> 뉴스 > 테크가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
IT통합과 보안
2002년 10월 10일 00:00:00 조도근 에이쓰리시큐리티컨설팅 이사
IT 통합 후 보안에 신경을 쓴다는 것은 거의 불가능하다.
통합 이후에 안정화 시기를 거치고 나면 그 때에는 또 할 일들이 산적해서 보안이슈는 미루어지기 마련이다. 하지만 보안의 중요성을 감안할때 IT 통합시 보안 통합도 항상 병행되어야 한다.

IT가 기업의 핵심역량으로 자리매김한 지도 이제 20년이 넘은 것 같다. 이유야 다양하지만 외환위기 이후에 기업간의 합병이 활발해지면서 필연적으로 IT통합도 기업간 합병의 핵심과제가 되었다. 혹자는 기업합병 이후에 전체적인 통합과제 중에 IT통합보다 더 어려운 것이 조직문화 통합내지 조직내 화합이라고 한다.


보안 통합 인지도 제자리 걸음

IT통합은 시한을 정해놓고 기계적으로 통합하면 되는 것일까. 어느 은행 관계자는 98년 이후 크고 작은 IT통합을 두세 차례 치르면서 불행(?)하게도 아예 IT통합 전문가가 되어 버린 케이스도 있다. 앞의 이야기가 맞든 아니든 이런 이야기가 나올 만큼 국내 IT통합은 힘들지만 성공리에 통합한 사례가 많고 그다지 드러나게 실패한 케이스가 없었던 것 같다.

IT보안 통합은 어떨까? 물론 최근에 필자가 관여했던 대형 은행의 보안통합 프로젝트의 경우를 제외하면, 일반적으로 IT보안은 전체 IT통합 일정에 묻혀 제대로 주목을 받지 못하는 듯하다. 기업간 IT통합에서 보안상 이슈의 가장 큰 부분은 IT통합의 일정에 쫓겨 제대로 보안부문을 기획하지 못하고 이행하기 힘들다는 점이다. 우선은 IT통합에서 결과물로 보여지는 부분은 통합예정일까지 모든 응용시스템과 데이터가 통합되어 통합예정일 이후 성공리에 서비스를 제공하는 것이다 보니, 보안처럼 잘 통합되지 않아도 사고가 생기기 전까지는 통합결과가 드러나지 않는 과제들은 우선순위가 뒤로 밀리게 된다.

우선은 네트워크 통합과 관련해서 고려해야 할 보안이슈는 어떤 것이 있고 보다 안전한 대안들은 어떠한 것들이 있을까?


네트워크 통합시 고려사항

다음은 현실적으로 통합네트워크 구성 뿐 아니라 신규 네트워크 구성을 염두에 두고 있는 네트워크 관리자라면 한번쯤은 부딪히는 이슈이다. 각각에 대해 보안관점에서 가능한한 명쾌한 의견을 제시해 보자.

NAT 의 적용

일반적으로 국내기업의 경우 레거시 장비들을 제외하고는 TCP/IP에 이더넷 환경으로 통합되고 있으므로, 이러한 환경을 기준으로 할 때 보다 안전하고 관리가 용이한 네트워크가 되도록 설계하여야 한다. 이 경우 일반적으로 권장되는 방향은 외부와 내부 네트워크를 분리하여 가능한 NAT(Network Address- Translation)를 적용하는 것이다.

NAT가 적용된 경우에는 해커가 다른 방법을 통하여 내부로 침투한 뒤에 내부시스템에서 공격자의 서버로 접속하도록 하는 소위 리버스 텔넷(Reverse telnet) 기법과 유사한 방법 이외에는 직접적인 공격이 쉽지 않다. 물론, 포트 포워딩(portforwarding)이 이루어지는 경우에는 마찬가지로 웹 서버를 공격하여 공격자의 시스템 쪽으로 쉘 환경을 열어주는 형태로 공격이 가능하기는 하다.

기타 버추얼 IP 등을 도입하는 것도 좋다. 요컨대 실제 서비스 장비의 IP 정보를 외부에 노출시키지 않고 직접적인 접속을 허용하지 않을수록 보다 안전한 설계가 된다고 하겠다.

IP체계 및 네트워크 분리

DMZ와 내부 네트워크에서도 중요도에 따라 네트워크 구간을 분리하고, 보안요건이 유사한 장비들에 대하여 IP 단위의 그룹핑이 용이하도록 설계한다. 이는 보안장비에서의 각종 접근제어 룰을 설정할 때 그룹설정이 용이하게 되는 장점이 있다.

또한, 일상적 모니터링(incidents monitoring)시에도 각 IP 대역에 대한 기초정보는 분석이 보다 신속하게 이루어질 수 있도록 하는 장점이 있다.

반면에, IP 자릿수별로 의미를 부여하는 것은 공격자가 그 의미를 파악하는 경우 다른 유사한 시스템을 쉽게 찾을 수 있다는 위험은 있으나, 실제 상황에서는 IP 자릿수별로 의미를 부여하지 않더라도 먼저 점령한 시스템의 호스트 파일 등을 이용해서 다른 시스템 IP를 쉽게 파악하고 공격하므로, 이러한 위험 때문에 IP 체계부여를 망설일 필요는 없다.

DHCP의 적용

일반적으로 내부 구성원의 PC설정에 DHCP(Dynamic Host Configuration Protocol)를 적용하는 경우 IT관리요원의 업무를 상당히 감소시킬 수 있으나, 보안관리상의 목적 때문에 DHCP의 적용을 망설이는 경우가 있다. 즉, 보안 사건이 발생하는 경우 국내 IT환경상 사용자 ID를 공유하는 경우도 많고 하다보니 대부분 로그에 남아 있는 IP를 기초로 사건추적을 하기 때문에 DHCP를 적용하면 이러한 추적이 용이하지 않다는 이유에서이다.

실제로 이러한 추적이 유효한 사례들을 많이 보지만 그래도 IP기반의 로그는 법적으로나 기술적으로나 바람직하지 않다는 것이 필자의 견해이다. IP 스푸핑이나 MAC 주소 스푸핑이 기술적으로 매우 간단한 현실에서 IP기반의 사용자 인증보다는 트랜잭션 레이어에서의 사용자 인증과 이를 기반으로 한 추적 시스템이 보다 바람직하다.

요컨대, DHCP를 도입하여 관리적 부하를 줄이되 일반사용자 IP주소 대역을 적절히 설계하고 필요한 경우 DHCP 할당가능 IP주소 대역을 세부조직단위로 나누어 적용하며, 트랜잭션 레이어에서의 사용자 인증추적 시스템을 도입하는 것이 가장 이상적인 대안이 되겠다.

ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr