“만명통치 보안은 없다”
코어로 이동 가속화 … ‘IPS·스위치 보안’ 인기
네트워크 주변경계의 개념이 사라져감에 따라, 2005년에 네트워크를 안전하게 지키기 위해 사용할 수 있는 가장 중요한 방안은 다단계 방어(multilayer protection)가 될 것이다. 올해는 어떤 특정 네트워크 방어책이 가장 큰 관심을 끌던간에, 전반적인 네트워크 방어 만병통치약이 아니라 이러한 특정 방안들로 여러 겹의 보안 계층을 쌓아야 한다. 하지만 어떤 선전이나 광고를 보았든간에 허위선전과 진실은 구분할 줄 알아야 한다.
보안은 이제 기업 네트워킹에 있어 너무나 중요해졌기 때문에, 몇 가지 서로 다른 노선으로 동시에 발전하고 있다. 많은 마이그레이션들처럼, 이들은 점점 늘어나는 적극적인 몰웨어 저작가들로부터 GLB(Gramm-Leach-Bliley), HIPAA, 사베인스 옥슬리 및 기타 업계 특정 규정들로부터의 압박에 이르기까지 외부로부터의 힘에 의해 자극을 받고 있다. 기능은 수동적인 것(뭔가 잘못됐을 때 알람이 울리는 것)에서부터 능동적인 것(다양한 침입과 취약성 악용 막기)으로 이동하고 있으며, 제어는 각각의 보안 기능이 하나의 독립된 섬으로 작동하던 개별적인 차원에서부터 액세스 제어 및 정책 시행 프레임워크가 서로간에, 그리고 나머지 네트워크 인프라로 연결이 되는 집중식으로 이동하고 있다.
주변경계가 사라진다
네트워크 주변경계의 개념이 사라져감에 따라, 2005년에 네트워크를 안전하게 지키기 위해 사용할 수 있는 가장 중요한 방안은 다단계 방어(multilayer protection)가 될 것이다. 올해는 어떤 특정 네트워크 방어책이 가장 큰 관심을 끌던간에, 전반적인 네트워크 방어 만병통치약이 아니라 이러한 특정 방안들로 여러 겹의 보안 계층을 쌓아야 한다.
좋은 소식은, 이러한 방안들의 대부분이 네트워크로 하여금 스스로를 방어하는 데 있어 보다 능동적인 역할을 할 수 있게 해주면서, 동시에 관리자들에게는 보다 집중식의 제어와, 보다 정밀하게 조준된 반응, 그리고 공격과 대응에 있어 어떤 일이 일어나고 있는지에 대한 더 많은 정보를 제공한다는 것이다. 하지만 이러한 약속은 가끔씩 상호경쟁을 하는 새로운 조직과 표준을 기반으로 하고 있다.
잘못된 조직이나 표준에 베팅을 할 경우 마이그레이션의 도중에 방향(과 컴포넌트)을 전환해야 할 수도 있으며, 보안 컴포넌트들이 점점 더 코어 네트워크 인프라로 통합돼 가고 있는 지금 이는 더욱 중요한 문제로 간주되고 있다.
보다 능동적으로
침입탐지시스템(Intrusion Detection System, 공격이 진행중임을 경고하는 주 소스)은 네트워크 보안 인프라의 중요한 부분들로서, 공격, 침입 및 예상치 못한 네트워크 활동에 대한 상세한 보고를 제공한다. 대부분의 기업에게 있어 IDS는 확실히 스태프들에게 가장 눈에 잘 띄는 보안 하드웨어의 핵심 부분이 되어가고 있다. IDS가 없으면 보안 직원이 직접 방화벽, 서버 및 라우터 로그 파일들로부터 포렌직 정보를 수집해야 한다.
하지만 IDS의 임무도 바뀌고 있다. 많은 IDS 업체들은 IDS가 단순히 발생한 사건에 대해 세부사항을 제공하는 데 그치지 않도록 제품을 개선하고 있다. 이제 이런 시스템은 공격을 첫 발생 지점에서부터 발생하지 않도록 막아주기도 한다. 보고 영역에서조차 IDS는 이상현상 탐지, 취약성 평가 및 포렌직 등이 IDS의 보고 가능한 사건들의 영역에 포함됨에 따라 보다 능동적인 모습을 보이고 있다.
공격과 공격 유형이 점점 더 늘어나면서, IDS가 컨텍스트와 번역의 편이를 위해 다른 네트워크 보안 컴포넌트들로부터 로그와 보고서를 상호연관시킬 수 있는 능력이 더욱 중요하게 되었다. 시스코의 NAC(Network Admission Control)나 마이크로소프트의 NAP(Network Access Protection)와 같은 것들이 가진 여러 가지 능력들 가운데는, IPS(Intrusion Prevention System)의 일부 기능을 공유하는 방화벽 및 IDS기능과 함께, 중앙 허가기관으로 제어 정보를 공급하면 여기서 접속 재설정과 어드레스 차단을 방화벽에게 지시하는 IDS 기능도 있다.
과대평가인가, 과소평가인가?
지난 해 IPS에 대한 판결은 ‘과대선전을 믿지 말라’는 것이었다. 건전한 회의는 계속 품어야 마땅하지만, 이제 IPS는 일부 네트워크에서 여러 가지 급박한 문제를 해결해 줄 수 있는 수준까지 향상됐다. 최소한 사람들이 여전히 네트워크의 안팎으로 정당한 트래픽이 드나드는 것을 원하는 한은 어떠한 IPS도 모든 공격을 막지는 못할 것이다. IPS는 공격의 소음 수준을 낮추는 툴 정도로 생각한다면 적절할 것 같다.
웹사이트가 조직의 경제를 받치는 중추적 역할을 하고 DoS 공격이나 심각한 웜 침입으로 인해 큰 영향을 받을 수 있다면, IPS로 하여금 이런 문제를 처리하도록 하는 것을 고려해야 할 때다. 다단계 보안 방안의 일환으로, IPS는 IDS, 기업용 방화벽, 데스크톱 방화벽 및 애플리케이션 방화벽에 합류해 소중한 네트워크 자산을 보호할 수 있다.
어떤 조직에서는 적법한 트래픽을 단 하나라도 차단하는 게 용납되지 않을 수도 있다. IPS는 이런 조직에게는 미흡할 것이며, 공격 트래픽의 양을 줄여줄 수 있는 증분 트래픽(incremental tool)과 함께, 체크포인트 소프트웨어(Check Point Software), 인터넷 시큐리티 시스템즈(Internet Security Systems), 루시드 시큐리티(Lucid Security), 라드웨어(Radware) 및 티핑포인트(Tipping Point) 등의 침입 방지 툴들을 찾는 사람들이 2005년에는 대폭 늘어날 전망이다.
다계층 방화벽 만들기
침입 탐지 및 방지를 위한 다단계적 접근 방안은 방화벽으로의 다계층적 방안으로 미러링된다. HIPAA 및 GLB와 같은 다양한 정부 규제들로 인해 회사에서 고객과 환자의 데이터를 절도나 침입으로부터 보호하는 게 필수 의무가 됐으며, 마찬가지로 회사에서 이러한 보호책이 마련돼 있고 효과적으로 이뤄지고 있음을 증명하는 것 또한 중요하게 됐다.
동시에 네트워크 주변경계 방화벽에는 애플리케이션 방화벽(특히 웹 애플리케이션 방화벽)이 합류해 웹 애플리케이션 뒤의 인프라와 데이터베이스를 보호한다. 네트워크 패킷을 애플리케이션 계층 콘텐츠에서 봐야 하는 성능 필요조건과 함께 규정의 특성상, 애플리케이션이 악성 명령어들로부터 보호되고, 애플리케이션 뒤의 데이터가 기업 외부로 유출되지 않도록 보장하는 것이 애플리케이션 방화벽의 필수 의무가 됐다.
2004년은 클라이언트 기반 방화벽이 기업 보안의 하나로 채택이 되던 한 해였으며, 2005년 이들은 수용되던 단계에서 기업 네트워크 접속성을 위해 시행되는 정책들 가운데 하나로 올라설 것이다. 전통적인 주변경계 밖에서는 모바일 클라이언트에 설치된 소프트웨어 방화벽이 보호를 기업의 건물 벽 밖으로까지 확장시켜서 스타벅스에서 출입증을 따서 VPN을 가로질러 네트워크 코어에서 자유롭게 돌아다닐 수 있는 몰웨어의 확산을 막아줄 수 있다.
스위치를 이용한 액세스 제어
코어 인프라 컴포넌트는 업체들이 방화벽 블레이드를 코어 스위치로 이동시키면서 보다 큰 역할을 하고 있다. 지능적인 정책을 시행하는 소프트웨어에 의해 제어되는 보안 기능의 지능적 통합은 올해의 가장 위대한 마이그레이션 가운데 하나가 될 것이다.
정책 시행 소프트웨어의 개념은 새로운 것이 아니지만, 네트워크 인프라로의 소프트웨어의 보다 강력한 통합은 전에 없던 것이다. 기업용 정책 프레임워크를 갖고 있다고 주장하는 업체들에게, 자신들의 제품이 중앙 콘솔에 의해 제어되거나 질의될 수 있도록 허용한 파트너 회사가 얼마나 되는지 물어보라.
파트너십 문제는 자체 정책과 액세스 제어 시스템을 소개한 업계 거장들이 보다 쉽게 해결해 나가야 할 것이다. 시스코시스템즈는 NAC로, 마이크로소프트는 NAP로 모두 필드에 있는 기술과 제품들을 기반으로 네트워크 제어 프레임워크를 만들고 있다. 하지만 두 회사 모두 올해 중반까지는 생산 배치가 불가능할 것 같다.
마이크로소프트와 시스코는 네트워크 보안을 제어하는 경쟁적인 계획들을 갖고 있긴 하지만, 서로의 비전에서 파트너이기도 하며, 중앙 보안 애플리케이션에 의해 지령을 받고 제어될 수 있도록 해주는 제품을 위해 보안 및 인프라 업체들 사이에서 동맹을 구축하고 있다. 이러한 것들은 장기적인 전략이며, 2005년에는 어떤 것이든 첫 발자국에 불과할 것이다.
동시에 해당 기관과 조직에서는 표준 구축 작업에 돌입했다. 내셔널 인스티튜트 포 스탠다즈 앤 테스팅(National Institute for Standards and Testing)에서는 2004년 2월 ANSI INCITS 359-2004(역할 기반 제어용)를 발표했으며, 다른 조직의 위원회들도 표준을 위한 필요조건들을 조사하기 시작했다.
네트워크가 시스코나 마이크로소프트 제품을 중심으로 구축돼 있다면, 올해는 NAC나 NAP로 파일럿 프로젝트를 시작하기 좋은 해가 될 것이다. 만약 다른 업체를 중심으로 구축돼 있다면, 어떤 프레임워크가 앞서 나갈 것인지, 혹은 이들이 서로 협동적으로 성장해가기 시작할 것인지를 연말까지는 지켜보는 게 낫겠다.
궁극적으로 표준 위원회는 프로그램과 인프라가 서로 통신을 하여 하나의 보안 엔티티를 만들어내는 방식에 대한 규정을 다룰 것이다. 마크로소프트와 시스코는 자사 고객들이 표준을 기자릴 수가 없기 때문에, 먼저 제품을 갖고 움직인 다음에 표준이 이를 따라오기를 기다리겠다는 입장이다.
인증
이러한 모든 개발은 인증에서부터 시작이 된다. 어떤 면에서 인증은 보안 세계의 지루한 의형제기도 하지만, 싱글사인온(SSO)의 열반의 세계로 세상이 한층 가까워짐에 따라 흥분할 만한 여지가 생기게 됐다. 기업 전체에 걸친 SSO와 그 수많은 모든 애플리케이션들은 2005년에는, 그리고 아마도 2006년에도 실현되지는 않을 것이다. 아직 진정으로 보편적인 단일 사인온이 되려면 부족한 게 많지만, 인증 업체들은 고객의 주장에 따라 이 방향으로 계속 일을 추진해 가고 있다.
핵심 네트워크 자산, 데이터
인프라와 컴포넌트에 대한 모든 논의들은 중요하긴 하지만 기업 네트워크의 기본적인 포인트를 놓치고 있는데, 그것은 바로 기업에서 가장 소중한 요소는 바로 인프라가 아니라 데이터라는 사실이다. 지금은 특히 효력을 발휘하는 점점 더 많은 법안과 규정들이 고객의 정보가 얼마나 소중한지를 이해하도록 강조하고 있기 때문에 이 말을 반복해 볼 필요가 있다.
HIPAA, GLB, 그리고 일군의 주 법안들은 정부의 비중을 개인 정보가 보호돼야 할 필요가 있다는 상식적인 관념 뒤에 놓이도록 만들었다. 기본적인 보호 자체도 중요하긴 하지만, 캐묻는 감사자나 변호사에 법에 따라 증거를 대기 위한 기록 보관과 감사 데이터는 네트워크 문서화의 본성에 훨씬 더 큰 변화를 가져다 주었다. 문서화를 꺼리던 기존의 낡은 컴퓨터 업계는 이제 소송 상대를 궁지에 몰아넣기 위해 새로운 영혼들에게 자리를 내주고 있다.
규정에 맞추려면 데이터는 외부의 위협으로부터 보호돼야 하며, 공격이 성공한다 하더라도 보호되는 데이터가 유출되는 일은 없어야 한다. 따라서 IDS와 IPS는 기간 데이터 유실을 막기 위해 데이터베이스와 그 지원 애플리케이션을 보호하도록 양방향으로 트래픽 흐름을 살펴야 한다.
포터블 스토리지
올해 보안 관리자의 발 아래 놓은 문제는 데이터 유출만이 아니며, 데이터를 들고 나갈 수 있는 데이터 스토리지 장비들도 또한 심각한 염려 대상이 되고 있다. 엄지손가락 만한 크기의 USB 스토리지 장비는 이제 프리젠테이션, 소프트웨어 업데이트, 혹은 작은 애플리케이션들을 사무실간에 가지고 다니는 모바일 전문가들에게 최고의 포터블 스토리지 매체로 부상하면서 플로피 디스크를 대체하고 있다. 일부 정보 보안 관료들은 소형 드라이브의 사용을 금하고 있지만, MP3 플레이어, PDA 및 카메라폰에도 비슷한 스토리지 기능이 있어 하드웨어 이용을 완전히 봉쇄하기란 시작부터 불가능한 일이다.
보다 성공적인 방안은 운영시스템을 통해 USB나 파이어와이어, 혹은 다른 외장 인터페이스를 드라이브가 부착되기 이전에 미리 기능을 억제시켜두는 것이다. 약간의 사회적 조율과 함께 호스트측 방어에 힘쓰는 게 기간 데이터 유출을 막는 데는 가장 적절한 접근법이라고 할 수 있다.
다양한 모든 마이그레이션 경로에는 기본적으로 유사한 특성이 있는데, 그것은 네트워크 보안에 대해 전통적으로 사후대체적인 입장을 취하고, 위협들이 등장하면 단순한 향후 방어를 위해 공격을 묘사하는 게 아니라 네트워크와 그 데이터를 점점 더 사전 대응적으로 보호하는 방향으로 간다는 것이다. 현재의 공격 규모와 그 엄청난 양은 네트워크로 하여금 방어에 있어 보다 능동적으로 협조할 것을 요구하고 있으며, 많은 위협에 자체적으로 대응함으로써 네트워크 보안 인력이 고도로 복잡한 침입에 집중할 수 있게 해줘야 한다.
모든 기능의 이동 경향을 볼 때 사용자와 애플리케이션 모두 네트워크 자원으로의 액세스를 제어하는 데 코어 네트워크 인프라에 더 많이 의존하게 되는 결과를 부인할 수 없다.
시스코나 엔터라시스 같은 업체들은 방화벽과 IDS 기능을 코어 스위치로 통합시켜, 보안이 전혀 별도의 제품 영역이 아니라 코어 인프라 컴포넌트에 내장된 하나의 사양에 불과하다고 이야기하는 업체가 나올 정도에 이르렀다. 침입 사건에 대응해 대역폭 셰이핑, 액세스 제어 및 명령어 통신을 기반 인프라로 이동시키는 게 효과를 거두고 있으며, 2005년에는 이러한 경향이 더욱 가속화될 것으로 전망된다.
공통적인 이동 방향
2005년의 마지막 포인트는 특정 기술이나 제품이 아니라, 이미 논의된 모든 변화를 포함하는 것으로, IDS, IPS, 정책 프레임워크, 혹은 애플리케이션 방화벽을 사용하는 곳의 이름의 변화다. 네트워크 보안 대신에 전문가들은 데이터 어슈어런스, 네트워크 어슈어런스, 혹은 심지어 비즈니스 어슈어런스에 동참해 네트워크 침입, 물리적 장애, 혹은 장비 절도로부터 정보를 보호하는 데 일조하고 있다. 보안에서 어슈어런스로의 이동은 전문가가 IDS와 방화벽에 예전처럼 포커스를 두면서 네트워크의 성능과 물리적 액세스, 그리고 장애 대응에 대해서도 염려를 한다는 것을 뜻한다.
어떤 면에서 보면 이는 보안 전문가가 네트워크 운영팀으로 들어오면서 동시에 보안 기능이 네트워크의 코어로 들어온다는 것을 의미하기도 한다. 이것은 네트워크를 안전하게 유지하고, 최소한 한 해가 더 돌아가게 하는 데 분명 도움이 될 한 쌍의 마이그레이션이다.
Quiz
1. 보안 정책 개발을 어떻게 하는가?
A) 보안 컨설턴트와 함께 정책을 수립한다.
B) 규정 요건을 따르기 위한 내부 프로세스를 갖고 있다.
C) 베스트 프랙티스를 기반으로 정책을 수립하기 위한 내부 프로세스를 갖고 있다.
D) 사람들에게 패스워드를 기록해서 모니터에 붙여두지 말라고 한다.
E) 심각한 공격이 발생할 때를 대비해 책상 서랍에 이력서 카피를 보관해 둔다.
2. 네트워크 보안을 위한 회사 정책을 가장 잘 설명한 말은?
A) 이것을 얘기해 주면 당신을 죽여야 한다.
B) 조금은 편집증적인게 좋다.
C) 사용자들에게 충분히 겁을 주고 있다고 생각한다.
D) 다른 누가 우리 네트워크를 보고 싶어 하겠는가?
E) 우리에게 네트워크가 있었나?
3. 회사에서 모바일 인력 보안을 어떻게 처리하고 있는가?
A) 2005년 3/4분기까지 정책 프레임워크로 통합될 종단지점 보안 제품들을 갖고 있다.
B) 모든 랩톱을 사무실의 데스크톱으로 잘 붙여 왔다.
C) 모든 랩톱에서 윈도 XP SP2로 업그레이드를 했다.
D) 모든 랩톱에서 윈도 95로 업그레이드를 했다.
E) 더 이상 우리 사무실이 어디에 있는지 알 수가 없다.
4. 회사에서 어떤 인증 정책을 시행하고 있는가?
A) 강력한 2요인 인증을 이용하며, 생체학적 인증을 현장 시험운용중이다.
B) 2요인 인증을 이용하고 있다.
C) 강력한 패스워드를 요구하고 있다.
D) 패스워드를 요구하고 있다.
E) 대부분의 사용자들이 실제로 사람인지를 의심하고 있다.
점수내기: A를 선택했을 때는 1점, B는 2점, C는 3점, D는 4점, E는 5점으로 계산하라.
▶ 3~5점: 외부인으로부터 받은 보안 질문에 대답하도록 허락받은 것은 확실한가?
▶ 15~17점: 매우 보안이 잘 된 상태다.
▶ 12~14점: 보안으로 가는 길 위에 있다.
▶ 9~11점: 확실히, 그것도 훨씬 더 많이 보안을 보강해야 한다.
▶ 4~9점: 키보드를 내려놓고 컴퓨터에서 천천히 떨어져라. 지금 당장.
