많은 기업들이 인터넷데이터센터(IDC)에 입주해 안정적인 시스템의 운영과 효율적인 운영과 관리를 꾀하고 있다. 그렇지만 IDC에 입주하는 많은 기업들이 자체 보안 인력을 보유하고 있는 경우가 많지 않기 때문에 대부분 보안을 고려하는 기업들은 IDC가 자체적으로 제공하거나 전문 보안업체와 협력 관계를 통해 별도의 보안 서비스를 이용하게 된다.

온라인 비즈니스의 중요성과 영향력이 점차 커지면서 쇼핑몰, 게임 등 전통적인 온라인 중심의 기업뿐만 아니라 오프라인 기반 업체들도 온라인 비즈니스로 사업을 확장, 또는 전환하는 사례가 늘어나고 있다. 이러한 변화에 따라 많은 기업들이 비즈니스의 성패를 좌우하는 시스템의 안정적인 운영과 효율적인 관리를 위해서 인터넷데이터센터(IDC)에 입주하거나 입주를 고려하는 기업들이 증가하고 있다.

IDC 이용 시 고려해야 할 보안 사항

기업들이 IDC에 입주할 때 표 1과 같이 이용하는 방식에 따라 크게 코로케이션과 호스팅 두가지 형태로 구분된다.

표 1을 참고하여 입주 고객들은 기업의 비즈니스 중요도와 상황에 따라서 코로케이션 서비스를 이용할 것인지 호스팅 서비스를 이용할 것인지 선택하게 된다.

표 1에서 언급한 것처럼 기본적인 보안 상황은 코로케이션이 우수하지만 IDC에 입주하는 많은 기업들이 자체 보안 인력을 보유하고 있는 경우가 많지 않기 때문에 대부분 보안을 고려하는 기업들은 IDC를 자체적으로 제공하거나 전문 보안업체와 협력 관계를 통해 별도의 보안 서비스를 이용하게 된다.

시스템의 주기적인 관리 필요

IDC에 입주하는 기업들이 반드시 알아두어야 하는 것이 있다. IDC를 통해서 제공되는 보안 서비스는 기업들이 운영하는 시스템 상위의 네트워크 Layer에서 알려진 혹은 학습을 통해 평소 트래픽을 웃도는 공격성 트래픽을 필터링 하는 방식이다.

다시 말해 알려진 공격에 대해서는 우수한 방어 성능을 보이지만 아무리 비싸고 완벽한 보안 장비라고 하더라도 알려지지 않은 새로운 공격(제로데이 공격: 공격 대응 방법이 아직 알려지지 않은 공격)에 대해서는 완벽히 필터링을 할 수 없기 때문에 IDC에서 제공하는 보안 서비스를 받고 있다고 해서 모든 공격이나 위협으로부터 100% 안전하지는 않다는 것이다.

보다 강력한 시스템 보안을 위해서는 반드시 IDC가 제공하는 보안서비스와 함께 주기적으로 운영하고 있는 시스템의 최신 패치와 안티 바이러스 툴 등을 이용한 감시가 병행 되어야 한다.

표 2는 2009년 IDC에서 발생했던 주요 보안 사고의 유형이다. DDoS 공격을 제외한 사고 유형을 보면 앞서 언급했던 네트워크 Layer의 보안과 더불어 시스템 내에서의 보안이 왜 동시에 필요하다고 했는지 알 수 있을 것이다.

특히 이 중에서도 가장 주목해야 하는 사고 유형은 보안 서비스를 이용하더라도 대 고객 서비스의 가용성을 중요시해 필터링을 수행하지 않는 웹(port 80)에 대한 해킹 공격이다.

표 2에서 언급했듯이 웹 해킹이 발생했을 때 기업이 입을 수 있는 피해 정도가 큰데 반해 2008년 IDC 입주 고객을 대상으로 웹 취약점을 분석해본 결과 약 88%의 웹사이트가 취약점을 가지고 있었다.

물론 고가의 웹 방화벽이라는 보안장비를 통해서 많은 부분 웹 공격에 대응 할 수 있지만 공격 패턴이 지속적으로 변경되기 때문에 취약점을 가지고 있는 웹사이트는 결국 웹 해킹에 노출될 수 밖에 없다.

근본적인 대응을 위해서는 웹 프로그램 중 외부에서 값을 입력 받는 변수에 올바른 값만 입력될 수 있도록 필터링 하는 방법이 있으며 그 외에 KISA에서 무상으로 제공하는 ‘캐슬(castle)’ 등의 공개형 웹 보안 솔루션의 적용도 도움이 된다. 솔루션 다운로드 및 상세한 내용은 toolbox.krcert.or.kr을 참고하면 된다.

보안의 시작, 백업

IDC에 입주해서 시스템을 운영하는 기업들 중 시스템 및 데이터에 대한 백업을 고려하지 않는 기업들이 종종 있다. 보안의 기본은 백업에서부터 시작한다.

보안이라는 것이 기업의 주요 자산을 보호하고 비즈니스를 안정적으로 지속시켜 주기 위해 필요한 것인 만큼 보안 사고나 장애로 인해 기업의 자산인 데이터의 유실이 발생했을 경우 이를 정상으로 되돌릴 수 있는 방법은 평소에 주기적으로 백업을 하는 방법 외에는 없다. 특히 온라인에서 비즈니스를 하고 있는 기업의 경우 ‘비즈니스 연속성 유지’를 위한 백업은 선택사항이 아닌 필수이다.

지금까지 IDC에 입주하는 기업들이 알아야 하는 보안 사항에 대해서 알아보았다. IDC는 안정적인 전력과 네트워크, 항온항습을 통해 시스템 운영을 위해 최적의 장소를 제공해 주는 것은 분명하지만 많은 시스템이 공존하는 곳이기 때문에 관리되지 않는 취약한 시스템을 운영하는 기업에서는 오히려 IDC 입주로 인해서 같은 IDC를 이용하는 다른 시스템에 의해 피해를 입을 수도 있고 피해를 줄 수도 있다.

기업들은 이러한 환경을 이해하고 시스템에 주기적으로 패치와, 업그레이드, 모니터링, 백업 등의 관리와 더불어 IDC의 전문가와 협의하여 비즈니스 특성에 맞는 보안을 적절히 적용한다면 안정적인 시스템 운영 및 비즈니스 연속성을 유지할 수 있을 것이다.

<글 : 김 훈 팀장 호스트웨이아이디씨 Product팀 (hkim@hostway.co.kr)>

[월간 정보보호21c 통권 제114호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>