정책 미수립·전문 담당자·교육 부재가 주원인 … NAT·IPS·VPN 등 자사 상황에 맞춰 선택

연·재·순·서
1. 중소기업을 위한 인터넷 정보 보호(이번호)
2. 중소기업 정보 보호 장비와 적용 방법

김명락
한인터네트웍스 사장
mrkim@haninternet.co.kr

많은 인터넷 보안 솔루션과 장비가 출시돼 있지만 막상 중소기업이 인터넷 보안에 대해 대비를 하려고 하면 막막한 경우가 많다. 각 기업은 스스로 어떠한 요구 사항이 있는지 정의하고 정의된 요구 사항을 처리하기 위해 어떤 방법의 솔루션을 도입해야 하는지 식별하기 어렵기 때문이다. 또한 현재 나와 있는 각종 솔루션과 장비들은 일반 중소기업이 도입하기 어려운 현실적인 문제들도 많이 있다. 이번 연재 목적은 중소기업의 경영자나 관리자 또는 네트워크 엔지니어가 인터넷 보안에 대한 검토를 할 때 참고가 될 만한 지침서를 제공하는 것이다. <편집자>

인터넷 보안이라고 하면 중소기업의 입장에서는 남의 일처럼 느끼는 경우가 많다 KIMI(중소기업정보화경영원)에서 상시 종업원 50인 이상으로 서버급 컴퓨터를 1대 이상 보유하고 있는 1천261개의 중소기업과 66개의 대기업을 대상으로 직접 방문해 조사한 <표 1>의 결과에 따르면 정보보호 대책을 수립한 중소기업은 16%에 불과하며 정보보호 전담 조직 및 임직원 대상 정보보호 교육이 상당히 취약한 것으로 조사 됐다. 이 조사의 경우 상시 종업원 50인 이상으로 했기 때문에 중견 기업을 제외하고 50인 미만의 중소기업을 포함한다면 중소기업의 정보보호 현황은 조사 결과 보다 취약할 것으로 추산된다.
그런데 이처럼 무관심한 중소기업의 인터넷 보안은 실제로 문제를 일으키지 않고 필요성을 느끼지 못해서가 아니라 현실적인 제약 사항 때문에 대응을 못하고 있다는 것이 더 큰 문제다. 대부분의 중소기업에서는 바이러스에 걸린 PC를 해결하기 위해 OS를 다시 설치하기도 하고 수시로 스팸메일을 지우고 있으며 각 개인이 나름대로의 해결책으로 일정 업무 시간을 할애해 PC관리를 하는 경우도 많다. 이러한 부작용이 많은데도 불구하고 이에 대한 해결 방안을 모색하는 데는 다음과 같은 제약 사항들이 있다.

1. 인터넷 보안 제품을 도입하기 위한 예산 확보의 문제
2. 다양한 인터넷 침해와 요구에 대응하기 위한 다수의 보안 솔루션 도입 문제
3. 보안 제품을 관리할 전문 인력의 문제 등으로 요약할 수 있다.

중소기업 정보보호 대책 ‘취약’
먼저 예산 확보의 문제는 <표 2>에서 보는 바와 같이 중소기업의 가장 큰 애로 사항인 것으로 조사 됐는데 이것은 여러 가지 솔루션 중 선택의 결과에 따라 문제가 되지 않을 수도 있다고 본다. 현재 나와있는 많은 제품들은 그 성능에 따라 많은 가격 차이가 난다. 대부분의 제품에서 성능 네트워크 대역폭을 기준으로 한 네트워크 규모로 구분하기 때문에 소프트웨어보다는 하드웨어를 기준으로 제품군을 출시하고 있다. 즉 소호용이나 SMB를 겨냥한 제품에 비해 대규모 기관을 대상으로 한 제품은 가격이 수십 배 차이가 나지만 하드웨어의 성능이 일정 부분 우수하다는 것 외에 소프트웨어의 기능은 대부분 동일하다는 것이다. 때문에 너무 욕심을 부리지 않고 현실적인 제품을 선택한다면 중소기업의 입장에서는 큰 부담 없이 우수한 성능의 보안 제품을 도입할 수도 있다.
요즘은 기가 성능을 지원하는 보안 제품이 많이 출시되고 있으며 모두가 기가 성능의 제품을 도입해야 할 것처럼 홍보하고 있는데 사실은 아직 아닌 경우가 많다. 인터넷 보안 제품의 특성상 제품의 성능은 왠 구간의 네트워크 대역폭을 감당해 낼 수 있는 성능만 있으면 된다. 대부분의 기업이 인터넷 전용선을 10~20Mbps 이하로 사용하고 있으며 50100Mbps급의 인터넷 전용선은 아직까지도 대기업이나 종합대학 전체를 커버하는 수준의 인터넷 백본으로 활용되고 있다. 이런 상황에서 일반적인 중소기업에서 필요한 보안 제품의 성능은 왠 구간의 기준을 10~50Mbps 이하로 가정하고 처리할 수 있는 제품이면 무리가 없을 것이다.
두 번째 문제인 다양한 인터넷 침해와 요구에 대응하기 위한 다수의 보안 솔루션 도입은 각 기업에서 꼭 필요한 요소를 선별한 후 결정하면 최소한으로 줄일 수 있다. 방화벽 정도야 기본이지만 VPN의 경우 필요하지 않은 경우도 많다. 또한 자체적으로 메일 서버를 운용하지 않고 스팸과 바이러스 필터가 제공되는 호스팅 서비스를 이용하는 것도 하나의 방법이다. 요즘에는 스팸메일과 바이러스 메일 차단 기능을 통합한 방화벽도 있다. 바이러스의 경우 기본적인 보안 장비를 도입하면서 문제가 없어지는 경우가 많기 때문에 꼭 상용 백신을 사용해야 되는 것은 아니다.
인터넷웜을 차단하기 위한 솔루션의 경우에도 인터넷 웜의 특성상 대부분 이미 알려진 경우고 네트워크 서비스 업체에서 차단되기 때문에 일상적인 문제가 되지는 않을 것이며 이메일에 첨부돼 전파되는 웜바이러스는 기본적인 바이러스 메일 차단 솔루션으로 해결이 될 것이다. 최근에는 메신저 프로그램을 이용해 파일을 주고 받는 경우가 많은데 메신져 프로그램이 웜바이러스 확산의 주범이 되고 있기도 하다. 인터넷 웜이나 웜 바이러스 차단을 위해서는 전문 솔루션이나 웜 바이러스의 패턴을 보유하고 있는 IPS 장비 도입이 필수인데 높은 성능을 요구하므로 경제성이나 현실성이 없는 경우가 많다.
세 번째로 도입된 보안 장비를 관리할 전문 인력의 문제 역시 고려해야 할 중요한 사안이다. 일반적으로 네트워크 서버 엔지니어가 인터넷 보안 솔루션을 관리할 수 있다고 생각하는 경우가 많은데 이것은 잘못된 생각이다. 지금은 솔루션들이 많이 쉬워지기는 했지만 여전히 어려운 것이 사실이다. <그림 1>은 국내 대표적인 보안 회사인 O사 제품의 보안 정책 관리 화면이고 <그림 2>는 신규 정책을 입력하는 화면이다. 대부분의 보안 장비의 정책이 이와 비슷한 방법으로 관리된다. 이러한 보안 정책 관련 관리 방식은 익숙한 엔지니어들은 쉽겠지만 일반적인 네트워크나 서버 관리 지식으로는 생소하며 어렵게 느껴지는 것이 사실이며 관련 전문 교육을 받을 필요가 있을 것이다.
또한 보안 관련 엔지니어는 이러한 보안 정책 관리에 익숙하다 하더라도 부차적인 툴을 다룰 수 있어야 한다. 예를 들면 특정한 사이트나 인터넷 메신저 사용을 회사에서 사용 또는 제한하기로 의사 결정했을 때 관련 엔지니어는 네트워크 패킷 분석 툴을 이용해 해당 애플리케이션에 적절한 차단 방법을 선정하고 정책에 적용해야 한다.
이러한 애플리케이션의 차단 방법은 한 가지로 해결되지 않고 여러 가지 보안 정책의 조합으로 이뤄지는 경우가 많으며 수시로 정책을 변경해야 하는 경우도 있다. 때문에 보안 정책 도입시 기존 전산 관련 인력의 부수적인 업무로 배정하기 보다는 중요 업무로 배정하고 관리 인력을 최소화할 수 있는 솔루션을 고려해야 할 것이다. <그림 3>의 H사 장비처럼 보안 정책 입력을 손쉽게 지원해 주는 기능을 제공해 주는 장비도 있으며 외부 전문 업체의 도움을 받는 것은 전문 보안 인력이 없는 회사라면 필수적이라 할 것이다.

어떤 보안 정책이 필요하며 무엇을 검토할 것인가?
이번 연재의 목적이 중소기업에서 인터넷 보안 관련 솔루션이나 장비를 도입할 때 지침이 되는 조언을 하는 것이므로 먼저 무엇에 대해 보안 정책이 필요한지에 대해 언급해야 할 것이다. 필자는 고려 사항을 아래와 같이 정리했다.

1. 외부에서 내부 네트워크로의 접근 차단
2. 내부 네트워크 보호를 위한 NAT 기능
3. 물리적인 망 구분을 위한 다수의 네트워크 포트 지원
4. IPS(Intrusion Prevention System) 기능
5. VPN(Virtual Private Network) 기능
6. 네트위크 로깅 및 분석 솔루션
7. QoS(Quality of Service) 솔루션
8. 스팸 및 바이러스 메일 차단 기능
9. 바이러스 백신

위에서 나열한 항목은 먼저 언급한 대로 필수 기능이 아니며 고려의 대상일 뿐이다. 최소한 이 정도의 항목을 고려한 후 필요 여부를 판단하고 적절한 솔루션을 찾아야 할 것이다.

1. 외부에서 내부 네트워크로의 접근 차단
이 기능은 가장 기본적이면서 유용한 보안 기능이다. 일단 외부에서 내부 네트워크로의 접근이 차단된다면 대부분의 침해 사고가 예방된다고 볼 수 있다. 물론 홈페이지와 메일 등의 서비스를 위해서 방화벽의 DMZ(DeMilitarized Zone) 네트워크 포트에 특정한 서비스 몇 개는 열어 놓아야 할 것이지만 이것만으로도 인터넷 보안에 대한 대부분의 고민 거리는 해결된 것이다.

2. 내부 네트워크 보호 위한 NAT(Network Address Translation) 기능
NAT 기능은 내부 PC 사용자를 위한 네트워크 포트 기능을 제공하는 것으로 NAT 뒤에 숨어 있는 PC의 IP 어드레스는 비공인 IP 어드레스이기 때문에 외부에서의 접근을 원천적으로 차단해 준다. 따라서 관리자나 사용자의 실수로부터 자유로울 수 있는 것이 외부로 서비스 하지 않는 PC에 대한 NAT 정책이며 대부분의 방화벽 장비가 이 기능을 지원하고 기본적인 정책으로 이용하고 있다.

3. 물리적인 망 구분 위한 다수(3~5포트)의 네트워크 포트 지원
기본적으로 방화벽은 3개의 포트가 필요하다. 외부의 인터넷 전용회선 구간을 위한 왠 포트와 내부 PC 이용자를 위한 랜 포트, 대외 서비스 서버를 위한 DMZ 포트가 그것이다. 하지만 필요에 의해 왠 구간을 2개 이상으로 구성한다든지 연구소 등에 별도의 물리적인 네트워크 포트를 구성하기 위해서 랜 포트를 2개 이상으로 구성할 필요가 있을 것이다. 또한 랜 포트를 2개 이상으로 구성하는 것은 보안 정책의 구성이나 허용 가능한 서비스가 부서별로 매우 상이할 때 단순하고 즉각적인 정책 설정에 많은 도움을 준다.

4. IPS(Intrusion Prevention System) 기능
IPS는 일반적으로 능동형 보안 솔루션이라고 불린다. 인터넷 웜 등의 악성코드 및 유해 트래픽을 차단해 주는데 활용이 되고 있는데 IDS(Intrusion Detection System)가 특정한 패턴을 탐지해 내는 반면 IPS는 탐지된 공격에 대해 연결을 끊고 차단 조치를 하는 등 적극적인 개념의 능동형 보안 시스템이다. 하지만 IPS는 최근까지도 정확한 개념이 정립되어 있지는 않았으며 지금은 침입차단시스템처럼 네트워크에 인라인 모드로 설치돼 보안 정책을 수행하는 시스템을 정의한다. 대부분의 IPS는 서비스 포트 별로 다수의 시그너처를 탑재하고 모든 네트워크 트래픽을 감시하고 차단한다. 또한 지능적인 이상 탐지 기능을 탐재해 침해 우려가 있는 위험에 대응한다.
그런데 IPS는 원래의 개념이 복잡한 네트워크 패킷과 플로우 전체를 검사하는 시스템이기 때문에 침입차단시스템에 비해 훨씬 뛰어난 처리 능력을 갖추고 있어야 하며 동일한 대역폭을 관리한다 하더라도 수십 배의 성능을 요구하는 경우가 많다. 또한 시스템을 관리하기 위한 관리자의 뛰어난 패킷 분석 능력이 요구되고 세밀한 정책 적용을 위한 보안 정책 관리가 필요하며 수시로 시그니처와 탐지 알고리즘을 업그레이드 해야만 한다. 이러한 이유 때문에 IPS를 도입하려 한다면 먼저 충분한 성능을 갖추고 있는지 확인하고 일상적인 시그니처 업그레이드 등이 용이한지가 검토의 대상이 돼야 한다.

5. VPN(Virtual Private Network) 기능
가상사설망이라고 불리는 VPN은 일상적이며 오랫동안 가장 많이 활용된 보안 기술이다. 원격지에서 접근하기 위한 기본적인 기능이기도 하지만 공중망(Public Network)을 이용하기 때문에 비용 절감 효과도 크다. 원거리에 있는 두 지점을 연결하기 위한 보안 기술로는 인터넷이 일반화된 요즘 가장 용이한 형태이며 직원의 재택 근무나 외부 작업 인력이 있을 때 꼭 필요한 시스템일 것이다. 그런데 이러한 요구 사항이 없을 때는 고려의 대상에서 제외해도 무방할 것이다. 또한 도입을 검토할 경우 되도록 번거롭지 않은 방법으로 윈도에 내장돼 있는 표준 VPN 접속 방식 등에 호환되는 솔루션을 권장한다. 이러한 방식은 계정 관리만으로 원격 접속자를 관리하기 때문에 교육과 관리에 많은 이점이 있다.

6. 네트위크 로깅 및 분석 솔루션
여기서 네트워크 로깅의 의미는 일반적인 접속 로그를 의미하는 것은 아니다. 실제 네트워크를 이용한 내용의 원본을 보관하고 조회할 수 있는 정도의 로깅을 말하는 것이며 이러한 로깅을 통해 정보 유출 유무에 대해서 판단할 수 있는 분석 툴을 제공해 주는 솔루션을 말한다. 요즘은 메신저로 상거래 주문이 이뤄지는 경우도 많기 때문에 이에 대한 대화 원본을 보관하는 것이 필수인 경우도 있다.
컴퓨터와 온라인으로 업무의 대부분을 처리한다면 내부 정보 유출과 더불어 업무 시간 낭비라는 부작용이 따르기 마련이다. 대용량의 내부 자료가 순식간에 유출되는가 하면 직장에서 컴퓨터 사용 시간의 1/4 이상을 메신저로 잡담하는데 활용하는 메신저 중독에 걸린 직장인이 1/3이라는 주장도 있다. 때문에 이러한 로깅 시스템을 활용한다는 것만으로도 내부 단속에 효과적일 수 있다. 다만 이러한 시스템의 경우 사생활 침해의 요소가 있다는 것을 염두에 둬야 할 것이며 실제로 모니터링을 한다면 통신법에도 저촉된다는 것을 알아야 한다.

7. QoS(Quality of Service) 솔루션
QoS는 한정된 인터넷 대역폭과 그 안에서 발생하는 트래픽을 모니터링과 분석을 통해 효과적으로 제어 관리해준다. 이것은 인터넷을 정보 검색과 이메일 전달 등의 수단으로만 이용하는 일반적인 중소기업에서는 필수 기능은 아닐 것이다. 하지만 하나의 전용선을 이용하면서 회사의 홈페이지 사용량이 빈번하고 중요한 역할을 하고 있거나 비용 절감을 위해 인터넷전화(VoIP)등을 이용한다면 중요한 고려 사항이 될 수 있다.
인터넷의 기반인 IP 네트워크는 특정 이용자의 대역폭 독점을 방지할 수 없기 때문에 중요 서비스에 대한 품질을 근본적으로 보장하지 못하는 한계를 가지고 있다. 직원 중 한 명이 P2P 매니아 이거나 다운로드를 끊임없이 하고 있다면 대역폭 자원의 80~90%를 점유하고 있다고 봐도 무방할 것이다. 대역폭을 늘리는 것이 가장 쉬운 해결 방법이지만 아직까지도 인터넷 전용선 이용료는 고가이기 때문에 경제적이면서도 안정적인 해결책은 역시 QoS 솔루션 도입인 경우가 많다.

8. 스팸 및 바이러스 메일 차단 기능
스팸(SPAM) 이라는 용어는 인터넷 시대에 짜증나는 광고나 원하지 않는 것을 뜻하게 됐다. 스팸메일은 이제 기업에서 짜증나는 정도가 아니라 업무 능률을 저해하는 심각한 문제로 인식되고 있다. 일반적인 중소기업에서는 해커의 해킹보다도 우선 고려해야 할 사안이 스팸메일에 대한 차단이라고 필자는 생각한다.
정부가 법적인 제도 보완을 통해 스팸메일에 대한 발송을 통제하고 있지만 한계가 분명히 드러나고 있다. 필자의 생각으로도 법적인 제도 보완으로 일정 부분 스팸메일 방송을 제한할 수는 있지만 글로벌한 획기적인 제도가 생기기 전까지는 효과가 미약할 것으로 보인다. 예를 들면 극약 처방으로 보내는 메일 서버를 법적으로 등록하게 하고 여기서만 메일을 보낼 수 있게 하는 것이며 네트워크 서비스망에서 해당 서비스 포트를 제한한다면 스팸메일은 간단하게 뿌리가 뽑힐 것이며 이것은 기술적으로 아주 쉽고 비용이 들지 않는 방법이다. 하지만 현실적으로는 국제적인 협약이 있어야 한다거나 통신 자유에 대한 논란으로 불가능한 방법이다.
필자가 이렇게 불가능한 방법을 언급하는 것은 스팸메일을 근본적으로 제한할 방법이 없다는 것 때문이다. 전통적인 마케팅 기법인 DM(Direct Mail)은 법적으로 통제하거나 유해하다고 인식하지 않았다. 그 이유는 발송 방법이 물리적이기 때문에 비용의 문제가 있어 발송량이 자연스럽게 제한되었기 때문이다. 그런데 스팸메일은 보내는 비용이 너무나 저렴하다. 1천만개의 이메일 계정을 단돈 몇 만원에 판매한다는 스팸메일도 수신된다. 또한 보내는 방법도 너무나 간단하며 스팸메일 서버가 차단된다고 하더라도 스팸메일을 보낼 수 있는 서버는 여전히 너무도 많다. 더군다나 스팸메일은 보내는 사람의 입장에서는 비용 대비 매우 효과적인 마케팅 방법이다. 이런 상황에서 스팸메일은 지능적인 스팸 발송 솔루션의 등장으로 지속적으로 증가할 것으로 보인다.
초기의 스팸필터 시스템은 키워드나 알고리즘에 기반한 인공 지능적인 방법으로 많이 진행 됐지만 현재는 이러한 방법보다는 DB에 기반한 필터링 기법이 효과적이라 할 수 있다. 전자의 방법은 스팸메일을 보내는 스패머(Spammer)가 지능적이 되어가고 메일링리스트(Mailing List)가 일반화되기 시작하면서 필터율의 저조와 오류율의 증가로 인한 부작용이 이어졌다. 아직까지는 인공 지능적인 방식으로 스팸메일을 차단하기에는 기술의 진보가 이뤄지지 않은 면이 있다. 최근 마이크로소프트에서 아웃룩 등의 메일 소프트웨어에 제공한 정크메일 폴더에 보면 간혹 정상 메일이 들어있는 경우가 있는데 이것은 정상 메일과 스팸메일의 경계가 모호한 측면도 있지만 스팸메일의 유무를 패턴 분석으로 판단하기가 어렵다는 것을 보여준다.
또한 요즘은 많은 업체들이 수학적 알고리즘을 이용한 베이시안(Bayesian) 기법을 도입해 솔루션을 개발하고 있으며 메일 서버의 IP 어드레스를 기반으로 하는 리퓨테이션(Reputation) 기반의 스팸 메일 차단 기술 등이 도입되고 있다. 또한 필자가 칵테일 방식의 스팸필터 방식이라고 명명한 것으로 여러 가지 스팸 차단 방법을 사용자가 선택해서 적용할 수 있게 해주는 방식의 솔루션이 있는데 <그림 4>는 일반적인 스팸필터 소프트웨어의 차단 설정 화면이고 <그림 5>는 칵테일 방식의 스팸메일 차단 설정 화면이다.
스팸필터 솔루션이라고 하면 일반적으로 90~95% 이상의 스팸필터율을 보여야 하지만 정상 메일이나 메일링리스트 메일을 무차별 차단하는 솔루션이 있는 것에 주의해야 할 것이다. 현재까지는 DB 기반의 필터링 솔루션이 오류를 줄이는 확실한 방법이며 다양한 기법을 선택할 수 있게 한다면 더욱 확실할 것이다. 더불어 IPS에서 언급했듯이 대부분의 바이러스가 이메일을 통해 전파되므로 시스템 부하를 많이 주는 IPS단에서 바이러스를 차단하는 것 보다는 스팸 솔루션 도입시 바이러스 차단 솔루션을 병행하는 것이 효과적일 것이다.

9. 바이러스 백신
마지막으로 바이러스 백신은 위의 여러 가지 방법으로 철저하게 대응한다 하더라도 여전히 필요한 솔루션이다. 사내에 바이러스가 침입하는 것은 다양한 네트워크 보안 솔루션을 운영한다 하더라도 모든 침입 경로를 막을 수는 없다. 또한 감염 후 PC에 대한 치료 역시 앞서 언급된 솔루션으로는 해결할 수 없기 때문에다. 또한 신종 바이러스는 어차피 사후 대책으로 처리할 수밖에 없다. 다만 위에서 나열한 보안 솔루션으로 어느 정도의 대비를 해 놓았다면 상시적인 대비는 하지 않아도 큰 무리는 없는 경우가 많다. 때문에 정기적인 검사나 특정 바이러스에 대한 치료는 무료로 제공되는 백신이나 서비스로 대응을 하고 예산이 허용되도 제한적인 범위에서 대비책을 강구해도 무방할 것이다.
이 외에도 검토의 대상은 바이러스월(Virus Wall)이나 악성코드 차단 등이 있지만 바이러스월은 IPS와 통합되는 추세이고 악성코드는 아직까지 무료로 서비스되는 솔루션을 사용하는 경우가 많기 때문에 검토 대상에서 제외했다.
이번 연재에서는 각 기업의 인터넷 보안을 위한 전반적인 검토 사항과 솔루션을 언급 하였으며 다음 연재에서는 실제 중소기업에서 도입 가능한 솔루션과 제품을 기준으로 구체적인 필요 기능과 검토 대상을 다룰 것이다. 또한 각 솔루션의 보안 정책 수립이 실제 어떠한 침입을 차단할 수 있는지와 어떤 효과를 가져오는지 알아볼 것이다.