기업 보안담당자가 겪게 되는 가장 큰 어려움은 기업의 정보보호 구축 전략 수립에 대한 ‘교과서’가 없다는 것이다. 보안담당자도 이해하지 못하는 생소한 이름의 보안장비가 하루가 멀다하고 출시되고, 복잡한 보안장비를 하나로 묶을 수 있는 통합 보안장비가 나오는가 하면, 물리적인 보안시스템과 IT보안 시스템을 통합하는 시도도 계속된다. 보안전략의 A부터 Z까지 안내하는 가이드라인이 없어서 기업은 눈앞에 닥치는 위협을 막기에 급급한 상황에서 벗어나지 못하고 있다.

보안담당자들의 이와 같은 고충을 한 번에 해결할 수 있는 ‘ISEC 2007 통합정보보호구축전략 컨퍼런스’가 9월 5일 여의도 63빌딩에서 개최됐다. <월간 정보보호21c>와 <보안뉴스>가 주최하고 정보통신부, 정보보호진흥원 등이 후원한 이 행사에는 보안 전문가와 전문경영인, 기업의 보안담당자, 실무자 등 1000여 명이 참석해 기업보안전략의 모범 가이드라인에 대한 실제적인 정보를 교환했다.

보안서버, 우회공격 너무나 쉽다

이날 행사에서 참가자들의 눈길을 끌었던 것은 SSL 기반의 보안서버를 무력화하는 해킹시연이었다. 해킹시연을 담당한 이경문 네트워크 컨설턴트는 “SSL은 좋은 프로토콜이지만 간단한 해킹툴로 우회 공격할 수 있으므로 대책이 필요하다”고 말하면서 해킹시연을 시작했다.

이경문 씨는 자신의 컴퓨터에 해킹툴을 설치한 후 보안서버가 구축된 한 사이트에 접속했다. 다른 컴퓨터를 통해 이용자가 해당 사이트에 로그인을 하자 보안인증서가 만료됐다는 경고창이 뜬다. 이용자가 경고를 무시하고 창을 닫은 후 이경문 씨가 자신의 컴퓨터로 해당 사이트의 소스코드를 열자 접속자의 아이디와 패스워드가 그대로 노출됐다.

이경문 씨는 “보안서버는 너무나 기초적인 해킹기법으로도 우회공격이 가능하다. 이러한 위험에서 벗어나기 위해서는 인터넷서비스 업체는 물론이고, 사용자도 보안 인증서를 가질 수 있는 방법이 모색돼야 한다”고 말했다.

인터넷 이용자 정보의 안전한 관리를 위해 보안서버는 반드시 있어야 한다. 그러나 보안서버조차도 간단한 해킹으로 뚫릴 수 있기 때문에 이에 대한 보안대책이 마련돼야 한다. 공격과 보안은 창과 방패처럼 완벽한 방어도, 100% 성공을 장담하는 공격도 있을 수 없다. 특히 UCC로 대변되는 웹 2.0 환경에서는 사용자의 참여, 공개, 개방이라는 기본개념을 갖기 때문에 더욱 더 철저한 보안정책이 마련돼야 한다.

류한석 소프트뱅크미디어랩 소장은 ‘엔터프라이즈2.0 시대의 정보보호’라는 주제발표를 통해 “가장 위험한 보안취약성은 ‘사람’”이라며 “기업은 보다 많은 것을 공개해야 하고, 다른 기관과 다양한 협업이 이뤄져야 한다. 엔터프라이즈2.0에서는 기업의 콘텐츠나 인프라를 보호할 수 있는 방법과 함께 인간의 취약한 심리, 혹은 담당자의 실수 등으로 인해 발생하는 보안위협을 막을 수 있는 방법이 필요하다”고 강조했다.

DB보안은 고객정보에 대한 보안인식 제고에서 시작

오후로 이어진 행사는 3개의 트랙으로 나뉘어 정보보호의 각 분야에 대한 상세한 주제발표가 있었다.

문서유출과 스팸동향, 데이터베이스 보안기술 등에 대한 주제로 마련된 A트랙에서 금융결제원의 김정상 과장은 “DB보안을 위해서는 보안 필요성에 대한 고객 마인드 형성, 기술 부문별 문제인식과 성능개선이 있어야 한다”며 “다양한 DBMS 지원과 정확한 가이드 제공, 정보전달로의 시장확대, 정부의 강력한 정책추진, 보안실태 재점검 및 적절한 보호조치 강구 등이 필요하다”고 강조했다.

지승용 테라스테크놀로지 부사장은 최근 스팸동향과 유형, 해외스팸에 대한 대응방안 등을 지적하며 솔루션차단업체의 분발을 요구했다. 지 부사장은 “스팸메일 발송 기법이 갈수록 교묘해지는 추세이지만, 국내기술 개발은 더디기만 하다”며 “좀비(Zombie Bot-net)의 경우 확산속도와 피해규모가 커지고 있지만 기술력 부족으로 대응방법을 찾지 못하고 있다”고 지적했다.

보안패치의 필요성도 부각됐다. 소프트런의 홍정훈 이사는 “완전한 운영체제는 존재하지 않기 때문에 이를 방어할 시스템이 필요하다”며 “패치가 발표되고 새로운 공격이 발견되기까지 시간이 짧아지고 있어 신속한 보안패치 설치가 요구된다”고 말했다.

이밖에 퓨처시스템의 박재필 팀장은 ‘SSL-VPN 솔루션 기업정보 사례’를 통해 기업의 인증방식에 대해 설명했고, 문성준 인터비젠테크놀로지 이사는 ‘안전한 애플리케이션 개발 및 운영트랜드’에서 애플리케이션의 하이퍼 사이클과 업무별 적정 프로세스 및 솔루션 부재 해결 방안을 제안했다. ‘가상모드에 의한 산업기술 유출방지’를 주제로 강의한 이희준 서버테크 대표는 산업보안 가운데 문서유출의 심각성을 부각 시키며 보안체계 구축을 서둘러야 한다고 강조했다.

철통같은 입구방어, 취약한 본진방어

B트랙에서는 개인정보보호와 메일보안, ID관리 등에 대한 발표가 있었다. 이 중 ‘효율적인 인증관리를 위한 OTP 동향 및 발전방향’이라는 주제로 발표를 한 RSA시큐리티의 윤정광 차장은 전략시뮬레이션 게임 ‘스타크래프트’를 예로 들어 설명했다.

입구에 시즈탱크 한 부대, 벙커 수십 기를 설치해 개미 한 마리 지나갈 수 없도록 철통방어를 한다 해도 본진방어가 허술하다면, 느닷없이 날아든 뮤탈리스크 몇 기로 인해 ‘GG’를 선언하는 상황을 맞게 된다. 윤정광 차장은 “이것이 우리나라 보안의 현실이다. 우리나라 대부분의 조직은 경계보안을 철저히 하면서도 내부보안은 취약하다”며 “기업을 위협하는 요인 중 내부자의 위협행동으로 인한 것이 60%이다. 네트워크 보안과 함께 내부자 보안도 철저하게 관리해야 한다”고 강조했다.

김대환 소만사 대표 역시 내부자의 정보유출에 경종을 울리며 “직원들의 DB 접근을 통제하고, 직원들이 가진 권한에 따라 제한된 고객정보에 접근할 수 있도록 정책을 마련해야 한다”며 “몇 명의 악의적인 내부자로 인해 기업이 문을 닫을 수도 있다”고 경고했다.

이성중 엑스큐어넷 부사장은 “고객정보와 기업의 기술정보 보호를 위해 내부통제와 상시 모니터링을 통한 이상징후 탐지, 사건 발생 후 적극적인 법적대응을 위한 증거물 확보 등이 필요하다”고 주장했다. 박정수 유니닥스 부사장은 “이메일을 통한 내부정보 유출방지를 위해 문서가 직접 유출되지 않고 중앙에서 관리할 수 있는 방안이 마련돼야 한다”고 강조했다.

내부정보 유출방지 방법으로 사용자의 ID를 관리하는 방법이 제안되기도 했다. 삼양데이타시스템의 손현호 과장은 “IP를 통한 접근관리로 정보접근 내역을 관리하는데 한계가 있으므로 사용자ID 관리를 통해 보다 효과적인 정보보호 정책을 마련할 수 있다”며 “각종 컴플라이언스 이슈에도 부합할 수 있도록 통합적인 관리가 마련돼야 한다”고 설명했다.

기업 내·외부에서의 공격이 최근에는 웹을 통해 이뤄지기 때문에 기업이 보안정책을 수립하는데 더 어려움을 겪게 된다. 시큐아이닷컴의 윤남식 부장은 “전산업무의 90% 이상이 웹 기반으로 변화하고 있기 때문에 기존의 네트워크 보안장비로 웹 애플리케이션 취약점을 방어할 수 없다”며 웹 방화벽의 필요성을 강조했다.

UTM·NAC 등 다계층 보안대책 필요

트랙C에서는 통합위협관리(UTM), 네트워크접근제어(NAC) 등 새로운 보안솔루션에 대한 주제로 세미나가 진행됐다. 인성디지탈의 정호길 과장은 ‘통합위협관리 시스템의 효율적인 적용방안’에 대해 설명하며 “최근의 위협은 공격의 다양화·복합화와 함께 사용자 환경이 다양해진다는 특성을 갖는다”며 “이에 대처하기 위해 UTM을 통한 다계층 보안이 필요하다”고 말했다.

이상준 유넷시스템 정보보호연구소장은 네트워크 단에서 접근을 제어하는 NAC에 대해 소개하며 “최근에는 네트워크에 접속한 후, 또는 접속이 거부된 후의 상황까지 제어하도록 NAC의 기능이 확장되고 있다”고 설명했다.

기업정보 유출의 방지방안에 대해 소프트 캠프의 이형석 본부장은 “기업의 정보가 유출되는 경로는 내부의 주요 데이터를 다루는 직원이나 협력 업체 직원”이라며 “기업의 중요 데이터를 근본적으로 보호할 수 있는 실질적 방안 마련이 필요하다”고 말했다.

이동식 저장매체나 사무기기를 통한 내부정보 유출은 아무리 철저하게 감시한다 해도 막을 수 없다. 세이퍼존의 김대봉 부장은 “보안USB는 사용자 식별 및 인증기능, 지정데이터 암·복호화 기능, 저장된 자료의 임의복제 방지 기능, 분실 시 저장데이터의 보호를 위한 삭제기능 등이 포함돼 있어 기업정보유출을 방지할 수 있다”고 제안했으며, 정용진 캐논코리아 이사는 “프린터, 팩스 그리고 복합기에 문서유출방지 솔루션을 도입하면 사무기기를 통한 정보유출을 박을 수 있다”고 소개했다.

보안위협에서 가장 취약한 PC보안에 대해 KT의 성태훈 과장은 “내부로부터 발생된 공격이 외부로부터 발생된 공격보다 33% 많다. 보안공격의 50% 이상이 내부 네트워크 또는 알 수 없는 공격지로부터 발생한다. 이에 대응하기 위해 통합 PC보안이 필요하다”고 강조했다.

[월간 정보보호21c 통권 제86호 ISEC 2007 특별취재팀(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>