| [시큐리티 Q&A] 보안관제의 효율성 문제 | 2014.04.21 | |
Q. 엔드포인트 단에서의 기술적 보안강화를 위해서는 많이 투자했는데 그런데 정작 취합된 보안로그의 관제는 쉽지 않은 것 같다. 관련 로그 및 이벤트를 효과적으로 모니터링하거나 사전에 탐지할 수 있는 기술 등이 궁금하다.
특히, 이러한 다양한 디바이스를 통제해야 하는 IT부서에서는 대응책 마련이 시급한 과제로 부상했다. ‘엔드포인트 보안의 기초’는 현실로 다가선 스마트폰 보안위협 등 점점 복잡해지고 있는 엔드포인트 보안의 현주소를 짚어보고, 효율적인 보안 방법의 대안으로 떠오른 화이트리스팅의 기본개념과 제품들의 테스트 결과를 비교 분석해 엔드포인트보안 강화를 도모할 수 있다.
기업 네트워크 보안 정책은 외부 네트워킹에서 발생하는 위협요소 중 내부 네트워크인 에지 네트워크(Edge Network)단의 보안문제로 옮겨가야 한다. 실제로 내부 네트워크인 에지 네트워크단에서 발생하는 보안위협이 점차 증가하고 있기 때문이다. 에지 네트워크와 관련된 엔드포인트는 데이터를 생성 보관하는 주요 장소인데, 보안위협 요소가 발생했을 때 가장 치명적인 곳이다. 엔드포인트 보안을 강화하지 않는다면 고비용, 장기간동안 투자될기업 네트워크라도 이빨 빠진 호랑이와 같다.
이전까지의 기업 네트워크 보안은 주로 외부로부터 유입되는 웜/바이러스나 해킹, 그리고 OS/DDoS와 같은 보안위협요소에 대응하기 위해 파이어월이나 바이러스월, IDS/IPS 등의 네트워크 보안 솔루션을 도입, 배치하는 데에 집중되어 있었다.
그러나 최근에는 이런 외부로부터의 보안위협은 점차 감소하는 반면, 내부 네트워크 영역인 에지 네트워크(Edge Network) 단에서 많은 보안위협 요소가 발생하면서 전체 IT 인프라 보안에서 네트워크 내부의 보안위협이 중요한 이슈로 부상하고 있다.
엔드포인트의 보안 개요 엔드포인트(End-Point)는 서버시스템이나 사용자 PC, 그리고 각종 모바일 장치와 같이 네트워크에 최종적으로 연결된 IT장치를 의미한다. 이런 기기들은 사용자에게 접속 편의성과 업무 효율성을 제공하지만. 동시에 다양한 보안위협에 노출돼 실제로는 많은 보안 문제점을 야기하고 있다.
가장 대표적인 것이 웜/바이러스나 트로이목마로 인한 피해라 할 수 있는데, 최근에는 봇(BOT)이나 피싱(Phishing) 기법 같은 신종 보안위협으로 인한 내부 기밀정보 유출뿐만 아니라. DoS/DDoS 와 다른 시스템의 2차 감염으로 인한 전체 네트워크 장애 유발 사례도 심심치 않게 보고 되고 있다.
엔드포인트 보안은 이런 내부 네트워크 영역의 보안 방법론으로 새로운 기법이 아니라 전통적 보안 영역이었던 사용자 PC나 시스템 보안에서 발전한 개념이다. 엔드포인트 보안은 기업 네트워크 환경에 맞는 보안정책과 관련 프로세스 적용을 통해 전체 네트워크 보안 인프라를 완성하기 위한 핵심요소로 인식되고 있다.
최근 엔드포인트 영역은 데이터의 생성과 사용 뿐아니라, 주요 보관 장소로 사용되므로 이를 통한 정보 훼손이나 데이터 불법 유출은 치명적이다. 특히, IT환경이 복잡해지고 네트워크 기반 분산/개방 환경으로 발전하면서 엔드포인트 보안이 전체 IT인프라의 보안 신뢰성을 좌우할 수 있는 수준에 이르렀다.
진화하는 엔드포인트 보안방법 현재까지 엔드포인트 영역 보안 방법론으로 대표적인 것은 안티바이러스와 안티스파이웨어, 그리고 안티 스팸 등이다.
최근 내부 네트워크 영역에서 보안 문제가 중요시됨에 따라 통합 데스크톱 보안솔루션이나 디바이스 인증, SBC(Server Based Computing), NAC(Network Access Control)과 같은 진화된 보안 방법론이 등장하고 있다.개별 PC와 시스템 단위로 보안기술이 적용되었던과거와는 달리, 최근 엔드포인트 보안 방법론의 핵심은 다양한 보안 기술의 통합과 연동을 통해 전체보안 수준을 높이는 쪽으로 진화하고 있다.
NAC, 보안위협 사전에 방지 대다수의 기업은 네트워크 보안과 정보보호를 위해 최전방에 파이어월과 IPS, 바이러스월과 같은 게이트웨이 보안 솔루션을 도입했다. 그러나 최근 많은 피해를 발생시키는 웜이나 악성코드의주요 공격 대상은 취약점을 가진 사용자의 컴퓨터다. 따라서 적절한 보안정책이 실행되지 않으면 전체 네트워크 보안은 위험에 노출되고 만다.
NAC(Network Access Control)는 이런 엔드포인트 보안에 대한 현실적 고민에서 시작됐다. NAC는 네트워크 접속 관리를 통해 허가 받지 않은 사용자와 기업보안 정책에 위배되는 사용자를 별도의 영역으로 격리시켜 제어함으로써, 네트워크를 통해 유입되는 악성코드와 보안위협 요소를 사전에 방지하기 위한 보안 방법론이다.
NAC는 네트워크 인프라와 백신 그리고 인증과 같은 다양한 보안기법뿐만 아니라, 운영체제와 애플리케이션 보안 솔루션이 유기적으로 결합됐다. NAC는 최종 사용자가 네트워크 접속 시 기업 조안정책에 따라 보안수준과 사용자를 인식하고, 필요시 보안 프로그램이나 패치 설치와 같은 적절한 보안 프로세스를 강제함으로써 전체 네트워크의 안정성을 확보할 수 있다.
사용자 인증(802.1x)을 통해 내부 네트워크에 접근하는 컴퓨터는 NAC에 의해 내부 구성원 유무가 판별되고, 보안정책은 각 그룹에 따라 적절히 할당된다. 또한 운영체제에 대한 보안패치 적용여부를 판별하는 것뿐만 아니라, 접속 단말의 백신 프로그램 설치 유무와 최신 엔진/패턴의 적용 여부, 그리고 패치관리 시스템 프로그램 설치 유무와 각종 패치상태 점검 필요 여부까지도 판별하고 그에 따른 적절한 조치를 수행한다. 한편, 내부 네트워크에서 보안 위반과 웜/바이러스 감염 시스템이 발생하면 문제가 된 곳을 치료하거나 격리시킨다.
현재의 NAC 기술은 시스코, 마이크로소프트와 TCG(Trusted Computing Group)와 같은 업체나 단체에서 주도하고 있는데, 그 외 네트워크와 백신업체들의 참여가 이뤄지고 많은 솔루션이 소개되는 등 향후 본격적인 성장세가 예상된다. 특히, 시스코는 2005년 10월, 확장된 ‘NAC Phase 2’를 발표하며 802.1x 기반 유무선 통합 환경으로까지 개념을 확대했다.
NAC 솔루션은 자동화된 접근제어와 차단을 통해 관리 포인트를 획기적으로 감소시킬 수 있으며, 보안위협에 능동적인 사전 대응이 가능하다는 장점이 있기 때문에 향후 지능형 자기방어 네트워크의 핵심기술이 될 것으로 전망된다. 그러나 일부 NAC 솔루션의 경우 도입 효과 대비 지나치게 높은 비용과 네트워크 아키텍처의 변경이 불가피한 점 등 도입과 구성, 그리고 유지보수와 관련해 해결해야 할 과제도 적지 않아 NAC의 도입은 신중하게 고려되어야 한다.
중앙 서버기반 관리, 효과 대비 비용이 장점 SBC(Server Based Computing, 서버 기반 컴퓨팅)는 각종 데이터와 기업용 애플리케이션을 중앙 서버에 집중시켜 놓고 이를 다수의 클라이언트가 공유하여 사용하는 방식으로, 호스트와 씬(Thin) 클라이언트로 구성된다. SBC는 애플리케이션 정보와 데이터의 중앙집중화된 관리가 가능하고, 기존 애플리케이션과 정보 도구에 대한 신속한 접근 지원이 장점이다. 또한 관리 비용과 하드웨어 비용 등의 IT비용이 절감되고, 불법 소프트웨어 설치와 유포를 방지함으로써 법적 위험성도 감소된다.
이 외에 정보시스템 운영의 안전성과 신뢰성이 확보되고, 회사 정보의 외부 유출을 방지하는 것뿐만 아니라 보안성이 강화되는 장점이 있다. SBC는 애플리케이션 일괄 배포와 호스트 관리의 용이성, 그리고 비용절감 효과가 탁월한데, 초창기에 이 기술이 시장에 폭넓게 도입되지 못한 이유는 열악한 네트워크 인프라로 인한 느린 응답속도와 값싼 PC의 등장 때문이었다. 최근에는 정보보호 네트워크 보안 강화라는 측면에서 재조명되고 있다.
실제로 SBC 솔루션이 보안 솔루션은 아니지만, 애플리케이션이나 중요 데이터가 중앙 서버에 저장돼 내부 사용자에 의한 정보 유출이 원천적으로 차단되며 문서보안솔루션(DRM)과 통합하면 강력한 보안정책을 적용할 수 있다.
현재까지 국내시장에서 SBC 솔루션은 전사적 도입보다 관리와 보안 이슈가 중요한 일부 시스템에 도입되는 경우가 대부분이다. 대표적인 예로 정보유출 방지시스템 구축이나 정부 차원에서 추진하는 공공기관망 분리사업에 도입돼 관리와 보안이 강화된 정보보호 효과를 높이고 있다.
특히, 최근에 금융권, 보험업체 등의 콜센터 환경에서도 정보의 외부 유출 방지와 업무 효율성 향상을 위한 도구로 SBC 솔루션을 도입하는 사례가 꾸준히 증가하고 있는데, 개인정보보호에 대한 법적 규제 강화와 사회적 관심 증가가 그 원인으로 지적되고 있다. 또한, 공공기관과 대기업을 중심으로 한내부 보안 인식이 점차 고조되면서 엔드포인트 보안 도구로서의 SBC 솔루션에 대한 관심도 높아질 것으로 예상된다. 이에 따라 향후 SBC솔루션은 기존 시스템 환경의 부족한 영역을 보완하면서 지속적인 성장세를 유지해 나갈 것으로 전망된다.
엔드포인트 보안 강화는 필수 최근 기업 네트워크 환경에서 보안 아키텍처를 설계할 때 많이 사용하는 방법 중 하나는 네트워크를 영역별로 분류하고, 각 계층에서의 보안 문제 분석과 보안대응 방법론을 정의하는 것이다. 실제로 이런 분석 방법을 적용하면 보안문제가 가장 많이 발생하는 영역은 웹 서버가 존재하는 DMZ 네트워크와 엔드포인트 보안과 관련된 에지 네트워크다.
특히, 에지 네트워크 영역은 공격자(Attacker)와 피해자(Victim)가 공존하는 문제 외에도 다양한 보안위협에 노출된 가장 취약한 보안성을 가진 부분이다. 따라서 엔드포인트 보안을 강화하지 않는다면 잘 디자인된 네트워크도 유명무실해질 수 있으므로 엔드포인트 보안 강화를 위한 노력은 필수적이다.
마지막으로 엔드포인트 보안의 최종 목표는 다양한 IT 기기를 이용하는 사람들에게 안전한 IT 접속 환경을 제공하기 위한 것이므로, 지나치게 기술적인 방법론으로 접근하거나 이에 국한시키는 것은 피해야 할 것이다. (김태순 한국해킹보안연구소 소장/bald@koripo.com) A-2. 최근 해킹사고를 보면 예측이 불가능한 공격이 감행되고 있음을 확인할 수 있다. 이처럼 시나리오에 없는 공격을 탐지하기 위해서는 트래픽과 로그를 전수 조사하는 수밖에 없는데 이는 말처럼 쉽지 않다. 수천, 수만건의 로그와 트래픽을 수초내에 분석해서 적용해야만 의미가 있기 때문이다. 따라서 EMC 보안사업부인 RSA는 보안·네트워크 장비들이 쏟아내는 로그와 패킷을 ‘시큐리티애널리틱스 웨어하우스’를 통해 수집하여 대응할 수 있도록 했다.
‘시큐리티 애널리틱스 웨어하우스’는 빅데이터 분석을 통해 유의미한 데이터를 도출해내고 최종적으로 ‘예측모델’을 만들어내어 통계적 추론에 의한 결과값으로 보안위협에 선제적인 대응을 가능하게 한다. 또한, 이글루시큐리티는 SIEM(보안정보이벤트관리)에 비정상 트래픽을 분석할 수 있는 솔루션(IS-ATRA)을 내놨다. 이 제품은 RSA의 ‘시큐리티 애널리틱스’와 유사한 모델이지만 트래픽 전수조사 대신 비정상 트래픽을 탐지하고, 학습을 통한 성능 향상, 그리고 관제에 대한 효율성 향상이 주 목적이다.
유입 트래픽에 대한 지속적인 모니터링과 학습을 통해 유입된 트래픽이 내부 시스템 및 장비에 미치는 영향과 상태에 대해 파악하고 이를 종합해 알려지지 않은 공격 위협, 유입된 비정상 트래픽, 내부현황 그리고 그에 따른 대처방안을 알려준다. 모든 SIEM 솔루션 업체들도 트래픽 분석에 대한 필요성을 인지하고 있어 이러한 ‘예측모델’의 발전 가능성 역시 무궁무진하다. (왕재윤 한국산업기술보호협회 관제운영팀 연구원/jywang@kaits.or.kr) A-3. 현 시점에서 가장 효율적인 방안은 SIEM과 연동을 하여 모니터링 및 사전 탐지를 하는 방법이 있다. 모든 엔드포인트 솔루션(APT, PMS, NAC 등)에는 관리 매니저 서버가 있기에 이 관리 매니저를 SIEM과 연동해 기타 네트워크 보안 솔루션에서의 발생된 로그와 상관관계 분석을 통하여 관리하는 것이 효율적이라고 볼 수 있다. (이진우 퓨쳐시스템 부장 /jinwlee@future.co.kr) [김지언 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
