나 이행하고 있는 기본 활동이지만 나는 이것을 굳이 노하우라 말하고 싶은 것은 기본을 지키는 것이 중요하며 더 중요한 것은 정보보안의 활동 결과를 매일 매일 정확하게 쌓아 가는 것, 그리고 쌓인 데이터를 정기적으로 분석하여 그 결과 안에서 많은 의미를 찾기 위해 노력하는 것이다. 정보보안의 트렌드는 공격성향의 트렌드라 할 수 있다. 정보보안의 트렌드를 읽으려면 어떻게 해야 할까? 잡지, 신문, 방송, 기타 기술문서들. 이런 것들을 통해 받아들이는 정보들은 이미 다른 사람들이 분석해 놓은 트렌드를 받아들이는 일이다. 물론 이것은 기본적으로 필요한 일이지만, 우리기관이 공격받는 성향을 분석하여 현재의 공격 트렌드를 분석하는데 반영해 보는 것도 상당히 의미 있는 일이 되곤 한다. 트렌드의 사전적 의미는 ‘경향, 추세, 방향, 정세 따위가 어떤 방향으로 기울다’로 되어있다. 공격 성향이 어떤 방향으로 기울고 있는가? 우리기관으로 들어오는 공격을 면밀히 분석하고 연구하면 알 수 있는 일이다. 관제모니터링과 그 결과를 부지런히 반복해서 피드백 하면서 정보보안의 트렌드를 자연스럽게 읽게 된다. 하나의 예를 들어보자. 우리기관을 대상으로 한 외부의 공격에 대해 2008년도와 2009년을 비교해 보면 공격국가 순위별 분석에서 자국의 공격이 2008년 6위에서 2009년은 1위로 상당히 증가하고 있음을 알 수 있다. 이것은 현재 가장 큰 사이버 위협인 봇넷과 관련이 있다고 생각된다. 전 세계적으로는 좀비PC가 지역별로 균등하게 분포돼 있는 반면 한국에는 너무 많이 몰려 있다는 최근의 지적과 무관하지는 않다고 보여 지기 때문이다. 트렌드 분석을 위해 중요한 사전 작업이라 할 수 있는 것은 로그이다. 어떠한 경우가 발생하더라도 문제의 핵심을 추적 가능한 경로의 흔적을 모두 남겨 놓는다. 저장되는 로그량이 상당히 될 것이므로 저장방법과 백업, 용량관리 방안 등 로그 아카이빙 정책이 필요하다. 나의 경우는 대부분의 로그를 debug level로 운영하고 저장한다. 항상 시스템이 새로 도입되면 시스템 환경 구성과정에서 핵심 daemon의 로그 저장 사이클에 대해 명확히 요구하는 편이다. 저장을 위한 사이클은 working day 기준으로 2~3일 운영한 후 일일 저장용량을 확인하고 ‘일별 저장 방식’ 또는 ‘파일사이즈 기반 저장 방식’ 중 선택하여 로그가 자동 생성되도록 구성한다. 또한 저장된 로그의 신뢰도 검증을 해볼 필요가 있다. 방화벽시스템처럼 아주 중요한 로그는 반드시 저장된 데이터의 신뢰도 검증을 해야 한다. 감염시스템이 발견되거나 침해사고가 발생된 경우 문제의 접속로그를 찾는 것은 아주 중요한 감사 증적자료가 되며 실제 정보유출 여부를 판단하는 기본 수단이 된다. 이런 경우 로그가 저장될 때 일부 손실이 발생되었다면 침해사고 분석에 착오가 발생할 수도 있기 때문이다. 시스템의 하드웨어에 심각한 장애가 발생한 대부분의 경우 거꾸로 하드웨어 상태 로그를 확인해 보면 조금씩 이상 증상을 나타내고 있었던 것을 발견할 수 있다. 평상시에 하드웨어 상태로그를 관리자메일로 자동 통보하도록 구성해 놓는다면 하드웨어 장애가 발생하기 전 사전 예방에 도움이 된다. 물론 하드웨어 상태를 나타내는 로그는 보통의 로그에 비해 이해하기가 조금 어려울 수 있지만 시스템 엔지니어의 도움을 받아 구성해 본다면 도움이 될 수 있다. 감염된 PC가 발견되면 PC의 보안패치, 백신설치, 수동검사 이력 등 확인할 체크리스트로 감염PC 상태를 확인한다. 그런데 최근 감염PC의 주요 특징은 백신서버에서는 정상인데 현장에 가보면 백신이 무력화 되어있는 경우가 많다. 감염 형태가 바뀌고 있는 것이다. 그렇다면 백신 관리서버에서 비정상 상태의 agent를 정확하게 확인할 수 있다면 정기적으로 그런 agent를 관리함으로써 감염시스템을 사전 색출해 낼 수 있을 것이다. 하지만 백신 서버에서 비정상 agent를 구체적으로 구분하는 것이 쉽지 않다. agent의 재설치, 구성변경, 실제의 비정상 상태 등을 세부적으로 구분하기 어려운 경우가 대부분이다. 제조사에서 이 부분을 명확하게 수정할 수 있다면 감염으로 인한 비정상 agent의 색출이 가능해져 감염예방에 많은 기여를 할 수 있을 것이다. 이런 경우 대부분은 방법을 찾아달라고 제조사에 요구한다. 그리고 현재 방법이 없을 경우, 앞으로 기능 추가 개발이 가능하다면 반영을 요구한다. 업무를 수행하면서 파악된 문제를 어떤 형태로든 피드백하기 위해 노력한다. 그러다 보면 사용자가 솔루션 개발을 리드하게 되고 사용자 관점에서 목소리를 낼 수 있게 된다. 침해사고가 일어나서는 안되겠지만 불가피하게 침해사고가 발생한 경우 그 사고를 겪으면서 뭔가 하나씩은 꼭 얻고자 했다. 사고 처리 후 문제의 포인트를 파악하고 파악된 문제들은 예방을 위해 그 다음에 바로 이행할 일들이 되곤 한다. 즉, 끊임없이 새로운 일이 증가하게 된다. 정보보안은 아직 많은 일들이 미지로 남아 있는 분야이므로 어쩌면 당연한 것일지 모른다. 나와 함께 일을 하는 친구들은 동료든 지원 업체든 한결같이 내가 너무 많은 일들을 만든다고 불만을 이야기 하곤 한다. 하지만 어쩌겠는가? 발생된 일은 새로운 방안을 내게 예고해 주곤 하는데 그걸 못 본 척 하란 말인가? 그래서 작은 감염건들은 심각한 침해사고를 막아주는 예방주사 역할을 톡톡히 할 수 있다. 작은 감염을 대강 보아 넘기지 않고 자세히 분석하고 대비 방안을 마련하면 큰 사고를 사전에 예방하는 지름길이 될 것이다. 아이쿠! 난 오늘도 나와 함께하는 소중한 친구들에게 또 야단맞겠군… <글 : 황혜선 책임연구원, 한국원자력연구원 정보통신팀 (hyeseon@kaeri.re.kr)> [월간 정보보호21c 통권 제113호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
노하우의 사전적 정의는 ‘실제적 지식, 정보기술, 전문기능, 요령, 비결, 처세술’로 되어있다. 정보보안의 노하우? 그런 것이 나에게 있어서 지금까지 내가 정보보안을 하고 있는 건 아닐 것이다. 다음에 나열한 내용들은 타기관의 모든 관리자들이 당연히 해야 하는 일이고 다들하고 있는 일이라서 이런 것을 글로 쓴다는 것이 자못 쑥스럽기까지 하다. 그러나 기술적인 노하우에 대해 별로 내세울 것도 없는 내가 오랫동안 정보보안 업무를 지속할 수 있었던 것은 반복되는 일상 속에서 발생하는 별거 아닌 현상들을 연계 분석하고 그 속에서 포인트를 찾아내는 고집스러움이 아니었을까 한다.