| IP주소로 인한 보안 위협 차단 중요 | 2010.07.30 |
IP관리의 중요성
네트워크나 서버의 상태, 트래픽을 관리하는 것을 NMS/SMS라고 한다면 IP기반의 주소관리를 IPAM, 즉 IP Address Management라고 한다. IP관리는 IP주소의 효율적 사용에도 도움이 되지만 IP주소로 인한 보안 위협을 차단하는 데에도 매우 중요한 개념이다. 본지를 통해 2회에 걸쳐 IP관리의 중요성과 IP관리를 통한 보안 정책에 대하여 알아본다. 다양한 유무선 네트워크의 증가로 인한 IP단말 증가는 네트워크 담당자의 업무를 증가 시키고 있으며 더욱더 복잡해진 서브넷구조와 사설 IP 사용의 증가로 IP관리는 더 이상 스프레드시트와 같은 단순한 방법으로는 한계에 부딪히고 있다. 또한 IPv4 고갈로 인한 IPv6 시험망이 가동되고 ENUM과 같은 단일 번호로 모든 어드레스 구조를 갖는 번호체계에 대비해야 하는 것이 현실이다. IP주소는 설계, 배포, 회수의 3단계를 거쳐 이용과 재이용이 이루어지고 있으며 우리나라는 인터넷 초기 도입 시부터 공인 어드레스 즉, Manual IP Address에 대한 수요가 높았다. 이 때문에 국내에 공급되어 있는 대부분의 IP관리 솔루션이 서버&에이전트 구조로 이미 배포된 후의 어드레스를 관리하는 형태가 주를 이루고 있다. 그러나 IP주소의 부족으로 IP주소가 점차 공유의 개념으로 바뀌어 가고 있다(이미 가입자 옥내에는 대부분이 공유 개념이다). IP주소의 공유 개념은 효율적인 IP주소 이용에도 장점이 있지만 단말의 감사 및 보안 위협에 대한 통제에도 잘 활용될 수 있으므로 대량의 IP를 사용하는 공공기관 및 대기업 등에서는 재설계와 재설정에 대한 부담이 있지만 네트워크가 더 복잡해지고 단말이 더 늘기 전에 공유 개념으로 전환하는 것이 IP로 인한 내부 보안 위협을 피하고 향후 IPv6 적용과 ENUM등의 도입에도 대비 할 수 있다. 이제 곧 IPAM의 필수 도입 문제는 멀지 않은 현실이 될 것이다. 수동 설정과 자동 설정의 오해 IP 관리를 설명하기 위해서는 IP주소의 설계, 배포 및 회수 과정을 언급해야 한다. 설계는 단말수와 네트워크의 형태, 그리고 APNIC이나 KRNIC 등으로부터 할당된 주소 공간에 따라 달라진다. 필자가 처음 어드레스 블록을 설계할 1990년대 초만 해도 주소가 그리 부족하지 않아 단말과 네트워크 구분 없이 CIDR과 VLSM 등을 활용하여 효율적인 라우팅과 적절한 브로드캐스팅 영역으로 설계하였으나 현재는 IP가 부족하여 네트워크 영역과 단말 영역을 각각 사설과 공인으로 나누어 설계를 하고 서브넷도 너무 작게 쪼개지 않음으로 어드레스 낭비를 최소화 하고 있다. 배포 형태를 보면, IP주소는 크게 수동 설정과 자동 설정이 있다.
반면 자동설정 즉, DHCP에 의한 설정은 회수도 DHCP에 의해 이루어지는데, 동적 DHCP의 경우는 Lease Time에 따라 계속 사용할 것인지 아니면 회수 할것인지가 결정되며 정적 DHCP의 경우 DHCP 서버의 MAC 등록 갱신 또는 취소에 따라 회수가 이루어진다. 여기서 한번에 알 수 있듯이 수동 설정에 의한 배포와 회수는 단말 사용자가 설정에 관여하므로 IP 설정에 따른 기본적 지식이 있어야 하고 미스 설정시 네트워크에 적지 않은 영향을 줄 수도 있다. 더욱이 이 방식은 회수와 감사가 어려워 내부 보안에 취약할 수 밖에 없다. 반면 자동 설정은 네트워크 담당자가 DHCP 서버를 관리해야 하는 부담은 있지만 주소의 배포와 회수를 자동화함으로써 미스 설정에 따른 피해를 예방하고 IP 주소 설정 장애로 인한 시간을 줄여 줄뿐만 아니라 IP 주소 배포/회수 정책으로 내부 네트워크의 보안을 강화 할 수 있다. IPAM과 DNS, DHCP의 결합-DDI 이전까지 대부분의 IPAM 솔루션은 IP 배포후의 관리에 초점을 두었다. 현재는 IP 어드레스가 소유의 개념에서 공유의 개념으로 전환되어 가면서 IP관리는 배포전부터 관리되기 시작했으며 이로 인해 IPAM의 기능적 프로토콜로서 DNS와 DHCP가 결합했다. 이를 ENM(Enterprise Network Management)이라고 했다가 2009년부터 DNS, DHCP 용어와 결합하여 업계에서 DDI(DNS, DHCP, IPAM)라는 용어를 사용하기 시작했다. IPAM 시장 전망
Open source BIND와 Free DHCP가 있고 MS 윈도우 서버 또는 시스코 라우터 등에도 Embeded화 되어 있음에도 DDI 시장 규모는 2009년 약 2,200억원으로 전년 대비 10%이상 성장하면서 앞으로도 계속 늘어날 것으로 전망하고 있다. 이처럼 무료 솔루션이 있음에도 상용화된 DDI 솔루션을 사용하는 주된 이유로 가트너는 중앙제어, 안정성, 운영/부서간 정치적 이슈, IPAM 기능 활용 등을 들었다.
지금까지 IPAM의 개념과 시장 전망 등에 대해 알아보았다. 다음 연재에서는 IPAM의 기능과 보안에 대해 더 자세하게 알아보고 국내외 사례를 통하여 IPAM의 이점에 대해 알아본다.
<글 : 이종철 시소아이티 인프라영업부 부장(jclee@sysoit.com)> [월간 정보보호21c 통권 제119호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
수동 설정(Manual Configuration)은 단말 사용자가 직접 어드레스를 설정하는 형태이다. 자동 설정(DHCP Configuration)은 DHCP서버로부터 주소를 설정하는 형태로 다시 동적 DHCP와 정적 DHCP으로 나뉘는데 여기서 정적(Static)이라는 말 때문에 많은 이들이 고정 IP와 혼동을 갖고 있다. 동적 DHCP는 Dynamic DHCP로서 이미 DHCP에 Dynamic의 의미가 있음에도 이렇게 부르고 있는 것은 정적 DHCP와 구분 짓기 위한 것이며 동적 DHCP는 불특정의 IP주소를 대여시간(Lease Time) 동안 사용할 수 있도록 DHCP로부터 설정되는 방식이다. 이와는 다르게 정적 DHCP는(또는 수동 DHCP, Manual DHCP라고 부르기도 함) DHCP 서버에서 배포할 주소 중 특정 주소를 특정 단말의 MAC주소를 고정하여 해당 단말에만 배포하는 방식이다. IP 주소의 회수는 배포의 형태에 따라 달라지게 된다. 수동 설정에 의한 배포는 회수도 수동적으로 이루어져야 한다. 
2009년 11월 가트너는 DDI에 대한 시장 전망을 발표하면서 DDI 시장이 급부상할 것으로 예측하면서 그 근거로 첫째는 모바일기기, IP텔레포니 및 가상 서비스의 증가로 인한 폭발적인 IP주소의 수요와, 둘째로 네트워크에서 DNS/DHCP의 중요도가 상승하는 것을 제시하고 있다.