1. 경계 보안을 위한 지능형 라우터 및 방화벽 기술
2. 신뢰적 VPN 구성법 및 통합보안을 통한 경계 보안 구현
(이번 호)
3. 겅계 보안을 위한 효과적인 장비구성 및 정책

경계 보안 책임지는 VPN, ‘잘쓰면 약, 잘못쓰면 독’
VPN·통합보안에서 더욱 중요 … 이중화·철저한 패스워드 관리 필수

구자만
데이타크레프트코리아 시큐리티 컨설턴트
jmkoo@datacraft-korea.com

지난 호에서는 경계 보안 기술(Perimeter Defense Technology) 의 핵심인 지능형 라우터와 방화벽의 진화에 대해 살펴봤다. 이번 달에는 네트워크 경계선에서 또 하나의 경계보안을 책임지고 있는 VPN의 신뢰적 구성방법 및 통합보안 장비 하나만으로 경계(Perimeter)단을 어떻게 효과적으로 보호할 수 있는지 알아보자. <편집자>

현재 우리의 네트워크에는 여러 VPN 아키텍처가 동시에 공존하며, 자사 네트워크에 가장 알맞은 형태의 VPN솔루션을 선택해 사용하고 있다.
현재 지사-본사간, 지사-지사간의 랜 투 랜 연결에는 IPSec이 가장 널리 사용되고 있으며, 재택근무자 및 원격 접속자를 위한 원격 액세스(Remote-Access) VPN에도 아직은 IPSec이 우위에 있다. 그러나 SSL-VPN이 원격 접속자를 위한 편리한 접속을 무기로 빠르게 시장을 잠식해 오고 있으며, 아직도 L2TP 및 PPTP도 사용되고 있다.

VPN의 취약성
PPTP(Point-to-Point Tunneling Protocol)는 PPP 프레임을 IP 데이터그램(datagram)으로 캡슐화(encapsuling)해 인터넷상에서 전송하는 방법이다. 마이크로소프트에서 구현한 것이 MS-PPTP인데 윈도 운영체제에서 이를 지원하고 있다. MS-PPTP v1은 브루스 쉬네어(Bruce Schneier)에 의해 보안상 문제점이 지적됐고, v2 역시 아래의 네 가지 문제점들이 지적됐다.

1. MS-CHAP v1과 v2에서 해쉬함수를 이용한 응답(Response)이 딕셔너리 어택(Dictionray Attack)에 취약하다. V1에서 랜 매니저(LAN manager) 해쉬함수를 이용한 경우는 일반적인 딕셔너리 어택보다 더 쉽게 공격할 수 있다.
2. 컨트롤 커넥션(Control connection) 메시지 인증과 암호화를 하지 않으므로 모니터링을 통해 정보를 얻을 수 있고, 메시지 변형에도 취약하다.
3. MPPE에 사용할 키가 패스워드에 의존해 있어서 랜덤한 키값에 비해 안전도가 떨어진다.
4. 버전 롤백 어택(rollback attack)이 가능하다.
MS의 PPTP는 v1에서의 문제점을 v2에서 보완하려 했으나 과정상 복잡도가 증가했을 뿐 근본적인 해결책은 제시하지 못했다.
그 이후로 보안상 더욱 안정적인 IPSec VPN이 날개를 달았다. 그러나 IPSec VPN으로 네트워크를 구성한다 해도 보안상 취약점이 없는 것은 아니다. IPSec을 이용한 원격접속 자들에 의해 본사 및 지점 네트워크로 바이러스가 감염되는 경우를 우리는 쉽지 않게 볼 수 있다. 그에 대한 대안으로 VPN 트래픽에 대한 액세스 리스트 개념들을 접목시켜 봤지만 근본적인 대안은 아니었다. 또한 IPSec을 중복으로 구성하는 방법 및 원격사용자들이 VPN에 액세스하기 이전에 최신 안티바이러스 소프트웨어와 패치를 갖고 있는지를 검증할 수 있는 솔루션들이 나왔지만 무거운 클라이언트 프로그램들은 회사의 고객 및 업체에 큰 부담이 됐다. 또한 IPSec은 터널내의 로그가 상당히 적다. 관리자들은 “IPSec에서는 말할 수 있는 것이라고는 세션이 만들어졌다는 것 뿐”이라며 “무슨 일이 일어나고 있는지에 대한 세부 사항은 볼 수가 없다”고 불만을 토로하고 있다.
IPSec에 불만이 많던 관리자들에게 SSL VPN은 희소식이었다. 기존에 전자상거래에서만 사용되던 SSL이 원격사용자에게 제한된 애플리케이션 및 프로토콜만을 허용하는 VPN으로 발전됐기 때문이다. 또한 SSL VPN의 매력은 어디서나 웹 브라우저만 있으면 내부자원에 편리하게 접속할 수 있다는 점으로 모바일 직원들에게 큰 이점을 제공했다. 예를 들면, 호출을 받은 의사의 경우 가정용 PC나 PDA를 사용해 환자의 진료 기록에 액세스할 수 있으며, 협력 업체는 특정 애플리케이션에서 원격 접속을 필요로 하는 공동 프로젝트에 질문을 올리거나 협업할 수 있다. 또한 직원들이 인터넷 카페에서 기업용 문서나 이메일에 안전하게 액세스할 수도 있게 됐다. SSL VPN역시 취약점은 존재한다. PC방 등 외부 이목이 집중된 곳에서의 사용으로 인하여 ID 패스워드의 유출이 쉽다는 것이다. 실제로 접속할 수 있는 IP, ID, 패스워드 세 가지만 알고 있다면 유출된 정보는 어느 누가 어디서든지 해당 네트워크로의 구멍(Hole)을 만들 수 있다.
이렇듯 VPN은 수많은 취약점에 노출돼 있으며, 특히 구성상 취약점도 안고 있다. IPSec PPTP 모두 구성은 간단히 할 수 있으나 두 기술에는 모두 심각한 배치상의 한계가 있다. 어떤 것도 표준화된 NAT-T(Network Address Translation Traversal)를 제공하지 않으며 IPSec은 업체에 따른 특별한 변경 작업이 없이는 어떠한 원격 IP 어드레스 관리도 제공하지 않는 것이다. 자사 네트워크에 맞는 올바른 VPN 구성을 통해야 만이 취약한 VPN을 더욱 안전하게 사용할 수 있을 것 이다.

다음은 올바른 VPN 구성 사용을 위한 권고다.

1. SSL VPN을 이용해 원격 접속자를 인가할 때 ID, 패스워드만이 아닌 USB 토큰키 등을 이용해 접속하게 하라. 부인 방지 등 보안상 많은 이점이 있다. 이미 몇몇 장비제조사들은 이러한 기능을 제공하고 있다.
2. 부득이한 경우에는 ID, 패스워드를 LDAP 및 래디우스를 통해 관리자들이 중앙에서 관리토록 한다. 이것은 SSL 뿐만 아니라 IPSec 클라이언트 사용자들에게도 적용된다.
3. 랜 투 랜 환경에서는 PPTP, L2TP보다 IPSec을 이용해 접속하게 하고 VPN 트래픽에 대해 액세스할 수 있는 네트워크 및 자원들에 제한을 걸도록 해야 한다.

통합보안제품을 통한 경계 보안 구현
최근 하나의 플랫폼에 다양한 보안기능을 탑재한 통합보안 시스템들이 대거 출시되고 있다.
일부 신생 벤처에서 몇몇 제품들이 나와 시장을 선점하며, 고속성장을 했는데 이제는 대부분의 네트워크장비 업체 및 토종 보안 업체들까지 가세해 대부분 하나 이상의 솔루션들을 가지고 있는 것이 현실이다. 그리고 보안시스템은 단독으로 동작하기보다는 다른 기능을 갖는 보안 시스템들과 연계돼 동작할 때, 보다 많은 효과를 가져 올 수 있기 때문에 이러한 것을 장점으로 급속하게 네트워크 경계망에 퍼져가면서 고객에게 비용 절감 효과와 관리의 편리성을 확보해 주고 있다.
그러나 제일 중요한 네트워크의 경계단에 설치되기 때문에, 일괄성 없는 각 보안 모듈 별 정책은 또 다른 보안 구멍(Security-Hole)을 만들며, 공격이나 침해사고 발생시 트러블슈팅(Troubleshooting) 및 빠른 정책 변화를 가져오지 못하는 단점들을 지니고 있다.
가령 한 장비에 두세 솔루션회사의 서로 다른 보안 제품을 운용중인 박스의 경우, 웜의 유입이나, DoS에 공격당할 때, 관리자는 방화벽에서 로그를 보고 대응을 취해야 할지 아니면 IPS나 IDS의 로그를 봐야 하는지 또는 바이러스 월의 로그를 봐야 하는지 처음에 혼란을 가져올 것이다. 모니터링과 1차 대응에 신속한 조치를 취하지 못할 것임을 의미한다. 모든 로그의 분석 후 조치를 취할 시기에는 이미 내부자원들은 오염된 후이거나, 정보를 손실하고 난 이후가 될 것이다.
그리고 자사의 모든 보안 솔루션이 하나의 박스에 집약돼 있는 동일 벤더 통합 보안솔루션의 경우에는 이와 같은 케이스는 줄어들 수 있으나, 가령 IPS 기능의 장애로 라우팅 기능 및 방화벽 기능을 제대로 수행하지 못하게 되는 경계선 네트워크에 커다란 장애위협의 하나로 존재할 수 있는 것이다.
역시 통합보안솔루션을 위한 최적의 구성 및 정책방향을 아래에 추천한다.

1. 통합보안 시스템의 모든 모듈 및 장비는 이중화하라.
→ 하나의 애플리케이션 장애가 경계 네트워크를 즉시 마비시킬 수 있을지도 모른다.
2. 모든 보안 모듈의 로그는 별도로 관리하라.
→ 통합보안장비에는 여러 시스템 로그가 동시에 쌓이기 때문에 기존 장비들의 로그 사이즈로 예상해서는 안 된다. 하루에도 수기가씩의 데이터가 생성될 수도 있다. 별도로 로그서버를 운영해 로그의 풀로 인해 장비의 다운타임을 사전에 예방해야 한다.
3. 가능하면 ESM(Enterprise Security Management)으로 통합 운용하라.
→ ESM을 제공하는 통합보안 솔루션도 있지만 그렇지 못한 장비들은 고가의 ESM도입을 주저하게 될 것이다. 그러나 신속한 정책 반영을 위해서는 가능하면 ESM의 도입을 권고한다.
4. 링크 이중화를 하라.
→ 하나의 장비에서 L4없이 모든 기능을 수행할 수 있기 때문에 링크 리던던시에 소홀할 수 있다. 대부분의 장비에서는 링크 및 인터페이스 리던던시가 지원되므로 꼭 구성해 사용할 것을 권고한다.
이번 호에는 경계보안의 또 다른 축인 VPN 및 통합보안 솔루션에서의 효과적인 방어 전략에 대해 알아봤다. 다음 호에는 진정한 보안 네트워크를 만들기 위한 여러 구성 방법 및 정책들을 알아 볼 것이다. 다시 한번 강조하지만 경계 보안은 네트워크 보안의 가장 중요한 기초다.