지난달 열렸던 2004년 아테네의 하계 올림픽에서 유명한 운동선수들이 세계의 무대에서 경합을 벌였지만, 실제로 사람들의 눈에 드러나지 않는 IT 보안팀은 조용히 그들만의 재시합을 준비했었다.

올림픽 IRT(Incident Response Team)에서는 수천 개의 경고가 동계올림픽 네트워크를 폭파시켰던 솔트레이크시티의 2002년 동계 올림픽 게임 동안에 처리했던 수많은 허위 경보들에 대한 복수를 벼르고 있다. 이번에 IRT는 자동으로 경보를 필터링 및 상호연관하는 규정과 보안 툴을 이용해 보다 강력하고 사전 대응적인 방어를 갖추었다. IRT는 이 새로운 전략이 패스워드를 잊어버리는 것과 같은 어리석은 사고들로 인해 나오는 허위 경보를 가라앉히는 것보다는 실질적인 위협에 집중할 수 있도록 해줄 것으로 기대하고 있다.
2004년 아테네 올림픽, 2006년 이탈리아 튜어리노 동계 올림픽, 그리고 2008년 베이징 하계 올림픽 공식 지정 시스템 통합업체인 아토스 오리진(Atos Origin)의 CTO인 클라우스 필립스는 “솔트레이크시티에서는 어떤 경보가 타당하고 어떤 것이 그렇지 않은지를 거를 수 있게 도와주는 툴이 없었다”고 말했다. 올해 초 아토스는 처음 IOC(International Olympic Committee)와 접촉을 시도하고 2002년 동계 올림픽에서 통합업체로 일한 슈럼버거 네트워크 솔루션즈(Schlumberger Network Solutions)를 인수했다.
아테네 올림픽 게임에서 백본 네트워크는 2002년 동계 올림픽 네트워크의 세 배 규모다. 900개 가량의 윈도 2000 및 유닉스 서버와 2천500개의 네트워크 장비들이 있는 이 거대한 IP 백본은 침입을 시도할 수 있는 큰 타깃이기도 하며, 수상쩍은 행동으로 인해 트리거링되는 경보의 수가 엄청나게 늘어날 수 있다.
부하를 관리하기 위해 IT팀에서는 컴퓨터 어쏘이에이츠(Computer Associates)의 e트러스트 시큐리티 커맨드 센터(eTrust Security Command Center)를 구입했는데, 이것은 경보 수집 프로세스를 자동화해준다. e트러스트는 서로 다른 툴들로부터 실시간으로 보안 및 시스템 데이터를 수집한 다음, 경보를 필터링, 수집 및 상호연관시킨다. 필립스는 약 20만개의 경보가 올림픽 기간동안 울리게 될 것으로 예측하고 있다.
하계 올림픽 네트워크의 정보 보안 매니저인 얀 노블롯은 “우리가 받는 로그를 처리하는 데 있어 더 많은 지능이 필요했다”며, “정보 보안의 양이 더 많았다면 과부하 상태가 됐을 것”이라고 말했다.

공격을 차단하라
과거의 올림픽 게임에서처럼 올림픽 IT 보안팀은 155Mbps 소넷 SDH와 기가비트 백본을 외부 트래픽에 폐쇄시킴으로써 공격의 위험을 최소화했다. 인터넷 트래픽은 백본에 들어올 수 없으며, 심지어 인터넷 이메일도 출입이 금지된다. 네트워크 사용자들은 비자 발급과 유사한 엄격한 허가 절차를 거쳐야 하며, 분리된 단방향 접속을 이용해 인터넷에서 이메일을 보내는 것만 가능하다. 노블롯은 “몇 개 계층의 방화벽이 있으며, IDS도 있기 때문에 인터넷 상의 침입자가 들어올 수가 없다”며, “가능한 한 노출을 줄이려 노력했다”고 강조했다.
네트워크는 8개의 가상랜(virtual LAN)으로 분할되는데, 이들 각각에는 고유의 보안 정책과 시스템이 포함돼 있다. 하나의 가상랜이 공격 당하면 팀은 이것을 격리시키고 나머지 것들을 보호할 수 있다. 보안 팀은 또한 1만대의 워크스테이션을 설치하기 전에 여기서 쓸모없는 하드웨어를 제거시키는 별도의 단계를 거치는 세심함을 보이기도 했다. “워크스테이션에서 CD-롬 드라이브나 USP가 필요치 않을 경우에는 이들을 제거시켰다”고 노블릿은 말했다.
NBC 방송국과 같이 아테네 올림픽을 중계하는 주요 언론사들은 자체 랜과 인터넷 액세스를 가져다 놓고 있다. 올림픽의 백본은 게임 관리, 현장 경기 결과, 정보 유포 및 매체 등과 같은 핵심 IOC 애플리케이션들을 지원한다.

보안 수준 최고로 강화
방화벽 스캔과 서비스 거부(Denial of Service) 공격은 2002년 동계 올림픽에서 큰 보안 위협이 됐다. 올해 보안 팀에서는 공격자들이 윈도에서 RPC(Remote Procedure Call) 등과 같은 운영시스템 취약성을 악용하려는 시도를 할 것으로 예상하고 있다.
노블롯은 세부 사항들은 공개할 수 없지만 그 팀에서는 지난 몇 달간 RFC 공격에 대비해 윈도 2000 운영시스템 세팅을 패칭, 혹은 변경하고, 이들의 보안 수준을 최고로 강화시켰다고 말했다. 그리고 그는 또 게임 기간 동안에 IRT에서는 자동화된 취약성 관리 툴인 컴퓨터 어쏘시에이츠의 e트러스트 eVM을 사용해 어떤 워크스테이션으로든 일관성 있게 액세스해서 이들을 치료할 것이라고 덧붙였다.
한편, 올림픽 팀에서는 SIM(Security Infor mation Manager)이라고 부르는 e트러스트 시큐리티 커맨드 센터 툴은 노블릿과 그의 팀이 정한 ‘정상적인(normal)’ 네트워크 행동 규정을 이용해 허위 경보를 필터링하고, 잠재 침입자의 IP 어드레스를 추적하며, 중복 경보를 수집할 것이다.
커맨드 센터 툴의 상호연관 기능은 특히 매우 강력하다. 노블릿은 “시스템 할당 우선순위를 도와주는 규정을 만들었다”며, “누군가가 로그아웃을 한 지 몇 분 지나 50킬로미터 떨어진 곳에서 로그온을 하는 것을 툴이 목격한다면 우리는 이것을 수상쩍은 행동으로 간주한다”고 말했다.
하지만 툴이 경보에 자동으로 대응해주는 것은 아니며, 이것은 IRT의 몫이다. 그리고 이 점이 바로 노블릿이 이 툴을 좋아하는 이유기도 하다. 그는 “올림픽 기간동안의 텔레비전 그래픽은 실시간으로 우리로부터 나가는 정보”라며, “IDS가 방화벽에게 연결을 폐쇄시키라고 말하는 사태가 생기는 것은 원치 않을 것이다. 이로 인해 텔레비전 송신이 중단될 수도 있기 때문이다. SIM 툴은 확실하고 관련이 있으며 심각한 정보를 우리에게 보고하기 위해 존재하긴 하지만, 실제 사람을 거쳐서 행동해야 한다”고 단언했다.
올림픽팀은 지난 8월부터 전체 네트워크 인프라를 테스트하기 시작했으며, 아토스 섀도 팀이 다양한 갑작스런 ‘공격’을 내보내는 몇 번의 기술적인 시험 단계를 거쳤다. 이 테스트를 통해 IRT에서는 보안 대응을 연습해볼 뿐만 아니라 필요에 따라 SIM 규정을 조정해보는 기회를 가질 수 있었다. 솔트레이크시티 게임 기간 동안 사용됐던 툴과는 달리, 이 새로운 툴은 관리 로케이션으로부터 언제 행동이 시작되는지를 알기 때문에, 허위 경보를 울리지 않는다. 그리고 진짜 경보에 대해서는 팀에게 특정 정보를 신속하게 제공한다.
올림픽 IT팀에서 네트워크용으로 마련한 극도의 보안 정책에도 불구하고, 여전히 백본을 완전히 깨끗이 유지할 수 있는 방법은 없다. 노블롯은 “어떤 일도 발생할 수 없다고 믿을 만큼 어리석지는 않다”며, “모든 것을 모니터링하고 준비를 해왔다. 올림픽 경기 기간이 나에게는 가장 지루한 시간이 되기를 바란다”는 소망을 밝혔다.

The Hard Sell
2004년 아테네 올림픽을 둘러싸고 민감한 물리적 보안 및 사이버 보안 문제들이 있긴 하지만, 아토스 오리진 IT 조직에서는 아테네 올림픽 조직위원회에게 네트워크 경보 툴 자동화에 투자할 가치가 있다는 사실을 확신시켜야 했다.
IT팀의 주요 논거는 2002년 솔트레이크시티 동계 올림픽 보안팀을 거의 꼼짝 못하게 했던 경보의 홍수들에 대한 기억이었다. 하계 올림픽의 CTO를 맡은 클라우드 필립스와 그의 팀은 솔트레이크 시티 게임의 경험을 훨씬 더 큰 아테네 올림픽에서 자동화가 왜 그렇게 중요한지를 설명하는 케이스 스터디로 사용했다.
필립스는 “비즈니스 케이스를 만든 다음 올림픽 위원회로부터 재정지원 승인을 받아야 했다”고 말했다.
필립스와 그의 팀은 지출된 액수는 밝히지 않았지만 툴을 위한 자금을 지원받았다. 필립스는 “가능한 한 올림픽 게임에서 보안을 향상시키고자 하는 아테네 위원회의 강력한 의지덕분에, 일단 예산이 세워지자 위원회의 승인을 받는 일은 아주 수월하게 이뤄졌다”고 회상했다.
그런 다음 IT 팀에서는 필요한 공식적인 RFP 프로세스를 거쳐 컴퓨터 어쏘시에이츠의 e트러스트 시큐리티 커맨드 센터로 결정했다. 이것은 서로 다른 툴로부터 보안 및 시스템 데이터를 실시간으로 수집한 다음 이들을 필터링, 집합 및 상호연관시킨다. 하계 올림픽 경기의 정보 보안 매니저인 얀 노블롯은 “그 전에 우리는 상당한 필터링 및 집합 작업을 하고 있었다”고 말했다.
이 모든 것은 우선순위에 대한 것이다. 노블롯은 “시스템에 실패하는 액세스를 시도하고 있는 사람을 포착한다면 그 사람의 IP 어드레스를 볼 수 있다”며, “인포메이션 테크놀로지 센터에서 비롯된 것이면 이는 그 곳의 시스템 관리자의 것이며, 다른 어딘가에서 온다면 수상쩍은 것”이라고 말했다.

올림픽 IT 보안 팀은 155Mbps 소넷 SDH와 기가비트 백본을 외부 트래픽에게는 폐쇄된 상태로 유지하고 있다. 인터넷 트래픽은 올림픽 백본으로 들어갈 수 없으며, 심지어 인터넷 이메일도 올림픽 이메일 시스템에 출입이 금지된다. 사용자는 별도의 단방향 접속을 이용해 인터넷으로 이메일을 보낼 수 있다.