경계 보안 기술 - 3. 경계 보안을 위한 효과적인 장비구성 및 정책

네트워크 경계선 보안은 ‘기본’

방화벽 정책·AES 암호화 등 활용 … 경계보안 강화 ‘필수’

연·재·순·서

1. 경계 보안을 위한 지능형 라우터 및 방화벽 기술
2. 신뢰적 VPN 구성법 및 통합보안을 통한 경계 보안 구현
3. 경계 보안을 위한 효과적인 장비구성 및 정책(이번 호)

구자만
데이타크레프트코리아 시큐리티 컨설턴트
jmkoo@datacraft-korea.com

지난달까지 2회에 걸쳐 경계 보안 기술(Perimeter Defense Technology)을 구성하는 각종 디바이스들의 진화되는 모습을 살펴봤다. 라우터 및 스위치는 보안이라는 옷을 입기 시작했으며, 이미 그 옷을 입고 거리를 활보하고 있는 중이다. 패션에 앞서가는 사람들만이 유행에 민감하듯, 보안에 지속적인 관심을 가지고 있는 관리자들은 라우터에 보안 모듈들을 올리고, 설정을 하며, 미래에 닥칠지도 모르는 ‘위협’들에 대해 경계단에서 만반의 준비를 해놓고 있는 것이다. 또 방화벽은 보다 진화된 딥 인스펙션(Deep Inspection)을 통해 일부 IPS기능까지 수행하고 있다.
원격 접속용 VPN은 IPSEC에서 SSL로 이동 중이며, 이러한 모든 솔루션을 원박스에 통합( Integration)하는 등의 여러 그림들이 현재 엔터프라이즈망 및 ISP망의 경계단에서 다양한 모습으로 보여주고 있다. 이번호에는 경계 보안을 위한 최적의 장비구성 방법 및 효과적인 정책들을 살펴보자. <편집자>

외산 방화벽에서 불기 시작한 레이어 4 스위치 없는 이중화 알고리즘들이 현재는 일부 국산방화벽에서도 기능을 추가해 시장에 내놓고 있다. VRRP 기술을 시작으로 HA에서 로드밸런싱 기술로 넘어가던 것이 각 벤더 나름대로의 해쉬 알고리즘기술로 로드밸런싱 기능을 충분히 소화해내고 있다. 그렇다면 FWLB(Firewall load balancing)를 무기로 내세웠던 레이어 4 스위치 장비 업체들의 수익구조는 나빠졌어야 했다. 그러나 FWLB를 위한 레이어 4 스위치 장비는 꾸준히 판매되고 있다. 오히려 L7까지 레이어를 올리면서 로드밸런싱 외에 보안역할까지 수행하면서 보안시장의 다크호스로 자리매김도 하고 있다.

효과적인 방화벽 구성방법
방화벽 자체 로드밸런싱 기술이 문제는 없을까? 검증되지 않은 해쉬기술은 도입초기에 정말 많은 문제들을 일으켰다. 그리고 안정화에 수많은 시간이 소요됐다. 레이어 4 스위치가 아직까지 많이 판매되고 있는 이유이다. 뒤늦게 뛰어든 국산방화벽의 안정성 역시 많은 문제들을 일으켰었다. 벌써 방화벽 자체 로드밸런싱 기술의 시초인 IP 클러스트링(Clustering) 기술이 시장에 선보인 지 3년이 지났다. IP 클러스트링 기술 역시 많이 안정화됐고, 컨설팅 시에 많이 주저하던 구성방법도 이제는 자신 있게 L4 없이 구성을 추천(Recommend)할 수 있게 됐다. 일률적으로 같은 모양의 그림이던 경계단의 방화벽 구성도가 어떤 기술을 수용하느냐에 따라 각기 다른 모습으로 경계선을 책임지고 있다.

보안을 더욱 강화하는 방화벽 정책
아무리 퍼포먼스가 뛰어난 방화벽을 도입하더라도 정책을 바로 세우지 않는 한 구멍(Hole)은 무수히 생기는 법이다. 또한 모든 정책이 훌륭하다 하더라도 하나의 잘못된 정책으로 인해 기업 및 서비스 네트워크는 내외부의 위협으로부터 자유로울 수 없을 것이다. 보안 컨설팅, 안전진단 및 취약성 분석들을 받아 보면, 항상 방화벽의 룰 설정 및 시스템 설정은 지적을 받는다. 그만큼 제대로 된 룰을 설정하기가 매우 어렵단 얘기다. 룰의 트랜드 또한 위협의 변화에 맞춰 변해가야 하기 때문에 관리자들은 자기 내부 네트워크 자원들을 잘 이해하고 위협들이 어떻게 변화하고 있는지 꾸준한 모니터링으로 보안을 강화해 내야 할 것이다.
왼쪽의 설정들은 기본적으로 방화벽에서 갖춰져야 할 룰이다.

보안을 위한 라우터 설정 예
1. 관리권한의 분리
기업들은 ‘라우터가 라우팅하는’ 방법과 전용 어플라이언스를 도입해 특정 업무를 실행하도록 하는 데에 대해 철학적이며 조직적인 이유를 갖고 있다. 너무나 많은 사람들이 추가 업무를 라우터에 부여하기 위해 라우터 구성에 대해 손을 대고 그로 인해 패킷을 전송하는 고유한 기능을 위협할까 우려하고 있다. 이때는 ‘역할 기반(Role-Based) CLI’로 권한을 분리해야 한다.
이 기능은 다양한 관리자의 역할에 대해 라우터 성능에 대한 액세스를 나눠놓았기 때문에 네트워크 보안 관리자들은 보안 구성에만 액세스할 수가 있고 라우팅 테이블에는 접근할 수 없다. 이러한 액세스 분리 기능은 구성의 실수를 줄여주고 개별 라우팅의 무결성을 보장하며 관리 도메인을 분리하도록 함으로써 보안 성능을 유지할 수 있게 해준다.

2. CAR(Committed access Rate) 이용
CAR는 레이트 필터링(rate filtering)이라고도 하며, 일정 시간 동안 정의한 트래픽양을 초과해 라우터로 유입되는 패킷을 제한함으로써 부가적으로 필요한 대역폭을 어느 수준 이상으로 확보할 수 있고 또한 CoS(Classes of Service)등을 적용하여 패킷을 클래스별로 구분하고 이를 적절한 QoS에 적용할 수 있다. 이를 응용하여 불필요한 트래픽을 제한하며 대표적으로 최근 문제가 되고 있는 UDP, ICMP 트래픽이나 SYN 패킷량을 제어할 수 있다.
<그림 5>의 예는 UDP, ICMP, 그리고 SYN 패킷에 대해 각각 CAR를 설정하는 것으로 UDP는SQL 웜에 대한 DOS 공격성 플루딩, ICMP는 월치아 웜, 그리고 SYN은 헬프 오픈(half-open) 공격에 대한 각각의 방어 설정이다.
한계 대역폭은 ‘show interface rate-limit’ 명령을 사용해 확인된 것과 한도를 넘은(exceed) 것을 확인해 적정한 수준으로 조정해야 한다. 공격이 발생되기 이전에 정상 상태에서의 각 패킷들의 양을 측정해 사용하는 것이 이상적이지만 한계(rate limit)를 ‘적정한’ 수준으로 정의한다는 것은 매우 힘들다. 예를 들어 FTP서버에서 사용되는 SYN 패킷의 수보다 웹 서버에서 사용되는 SYN 패킷의 수가 훨씬 많다. 즉, 어플리케이션 마다 정의 해야 하는 비율이 틀리고 이에 따라 정상 트래픽 또한 CAR에 의해 차단될 수도 있음을 인지해야 한다 하지만 CAR를 이용해 공격 트래픽을 제한함으로써 다른 서비스를 위한 대역폭을 확보할 수 있다는 점은 분명하다.

3. PBR(Policy Based Routing) 이용 웜 방지
PBR은 관리자가 원하는 루트로 패킷을 보내기 위한 라우팅 정책을 실현하기 위해 고안된 방법으로 액세스 리스트와 패킷의 길이, 인풋 인터페이스(input interface)에 기반을 두고 패킷을 분류하고 분류된 패킷에 대해서 적절한 정책을 부가하는 방식이다.
아래의 예는 나치/웰치아 웜 바이러스에 의해 네트워크 상으로 유포되는 icmp echo, echo-reply를 차단하기 위한 예이며, 현재 라우터에서 이 바이러스에 대한 모니터링 방법은 넷플로우를 이용하여 #ip cache flow | include 0000 0800 을 입력하면 감염된 호스트가 92Byte ICMP type 8(echo-request) 패킷을 이용해 IP 어드레스를 스캐닝하는 것을 모니터링할 수 있다.
<그림 6>의 예에서 알아본 바와 같이 현재의 침해사고의 유형자체가 이전의 대용량 서버에 대한 공격 및 침해였다면 지금은 사용자단의 호스트에 대한 침해사고 또한 증가 추세이다. 특히 그 중에서도 윈도 계열의 운영체제에 대한 침해사고가 급속히 증가하고 있다.
네트워크를 이용해 전파되는 웜 바이러스를 비롯해 시스템에 침입해서 트로이안 프로그램을 설치하고 몇몇 서비스를 개시해 자신의 개인 파일서버처럼 이용하는 경우와 일반적으로 메일서버가 설치돼 있지 않은 윈도 시스템에 현재 상용으로 판매되고 있는 프록시 서버 프로그램들을 변형해 설치한 후 메일서버로 이용되는 IIS의 SMTP서버와 익스체인지 서버를 이용한 스팸 릴레이 사고 등들은 시스템의 문제뿐만 아니라 네트워크의 대역폭을 잠식하고 네트워크 장비에 부하를 주어 심지어 장애를 유발시킬 수 도 있는 커다란 골칫거리가 아닐 수 없다. 위에 열거한 방법을 응용해 적용하면 어느 정도 이상의 보안 효과는 거둘 수 있을 것이다.

암호화는 이제 AES로
사이버 범죄의 범람과 데이터 절도의 증가는 업계로 하여금 AES(Advanced Encryption Standard)로 알려진 강력한 패킷 암호화로 이동을 촉진시키고 있다. 이미 2004년 7월, 미국의 NIST(National Institute of Standards and Technology)는 FIPS(Federal Information Processing Standard) 46-3으로 알려진 데이터 암호화 표준(DES)만으로는 정부 기관의 정보를 보호하는데 충분치 않다고 결정한 것은 누구나 알고 있는 사실이다.
NIST는 3중 데이터 암호화 알고리즘(TDEA)의 일부로 사용하는 것을 제외하고는 FIPS 46-3을 더 이상 사용하지 않기로 판단했으며, 대신에 NIST는 FIPS-97로 알려져 있는 AES를 권고했다. 이 표준은 훨씬 강력하고 신속한 암호화 형태이다. NIST는 전 세계를 대상으로 이 표준의 사용을 권고하고 있다.
또한 IETF(Internet Engineering Task Force) IPSec(IP Security) 워킹 그룹의 경우, IPSec ESP(Encapsulating Security Payload) 암호화의 디폴트로 AES를 표준화하려는 움직임을 보이고 있다. 정부와 금융기관 등 보안에 특히 민감한 초기 사용자들은 이미 AES로 전환을 시작한 상태다.
AES는 테이블 특히, 대규모 페이로드 패킷에 대해 보다 강력한 암호화 및 신속한 암호화/복호화를 제공한다. DES처럼 AES는 블록 사이퍼(block-cipher) 암호화 메커니즘이다. 블록 사이퍼는 데이터와 암호화 키를 블록으로 나눈다. 해커는 각 블록의 운영 라운드를 구동해야 하며 블록에서 키를 깨뜨린 이후 다음 블록에 대한 연산을 하게 된다. DES는 56비트 암호화 키 길이를 가진 8비트 블록 사이퍼인데 반해, AES는 128, 192, 256비트 블록 사이퍼 길이와 암호화 키 사이즈를 지원한다.
블록 사이퍼는 블록 별로 다양한 공격을 필요로 하기 때문에 공격자들을 지치게 만들고 해킹하는 것을 어렵게 한다. 3DES는 각 블록에 DES를 세 번 실행한 것이다. 하지만 DES 기반 암호화 역사는 25년이나 되었기 때문에 알고리즘이 너무나 잘 알려져 있어 악의적인 의도를 가진 해커들이 크래킹할 수 있는 가능성이 매우 높다. 실제로 1998년에 이 알고리즘을 해킹할 수 있는 경연 대회까지 열린 바 있다
블록 사이퍼는 스트림(stream) 사이퍼 알고리즘(RC4와 같은 경우가 이에 해당됨)과는 다르다. 스트림 사이퍼는 데이터 스트림과 동일한 길이의 키 스트림을 생성한다. 따라서, 200바이트의 데이터는 200바이트의 키 스트림을 생성해 매우 간단한 수리적 연산을 갖는다. 해커들은 이를 쉽게 뚫을 수 있다.

AES로 SNMP취약성 해결
SNMP는 SANS Top20에 항상 올라 있다. SNMP 관리 프로토콜은 프린터나 라우터, 스위치, 무선 액세스 포인트와 브리지 등 TCP/IP 장비를 원격으로 모니터링, 구성하는데 광범위하게 사용된다. 네트워크 장비의 SNMP 관리 기기와 소프트웨어 에이전트 간에 다양한 형태의 메시지로 구성돼 있다. 이러한 메시지 교환은 특히 SNMP 버전 1과 2에서 취약점을 노출하고 있다. 메시지를 암호화하지 않고 인증 메커니즘으로 디폴트 공개 ‘커뮤니티 스트링(string)’을 사용하는데, 이는 대부분의 사용자들이 귀찮아서 바꾸려 하지 않는다. SANS 협회의 교육 담당 이사인 조슈아 라이트(Joshua Wright)는 “SNMP MIB에 대한 읽기/쓰기의 액세스 권한을 갖는 것은 시스템에 침투하는 것과 같은 효력이 있다”면서 “일단 이들이 액세스하게 되면 공격자들은 원하는 대로 구성 파일을 변경할 수가 있다”고 얘기한다.
SANS는 SNMPv3을 사용할 것을 권고하고 있는데, SNMPv3는 SNMP 메시지가 암호화되도록 해주며 공격을 완화할 수 있는 인증과 권한 부여 기능을 포함하고 있다. NIST는 DES를 불충분한 보안 표준으로 생각하고 있으며 IETF는 AES를 SNMPv3 표준에 넣어 보안을 강화하고 있다.
그러나 3DES가 상당수 기업들의 보안 요구 사항을 만족시켜주고 있으며, 최근 NIST의 판단으로도 AES로의 전환은 다소 시일이 걸릴 것으로 예상하고 있다. 그러나 보안장비에 AES를 탑재하는 것은 미래를 대비하는 측면에서 충분히 가치가 있다 미래를 준비해야 하기 때문이다.

연동으로 경계선관리를 효과적으로
방화벽, IDS, IPS, 레이어 7 스위치든 단품으로는 언제나 사용자들이 가지고 있는 요구사항을 만족시키지는 못한다.
방화벽이 만족스럽지 못해서 IDS를 도입하고, IDS로 로그를 봤지만, 대응에는 효과적이지 못해서 IPS도 도입했지만, 여전히 새로운 웜 및 바이러스에는 무방비다 그러면 레이어 7 스위치가 답일까? 새로운 장비들의 도입은 관리 포인트의 증가만을 가져온다. 그 수많은 로그들은 어떻게 할 것인가? 로그가 많아서 스토리지에 로그를 저장한다고 자랑하고 다닐 것인가? 제대로 관리가 안 되는 여러 장비들은 관리자들을 곤혹스럽게 만든다.
오탐이 아닌 정말 유해한 트래픽에 대해서만 로그를 남기고, 대응할 수 있는 연동방법을 기술해보겠다.
올해부터 시작된 안전진단은 네트워크보안 컨설팅 업체의 화두다. 기업 및 서비스제공업체들은 이를 활용해 단순히 감사 받는다는 느낌으로 귀찮아하지 말고 이를 적극 활용해 자사 네트워크의 취약성을 충분히 파악해 적절한 보안 정책의 변화를 꾀해야 할 것이다. 그리고 안전진단 대상에서 제외된 기업이라 할 지라도 저렴한 취약성 분석 서비스 정도 받는 것은 큰 무리가 없으리라 본다. 지피지기면 백전 백승이라는 개념이 네트워크 보안에서도 역시 마찬가지다. 취약성 분석을 통해 나온 결과는 경계선 네트워크 정책에 큰 변화를 주며, 그 데이터를 기초로 IDS나 IPS 방화벽 에서 실제 취약성에 대한 침해행위에 대해서만 로그, 알람 및 대응을 취하면 되기 때문이다. 연동 방법은 간단하다.
취약성 분석 프로그램이 IDS에 연동되면 취약성 데이터를 가지고 실제 IDS에 잡히는 결과치와 비교 분석하게 된다. 그리고 진짜 위협(Real Threat)에 대해서만 또다시 연동된 방화벽에 시그널을 줘서 즉시 침해행위를 막을 수 있게 되는 것이다. 물론 악의적인 침해 패킷이 100건 들어온다 해도 취약성이 패치 된 네트워크 및 호스트로의 패킷은 무시하면 되기 때문에 100건 중 두 세건 정도의 위험한 침해행위만을 알려줄 것이다. 이제는 엄청난 로그의 양을 자랑하지 말고, 쓰레기 로그가 없는 진짜 위협만 로그를 띄운다고 자랑하고 다니시라.

통합으로 진보하고 있는 보안 솔루션
이번 호까지 3회에 걸쳐서 경계선 네트워크 보안(Peri-meter Defense)에 대해 소개, 동향 및 구성 방법에 관해 기술했다.
아직 우리나라에서는 경계 보안이라 하면 생소하게 생각하지만 네트워크 경계선에 있는 모든 솔루션들의 보안 정책이라 생각하면 될 것이다. 필자가 여러 솔루션들을 열거했지만 궁극적으로는 모든 솔루션들은 ‘통합’으로 진보할 것이다. 장비들의 퍼포먼스는 좋아질 것이며, 어떠한 복잡한 암호통신이라도 하드웨어적으로 가속기능을 부여하게 될 것이며, 침해에 대한 대응도 지금보다 훨씬 쉽게 자동적으로 막을 수 있을 것이다.
또한 네트워크 구성도 또한 간단해지면서 장애에 쉽게 복구될 수 있을 것이다. 몇 년 뒤에는 경계 디바이스같은 개념의 장비만이 우리의 경계선을 책임지며 보안 및 네트워크의 모든 기능을 다 수행할 수 있지 않을까 생각된다. 몇 번 얘기했지만 경계선 보안은 기초이다. 기초를 튼튼히 해야 기업들은 수익을 창출하는데 위협 및 어떠한 두려움에 대해서라도 걱정하지 않을 것이다.