해커들이 노리는 건 전체 네트워크의 단 2%에 불과

네트워크 전체 관리에 똑같은 힘과 노력을 쏟는 건 비효율

[보안뉴스 문가용] 각종 사이버 공격에 대처할 수 있는 단 하나의 도구를 만들 수 있다면 무엇을 만들겠는가? 나 같으면 마법의 스위치를 만들 것이다. 누르기만 하면 자동으로 모든 운영 체제, 플러그인, 애플리케이션이 패치되는 기능을 가진 스위치 말이다. 당연히 패치가 되는 동안 모든 기능은 정상으로 운영되고 데이터베이스나 고객들에겐 아무런 영향이 없다. 설치가 되는 것도 모를 정도로.

그러나 말했다시피 이는 ‘마법’으로나 가능한 이야기다. 마법이 현실과는 완전히 동떨어져 있듯이 현실 속에서도 패치는 완벽히 해내기가 상당히 어려운 것으로 보인다. 이번에 시스코에서 발간한 보고서에 의하면 중소기업의 보안 팀은 패치 작업 하나만으로도 분투 중에 있다고 하니 말이다. 또한 계획을 짜고 체계적으로 패치를 하고 설정사항을 검토하는 기업은 40% 미만이라고 조사됐다.

그것뿐이 아니다. 패치의 현실만 봐도 이런데 실제 업체가 스스로 평가하는 안전도는 굉장히 긍정적이었다. 90%가 넘는 기업들이 자사의 보안 정책, 실행절차 및 적용과정에 대해 자신감을 가지고 있는 것으로 나타났다. 임원급에서의 보안교육을 통해 현실감을 키워주거나 패치의 중요성에 대해 더 절실히 느끼게 해줄 필요가 있어 보인다. 이런 ‘근거 없는 자신감’의 수준은 회사의 규모, 위치, 국가에 따라 큰 변동이 있지도 않았다.

해커들이 노리는 건 전체 네트워크의 단 2%에 불과하다. 나머지 98%는 그 2%에 다가가기 위한 배경이 될 뿐이다. 이를 염두에 두고 다시 그 마법처럼 어려운 패치 작업에 대해 다시 생각해보자. 답이 딱 나온다. 네트워크에 연결된 모든 기기에 똑같은 노력을 부을 필요가 없다는 것이다. 이에 따라 세 가지 전략을 수립하는 게 가능해진다.

1. 꼭 패치

먼저 서버 환경을 정리하고 분류한다. 그리고 ‘꼭 패치’와 ‘되도록 패치’, ‘노 패치’ 등급으로 나눈다. 꼭 패치해야 하는 서버에는 어떤 것들이 있을까? 애플리케이션이나 데이터베이스 등으로 구성된, 실제 작업에 당장 필요한 자료가 담겨있는 서버다. ‘꼭 패치’해야 하는 시스템은 구분해내기가 크게 어렵지 않다. 중요한 데이터가 무엇이고 어느 서버에 담겨있는지 모른다면 애초에 보안 담당자로서 할 일을 제대로 안 하고 있었다는 뜻이다. 자주 사용하고, 아주 중요한 정보가 담긴 서버는 항상 제일 먼저 패치하고 꼭 패치한다.

물론 이때 서버를 네트워크에서 완전히 분리해야 한다. 강력한 내부 ACL을 통해서 하던 서드파티 서비스 제공업체에 맡기던 아무튼 기존 네트워크에서부터 완전히 분리하는 게 필요하다. 그래야 네트워크의 다른 통로 혹은 구멍을 통해 패치 중인 이 서버를 공략하는 게 불가능해진다.

또한 실제 사고가 터졌을 때, 그래서 포렌식을 진행할 때 네트워크에서 완전히 분리된 데이터라면 수사기관에 중요하고 민감한 자료를 넘길 필요가 없어진다. 이렇게 정보유출의 또 다른 위험가능성을 완전히 배제할 수 있는 것이다.

중요한 정보나 자료를 담고 있지는 않아도, 이런 서버를 따로 관리하는 기능을 가진 서버 역시 꼭 패치 해야 하는 항목에 속한다. 혹은 업무나 생산에 꼭 필요한 자료는 아니지만 회사 운영에 필수적인 자료 역시 여기에 들어간다. 예를 들어 인사 자료나 재정 자료가 이에 속한다. 연구개발 진행 중에 있는 지적재산도 마찬가지다.

2. 되도록 패치

다시 한 번 강조하자면 해커들이 실제로 노리는 건 전체 환경의 2%에 불과하다. 그 2%의 반 정도는 ‘꼭 패치’ 항목에 속한다고 볼 수 있다. 나머지 1%에는 어떤 것들이 들어갈까? 공격자 입장에서 생각해보자. 요즘은 한 번 들어갔다가 곧바로 나가는 식의 해킹은 거의 찾기 힘들다. 그렇다면 한번 들어왔다가 어디엔가 머물러 있어야 한다. 머무르려면 환경에 따라 권한을 높이거나 우회해야 한다. 즉, 이 나머지 1%는 공격의 최종 목표가 되지는 않지만 그럼에도 해킹을 성공시키는 데에 반드시 필요한 부차적인 요소라고 정할 수 있다.

혹자는 이런 요소를 ‘주요 거점’이라고 부르기도 한다. 액티브 디렉토리(Active Directory) 서버, 패치 관리 시스템, 소프트웨어 배포 시스템 등 해커가 스스로의 권한을 높일 계기가 되어주는 서버들이나 높은 권한의 계정을 만들 수 있는 서버가 좋은 예다. 이런 종류의 서버들은 일주일에 한 번 정도로 꾸준하게 패치해주는 것으로 충분하다.

3. 노 패치

대부분 네트워크를 구석구석 파헤치다 보면 패치가 아예 불가능한 시스템도 있다. 방치된 지 아주 오래된 데이터베이스 혹은 서버, 시스템들이 이에 해당한다. 그런데 간혹 이런 서버나 시스템에 사업 운영에 대단히 중요하고 치명적인 자료들을 저장해온 경우가 있다. 이는 애초에 보안 관련 수칙에도 맞지 않는 상황이고, 아예 체질 개선을 하지 않으면 안 되는 경우다. 패치로 어떻게 해볼 수 있는 성질의 상황이 절대 아니다. ‘노 패치’ 분류의 경우 가장 중요한 건 패치 불가능한 부분이 있는지 여부 확인과, 있다면 그곳에 중요한 정보와 자산이 얼마나 들어있는지를 파악하는 것이다.

보안의 전략을 세울 때 초점을 맞추어야 할 것은 공격이 가능한 통로와 표면을 최소화시키는 것이다. 그래서 해커가 어지간한 기술을 갖추지 않은 이상 뚫기 어렵게 하는 것이다. 즉, ‘우리 네트워크를 공격하고 싶다면 공부 좀 더 하고 와라, 아가야’라는 메시지를 네트워크 전면에 도배하라는 것과 같다.

글 : 제프 쉴링(Jeff Schilling)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>