주요 정책 및 가이드라인서 네트워크에 대한 지식을 필수사항으로

IT 보안, 건강한 몸 키우듯 꾸준하고 지속적으로 해야

[보안뉴스 문가용] 얼마 전 체중을 잴 일이 있었다. 지난 주 보다 몸무게가 꽤나 줄어들었다는 사실에 기뻤다. 하지만 기대치보다는 여전히 높았기에 기쁨은 잠시만 머물렀다. 매일 어떻게 살아가는지도 모르는 바쁜 일상 속에서 몸무게의 변화야 늘 있는 일이지만, 그 눈금 하나에 현대인들은 기쁨과 낙담 사이를 오락가락 한다. 급변하는 환경 속 IT 보안의 사정도 늘상 변하는 건 마찬가지지만 몸무게와 달리 기쁨을 주는 일은 거의 없다.

보안팀 치고 사실 네트워크 상태에 대해 자세히 알고 있는 사람은 놀랍게도 얼마 없다. IT 운영은 보통 환경설정 관리 데이터베이스(configuration management database)로 하고 있어 사업 운영상 중요한 자산들을 관리하는 것에 별다른 어려움을 느끼지 못하기 때문이다. 하지만 네트워크에 달려있는 랩탑, 모바일, 각종 서비스, 온프레미스 SaaS 앱을 전부 추적하고 관리하는 건 또 다른 이야기다. 그리고 정보보안의 현실은 점점 ‘몰랐어요’를 허용해주지 않는 분위기로 가고 있고 말이다.

이렇게 한 네트워크에 보호, 관리가 필요한 것들이 갈수록 주렁주렁 달리는 현상은 보안의 측면에서 결코 희소식은 아니다. 뭐가 달려 있는지 일일이 파악하기도 힘들어지고, 그래서 관리자 모르게 연결된 기기나 앱은 당연히 패치나 업데이트에서 소외되기 마련이며, 그렇기에 여기서 사고가 터질 확률은 갈수록 높아진다. 또한 이는 정책 및 규정의 준수 측면에서 ‘위반’요소가 될 소지가 크기도 하다. 결국 보안 담당자로서 네트워크에 대해 잘 알고 있지 않으면 공격 당할 가능성과 정책 위반으로 자기도 모르게 벌을 받을 확률이 높아진다는 것이다.

네트워크를 아는 건 기본 중의 기본

네트워크에 있는 자산들을 하나하나 파악해가는 건 좋은 영양을 섭취하고 꾸준한 운동을 하는 것과 같다. 모두가 영양 섭취와 꾸준한 운동의 중요성에 대해서 모자람 없이 잘 이해하고는 있지만 실제로 하지는 않는 것도 마찬가지다. 보안 담당자가 당연히 네트워크에 대해서 잘 알아야 하지만, 그걸 제대로 수행하는 사람은 거의 보질 못했다. 혹시 ‘네트워크를 잘 알아라’라고 말하는 사람들이 시덥잖아서 그렇게 느끼는 걸까? 혹여 그럴 수도 있겠다 싶어 네트워크 잘 알기를 무슨 새마을 운동 수준으로 강조하는 기관들 중 권위 있는 곳들의 정책 및 가이드라인을 모아보았다.

1) 인터넷 보안센터(CISC)의 효과적인 사이버 방어를 위한 주요 보안 통제(Critical Security Controls for Effective Cyber Defense) : 주요 보안 통제의 가장 첫 번째 할 일로 허가된 기기와 비인가 기기의 목록을 만드는 것을 꼽고 있다. 해커들은 공격하고자 하는 네트워크를 끊임없이 관찰하며 비인가 기기 혹은 보안장치가 허술한 기기가 연결되는 순간을 포착한다고 언급되어 있다.

2) 미국국립표준기술연구소(NIST)의 연방 정보시스템과 조직을 위한 정보 보안의 지속적인 모니터링(Information Security Continuous Monitoring for Federal Information Systems and Organizations) : 정보 보안의 지속적인 모니터링이란 정보 보안의 최신 상태, 취약점, 위협 등을 끊김 없이 알 수 있게 해주는 행위라고 나와 있으며, 이는 전사적인 활동이어야 한다고 한다.

3) 미국국립표준기술연구소의 주요 인프라 사이버 보안을 향상시키기 위한 프레임워크(Framework for Improving Critical Infrastructure Cybersecurity) : 리스크 관리를 돕기 위한 NIST의 가이드라인인데, 특히나 아이덴티티의 보안을 강조하고 있다. 한 아이디로 접속 및 접근이 가능한 기기들과 여러 자산들을 평소 목록화하는 것이 첫 번째 할 일이라고 명시한다.

4) ISO/IEC 27001 정보 관리 보안 시스템 필수사항(Information Management Security System Requirements) : 모든 자산을 분명하게 식별, 정의하고 모든 중요 자산은 목록화하여 계속해서 유지하고 최신화하는 것이 중요하다고 강조하고 있다.

하지만 시작은 말 그대로 반일 뿐이다. 이런 굵직한 기관들이나 정책에서 네트워크에 대한 상세한 이해도를 필수사항이라고 계속해서 강조하고 있다는 걸 안다 한들, 많이 쳐줘봐야 반밖에 오지 않은 것이다. 보다 구체적으로 ‘네트워크 상태를 어떻게 파악해야 하는가’에 대한 답을 제안해보자면 다음 세 가지로 정리가 가능하다.

1) 자산이란 무엇인지 결정하고 정의하라 : 다이어트 비유를 다시 해보자면 이는 목표 몸무게를 미리 정하는 것과 같다. 즉 네트워크의 상태에 대해 상세히 알고 싶다는 ‘추상적’인 목적이 있다면 자산을 어렴풋이나마 정의하고 정하는 건 알아야 하는 범위를 구체화시키는 효과를 가진다. IP 주소들을 먼저 조사해나가는 편이 가장 무난한 시작 방법이다. 액티브 포트, 서비스, 앱, 사용자 별로 카테고리를 만들면 보다 질 높은 목록이 완성된다. 온프레미스 앱인지 SaaS 앱인지 구분하는 것도 권장한다.

2) 새로운 자산이나 없애야 할 자산을 지속적으로 모니터링 하라 : 다이어트에서 가장 중요한 도구는 체중계이다. 그래야 중간 과정에서 어떤 전략 수정이 필요한지 금방 금방 알 수 있고 유연하게 대처할 수 있다. 관리자에게 말도 없이 기기들이 네트워크에 붙었다가 떨어져 나가도록 하는 건 저울 없이 다이어트를 하겠다는 것처럼 막연하기만 한 일이다. 또한 오래돼서 보안의 측면에서 사용이 불가한 기기/앱에는 뭐가 있는지 파악하는 것도 같은 맥락에서 중요하다. 네트워크의 가장 변화무쌍한 요인들을 중점으로 꾸준한 모니터링을 하는 건 중간중간 다이어트를 하며 체중계에 올라서는 것과 같다.

3) 대응책을 자동화하라 : 몸무게가 슬슬 줄어들기 시작한다면 다이어트가 성공하고 있다는 소리다. 그러나 몸무게에 변화가 없거나 오히려 는다면 다이어트 방법을 다시 한 번 고려할 필요가 있다. 요즘의 네트워크는 단순히 보자면 다이어트가 불가능한 상태라고 할 수 있다. 사람들마다 각종 모바일 기기를 구매하고 그것을 업무에 다양하게 사용하기 때문이다. 즉 네트워크가 수용하는 기기의 수와 그것으로 정해지는 네트워크의 규모가 너무 변화무쌍하여 그걸 일일이 파악하는 게 불가능에 가까운 수준이 되었다는 것이다. 그렇다면 네트워크에 자산이 늘어났을 때 그에 대한 조치를 어느 정도 자동화할 필요가 있다.

예를 들면 새로운 기기가 네트워크에 연결될 때마다 자동으로(그리고 필수로) 취약점 스캔을 실행하도록 한다든지, 환경설정을 바꾸게 하도록 할 수 있다. 그래서 치명적인 요소가 발견되면 곧바로 연결을 끊고 독립된 공간에서 치료를 실행하는 게 가능해진다. 사용자들 개개인에 대한 보고서를 매일 자동화하여 만드는 것도 가능하고 그 자료를 관리팀이나 운영진과 자동으로 공유하는 것도 좋은 방법이다.

IT 자산들을 관리하는 건 다이어트처럼 매일 해야 하는 일이다. 매일 하기 때문에 어제의 성과나 오늘의 성과나 별다른 차이가 없어 보일 수도 있는데, 어느 날 문득 돌아보면 이전의 보안 상태와 현재의 보안 상태가 굉장히 많이 차이가 난다는 걸 알 수 있을 것이다. 매일 조금씩 ‘보안하자’.

글 : 테드 개리(Ted Gary)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>