美, 데이터 보안침해 관련 사건 100건
취약점 해결 방안은 ‘암호화’
스토리지와 백업 시스템의 취약성이 심각하다. 서둘러 보안조치를 취하지 않으면 별로 불명예스러운 헤드라인을 장식하거나 법적인 문제와 연루될 수도 있다. 美 Information Security에서는 많은 스토리지 및 백업 시스템에서 발견되는 취약점들을 낱낱이 보여주고 있다. 어떤 기술을 사용하여 이런 허점들을 막고 어떻게 하면 정보를 안전하게 보호할 수 있는지 살펴보자.
최근 뉴스를 보면 ‘ChoicePoint’나 ‘CardSystems’ 사건과 같이 데이터 보안 침해에 관련된 뉴스들이 연일 헤드라인을 장식하고 있다. 거의 매주 신용 카드 정보 누출, 개인 정보의 도난이나 백업 테이프의 유실과 같은 사건들이 발생하고 있는 것. 그 대상은 대학교, 은행, 정부 기관 및 심지어 보안 소프트웨어 업체들까지 포함된다. 미국 개인 정보 보호 홍보 기관인 「Privacy Rights Clearinghouse」에서 발표한 자료에 따르면, 작년 2월에서부터 10월 사이에 발생한 데이터 보안 침해 관련 사건은 거의 100건에 이른다고 한다.
스토리지 네트워크는 또 하나의 공격 표적을 만든 것으로 그친 것이 아니다. 스토리지 네트워크 및 네트워크로 연결된 백업 및 복원 시스템은 여러분의 정보로 연결되는 최단 거리 중 하나이다. 스토리지에서 직접 데이터에 접근할 수 있는데 무엇 때문에 서버를 해킹하겠는가? 스토리지 시스템은 단순히 무수한 표적 중 하나가 아니라, 가장 탐나는 표적인 것이다.
이제부터 많은 스토리지 및 백업 시스템에서 발견되는 취약점들을 살펴보고, 어떤 기술을 사용하여 이런 허점들을 막고 여러분의 정보를 안전하게 보호할 수 있는지 알아보도록 하겠다.
이렇게 연일 우리가 보안문제에 관한 뉴스를 듣게 되는 가장 큰 원인은 ‘California Database Security Breach Notification Act(SB 1386)’(캘리포니아 데이터베이스 보안 침해 보고 법)와 같이 개인 정보에 대한 통제권이 상실될 경우 그 사실을 즉각적으로 해당 고객에게 보고하도록 요구하는 법률과 관련되어 있다. 이렇게 엄격한 보안 요구 사항이 스토리지 및 백업 시스템의 불충분한 보안 상태와 맞물려 IT 스토리지 관리팀이 결코 원하지 않는 미디어의 주목을 받게 되는 것이다.
만약, 여러분이 스토리지 관리자를 대상으로 보안의 필요성을 일깨우는 데 성공했다면, 이제는 ‘평문(plain text) 통신’의 위험성이나 인증과 인가의 개념에 대해서 교육해야 한다.
스토리지 담당자들의 고충
스토리지 보안을 위해 여러분이 첫번째로 해야 할 일은 스토리지 관리자에게 보안이 그들의 책임 중 하나라는 것을 설득하는 것이다. 네트워크 관리자들은 방화벽 없이 네트워크를 구축할 수 없다는 사실. UNIX 시스템 관리자들은 모든 서버에 대한 텔넷 및 FTP 액세스를 비활성화하는 방법을 알고 있을지 모르지만, 보안이 자신들의 일에 있어서 필수라는 것을 알고 있는 이들은 그리 많지 않을 것이다.
이들은 백업 방법이나 RAID 어레이의 설치 방법은 알고 있을지 모르지만 이런 백업이나 디스크 어레이를 어떻게 해커로부터 보호할 수 있는지, 그리고 이런 일들이 자신들의 의무라는 사실은 깨닫고 있지 못할 수 있다.
그렇다고 스토리지 관리자들을 비판하려는 것이 아니다. 이것은 신생 업계의 어쩔 수 없는 현상일 뿐이다. 전문 스토리지 또는 백업 시스템 관리자라는 직업은 탄생한지 10년도 채 되지 않았으며, 아직도 이런 전문 스토리지 담당자를 보유하고 있지 않은 대기업도 태반이다.
뿐만 아니라, 많은 스토리지 및 백업 시스템의 연결, 신뢰성 및 성능 문제들이 이들 스토리지 담당자들을 진땀 빼게 하고 있다. 이들은 보안에 대해서 배울 시간이 없었다. 그들은 최선을 다해 자신의 일을 했을 뿐이다.
데이터 보호법이 자극제가 될 수 있다
현재는 SB 1286과 같은 법안이나 만천하에 공개된 여러 침해 사건들로 인해 자연스럽게 업체들이 이런 스토리지 보안상의 허점들을 해결할 방법을 찾고 있다. SB 1386 법안은 캘리포니아에서 사업을 하는 업체들이 만약 자사 고객의 사회 보장 번호나 이름과 같은 개인 정보의 통제력을 상실했을 경우 반드시 해당 고객에게 보고할 것을 요구하고 있다.
또한, 누군가가 회사의 네트워크를 해킹하거나 개인 정보에 접근하려고 시도하고 있음이 포착되거나, 업체가 개인 정보가 들어있는 평문 백업 테이프에 대한 제어력을 상실했을 경우 법에 의해 캘리포니아 고객들에게 해당 사실을 알려야 하는 의무를 가지고 있다. “적절한 시간 안에” 고객들에게 이 사실을 보고하지 못할 경우에는 그 대신 미디어에 연락하고 자사의 웹 사이트에 해당 사실을 게시해야 한다.
이 밖에, 최소 17개 주에서 이와 비슷한 법안을 제정하였으며, 현재 일부 이와 관련된 연방 법률의 제정도 진행 중에 있다.
이런 개인 정보에 관련된 법률 이외에도, 의료 기록 및 금융 거래 내역과 같은 기타 유형의 정보에 대한 적절한 관리를 요구하는 법안도 다양하다. 그 세부내역은 서로 다르지만 모든 법안은 많은 공통적인 특성을 지닌다. 일반적으로 다음과 같다.
ㆍ특정 기간 동안(재해나 기타 사고 시에도) 해당 정보에 액세스 가능
ㆍ해당 정보가 수정되지 않았음을 입증 가능
ㆍ인증된 자만 해당 정보에 액세스할 수 있도록 보장 가능
따라서, HIPAA나 샤베인 옥슬리(Sarbanes-Oxley) 법과 같은 법안의 대상이 되는 모든 업체들은 자사의 데이터를 올바른 방식으로 유지 및 보유해야 한다.
즉, 백업 시스템에 문제가 없는지, 회사 내외부의 보안 체계가 손상되지는 않았는지 항상 검토해야 하는 것이다. 이 법안을 준수하지 않으면 막대한 벌금을 물거나 공개적인 처벌을 받을 수 있다. 회사 규모 및 위반 성격에 따라 벌금은 수백만 달러가 될 수도 있다.
중대한 결함 및 보완 방법
만약 여러분이 스토리지 관리자를 대상으로 보안의 필요성을 일깨우는 데 성공했다면, 이제는 평문(plain text) 통신의 위험성이나 인증과 인가의 개념에 대해서 교육해야 한다. 그런 다음, 스토리지 시스템에서 취약한 점이 무엇인지 파악하는 작업을 지원해야 하는 것.
ㆍ평문 대역 외(out of band) 관리 인터페이스
ㆍ평문 대역 내(in band) 통신
ㆍUNIX NFS(Network File System) 및 Windows CIFS(Common Internet File System)용 호스트 이름 기반 인증
ㆍNFS/CIFS용 평문 인증
ㆍ전세계 이름 기반의 인증
ㆍ소프트 조닝(Soft Zoning)
ㆍ평문 백업 테이프
ㆍ백업 서버용 호스트 이름 기반 인증
ㆍ백업 관리자용 관리자 기반 인증
스토리지 네트워크에서, 네트워크 내에서의 통신을 우리는 임밴드라고 부르며, 네트워크 외부에서의 통신을 ‘out-of-band’라고 부른다. 전통적으로, 이런 모든 통신은 평문(plain text) 형식이었다. 만약 누군가가 대역 내 트래픽을 볼 수 있다면, 원래는 읽지 못해야 하는 데이터를 읽게 되거나 자기도 모르게 공격을 지원하는 무엇인가를 배우게 될 수도 있다. 또한, 대역 외 관리 정보를 볼 수 있다면 스토리지 네트워크에 대한 통제권을 확보하여 정보에 액세스하거나 DoS 공격을 행할 수 있게 될 수 있다.
이런 모든 문제를 해결하는 방법은 바로 암호화다. 대역 외 통신의 경우 점점 더 많은 스토리지 벤더들이 자사의 관리 포트상에서 SSH나 HTTPS와 같은 보안 통신 프로토콜을 지원하고 있다. 대역 내 통신의 경우에는 호스트 기반의 암호화 시스템 및 하드웨어 암호화 장비들이 있다. 호스트 기반의 암호화만 출발점에서 데이터를 암호화할 수 있지만 암호화 소프트웨어는 매우 CPU 집약적이다.
따라서, 데이터의 전송 속도를 50% 까지 떨어뜨릴 수 있다. 또 다른 대역 내 솔루션은 스토리지 네트워크 안으로 들어가서 데이터가 장비에 저장되는 동시에 암호화되게 하여 해커가 물리적으로 액세스에 성공하더라도 읽을 수는 없게 막아주는 암호화 장비이다.
또 다른 취약점은 여러 대의 서버 사이에 파일 공유를 지원하는 NFS나 CIFS와 관련이 있다. 이것을 집합적으로 NAS 또는 Network Attached Storage(네트워크 부착 스토리지)라고 부른다. NFS와 CIFS의 가장 큰 문제점은 너무나 간단한 호스트 기반의 인증 체계를 가지고 있다는 것이다. 만약 여러분의 IP 주소가 적절한 호스트 이름에 지정되면 공유된 디렉토리에도 액세스를 할 수 있게 된다. 뿐만 아니라, 대부분의 인증 체계는 평문으로 전송되기 때문에 해커에게 정확히 어떤 주소를 스푸핑해야 하는지 말해주는 셈인 것이다.
스푸핑에 취약한 또 다른 것은 SAN에서의 WWN(World Wide Names)이다. WWN은 MAC 주소에 상응하는 파이버 채널이다. WWN을 변경할 수 있는 능력이 드라이버에 내장되어 있으므로, WWN 기반 인증 체계는 공격에 취약할 수 밖에 없다.
위에서 설명한 동일한 호스트 기반의 암호화 소프트웨어와 장비들은 WWN과 NFS/CIFS에 관련된 인증 문제들을 처리하는 데 도움을 줄 수 있다. 장비상에서 실행되는 소프트웨어와 인증을 위해 서버상에서 실행되는 소프트웨어, 이 두 가지 소프트웨어는 서로간에 암호화된 인증 정보를 통과시켜 서로가 올바른 소프트웨어인지를 확인한다. 보안된 호스트의 WWN을 간단하게 스푸핑하는 공격자는 이런 추가 정보는 얻지 못한다.
또한, 최신 파이버 채널 스위치에 도입된 고급 기능을 통해, WWN이 특정 포트를 향하며 해당 포트에 나타날 때만 액세스가 허가되는 포트 바인딩의 개념인 WWN 기반의 인증을 향상시킬 수 있을 것이다.
하지만 파이버 채널 SAN에는 또 다른 인증 문제가 존재한다. 바로 소프트 조닝(Soft Zoning)의 사용이다. 존(Zone)이란 VLAN에 상응하는 파이버 채널이다.
물론 몇 가지 차이는 있다. 하드 조닝(Hard Zoning)을 통해서는 존의 구성원들만 해당 존에 있는 장비에 액세스할 수 있다. 하지만 소프트 조닝을 통해서는 해당 WWN이 있으면 해당 장비와 통신할 수 있다.
이에 대한 해결 방법은 얼핏 간단해 보이지만(소프트 조닝을 끄는 것) 예상처럼 쉽지는 않았다. 일반적으로, 소프트 조닝은 WWN 기반의 인증과 서로 협력 관계에 있으며, 많은 사람들이 보다 쉬운 변경을 위해 WWN 기반의 인증을 사용하고 있다. 점점 더 많은 스위치들이 사용자들이 직접 사용하고자 하는 인증과 조닝(zoning)을 선택할 수 있도록 지원하고 있다. 물론 가장 안전한 조합은 포트 바인딩 기반의 인증과 하드 조닝의 결합일 것이다.
백업 보안 문제 및 해결 방법
마지막으로, 백업에 대하여 얘기해보자. 백업 시스템의 가장 명백한 보안 문제는 평문 백업 테이프이다. 이 미디어를 보호할 수 있는 새로운 암호화 옵션은 여러 가지가 있다. 여기에는 호스트 기반의 파일 시스템 및 애플리케이션 암호화, 백업 소프트웨어에서의 암호화 및 하드웨어 데이터 경로에 상주하며 테이프에 작성될 때 데이터를 암호화하는 여러 장비들이 포함된다.
이들 하드웨어 장비는 가장 비싸지만 다른 옵션들보다 구현 및 유지보수가 훨씬 더 용이하다. 또한, 빠른 암호화 및 탁월한 키 관리 능력 이외에 압축 기능까지 제공한다. 암호화된 데이터는 압축할 수 없으므로, 일부는 암호화되기 전에 데이터를 압축시키는 압축 칩을 가지고 있다. 따라서, 암호화된 데이터가 테이프 드라이브에 의해 압축되지 않는 다른 솔루션과 비교해서 큰 장점을 제공한다.
백업 시스템의 두번째 보안 문제점은 전통적으로 백업 서버 및 클라이언트를 서로 인증하는 데 있어 호스트 이름 기반의 인증을 사용하고 있다는 점이다. 스푸핑된 IP 주소를 보유한 해커는 이런 취약점을 악용하여 두 가지 일을 꾀할 수 있다. 이와 함께 허위 백업 클라이언트를 생성한 다음 서버가 실제 클라이언트의 데이터를 복원하도록 만들어 정보를 빼내는 것이다.
또한, 가짜 클라이언트가 허위 버전의 백업 파일들을 가지고 백업 서버를 생성할 수도 있다. 악성 해커는 또한 허위 백업 서버를 생성할 수 있으며, 서버에 의한 백업이 허용된 모든 클라이언트를 백업할 수도 있다.
물론 이것은 모든 종류의 데이터를 빼낼 수 있는 완벽한 방법이다. 일부 백업 제품은 호스트 이름 이외에 추가 수준의 인증 체계로 이런 심각한 취약점을 해결하기도 했다. 하지만 안타깝게도 이를 통해 인증 시스템에 복잡함이 추가됨으로써, 백업 관리자들에게 외면을 당하는 결과를 낳았다.
마지막으로, 백업 시스템은 관리 인증에 있어서 “성공 아니면 실패”의 접근 방식을 채택해왔다.
예를 들어, 새로운 관리자에게 라이브러리에서 테이프를 추출할 수 있는 능력을 부여함으로써 모든 백업 정책을 삭제하거나 변경하고 모든 백업 히스토리를 삭제하며 소유하고 있는 모든 테이프를 쓸모 없는 데이터들로 덮어 쓸 수 있는 능력까지 주게 된 것이다.
따라서, 경험이 부족한 관리자들의 경우에는 실수로 틀린 단추를 눌러서 테이프 라이브러리에 있는 모든 테이프가 삭제되는 불운이 발생할 수 있다. 실제로 몇 년 전 한 의료 기관에서 이런 일이 발생한 적이 있었다. 일부 백업 소프트웨어에서는 역할 기반의 관리 체계를 도입함으로써 이러한 문제를 해결하기 시작했으므로, 이제 여러분은 각 담당자에게 필요한 능력만 부여할 수 있다.
역할 기반의 관리 체계 및 저장 데이터에 대한 새로운 보안 방식의 채택은 스토리지 벤더들이 비로소 보안의 중요성을 깨달았음을 반증해준다. 만약 여러분의 제품이 이런 종류의 보안 기능을 지원하지 않는다면 벤더에게 압력을 가할 필요가 있다. 이 모든 일은 바로 여러분의 귀중한 데이터의 안전을 위한 것이다.
|
아카이브에 보관된 데이터 보안 |
|
아카이브에 보관된 데이터의 보안에 관해 얘기하기 전에, 아카이브(archive)라는 용어부터 정의해보겠다. 이것은 컨텍스트에 기반하여 논리적으로 정보를 추출해내기 위해 특수하게 설계된 전자 파일링 캐비닛이다.
이 컨텍스트에는 데이터의 생성인, 데이터의 목적이나 연관된 프로젝트는 포함될 수 있지만 데이터가 저장되어 있던 위치와는 별로 연관이 없다. 여러분이 파일 캐비닛에서 어떤 파일을 찾을 때 네 번째 캐비닛의 다섯 번째 서랍에 있는 세 번째 폴더를 가져오라고 말하는가. 그렇지 않다. 그냥 "어떤 회사의 파일을 가져와"라고 말할 뿐이다.
반면에, 백업 시스템은 저장되어 있던 위치에 기반하여 손상되거나 삭제된 데이터를 복원하도록 설계되어있다. 백업 시스템은 파일 캐비닛이 화재로 손상되었거나 찾고 있는 파일이 없어졌을 때 사용된다. 하지만 정확히 말하자면 없어진 그 파일을 복원하는 것이 아니라, 네 번째 캐비닛의 다섯 번째 서랍에 있는 세 번째 폴더를 복원하는 것이다.
따라서 어떤 파일을 복원하려면 그 파일의 위치를 알고 있어야 한다. 그렇지만 아카이브 시스템에게 어제 삭제된 파일을 복원할 것을 요청하면 시스템에서는 누가 그 파일을 생성했는지 또는 파일의 내용이 무엇인지를 물어볼 것이다.
이제 용어 정리를 마쳤으므로, 보안 문제에 대해서 얘기해보자. 아카이브 시스템의 디스크나 테이프는 몇 년 동안 저장될 것이며, 백업 시스템처럼 아카이브 시스템에는 매우 소중한 정보들이 들어있다. 그렇다면 그 테이프들도 암호화해야 하는 거 아닐까? 아마도 곧 그렇게 될 것이지만 반드시 유의해야 한다. 기간이 만료되어 몇 개월 안에 덮어쓰기 될 백업 테이프의 경우에는, 암호화 시스템으로 포맷을 변경할 수 있다.
아카이브 시스템의 경우에는 수년 동안 이들 테이프를 읽을 수 있어야 한다. 여기서 문제는 현재의 모든 암호화 시스템이 호환되지 않는다는 점이다. 만약에 여러분의 암호화 벤더가 없어진다면 여러분은 장기적인 아카이브 보관을 위한 백아웃 계획이 없어지게 된다. 드디어 벤더를 바꾸고 이들 테이프를 읽을 수 있는 시간이 오면, 아카이브의 암호화가 보다 나은 방법이 되어준다. 아마도 당분간은 강력한 물리적인 보안 방식을 따르는 것이 테이프를 유실하지 않을 수 있는 가장 안전한 방법일 것이다. |
<글: W. 커티스 프레스턴「GlassHouse Technologies」데이터 보호 부장>
Copyright ⓒ 2006 Information Security and TechTarget
[월간 정보보호21c(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
