카이스트 정보통신팀은 웹을 통해 들어오는 공격의 차단과 방어를 효과적이고 쉽게 하기 위해 개발자가 보안에 대한 지식이 없이 일관되게 보안 프로세스의 적용을 쉽게 구현할 수 있도록 소스 레벨 보안 솔루션인 ‘세이프코드(Safe code)’를 도입했다. 이 솔루션을 통해 카이스트는 관리자가 빠르고 안전하게 보안코딩과 모니터링, 그리고 사후관리와 침해사고 대책을 제공할 수 있어 보다 안정적인 사이트 운영을 하고 있다.

국가가 필요로 하는 고급 과학기술 인력을 양성하고 연구중심 대학의 모델을 제공하기 위해 지난 1971년에 설립된 카이스트는 국립 특수 대학으로서 세계 과학계의 존경받는 일원이 되었다. 이러한 카이스트의 정보통신팀은 연구와 행정 분야에 관련된 정보시스템인 디지털통신, 음성통신, 네트워크와 전화에 대한 지원 업무, 그리고 정보보안 업무를 주요 업무로 하고 있다. 

손형탁 카이스트 정보통신팀 팀장은 “카이스트가 다른 대학에 비해 많이 알려져 있고 학교에 들어오는 통신데이터와 트래픽 등이 많기 때문에 크고 작은 보안 위협이 항상 많이 들어오고 있었다”면서 “이에 점차 보안의 중요성이 대두되면서 보안 담당자가 늘어나고 보안 담당자를 중심으로 보안을 강화하게 되면서 올 연말에는 전체 네트워크를 교체하고 보안장비도 10G급으로 교체하며 통합보안시스템을 구축할 계획”이라고 설명했다.

또한 그는 “그동안 웹에 대한 보안과 그 중요성을 인식하지 못하고 있었고 이러한 웹을 통한 공격에 대한 방어도 장비와 인력 등의 문제로 제대로 갖추지 못하고 있다가 지난 2008년부터 코드원의 웹 취약점 제거 및 관리 솔루션을 도입하게 되면서부터 웹 보안을 강화하기 시작했다”고 덧붙였다.

특히 손 팀장은 “웹 취약점을 분석하고 그 보고서에 따라서 개발자들이 실제로 그것을 적용하기에는 여러 가지 어려움이 있었고 또 웹 방화벽이 모든 것을 다 막아주지 못한다고 생각했다”면서 “코드원의 웹 취약점 제거 및 관리 솔루션은 이러한 부분을 커버할 수 있다는 장점 때문에 도입하게 됐다”고 밝혔다.

소스레벨 보안코딩은 필수

카이스트는 그동안 웹 보안을 위해 중요한 홈페이지에 대해서는 취약점 스캐닝을 통한 취약점을 점검하고 교내 해킹연구동아리 학생들을 통해 취약점을 분석하는 정도였다.

손 팀장은 “기존 취약점점검을 위주로 하는 컨설팅만 있었던 소스코드 보안 솔루션보다 한 단계 업그레이드해서 소스를 변경할때 개발자의 입장에서는 구축 초기에 당연히 보안성 검토를 해야 하지만 그렇게 하지 못하는 실정이었기 때문에 당연히 소스코드에 있는 웹 취약점 제거를 위하여 보안코딩이 필요하다고 인식하고 있었다”며 “당시에 코드원의 웹 취약점 제거 및 관리 솔루션인 세이프코드를 접하게 되었고 이를 도입하기로 하고 테스트 등을 거쳐 지난 2008년 도입했다”고 말했다.  

카이스트 정보통신팀은 홈페이지당 구축기간은 1개 당 2주 정도의 시간이 걸렸으며 1주는 취약점을 점검하고 1주는 세이프코드를 설치했다. 이렇게 카이스트는 30여개 사이트에 웹 취약점 제거 및 관리 솔루션을 도입했으며 매년 일정 비용으로 유지보수를 할 예정이다. 이와 같이 솔루션을 구축하면서 어려웠던 점은 홈페이지마다 개발자가 다르므로 개발자와 업무협조가 잘 되지 않을 때였다고 손 팀장은 덧붙였다.

손 팀장은 “보안은 서버, 운영체제, 인적보안, 물리적 보안 등을 종합적으로 해야 하며 웹 보안의 경우 근래 가장 중요한 침해의 하나로 공격이 치명적이고 다양해 취약점을 정확히 알고 침해에 대한 대응을 해야 한다”며 “웹 취약점을 제거하여 소스 레벨의 보안을 강화함으로써 보다 더 보안이 강화됐다”고 말했다.

웹 방화벽과 비교한다면 웹 방화벽은 운영하는 운영자가 필요하고 장비 유지보수 홈페이지 변경 후 대처 등에 민감하기 때문에 어려운 점이 있었다. 하지만 이 소스 레벨 보안 솔루션은 기존 웹방화벽을 우회하는 해킹시도를 차단할 수 있는 확률을 높였다는 점에서 효과가 있었다. 특히 그는 웹에 대한 비정상적인 루트의 공격에 대하여 차단 효과가 높다고 밝혔다.

그는 또 보안은 하나의 솔루션으로 모든 것을 해결할 수 없으므로 소스 레벨의 보안으로 보다 더 강화된 웹 사이트 보안을 구축했다. 이에 모의 해킹에서도, 실제 해킹시도에서도 차단하는 것을 세이프코드에서 제공하는 모니터링을 통해 보기 때문에 차단형태, 공격유형과 공격원등을 확인할 수 있어 안심이 된다고 덧붙였다.

개발자ㆍ관리자ㆍ솔루션 공급자 협업 중요

보안이라는 것은 사용자와의 불편함을 최소화하기 위해 보안장비의 정책을 최소화하고 세밀화해야 하는 어려움이 있지만 인적 보안이 우선적으로 선행되어야 하기 때문에 보안 담당자의 증원, 사용자의 보안 교육, 보안사고 사례 등에 관한 정책과 홍보가 가장 필요하다는 것이 보안에 대한 손 팀장의 생각이다.

그는 “소스 코드 보안을 위해서는 소스를 개발하는 개발자와 서버 관리자, 솔루션 공급자의 협조가 잘 되어야 효과적으로 운영된다”는 점을 강조했다.

세이프 코드의 장점은 소스단의 보안 및 취약점 제거에 탁월하며 약간의 웹사이트 변경이 있어도 보안성이 크게 위협받지 않다는 점을 꼽았다. 특히 취약점 제거 조치(보안코딩)를 위해 사용하는 보안 핵심프로세스를 라이브러리화하여 일관적인 보안프로세스의 유지, 최신 해킹에 대한 패치 및 업데이트, 다중분산 모니터링을 가능케 하는 취약점 제거와 관리가 가능하다. 또한 웹 애플리케이션 보안 취약점 제거를 통해 웹 보안의 완성도를 높이기 위해 국가정보원 8대 취약점 방어, 행정안전부 전자정부 보안 취약점 대응 지침 이행, OWASP TOP 10 방어, CWE/SANS TOP 25 취약점 방어, 홈페이지 보안 개발 가이드 지침 이행, 소스레벨 방어 가능한 모든 취약점 방어, 불법침입탐지, 홈페이지 위·변조 탐지, 보안프로세스 감시 등의 모니터링 기능 등을 수행한다는 것이 차별화된 특징이다.

아울러 일반적인 보안코딩 작업이 개발 경험이 없는 웹 보안 컨설턴트와 보안 지식이 없는 개발자의 협업에 의한 단순 취약점 제거 작업만 이루어지는데 반해, 세이프 코드의 웹 취약점 제거작업은 보안프로세스의 보호, 2차 방어선 구축, 신규 해킹에 대한 대응 등을 고려하여 보안코딩이 적용된다. 즉 세이프코드는 해킹 기술에 효과적이고 지속적으로 대응할 수 있으며 일반 개발자도 적용이 가능하고 보안관리자가 확인할 수 있는 감사시스템, 초기 도입후 적은 비용으로 지속적인 운영이 가능한 솔루션으로 수많은 관리 대상을 위한 다중 분산 감사가 가능하다.

보안은 시스템뿐만 아니라 인식제고도 중요

보안은 장비나 시스템에 의한 것도 중요하다. 그러나 일부분이지만 인적 구성이 다양하기 때문에 보안의식 교육과 홍보, 그리고 대응체계 마련 등이 구축되어 수시로 보안 점검을 하거나 보안 교육을 하는 것도 매우 중요하다. 카이스트는 이러한 부분에도 많은 노력을 기울여 구체적인 프로젝트를 진행할 계획이다.

손 팀장은 “앞으로는 스마트 캠퍼스 활성화를 위한 무선랜 서비스가 확대되므로 무선랜 보안 보안시스템도 필히 마련해야 할 것으로 판단하고 연내에는 이를 구축할 계획”이라며 “보안 강화를 위해 학생과 교수 그리고 학사, 연구관련 사용자들에게 성능과 사용에 불편함이 없도록 하면서 최대한의 보안체계를 마련할 것이며 중요한 연구과제가 있는 시설에는 연구원의 불편함을 감수하더라도 보안에 많은 관심을 가지고 보안 사고 대응을 위한 보안체계 수시 점검 등을 해나갈 것”이라고 말했다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제122호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>