적합한 제품들 ‘적절한 조합 이용해야’… 보호할 자산과 위험 평가가 우선
넘쳐나는 보안 선전물로 고통을 받고 있는가? 코어에서 주변까지 네트워크를 보안하는 일에는 적절한 제품들 조합을 찾는 일이 포함된다는 사실을 기억하라.
봇물처럼 쏟아져 나오는 새로운 보안 제품들은 스팸에서 웜까지 모든 악을 처단해준다고 약속하고 있다. 하지만 IT 보안 영역이 우후죽순처럼 자라고 있다고 해도 대부분의 제품들은 진화하고 있거나 새로운 기능을 추가하고 있거나, 혹은 기존의 개념을 새 외관으로 꾸며놓았을 뿐이다.
한편 업계 분석가, 업체, 스스로 전문가라고 주장하는 사람들, 그리고 심지어 주요 뉴스 방송국들까지도 집중 포격을 해대고 있다. 데스크톱에서 윈도를 떼어내고 맥이나 리눅스로 가는 걸 정말 고려해야 할까? 이들 OS가 정말 안전할까? IDS(Intrusion Detection System)를 사야 할까, 아니면 더 많은 부서용 방화벽을 사서 타깃 장소들에 배치를 해야 할까? 방화벽을 지금 사야 할까, 아니면 디프 패킷 인스펙션(Deep Packet Inspection) 방화벽(그 이름이 무엇이든)이 시장에 나올 때까지 기다려야 할까?
업체들의 판촉물을 훑어본다고 해서 대답을 찾을 수는 없을 것이다. 물론 차세대 방화벽인 디프 패킷 인스펙션이 패킷 내용물을 기반으로 결정을 내린다는 사실은 알게 될 것이다. 그러나 이런 기능이 수년 다기능 제품들(다시 돌아오고 있는), 그리고 네트워크 IPS(Intrusion Prevention Systems)를 구성하는 IDS인 애플리케이션 프록시 방화벽의 형태로 존재해 왔다는 사실은 말해주지 않을 것이다. 능동적인 대응으로 네트워크 공격을 중단시켜줄 마법의 총탄은 찾지 못할 것인데, 그 이유는 업체들이 이것을 제공할 수가 없기 때문이다. 이들의 방어책은 허가받은 것을 허용하는 데 기반하는 게 아니라 알려진 것을 막는 데 있기 때문에 잘못된 위치에 있다.
결론은 네트워크의 내부와 외부 모두에, 호스트에서 데스크톱에서 주변 장비들에 이르기까지 보호를 가져다줄 제품들의 적절한 조합을 찾아야 한다는 것이다. 그리고 효율적으로 이행하고 관리할 수 있는 좋은 패칭 전략이 필요하다. 무엇보다도 보안 계획은 비즈니스를 방해해서는 결코 안 된다. 이 계획이 회사의 주 업무를 방해한다면 보안 방안이 채택되게 하는 데 힘든 전쟁을 치러야 할 것이다.
보안 기술은 이것이 회사의 특정 요구에 맞아 떨어져서 2004년과 향후에까지 내부적으로 보안 전략을 납득시킬 수 있을 때 포함시켜야 한다.
내부 방화벽
내부 방화벽을 가로지르는 트래픽은 어떤 것이든 방해를 받지 않고 다닌다. 지난 해 SQL 슬래머(Slammer)나 웰치아(Welchia)와 같은 웜 공격들은 내부 방화벽이 얼마나 취약한지를 여실히 보여주었다. 경계선을 막아놓는다고 해도 내부 방화벽에 감염된 랩톱이 하나만 연결돼 있으면 파괴가 된다.
방화벽, 안티바이러스, VPN, 호스트 IDS(HIDS) 및 호스트 취약성 평가 제품들 등 여러 개의 대행자들을 묶어 놓은 통합 스위트가 필요하다고 믿을 수도 있겠지만, 많은 경우 이들은 그렇지가 못하다. 물론 데스크톱 방화벽은 VPN 클라이언트가 적절히 기능하게 해주어야 하고 HIDS는 방화벽에 방해받지 않고 호스트에서의 활동을 볼 수 있어야 한다. 그러나 예를 들어 방화벽, VPN 및 HIDS 등은 모두가 IP 스택을 감시하거나 간섭하려 하기 때문에 대부분의 경우 이들을 이행할 때 문제가 발생하게 된다.
통합보다 더 중요한 것은 모바일 컴퓨터가 VPN을 통해 내부 네트워크로 접속했을 때, 혹은 네트워크 접속이 끊긴 후 직접 연결되었을 때 제품이 돌아가고 최신 상태에 있는가다. 네트워크 방화벽을 통해 네트워크로 들어올 길이 없는 웜들은 모바일 사용자에 의해 들어와졌다. 패칭된 모바일 시스템이 최신 안티바이러스 소프트웨어를 사용하고 있었다면, 그리고 데스크톱 방화벽이 적절히 제어되었다면 웜은 전파되지 않았을 것이다.
이것을 모두 해준다고 주장하는 제품들은 조심해야 한다. 범용 다기능 제품들보다는 스탠드얼론 제품들이 더 강력하고 철저한 경향이 있다. 그리고 여러 개의 스탠드얼론 제품들로 필요한 솔루션을 선택 및 이행할 수 있다. 최근 자매지인 시큐어 엔터프라이즈(Secure Enterprise)에서 실시한 독자 설문조사에 따르면, 응답자의 11%만이 보안을 위해 한 업체만 이용하고 있다고 말했으며 나머지는 BoB(Best of Breed) 방식을 채택하고 있었다.
전통적인 네트워크 보호가 침입자를 경계로부터 멀리 떨어뜨려놓는 것이긴 하지만 대부분의 공격과 정면에서 맞닥뜨리는 것은 호스트다. 방화벽도 중요하지만
이들은 컴퓨터 안에서 어떤 일이 발생하고 있는지에 대해서는 아무 것도 알려주지 않는다. 시스코 시큐리티 에이전트(Cisco Security Agent)나 네트워크 어쏘시에이츠 엔터셉트(Network Associates Entercept), 그리고 컴퓨터 어쏘시에이트 이트러스트 액세스 컨트롤(Computer Associates eTrust Access Control) 등의 HIP(Host Intrusion Prevention) 제품들은 애플리케이션이나 사용자에 의한 시스템 자원으로의 액세스를 제어함으로써 방화벽 기술 이상의 것들을 제공한다.
불행히도 데스크톱에서 실행될 수 있게 만들어진 것은 모든 구성 툴을 완비한 시스코 시큐리티 에이전트뿐이다. HIP 제품들의 또 한 가지 단점은 데이터베이스가 SQL 질의를 실행하지 못하게 해 테이블을 유실시키거나 사용자를 추가시키는 등의 악성 이행을 애플리케이션이 하지 못하게 막아주는 제품들이 거의 없다는 점이다.
HIP 제품은 시스템을 폐쇄시키기 때문에 방어되는 시스템이나 애플리케이션을 패칭할 때는 HIP 변경과 액세스 제어 정책의 업데이팅을 포함시키도록 어떠한 변화 제어 프로세스든 바꿀 필요가 있다. 또한 일상 비즈니스 애플리케이션들이 너무 복잡하기 때문에 호스트 보안 제품은 정상적인 애플리케이션 작동과 이것을 강화하는 방식을 학습해야 한다.
데스크톱 방화벽
그 다음 방어선은 데스크톱이다. 여기에 데이터가 있다면 이 곳에 방어가 집중돼야 하지 않겠는가? 원격 사용자용의 데스크톱 방화벽을 배치하지 않았다면 이것을 최우선으로 하라. 적절히 구성된 데스크톱 방화벽은 외부 사용자로부터의 공격을 막아주며 웜 코드가 네트워크 자원에 액세스하는 것을 방지함으로써 웜과의 전쟁에서 효과적인 수단이 된다.
데스크톱 방화벽이 효과적이 되려면 침입자를 들어오지 못하게 하고 호 애플리케이션과 띄워진 어떠한 모듈이든 네트워크 액세스를 제한해야 한다. 예를 들어 ACL(Access Control List)은 모든 프로그램이 TCP 포트 25를 알지 못하게 함으로써 이메일 웜을 확산시키는 흔한 수단 하나를 무용화시킨다.
그러나 네트워크 액세스 제어는 완벽하지 못하다. 애플리케이션이 네트워크에 액세스할 수 있는지 여부를 묻는 대화창이 언제나 사용자에게 결정을 내릴 수 있을 만한 충분한 정보를 제공해주는 것은 아니며, 액세스를 허용하고 싶어하는 게 인간의 본성이다. 데스크톱 방화벽 배치에 대해 생각 중이라면 정책을 집중적으로 구성 및 시행할 수 있는지를 먼저 확인해야 한다.
분명 데스크톱 전장은 가장 큰 규모의 회사 개발자들의 마음에 남아 있다. 2003년 가트너 가을 심포지움에서 마이크로소프트 CEO인 스티브 발머는 윈도 XP와 윈도 2003에 포함될 계획인 기술들을 설명하면서 이 기술이 컴퓨터의 검사를 허용해주고 분산 방화벽을 통해 취약한 시스템을 보호해줄 것이라고 말했다. 그러나 마이크로소프트가 지원되는 모든 윈도 버전에 이러한 보호를 추가할 계획이 아니라면 ISS, 씨게이트, 존알람 등 업체들의 데스크톱 방화벽 산업은 계속 살아남을 수 있을 것이다.
핵심 데이터센터를 중심으로 한 강력한 보호 정책과 함께 경계선 보호도 또한 중요한 역할을 한다. 그러나 안티바이러스, 콘텐츠 검사, 침입 탐지 및 침입 방지 방안들은 모두가 사후 대응적인 기술을 이용하고 있다. 즉 위협이 존재한다는 신호가 없으면 문제를 알아차리지 못한다. 경계선에서 불쾌한 트래픽을 막는 데만 의존하는 조직들은 손실을 입을 수 밖에 없다(장기판에서 졸만 가지고 왕을 보호하는 것과 마찬가지다).
하지만 경계선은 최초의 공격 지점이기 때문에 여기에도 또한 전략을 갖기는 해야 한다. 적절한 제품을 선택하기 위해서는 일단 트래픽이 경계선을 통과하면 이것이 어디서 끝나는 지를 알아야 한다. 모든 트래픽이 하나의 네트워크 접속을 통해 인터넷으로 흘러가는 소규모 네트워크에서는 다기능 방화벽이 좋을 것이며 이는 특히 IT 지원이 거의 없는 곳에서 더욱 그러하다. 이런 제품은 사용이 간편하지만 제한적이다. 예를 들어 이메일 바이러스 저검을 위해 방화벽을 사용하고 있고 이메일 서버가 네트워크의 신용 편에 속에 있다면 한 사람의 내부 사용자에서 다른 사람에게 보내지는 이메일은 점검되지 않을 것이다. 이메일 서버에는 안티바이러스 소프트웨어가 있어야 한다.
보다 복잡한 네트워크용으로는 웹 서비스 필터링이나 네트워크 침입 방지 등과 같은 경계 보호를 특정 장비에 사용해야 한다. 공격은 데이터 주도식이 되고 있고 SOAP(Simple Object Access Protocol)이나 XML-RPC(Extensible Markup Language Remote Procedure Coll) 등과 같은 프로토콜이 널리 퍼지고 있기 때문에 전통적인 경계 장비들은 지탱하기가 힘들어지고 있다. 이런 프로토콜을 사용하는 데는 시스템 자원이 추가로 필요하며, 이로 인해 성능 장애가 발생할 수도 있다. 전용 보안 장비들이 경계선과 그 내부 모두에서 보다 나은 성능을 가져다줄 것이다.
네트워크 침입 방지(IPS) 제품들은 지금은 매우 유망해 보이지만 과대선전을 믿어서는 안 된다. 이런 경계선 제품들은 이들을 이끄는 서명(signature) 만큼만 좋고 뒤떨어지지 않는다. 이들은 침입 탐지 제품들보다 훨씬 더 많은 주의와 피딩이 필요한데 그 이유는 어떤 공격을 어떻게 차단할 것인지를 자신이 직접 알아내야 하기 때문이다.
IPS 제품들은 또한 설치하고 잊어버릴 수 있는 게 아니라 적법한 트래픽이 차단되고 있지는 않은지를 확인해야 한다. 표준을 다루는 많은 문서들이 프로토콜 사양에 대해서는 모호하게 처리하고 있기 때문에 개발업체에 따라 같은 표준이라도 다르게 이행될 수 있기 때문이다. 따라서 적법한 트래픽이라 하더라도 제품들이 주어진 사양을 따르지 않거나 혹은 IDS/IPS 경보를 트리거링하지 않을 수도 있다. IPS로의 이동은 조직에서 처음 IDS 배치를 하고 있거나 기존의 IDS 배치를 교체하고자 할 경우에만 효과가 있다.
