HIP(Host Intrusion Prevention) 제품별 평가
상태바
HIP(Host Intrusion Prevention) 제품별 평가
  • Network Computing
  • 승인 2004.07.14 00:00
  • 댓글 0
이 기사를 공유합니다

프로그램·OS 사용자 액세스 제한 … 소중한 시스템 자원 보호
주변 경계만 보지말고 “호스트를 보호하라”
수년간 회자되어 온 얘기로, 주변경계 보안만으로는 충분치 않다는 말이 있다. 순수하게 주변경계 중심적인 보안 태도는 마치 재앙이 발생하기를 기다리는 것과 마찬가지다. 이제 사전 준비적인 호스트 기반 방안이 여러 측면에서 시도되는 공격들로부터 종단지점을 어떻게 보호해줄 수 있는지 알아본다.

미국인이 세계의 다른 국가들만큼 축구를 잘 하지 못한다고 누가 말했는가. 우리는 최고의 경기는 이탈리아나 페루의 경기장에서 벌어지는 게 아니라 어린이 경기장에서 벌어지는 것이라고 생각한다. 최근 벌어졌던 가장 뜨거운 한 경기에서는 한 아이가 골문을 향해 돌진을 하고 골키퍼는 공을 바로 차들어 오는 것을 막기 위해 자리를 잡았다. 놀랍게도 이 아이는 공을 오른편으로 넘겨 동료의 이마로 차올렸으며 공은 골문으로 빨려 들어갔다. 관중석은 물론 열광의 도가니가 됐다.

기업의 보안 관리자들은 이것을 주목해야 한다. 첫 번째 실수는 공격이 방어가 가능하고 눈에 보이는 한 곳, 즉 인터넷에서만 오리라고 생각하는 데서 출발한다. 사실 공은 모든 각도에서 올 수 있으며, 공격자는 먼저 모든 창을 시도해 보고서야 대문으로 침략해 들어올 것이다. 한 가지 예를 들자면, MS SQL 슬래머(MS SQL Slammer) 웜이 침입해 들어오면 관리자는 방화벽에 있는 UDP 포트 1434로 가는 트래픽을 막으면 안전할 것이라고 생각했다. 하지만 그것은 틀린 생각이었다. 원격 랩톱 사용자가 웜을 집어서 많은 조직에 뿌렸기 때문이다.

여기서 우리는 두 번째 요지에 도달할 수 있다. 즉 여러 입구를 막아야 할 때 방어가 훨씬 더 어려워진다는 사실이다. 대부분의 큰 조직에는 수많은 방화벽과 VPN, 원격 사용자 인증 장비, IDS 센서, 안티바이러스 게이트웨이 및 데스크톱 소프트웨어 패키지들과 트래픽 쉐이퍼들이 있으며, 이로 인해 포트나 IP 어드레스 차단처럼 단순해 보이는 것도 아주 복잡한 일이 될 수 있다. 공격자는 하나의 구멍만 찾으면 들어올 수 있다.

내부 보안도 철칙

주변 경계 기반의 보안이 실패하는 이유는 더 이상 그 경계선이 확실하게 정해지지가 않기 때문이다. 무선 네트워크와 원격 사용자, 암호화된 통신, 웹서비스, 기업 스파이, 불만을 품은 직원들, 매수된 관리자들, 그리고 사회적으로 조작된 희생자들이 모두 이 곳에 접하고 있다.

그렇다고 해서 방화벽이나 게이트웨이 콘텐츠 스캐너를 제거하라는 얘기는 아니다. 다단계 방어는 정보 보안의 기본 철칙이다. 하지만 내부인의 공격에 비하면 외부인이 입히는 손실은 아무 것도 아닌 게 될 수도 있다.

방어의 최종 마지노선(종단지점들)을 가장 강력한 곳으로 만들어야 하며, 반드시 사전 대비적이 돼야 하는데, HIP (Host Intrusion Prevention)가 필요한 것도 바로 이 때문이다. 프로그램이나 사용자에게 운영시스템으로의 제한된 액세스만을 제공함으로써, HIP 제품들은 읽기, 쓰기 및 실행과 같은 기능들의 가용성을 제한할 뿐만 아니라, 포트, 파일 및 레지스트리 키와 같은 시스템 자원을 보호해 준다.

오늘날 배치된 주요 운영시스템들의 약점 가운데 한 가지는 루트, 혹은 관리자 사용자에게 너무 많은 권한이 주어진다는 점이다. 공격자가 관리자 계정으로 돌아가는 프로세스를 악용할 수 있거나, 혹은 수퍼 사용자로서의 액세스를 확보할 수 있다면, 자유자재로 시스템 전체를 주무를 수 있게 된다.

HIP가 힘을 발휘하도록 하는 데 있어 가장 큰 장애물은 정책을 정확하게 설정하는 일이다. 관계형 데이터베이스나 그룹웨어와 같은 복잡한 기업용 애플리케이션들은 크고 복잡한 정책을 필요로 하며, 한 서버에서 다음 서버로 이루어지는 미묘한 변경에도 다른 정책 파일이 요구될 수 있다. 대부분의 HIP 제품들은 정책 개발 작업을 도와주겠지만, 그래도 여전히 해야 할 만만찮은 작업들이 많다. 나아가 서비스 팩을 설치하게 되면 기존의 정책이 파괴될 수도 있다. 우리는 결코 듣기 좋은 말로 치장할 생각이 없으며, 사실상 테스트를 마치고 나자 HIP 소프트웨어 배치 작업이 고통스러운 절차라는 사실을 알 수 있었다.

그리고, 마지막으로 비용이 있다. 살펴본 HIP 제품들 가운데 가장 싼 제품이 서버당 약 1천달러를 호가한다. 게다가 이 가격에는 교육, 유지보수, 로그 분석, 그리고 정책의 개발 및 배치 비용이 제외돼 있다.

좋은 보안의 ROI

물론, 보안 창안에 대한 ROI를 계산한다는 것은 마치 화재경보기를 구입할 때 회수율을 계산한다는 것과 같은 일이다. 집에 불이 나지 않으면 돈을 낭비하는 셈이 되는가? 보안 ROI는 언제나 절감하게 될 돈의 액수를 기준으로 하는 것은 아니지만 나쁜 일이 발생했을 때 얼마를 잃게 될게 될지를 기준으로 한다.

예를 들어 비제이즈 호울세일 클럽에서는 몇 달 동안 최소 4만건의 신용카드 번호 도난사고가 발각됐다. 이런 경우에 처한 다른 회사들은 수백만 달러의 벌금을 징수 당했지만, 단순한 법적 판결보다도 더 큰 손실이 따르는 법이다. 한 주 동안 뉴스를 통해 회사의 이름이 먹칠이 되면 고객 확보에 좋지 못한 영향이 미치기 때문이다.

적어도 비에이즈는 일단 절도 사건이 해결되자 깨끗해졌다. 어떤 회사들은 보안 침해 사건을 숨기려고 애를 쓴다. 이런 사례를 없애기 위해 캘리포이나 주에서는 최근 소비자가 자신들의 프라이버시가 침해될 경우 이를 소비자가 통보받아야 한다는 법안을 만들었다. 다른 주에서도 유사한 법안을 고려하고 있으며, 통보 법안이 연방 단계에서 제정되도록 하는 운동도 추전되고 있다. 법적인 준수 여부를 넘어서, 공개적으로 망신을 당할 수 있다는 위협은 언제나 보안을 향상시키는 좋은 자극제가 된다.

HIP는 또한 운영적 관점에서도 실질적인 돈을 절약해 줄 수 있다. 조직에서 블래스터(Blaster)나 코드레드(CodeRed) 공격을 막는 데 얼마나 돈을 쓰고 있는가? HIP 제품은 최근의 자동화된 많은 웜들로부터 서버를 지켜줄 수 있을 것이다. 급박한 패치 발포로 인해 모든 것을 중단하고 비상사태로 돌입할 수밖에 없는가? HIP는 순서대로 패치를 깔게 해줌으로써 20분만에 서버 100대를 돌아다니며 시스템을 위험에서 구해낼 필요가 없다.

기술에서는 마법의 총탄이란 없다. 업체에서 아무리 뛰어나고 문제없고 빈틈없는 보안을 갖고 있다고 주장한다 하더라도 모든 것은 악용될 수 있다. 보안은 다른 누군가에게 아웃소싱을 맡길 수 있는 제품이나 서비스가 아니며, 정책에 의해 규정되는 진행 중인 하나의 프로세스다. HIP 제품들은 자산을 위한 정책을 개발하도록 강요하며, 어떤 것이 실행될 수 있는지, 이것이 무엇을 할 수 있는지, 그리고 누가 할 수 있는지를 정확히 지정하게 한다. HIP는 아마도 당신이 할 수 있는 최상의 보안 투자가 될 것이다.

가격· 사양·정책 생성 능력에서 시스코 우승 … 다단계 방어가 정보 보안의 원칙
“하나의 구멍만 찾으면 들어올 수 있다”

네 가지 HIP 제품이 패치되지 않은 우리 서버를 얼마나 잘 보호하는지 확인해 보기 위해 우리는 여기에 지저분한 코드 공세를 퍼부었으며, 테스트한 각 제품들은 우리가 던져 넣은 모든 악성 코드로부터 서버를 잘 보호해 주었다. 테스트 결과 가격과 사양, 정책 생성 능력 등이 특히 뛰어났던 시스코 제품이 정상을 차지했다.

매일같이 수백만 건의 취약성 평가 스캐닝이 이루어진다. 어떤 것들은 복잡하며 전문 공격가들에 의한 탐색자가 타깃이 되지만, 대부분은 지난 밤 언더그라운드 채팅실을 통해 공개된 다음 한건을 터뜨리고 싶은 스크립트 키디에 의해 보다 넓은 세상으로 나오게 되는 새로운 취약성들이다. 서버는 아침식사를 마치기도 전에 망가져 버릴 수 있다.

우리는 몇 군데 HIP(Host Intrusion Prevention) 제품 업체들에게 다음과 같은 간단한 전제조건을 제시했다. ‘취약할 수도 있고 그렇지 않을 수도 있는 서버들이 있습니다. 이들이 취약하지 않게 하십시오.’ 그리고 테스트를 하게 될 제품에 대해 두 가지 필요조건을 내걸었는데, 그 중 첫째는 이들이 시그니처 스캔에만 의존해서는 안된다는 것이었다. 그 이유는 시그니처가 사전 대응적이 아니라 사후 대처적이기 때문이다. 둘째, 소프트웨어는 반드시 어떤 애플리케이션과도 작동돼야 하는데(파일 서버에서 맞춤 내부 서비스, 그리고 할인점의 대형 웹 서버에 이르기까지), 그 이유는 서버에 한 가지 프로세스만 돌리를 경우는 거의 없기 때문이다.

게다가 우리는 정책을 우리가 스스로 개발할 수 있기를 원했다. 테스트에 참가를 요청한 모든 업체들이 전문가 서비스나 교육 과정을 직접적으로, 혹은 파트너를 통해 제공하고는 있지만, 진정으로 현명한 보안 관리자라면 그러한 외부 도움 없이도 기본적인 정책을 만들 수 있어야 한다. 또한 제품들이 정책 설정과 보고 및 경보를 위한 집중식 관리를 지원하기를 원했다. 각 시스템을 셋업할 때는 업체들을 랩으로 불러 도움을 받았지만 이들이 떠난 후에도 테스트는 문제없이 진행됐다.

HIP 소프트웨어 제품별 최종평가
테스트
시스코 시큐리티 에이전트 4.0.1
플랫폼 로직 앱파이어 스위트사나 스큐리티 프라이머리 리스판스 2.1컴퓨터 어쏘시에이트 e트러스트 액세스 컨트롤 5.2
보호 
정책정의(15%)
4
424
사전 정의된 정책(10%)
5
421
프로파일링(10%)
4
452.5
OS지원(5%)
3.5
4.545
관리
집중식 관리(15%)
4.5
433.5
유용성과 사양(10%)
4
342.5
보고
보고(10%)
3.5
243
경보(5%)
4
250
가격(20%)
3
4.531
총 평점(100%)
3.90
3.7
3.30
2.48
평가
B
BC+D
주) A 4.3, B 3.5, C 2.5, D 1.5, F<1.5, A~C 점수에는 그 범위에 + 혹은 -가 포함됨.
총 평균 및 비중 수치는 0-5 범위를 기준으로 한 것.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.