어떤 보안기반에서 실제 방어하는 것이 무엇인지부터 확인해야

기업들은 엔드 포인트 보안에 대해 절박한 필요성을 의식하지만, 네트워크 액세스를 허용하기 전에 PC를 검사하는 시스템을 선택할 때는 주의깊게 고려해야 한다.

 

의심할 여지없이, 엔드 포인트 보안은 오늘날 기업들이 직면하고 있는 가장 어려운 도전과제 중 하나이다. 정보보호 전문지인 Information Security의 2007년 우선순위 조사에 따르면, 독자들은 엔드 포인트 보안강화를 최고의 신분정보 및 액세스 관리 관련과제로 선정했다.

모바일을 사용해 업무를 봐야하는 회사원의 증가는 엔드 포인트 보안의 중요성을 증가시켰다. 다른 어떤 때보다도 많은 회사원들은 원거리에서 랩탑을 접속하고, 이를 통해 회사는 바이러스, 웜, 스파이웨어 같은 위험에 노출된다. 보안정책이 수립되지 않은 PC를 운영하고 있는 컨설턴트와 공급업자들은 위험을 더 증가시키고 있다.

이에 대해 수십개의 제품들은 랩탑과 다른 엔드 포인트에 바이러스가 침투되지 않도록 하거나, 네트워크에 허용하기 전에 안정하게 만들어 이런 문제를 해결할 수 있다고 주장한다. 이 응용 프로그램들은 PC의 상태를 검사하고, 예방책과 네트워크를 보호하기 위해 마이크로소프트, 시스코 시스템스, 주니퍼 네트웍스와 다른 회사들에 의해 개발된 기준들에 의해 움직인다.

그러나 네트워크로 접근하는 화려하게 장식된 문을 열고, 오래된 가상 사서함을 설치하기 전에, 엔드 포인트에 대해 확인해야 할 네가지 질문이 있다. 이에 대한 대답은 여러분이 속한 기관에 가장 적합한 제품을 선택하는 데 도움을 줄 것이다.

네가지의 질문을 요약하면 어떤 보안기반, 말하자면 방화벽 같은 침입방지장치와 인증서버를 이미 가지고 있는가? 네트워크에서 실제로 방어하고 있는 것은 무엇인가? 데스크탑 활용전략은 어떤 것이 될 것인가? PC외의 엔드 포인트를 관리해야 하는가? 이다.

이미 보유하고 있는 보안기반은 어떤 것인가?

첫단계는 보안 포트폴리오의 현황과 엔드 포인트 솔루션이 어디에 적합할 것인지를 이해하는 것이다. 어떤 제품들은 침입자 검사와 방어체계 또는 단말기 보안 솔루션의 부분적, 전체적인 VPN 게이트웨이 등이 있다.

반면, 다른 것들은 기존의 IPS, IDS, VPN 제품들과 함께 작동한다. VPN이 없지만 이 부분에 관심이 있다면, 주니퍼(Juniper)와 F5 Networks(더 작은 범위로는 시스코(Cisco))가 충분히 엔드 포인트 상태를 점검하는 부분을 통해 VPN을 제공한다.

엔드 포인트  보안은 단지 장비만을 담당하고 있다는 것을 알면, 원거리 사용자는 어떤 로컬 네트워크 사용자의 장비도 읽어보는 일이 없다. 하지만, 한 제품이 다른 제품의 VPN이나 IPS를 지원하는 것이, 이 지원책의 결함이 없거나, 원거리와 LAN연결 시나리오 모두를 담당하기 위한 하나의 리포지터리를 만들어 낼 수 있다는 것을 의미하지 않는다는 사실을 알아야 한다. 

예를 들면, AEP 네트워크는 별도의 NAC 포인트 엔드 포인트 보안제품을 비롯한 SSL VPN 제품을 제공하지만, 이 두 제품은 공통의 보안방침 리포지터리를 갖지 않고, 2007년 후반기까지는 통합되지 않을 것이다. 그동안 NAC 포인트 라인은 광범위한 다른 VPN 제품군을 지원할 것이다.

통합 스펙트럼의 다른 한쪽 끝에는 주니퍼의 통합검사 조정장치가 있다. 주니퍼의 로저 포티어(Roger Fortier)는 “관리자들은 LAN과 원거리 액세스 시나리오 사이의 일관된 액세스 조절방침을 확보한 상태에서, 그들의 원거리 액세스와 LAN 액세스 조정방침을 보안 엑세스 SSL VPN과 엔드 포인트 보안 플랫폼 사이에서 공유할 수 있다”고 말한다.

다른 제품들에 대한 세밀한 검사는 미묘한 차이점들을 보여준다. 예를 들어, 록다운 네트웍스(Lockdown Networks)의 네트워크 액세스 조정장치에는 어떤 IPS 기능도 없지만, 엔트라시스 네트웍스(Enterasys Networks)의 Dragon IDS 장치와 함께 작동했고, 최근에는 자체적으로 VPN 특성을 추가했다.

대부분의 제품들이 IPsec과 VPN에 대한 일반적인 지원기능을 제공하는 반면, 인포엑스프레스(InfoExpress)의 사이버게이트키퍼(Cyber Gatekeeper) 역시 노텔 네트웍스(Notel Networks), F5, 주니퍼, 그리고 아벤타일(Aventail)의 SSL VPN을 지원한다. 포어스카우트 테크놀로지스(ForeScout Technologies)의 카운터ACT는 체크포인트(Check Point) 소프트웨어 테크놀로지스의 VPN을 특별히 지원하고, 주니퍼와 노텔의 VPN 라인에 대한 지원도 곧 추가할 것이다. 베르니에 네트웍스(Vernier Networks)는 각각 자체의 IPS를 포함한 7000과 8800 등 두개의 다른 에지월 모델을 제공하는데, 7000 모델은 역시 자체의 IPsec VPN 특징을 갖고 있다.

 

다른 부품들 가운데는 기존 네트워크 기반을 복사할 수 있는 엔드 포인트 패키지의 일부가 될 수도 있다. 아니면 최소한 지금 갖고 있는 제품을 어떻게 잘 활용할 수 있는지를 배워야 한다. 예를 들면, 시만텍의 네트워크 액세스 컨트롤은 자체적인 래디우스 서버와 마이크로소프트 액티브 디렉토리에 설치된 추가 소프트웨어를 사용해 DHCP 검사를 조절하도록 한다. 그리고, 메타인포는 기존 DHCP 서버들을 그것의 엔드 포인트 보안 버전을 조절하기 위해 자체적인 것으로 교체한다.

 

고려해야 할 또다른 문제는 엔드 포인트 솔루션이 네트워크 업그레이드를 필요로 하는지의 여부이다. 예를 들어, 네비스 네트웍스(Nevis Networks)와 콘센트리 네트웍스(ConSenTry Networks)는 모두 통합된 엔드 포인트 보안특징을 지녔고 자체적인 48포트 스위치를 제공한다. 기존의 스위치 기반을 교체하지 않을 경우, 비용이 많이 들어간다.

실제로 무엇을 방어하고 있는가?

다음으로, 네트워크의 어디에 장치들을 놓을 것인지, 회사의 전산 리소스 어느 부분을 방어하기 원하는지 결정할 필요가 있다. 어떤 장치들은 전체 네크워크를 보호하는 회사용 방화벽의 바로 뒤에 놓여야 한다. 다른 것들은 분기 스위치 레이어의 뒤, 중요 서버의 앞에 놓이는 것이 더 좋고, 혹은 특정한 서브넷이나 부문 네트워크를 방어하기 위해 활용되어야 한다.

어떤 장비들은 인라인으로 작동하는데, 이것은 장비 뒤에 놓인 어떤 네트워크 리소스라도 보호될 것이고, 건전한 네트워크 고객만이 통과해 이런 리소스들에 대한 액세스 권한을 얻게 된다는 것을 의미한다. 다른 것들은 아웃오브밴드로 작동하고, 특정 서브넷 상에서의 모든 네크워크 트래픽을 관찰하면서 스팬 포트를 통해 연결되는 것이 전형적이고, 사용자가 액티브 디렉토리나 VPN 로그인을 통해 성공적으로 인증받으면 스스로를 네트워크의 스트림에 삽입한다. 스틸시큐어가 두가지 방법 모두를 제공한다.

이런 장비들을 어디에 놓아야 하는지에 대한 이해는 각각 조절이 가능한 작업량을 이해하는 것에 있다. 주니퍼의 엔드 포인트 솔루션은 75MBps에서 30MBps까지 광범위한 작업량을 다룰 수 있다. 몇몇 다른 제품들은 제한적이고, 대규모 네트워크의 많은 작업량을 처리할 수 없다.

데스크탑에 대한 활용전략은 무엇인가?

각 제품은 엔드 포인트를 검사하고, 그것의 상태를 측정하기 위해 소프트웨어 에이전트를 사용한다. 이 소프트웨어 역시 엔드 포인트를 치료하고, 네트워크 리소스를 보호하기 위한 현황정보 상에서 활동할 수 있다. 이런 에이전트들이 해야 할 일은 많이 있다.

이것들은 개방된 포트를 검사하고, 서비스를 운영하며, 악성파일이나 악성코드를 찾기 위해 파일 시스템을 검사하고, 윈도즈 레지스트리 키들을 감시하고, 안티바이러스 서명 상에서 최신의 상태를 유지하며 개인의 방화벽이 구동되고 있는지 혹은 변경되었는지를 점검한다. 몇몇 제품에서는 이런 측정 및 점검이 로그인 과정을 몇 분 더 연장시킬 수 있는데, 이것은 뭔가 더 신속한 것을 원하는 사용자들을 당황하게 만들고, 에이전트가 로그인을 허용하기 전에 기술 지원부에 전화를 걸 것이다.

각 장비에 잠재적으로 사용될 수 있는 에이전트의 기본 형태 세가지가 있다.

ㆍ 각 엔드 포인트 PC에 영구적으로 설치된 실행 파일인 ‘Thick’ 에이전트

ㆍ PC가 네트워크에 연결된 시간을 지나 지속되지 않는, 전형적으로 브라우저 세션이나 네트워크 로그인 과정의 일부로서 전달되는 온 디맨드 에이전트

ㆍ 엔드 포인트에 어떤 소프트웨어도 위치시키지 않지만, PC에 이미 설치된 무엇인가와 함께 작동되는 에이전트리스 솔루션

이런 세가지 접근방식의 미묘한 차이는 중요하며, 결국 각 제품을 어떻게 사용하게 될지 결정한다. 차이점은 각 엔드 포인트에 어떤 종류의 소프트웨어가 전달되는지, 얼마나 오랫동안 머무는지, 로그인/연결과정 중에 언제 상태검사를 진행하는지, 그리고 엔드 포인트의 네트워크 연결이 끊어진 후에 자동으로 폐기되거나 제거되는지의 여부 등을 포함한다.

Thick 에이전트는 가장 이해하기 쉽지만, 보편적으로 활용하기는 가장 어렵다. 이것은 IT가 이런 시스템을 관리하고 조정할 수 있어야 한다는 것을 의미한다. 대부분의 경우, Thick 에이전트는 각 데스크탑이 관리자에게 윈도즈로의 액세스를 허용할 것을 요구하는데, 이는 소프트웨어를 모든 장비에 설치하기 때문이다.

판매자들의 대부분은 윈도즈 2000/XP를 위한 Thick 에이전트를 제공한다. 그리고 AEP, 인포엑스프레스, 록다운 같은 일부는 맥 OS도 지원한다. 시만텍과 콘센트리와 같은 몇몇 판매자들은 지난해 말 맥을 지원한다고 발표했거나, 다음 몇달 내로 제품 라인에 추가할 것이라고 전망했다.

일반적으로 Thick 에이전트는 장비가 불능화되었는지를 결정하기 위해 윈도즈 레지스트리, 파일 시스템, 시스템 서비스, 그리고 개방 포트에 대한 검사를 포함한 엔드 포인트 상태에 대한 폭넓은 조사를 할 수 있다. 이것은 또한 엔드 포인트를 수용상태로 되돌리기 위한 치료작업을 수행하는 것이 가능하다.

문제는 고객이나 비즈니스 파트너에 의해 사용되는 IT의 조절 범위 외부에 속한, 관리되지 않은 PC들로 인해 비롯된다. 이것은 엔드 포인트 보안의 위험한 가장자리이며, 다양한 판매자들 사이의 차이점을 이해하기 위해 조심스럽게 조사할 필요가 있다.

문제는 감염된 장비가 특정한 네크워크 세그먼트 위로 넘어오는 것만으로도 로그인 전에 네트워크에 손상을 입힐 수 있다는 것이다. 판매제품들 대부분은 IP 어드레스나 다른 네트워크 인증을 엔드 포인트에 제공하기 전에 어떤 기본적인 상태검사를 수행함으로 이런 상황에 대처한다.

F5의 마케팅 매니저인 피터 실바는 “사용자를 승인하는 것은 더 이상 액세스를 결정하는 출발점이 아니다”며, “그들이 지금 사용하는 장치는 첫 검토를 받았을 뿐이다”고 말했다.

온디맨드 에이전트들은 관리되지 않은 PC들을 다룰 수 있는데, 왜냐면 에이전트는 장비가 네트워크에 연결되려고 시도할 때까지 엔드 포인트에 전달되지 않기 때문이다. 이것은 일반적인 형태로 연결할 때 웹 브라우징 세션을 통해 올려지는 자바 스크립트나 액티브X 컨트롤의 형태를 가진다. SSL VPNs이 브라우저를 기반으로 한 사용자를 통해 하는 방식과 비슷하다.

몇몇 온디맨드 에이전트들은 실제로 자체적인 정화를 하고 있다. 이것을 산업계에서는 ‘분해가능’ 에이전트라고 부른다. 록다운의 마케팅 매니저인 댄 클라크(Dan Clark)는 “자동제거 옵션은 에이전트가 어떤 특정한 시간에 자체 분해되는 것을 가능케 하는데, 이것은 게스트 장치상의 수용상태를 확보하는데 이상적이다”고 말했다.

록다운과 미라지 네트웍스는 한 단계 더 나아간다. 두 회사 모두 각 엔드 포인트를 자신의 VLAN에 놓았는데, 이로 인해 위험한 장치들이 다른 것들로부터 분리된 채 남아있도록 했다. 미라지(Mirage)의 CTO인 그랜트 하트라인(Grant Hartline)은 “우리는 장치들을 외적으로 분리했고 모든 감염된 장치들을 같은 VLAN 내부에 놓기 위한 스위치들과 통합하지 않았는데, 이것은 교차감염을 촉진하기 때문이다” 라고 말했다.

이런 온디맨드 에이전트들은 특정한 운영체계와 브라우저 버전에 대해서 특수한 것이며, 대부분이 파이어폭스(Firefox)와 인터넷 익스플로러를 지원하는 반면, 윈도즈의 OS들로부터 분리됨에  따라, 더 적은 선택권을 갖고 있다. 콘센트리에는 온디맨드 윈도즈 에이전트가 있고, 올해 하반기에 맥과 리눅스용 제품도 제공할 계획이다. 그러나 다른 판매자들은 비 윈도즈 시스템을 지원하는데 느리게 대처해 왔다.

마지막으로 에이전트리스 접근방법이 있는데, 이것은 이상하게 들릴지 모르지만 사실 보안 시스템이 의심할 수 있는 엔드 포인트에 이미 존재하는 무엇인가를 강화하기 때문에 꽤 적합한 방법이다. 이것들은 교정과정에 많은 것을 제공하지는 않지만, 최소한도의 인증 확인을 제공한다. 다시 말하면 소프트웨어의 특정 OS 조각인 셈이다. 예를 들면, 포어스카우트의 카운터 ACT는 에이전트가 전혀 없으며, 가장 최근의 6.0버전까지 맥 OS를 지원하지 않았다.

어떤 판매자들은 용량이 다른 다수의 에이전트를 제공한다. 예를 들면, 네비스는 상태검사를 수행하게 될 윈도즈를 위한 액티브 X 컨트롤을 제공한다. 다른 운영체계를 위해서는 에이전트리스 연결을 사용해 최소한의 아이덴티티 컨트롤만 할 수 있을 뿐이다. 시만텍의 온디맨드 에이전트는 맥 OS와 리눅스 상에서 움직이지만, 이것의 Thick 에이전트는 윈도즈 2000과 XP에서만 작동한다.

그리고 온디맨드 에이전트만을 사용하는 베르니에(Vernier)는 컴퓨터에 로그인하고 검사작업을 하기 위해 윈도즈가 관리하는 인터페이스와 연결되어 작동한다. 그러나 에이전트의 검사수준은 관리자 액세스가 각 머신에 가능한지에 달려있다. 관리자 액세스가 없으면, 에이전트는 오직 기본적인 위험도 검사만을 수행할 수 있다. 반면에 세밀한 보안방침 수용성 검사는 관리자 액세스를 요한다.

PC가 아닌 엔드 포인트를 관리해야 하는가?

에이전트 랜드스케이프를 알아내는 것의 한 부분에는 네트워크에 다른 무엇이 있고, 무엇을 관리할 필요가 있는지를 아는 것에 있다. Thick 에이전트는 프린트 서버, 네트워크 카메라, 기업 네트워크상에 있고 자체적인 운영체계와 IP 어드레스가 있는 PDA등 PC외의 장치들은 관리할 수 없다. 이것은 엔드 포인트 장치로는 쉽게 조정되지 않는다. 거의 모든 판매자들은 이 능력을 우수고객들에게 제공하거나 그들의 맥이나 IP 어드레스를 미리 인증한다. 이렇게 함으로 장비들은 여전히 네트워크에 연결되어 작업을 수행할 수 있다.

그러나 이런 삽입된 장치들이 감염된다면 무슨 일이 일어날까? 포어스카우트의 카운터 ACT는 이것을 해결했다. 국제 마케팅 부사장인 고드 보이스(Gord Boyce)는 이런 장치들을 검색할 수 있는 능력을 제공하고, 이들로부터 올 수 있는 보안위협으로부터 네트워크를 안전하게 지키도록 할 방침들을 적용했다고 밝혔다.

그는 또한 “예를 들면, 네트워크 프린터에서 나오는 트래픽을 프린트 관련 트래픽으로 한정하도록 하는 방침이 수립될 수 있다. 만약 어떤 사람이 프린트의 IP 어드레스를 속이는 경우와 같이 프린트가 다른 장치처럼 작동하기 시작하면, 카운터 ACT 시스템은 트래픽과 쿼런틴 내의 변화를 감지하고, 장치와의 연결을 끊어버린다”고 말했다. 미라지와 같은 다른 것들 역시 이런 장치들이 보안위협을 받지 않는다는 것을 확실히 하기 위한 감시를 한다.

 

분명, 엔드 포인트 보안 솔루션 전체의 다양한 비트를 알아내는 것은 쉽지 않다. 특히 광범위한 장치와 운영체계로 이루어진 복합적인 기업 네트워크는 더욱 어렵다. 오늘날의   장치들은 기업들이 긴급한 문제들을 다룰 수 있도록 돕고, 마이크로소프트, 시스코, 그리고 신뢰받는 컴퓨팅 그룹들이 기준과 제품을 지속적으로 발전시킴으로써, 엔드 포인트 보안의 미래에는 더 밝아질 것이다.

 

<글: 데이비드 스톰>

Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c 통권 제77호(info@boannews.com)]

            

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>