[통합 보안솔루션②] 보안장비 연동으로 능력을 극대화해라
상태바
[통합 보안솔루션②] 보안장비 연동으로 능력을 극대화해라
  • 구자만 데이타크레프트 코리아 프로페셔널 서비스팀
  • 승인 2003.08.01 00:00
  • 댓글 0
이 기사를 공유합니다

개방적이고 이전보다 더욱 복잡해진 오늘날의 네트워크는 보안에 대해 통합된 접근방법 및 보안 모듈들간의 연동을 요구하고 있다. 2003년의 네트워크는 불과 몇년전에 우리가 상상했던 것보다 더욱 확장되었으며 복잡하고 개방된 형태를 갖고 있다. 그렇기 때문에, 전통적인 네트워크 경계선인 인터넷 에지단에서 보안을 구축하는 것은 더 이상 충분한 전략이 될 수 없다. 보안은 네트워크 전체에 내장되어야 하며 유기적으로 연동되야 한다. <편집자>

지난호에 게재했던 통합보안기술 역시 보안제품들간의 연동의 일환이라 할 수 있다. 여러 보안 모듈들간의 연동을 중간에 복잡한 네트워크 디바이스들을 거치지않고 원박스(One-Box)에서 모든 보안 기능을 수행하겠다는 논리는 연동의 심플화의 일환인 것이다. 물론 관리자들은 하나의 박스만 관리하면 된다. 장애포인트 역시 단일 디바이스다. 그러나 초기투자 비용을 줄이는 차원에서 이러한 원박스 통합보안솔루션을 리던던시 없는 솔루션으로 도입할 경우에는 더 큰 장애의 불안 요소가 될 수 있다. 한 시스템이 마비될 경우 사내 내부 네트워크이나 서비스존의 각종 서비스들은 접속장애 및 서비스장애를 바로 일으키게 될 것이기 분명하기 때문이다. 따라서 필히 이중화는 선행되어야 한다.

침입탐지시스템과 취약성분석 시스템과의 연동

가트너 그룹의 빅 위트만은 IDS가 죽었다며 IDS를 설치할 경우 정상적인 운용이 어려울 정도로 잦은 시스템 경고를 일으킨다고 지적했다.

실제적으로 침입탐지시스템을 관리하는 관리자들은 도입초기 데모 단계에서는 어떠한 침해 트래픽도 없을 것 같았던 자사 네트워크에 수많은 침해성 트래픽이 흘러다닌다는 것과, 무수한 시스템들이 공격을 받고 있다는 것을 보고 매우 관심있게 지켜보며, 흥미있어 한다. 해킹과 방어에 관한 공부도 하게 되며, 도입후 한 두달간은 리포팅 기능도 활용하며, 통계도 직접 내어 보게 된다. 그러나 그것은 단지 한 두달임이 분명하다. 패턴매칭이라는 기법과 그와 유사한 여타 침입탐지시스템들은 ‘오탐’이라는 약점을 가지고 있기 때문인 것이다.

침입탐지시스템에서 나오는 대부분의 알람은 실질적 침해 트래픽도 아니며 설사 침해트래픽이라 하더라도 이미 내부의 자원들은 그러한 침해트래픽에 대해서 패치가 되어 있거나 그 앞단의 보안 디바이스들에 의해 차단될 것들이 대부분이기 때문이다. 관리자들은 그러한 사실을 한 두달이면 알게 되고 더이상 침입탐지시스템의 메니지먼트 모듈쪽으로 눈길조차 주지 않게 된다.

그러면 이러한 스팸성 알람들을 어떻게 처리할 것인가? 바로 취약성분석도구와의 연동을 통해 이러한 문제점을 해결 할 수가 있다. 취약성분석 시스템 역시 도입초기에 진단하고 조치를 취해 놓으면 몇달간은 같은 통계만 보이게 되고 여타 특이사항이 발생하지 않기 때문에 더이상 활용하지 않는 침입탐지시스템과 같은 운명을 보이고 있다. 그러나 둘간의 연동은 지극히 궁합이 잘 맞아떨어진다. 결론부터 말하자면 발생하는 알람수는 최대 1/10 가량 줄어들게 되고 알람의 내용 또한 지극히 관리자들이 원하는 알람만을 보여주게 된다.

연동의 원리는 간단하다. 먼저 취약성분석시스템은 자사네트워크 및 서비스 네트워크에 대해 실질적으로 위험도를 측정하게 된다. 여기서 나오는 데이터들은 연동시스템의 메모리에 상주하게 된다. 한마디로 내부 네트워크의 취약성 정보를 실시간으로 가지고 있게 되는 셈인 것이다. 이때 침입탐지시스템이 침해 행위를 탐지하면 연동시스템에 상주된 취약성 데이터와 매칭시켜보고 취약성과 침해 데이터와 맞아 떨어지는 위험한 알람에 대해서만 로그 및 알람을 발생시킨다. 예를 들어 코드레드라는 바이러스에 백신이 설치된 시스템에 코드레드 트래픽이 흘러들어가는것에 대해서는 알람을 발생시키지 않는다는 것이다. 들어가봐야 시스템은 감염이 안될 것이기 때문이다.

이처럼 두 시스템을 연동시켜 놓으면 관리자들은 포지티브 알람(Positive alarm)과 네거티브 알람(Negative alarm) 사이에서 갈등하지 않게 되며, 침입탐지시스템 및 취약성분석 시스템의 무용론을 생각하지 않게 될 것이다.

방화벽으로 연동 집중

IPS가 업계에서 화두가 되고 있다. 침입탐지에 보다 지능을 부여해서 리스판스(Response)까지 가능하게 만든 침입방지시스템. 정말 말은 그럴듯해 보인다. 그러나 알고 보면 상술에 불과하다는 것을 이제는 많은 업계관계자들은 알고 있다.

스파이어 시큐리티의 애널리스트 피트 린드스톰은 “IPS란 용어는 적절치 않다며 IPS가 내세우는 기능은 사실상 방화벽의 기능이 아닌가”라고 반문했다. 침입탐지시스템과 침입차단시스템의 연동을 통해서 이러한 침입방지시스템의 역활은 그전에도 진행중에 있었던 것이기 때문이다.

이미 이스라엘의 한 침입차단시스템 전문회사는 자체 인증시스템을 통해 자사 제품과의 연동을 원하는 시스템들은 인증만 받으면 연동가능하게 이미 여러해 전부터 연동을 진행하고 있었다. 물론 국내의 몇몇 침입탐지시스템 업체 또한 이 인증을 받아서 연동에 참여하고 있다. 이것은 침입탑지시스템에만 국한된 것이 아니라 바이러스 차단(Virus Protection) 시스템과도 방화벽은 연동하고 있다. 모든 보안시스템의 마지막 리스판스는 방화벽에서 룰(Rule) 외적으로도 수행하게끔 하는 것이다.

이러한 방화벽으로의 연동집중현상은 굴지의 네트워크 전문업체도 마찬가지이다. 미국의 한회사는 자사의 방화벽에 VPN, IDS기능을 방화벽 O/S에 이미 애드 온(Add-On) 시킨 상태이다. 물론 O/S 가 무거워지고 CPU의 사용량이 높아지고 VPN 가속 카드를 따로 구입해야 하는 문제점이 있지만 제품 인지도가 높은 이회사는 네트워크 장비부문에서 이룩한 이름값을 바탕으로 상당한 센세이션을 일으키며 보안 디바이스 부문 상위권으로 치고 올라갈 수 있는 발판을 마련했다.

방화벽에 연동을 집중시키는 이런 추세는 대세가 될것이다. 현재 리스판스를 각각의 다계층 스위치나 여러 보안 시스템에서 수행하고자 하는 노력들이 진행중이지만 정책의 혼선만을 빚을 뿐이다. 물론 보안 정책을 올바르게 세우고 제대로 정책에 따라 보안 기능들이 수행된다면 문제는 없을 것이지만 그러한 것들이 쉽지만은 않다는것은 누구나 다 아는 일이다. 마지막의 리스판스, 액션(Action)은 방화벽이 취해야 할 행동이 자명하다.

통합관리를 위한 연동

각각의 보안 시스템에는 나름대로의 장비 관리 시스템이 존재한다. 이들을 EMS(Element Management System)이라 부른다. 그러나 각 보안 장비마다 관리 모듈이 따로 존재한다고 하면 이것은 시스템낭비, 공간낭비, 관리자 낭비만 낳게 되는 셈이다.

각각의 보안 모듈은 서로 유기적으로 연동되어야 하며 하나의 관리시스템에 의해 관리되어져야 할 것이다. 통합 관리는 실제 필드에서 아주 다른 개념을 제시하는 것이 아니라, 기존에 제시된 개념들을 얼마나 편리하게 운용하고 신뢰성을 제공하느냐가 관건이다. 최근의 장애관리는 리포팅 툴을 이용해 가시적으로 해당 내용을 보여주거나 웹 기반 GUI를 통한 직관적인 인터페이스 제공, 장소에 구애 받지않는 다양한 관리 기능을 제공하고 있다. 또한 래디우스나 TACCAS+ 프로토콜을 이용 연동하여 인증의 투명화, 더 나아가 과금 및 감사까지 가능한 방식으로 사용자별 그룹별 인증시스템을 도입하게 되면 관리에 있어서 또 하나의 부담을 덜게 되는것이다.

연동을 통해 처리되고 분석된 자료는 리포팅 툴을 이용해 관리자에게 보고하기 위한 다양한 보고서, 사용자에게 제공되기 위한 보고서, 운용자의 분석을 위한 보고서, 네트워크 증설 등의 계획을 위한 기초 데이터 보고서 등을 출력한다. 이런 일련의 과정들이 일별, 주별, 월별, 분기별, 연별로 일정한 주기를 가지고 운용을 함으로써 최적의 서비스를 관리할 수 있다. 이 데이터는 방화벽만을 위한 , VPN 장비만을 위한, IDS만을 위한, 바이러스 리포팅(Virus Reporting)만을 위한 데이터가 아니라 통합된 보안 현황을 보여주고 관리되는 것이다.

보안모듈을 유기적으로 결부시켜주는 ‘연동’

연동은 시스템들만의 연동이 아니다. 서비스 또한 연동 되어진다. 신원 확인 기반의 네트워킹을 위해 래디우스 연동을 통해 인증되지 않은 접속으로부터 네트워크와 서버를 보호하기 위해서는 먼저 사용자 이름, IP 주소와 MAC 주소 등 페러미터를 토대로 한 신원 확인이 선행되어진다. 그리고 정책 규정 기능을 실행하기 위해 LDAP(Lightweight Directory Access Protocol)을 사용하는 서버 기반 사용자 디렉토리와 연동할 수 있다. 네트워크 전체, 스위치, 라우터와 네트워크 장비 모두 이러한 정책을 집행할 수 있다.

그리고 다이내믹 멀티포인트 VPN(DMVPN)의 경우, 사용자들이 GRE 터널과 IPSec 암호화와 NHRP(Next Hop Resolution Protocol)을 결합함으로써 대규모 확장 및 소형 IPSec VPN을 더욱 효과적으로 구현할 수 있게 해준다.

DMVPN은 사이트간 프로비저닝 접속 자동화와 네트워크 트래픽 패턴에 따라 접속을 설치할 수 있게 해주기 때문에 메시형의 VPN 도입을 더욱 용이하게 해준다. 규모가 큰 지사의 경우 하나의 서비스 사업자의 네트워크에 연결되어 있거나 네트워크에 특정 라우터가 구축되어 강력한 수준의 기밀성을 제공하는 서비스에 접속되어 있을 수 있다. 이러한 것에는 MPLS VPN, 프레임 릴레이, 전용 회선 서비스가 포함된다. 이러한 서비스는 암호화를 최우선으로 여길 수도, 그렇지 않을 수도 있다. 어떤 규모의 지사도 IPSec VPN 기술을 통해 인터넷으로의 접속을 안전하게 실행할 수 있다.

연동 자체도 위험 요소는 안고 있다. 언제나 각 보안 모듈은 연동 되어지는 것이 아니다. 연동은 끊어질 수도 있으며 연동으로 인한 장애 또한 발생할 수 있다. 그러나 연동은 모든 보안 모듈들을 유기적으로 결부시켜 줌으로써 하나하나 성능을 발휘할 때보다 더욱 큰 효과를 보여주게 된다.

보안 및 네트워크에서의 추세는 당분간 연동을 통해 능력을 극대화시키는 것이 추세가 될 것이다. 고객들은 연동을 통해 어떻게 자사의 시스템을 유기적으로 결부하여 능력을 끌어 올릴 것인지, 업계에서는 어떻게 하면 이런 고객들의 요구를 제대로 충족시킬 수 있는 연동 능력을 발휘할 것인지 이미 고민은 시작되었다.

‘부분의 합보다 높은 효과를 보이는 것’이 바로 연동의 목적이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.