스토리지 보안은 기업에서 점점 더 중요해지고 있는 분야다. 최근에는 각종 규정들로 인해 조직에서 데이터를 보호하기 위한 ‘적당한’ 단계를 취해야만 하는 경우가 많아지고 있으며, 이 ‘적당한’이라는 말 속에는 인증, 액세스 제어 및 암호화라는 기본적인 보안 주제들이 포함돼 있다고 우리는 믿고 있다. 지금까지 스토리지 보안에 대해 생각해 보지 않은 사람이라면 이제부터라도 하는 게 좋겠다.

스토리지에 있는 데이터를 보호하기 위해 마련한 안전책은 데이터베이스에서든 SAN(Storage Area Networks)에서든, 아니면 디스크의 플랫파일으로든 고객의 민감한 데이터와 회사의 명성을 위협하는 사람들로부터 안전을 보장할 수 있는 최종 방어선이 될 것이다.
우리 독자들은 이 문제를 심각하게 받아들이고 있는 것으로 나타났다. 최근 본지 설문조사에 따르면 응답자의 70%가 스토리지 전용 보안이 조직에서 필수라고 응답했으며, 향후 12개월 동안 스토리지 보안 예산이 감소하리라고 대답한 사람은 4%에 불과했다. 좋지 못한 소식은 SAN 엔지니어, 네트워크 분석가, 그리고 데이터베이스 관리자들 중 대다수는 보안 전문가가 아니라는 사실이다. 대부분이 기본적인 것들을 알고 있고, 상당수가 보안 환경에서 자신들의 갈 길을 제대로 찾고 있긴 하지만, 이들의 전공은 보안이 아니다.
이제 이 곳은 한 바탕 전쟁을 치를 수 있도록 충분히 무르익어 있다. 정부 규정, 베스트 프랙티스, 그리고 기업 정책들이 보안 요원들의 손에 데이터 액세스 제어를 안겨다 주고 있기 때문이다. 데이터베이스 관리자와 SAN 엔지니어들이 더 이상 왕국으로 가는 열쇠를 갖고 있는 게 아니다. 네트워크 엔지니어들 또한 IP 스토리지의 인기가 계속 높아짐에 따라 마찬가지 신세가 될 것이다. 우리는 SAN과 데이터베이스의 신뢰성을 우리 부서나 팀의 외부 사람들에게 맡기고 있다. 사실 설문조사 참가자들에게 엔터프라이즈 스토리지 보안에 있어 가장 큰 장애가 무엇인지 물었을 때 절반이 보안 팀과 SAN팀 사이의 커뮤니케이션 부재를 꼽았다.
보안 전문가들은 자신들이 보호해야 하는 SAN과 데이터베이스에 익숙치 못한 경우가 많다. 이들은 파이버 채널이 새로운 건강식품 전문 채널이 아니라는 사실은 분명히 알고 있겠지만 FC SAN을 통해 돌아가는 데이터가 IP 네트워크에서 실행되는 데이터 만큼이나 쉽게 읽힐 수 있다는 사실은 잘 알지 못한다.

어떻게 보호해야 하는가
현명한 스토리지 전문가들은 보안팀과 함께 가동시간에 최소한의 영향을 미치면서 데이터를 보호해줄 스토리지 보안 시스템을 구축함으로써 최대한의 가치를 만들어낼 수 있을 것이다.
저장된 핵심 데이터를 보호하는 가장 첫 번째 단계는 어떤 종류의 보안이 조직에 가장 잘 맞을지를 결정하는 것이다. 저장된 데이터는 애플리케이션, 호스트, 스위치 및 LUN (Logical Unit Number)이나 차단 레벨 등 생각보다 많은 곳에서 취약하다. 다행히도 이러한 문제 영역을 처리할 수 있는 많은 제품들이 있는데, 예를 들어 잉그리안(Ingrian)이나 프로테그리티(Protegrity) 같은 업체의 제품에서는 선택한 데이터베이스 칼럼을 암호화할 수 있다. 혹은 스위치 업체들로부터 SAN 액세스 제어를 이행하거나, 시스코시스템즈, 데크루(Decru), 캐스턴체이스(Kasten Chase) 및 네오스케일(NeoScale)과 같은 업체의 SAN 암호화 및 액세스 제어를 이행할 수도 있다. 어떤 제품들은 애플리케이션에 따라 액세스를 제한하기도 한다.
사실 어떤 한 가지 솔루션에 모든 것을 기대할 수는 없다. 일반적으로 데이터는 여전히 암호화되지 않은 상태에서 호스트로 가며, 호스트나 데이터베이스 서버에서 바로 암호화와 암호해독이 되는 제품들조차도 메모리에서는 암호화되지 않은 데이터를 보유하고 있을 것이다. 그리고 호스트, 애플리케이션, 데이터베이스 및 SAN 레벨에서의 액세스 제어는 단지 위험을 줄여줄 수 있을 뿐이다.
그렇다면 스토리지 보안이 충분히 효과를 발휘할 수 있는 곳은 어디일까? 규정 준수 필요조건들이 모든 영역에서 늘어나고 있지만, 연방 정부와 함께 작업하는 회사라거나, 금융기관, 병원, 신용카드 회사, 혹은 캘리포니아에서 비즈니스를 하는 회사들이 적절한 대상이 될 수 있다. 예를 들어 이런 곳에서는 어떤 액세스 권한이 변경되었는지, 언제 변경되었는지, 누가 변경했는지 등에 대한 기록을 만들어야 할 것이다. 또한 침입 사태가 발생했을 경우 액세스를 제한하고 데이터를 보호하기 위해 어떤 조치를 취했는지를 입증해야 할 필요가 있다.
다음 질문들은 ‘무엇을 보호하려 하고, 또 아키텍처의 어떤 지점에서 보호하려 하는가’라는 스토리지 보안의 핵심에 한층 더 다가갈 수 있게 해줄 것이다.

>> 암호화가 필요한가, 아니면 단순히 액세스 제어가 필요한가? SAN에서 데이터를 암호화할 경우, 이것을 전체 SAN에서 암호화해야 하는가? 암호해독이 오프 호스트에서 수행될 경우 네트워크는 추가 트래픽을 처리할 수 있는가? 암호해독이 호스트에서 수행될 경우, 클라이언트 소프트웨어나 암호해독 가속화 카드를 설치하기 위해 암호화된 데이터용 호스트로서 작동하는 각각의 서버를 기꺼이 건드리겠는가?
제품에 따라 암호해독을 하는 장소도 다르며, 이들 대부분은 스위치에서 호스트로 암호화되지 않은 상태의 데이터를 전달한다. 설문조사에 응한 독자의 11%만이 대역폭을 들일 가치가 없기 때문에 암호화를 사용하지 않는다고 말했으며, 32%는 호스트에서의 암호화를 선호한다고 답했다. 호스트 상의 암호화는 각각의 호스트에 암호화 전담 프로세서 카드가 없을 경우 CPU 집약적인 프로세스가 된다. SAN 상의 암호화는 스위치에서든 어플라이언스에서든 암호화되지 않은 데이터가 암호화 엔진을 오갈 때 이것을 SAN에 둔다.

>> 데이터베이스 칼럼을 암호화할 경우 암호해독이 돼야 하는 곳은 어디며, 키는 어디에 저장돼야 하는가? 키가 데이터베이스에 있고 이중으로 암호화가 돼 있다면, 이것으로 충분한가? 우리는 키를 이들이 보호하는 데이터와 함께 저장하고 싶지 않지만, 암호화 키가 암호화돼 있을 경우에는 이것을 받아들일 만하다고 생각하는 전문가들이 많다. 암호화와 암호해독이 저장된 프로시저와 함께 데이터베이스에서 수행이 된다면 이런 프로시저에 대한 액세스 제어에 신중을 기해야 한다. 키와 암호화 엔진, 그리고 데이터를 모두 하나의 박스에 둠으로써 네트워크가 트랜잭션 중간에 다운이 될 경우에도 데이터를 잃어버리지 않을 수 있다.

>> 호스트별로 특정 LUN으로의 액세스를 제한한다면, 액세스가 있는 호스트의 WWN(World Wide Name)이 액세스가 없는 호스트로 복사됨으로써 공격자가 유효 호스트인 것처럼 가장할 수 있는 WWN 스푸핑(WWN spoofing)을 막을 필요가 있는가? 허가받지 않은 호스트별로 시도된 액세스의 로깅이 필요한가? 특정 포트를 특정 장비의 WWN으로 연결할 필요가 있는가? 전체 SAN에서 계속 이 관계를 유지하겠는가? 특정 WWN에 포트를 연결시키는 것도 WWN 스푸핑을 막기에 좋은 방법이지만, 이러한 관계를 살아 있도록 유지해야 하기 때문에 유지보수비는 더 높아진다.

>> 역할 기반 액세스 제어(role-based access control)가 필요한가? SAN에 있는 데이터로의 액세스 제어는 응답자의 60%가 이행하고 있으며, 바로 그 뒤를 이어 55~57%의 응답자들이 인증 및 관리 액세스 제어를 꼽았다. 역할 기반 액세스 제어는 권한 관리를 훨씬 더 수월하게 만들어 주지만, 그만큼 오버헤드가 더 많아질 것이다.

>> 디스크나 테이프의 물리적 제어권을 확보한 공격자가 이들을 읽을 수 없도록 보장할 필요가 있는가? 이런 가능성을 배제하지 말라. 지난 2월, 뱅크오브 아메리카는 백업 데이터 센터로 테이프를 옮기는 도중에 이들을 분실했다고 발표했다. 테이프에는 일부 매우 불만스러운 의원들을 포함해 1천200만 명의 연방정부 직원들에 대한 암호화되지 않은 고객 및 계좌 정보가 들어 있었다. 테이프 암호화를 하려면 테이프에 있는 데이터가 필요할 때 암호를 해독할 수 있는 키가 있어야만 하기 때문에 복잡해진다. 하지만 키를 테이프에 저장해 두면 역효과가 날 수 있다.

어디를 보호해야 하는가
어떤 스토리지 보안 영역을 강화하고 싶은지를 묻는 질문에서는 놀랍게도 73%의 응답자가 호스트를 꼽았다. 이들은 호스트 및 IP 게이트웨이에 상주하는 애플리케이션들과 함께 SAN 보안에 있어 가장 취약한 지점으로 간주된다.
거의 모든 엔터프라이즈 SAN이 옵티컬 파이버 채널(FC) 네트워크에서 돌아가고 있으며, FC는 고속 고용량 데이터 전송을 처리하도록 만들어진 것이다. 목적에 맞게 우리는 디스크 서브시스템(타깃)과 서버(호스트) 간의 고속 고용량 전송에 초점을 두었으며, 이는 일반적으로 IP 스위치와 상당히 유사하게 작동하는 FC 스위치를 통해 이뤄진다.
이와 경쟁적 관계에 있는 iSCSI는 SCSI 명령어를 포함시켜서(wrap) IP 패킷으로 응답을 한다. IP의 오버헤드와, IP 프로토콜과 SCSI 기대값의 차이로 인해 iSCSI 성능은 FC에 미치지를 못하고 있다. 10기가비트 이더넷은 파이버 채널과 유사한 성능을 가져다 줄 것이며, 결과적으로 iSCSI의 인기는 보다 높아질 것으로 예상된다.
이제 파이버 채널과 iSCSI 스토리지 인프라 모두에서 호스트와 애플리케이션 이외에 다른 취약한 영역들을 살펴보기로 하자.

파이버 채널
>> 파이버 채널 스위치: FC 스위치는 네트워크에 연결된 스위치다. 이 기계는 그다지 잘 알려져 있지 않지만, 다른 스위치들을 괴롭히는 모든 취약성들로부터 시달림을 당하고 있다. WWN은 스푸핑될 수 있으며, 스위치가 물리적으로 대체될 수도 있고, IP 포트가 공격을 당할 수도 있다. 관리 포트를 통해 스위치로 관리자 액세스를 확보할 경우 전체 SAN이 공격에 개방될 수도 있다.

>> 파이버 채널 관리 호스트: 웹 기반 관리의 등장으로 인해 관리 전담 호스트가 사용되는 일이 줄어들게 되었다. 하지만 웹 기반 관리 시스템은 어떠한 TCP/IP 기반 네트워크에서나 일어날 수 있는 수천 가지 공격을 당하기가 쉽다. 관리 호스트나 인터페이스로의 관리자 액세스를 확보할 경우 공격자가 SAN에 있는 모든 보안 기능을 꺼버리는 것도 가능해진다.

>> 파이버 채널 스토리지 어레이: 물리적 스토리지는 몇 가지 다른 경로를 통해 위협을 받을 수 있다. 대부분의 LUN 마스킹(masking)과 가상 라우팅(virtual routing)은 스위치에서 이루어지기 때문에, 스위치를 교체하면 물리적 어레이에 있는 드라이브에 액세스가 허용될 수 있다. 또 누군가가 당신의 물리적 어레이를 가지고 건물을 빠져나가버릴 수도 있는 일이다.

>> 테이프 백업: 앞서 언급한 것처럼, 테이프는 건물을 떠나서 오프사이트로 저장되기 때문에 취약 지점이 된다.

iSCSI
>> iSCSI 스위치: 이들은 IP에서 볼 수 있는 모든 취약성을 갖고 있는 경향이 있다. 예를 들어 관리자 액세스를 확보한 허가받지 않은 사용자가 가상랜(VLAN)과 보안 기능을 끌 수 있다. 이것은 FC에서보다 iSCSI에서 더욱 문제가 되는데, 그 이유는 iSCSI에서 스토리지 보안 전문 기능이 포함돼 있지 않은 기성품 IP 스위치를 사용하기 때문이다.

>> iSCSI 스토리지 어레이: 이들은 FC 스토리지 어레이보다 공격에 더 취약할 수 있는데, 그 이유는 다름이 아니라 IP 네트워크에 있는 어떤 기계든 이들을 볼 수 있기 때문이다. 주어진 호스트와 IP 스토리지 박스 사이에 경로가 있을 경우에는 직접적인 공격 벡터가 존재한다. iSCSI 스토리지 어레이는 FC 스토리지에 영향을 미치는 것과 마찬가지의 물리적 액세스 문제를 안고 있다. 그리고 iSCSI 네트워크에서는 어레이에 더 많은 보안 정보가 있기 때문에 관리자 액세스를 확보하면 FC에서 보다 더욱 큰 위협이 된다.

호스트와 애플리케이션 보안
앞서 언급한 것처럼, 대부분의 독자들은 호스트와 여기서 돌아가는 애플리케이션의 보안에 대해 걱정하고 있다. 나쁜 소식은 일단 공격자가 스토리지 네트워크에 있는 호스트로의 액세스를 확보하면(파이버 채널이든 iSCSI든) 호스트가 볼 수 있는 모든 데이터로 액세스할 수 있다는 것이다.
다행히도 본고 제2부를 통해 우리가 살펴본 대부분의 제품들은 LUN에 따라 액세스 권한을 각각의 호스트가 볼 수 있는 것으로 제한할 수 있다. 데이터베이스 암호화 툴은 특정 애플리케이션이 돌아가는 것들을 제외한 어떤 사용자에게든 데이터 액세스가 불가능하다는 사실을 알고 있다는 점에서 보안을 강화해준다.
이것은 만병통치약은 아니지만, 공격자가 박스로 침입한다고 해서 반드시 박스가 볼 수 있는 모든 데이터로 액세스하지는 못하게 해준다. 데크루(Decru)는 호스트에서 실행될 수 있는 애플리케이션과 각각의 애플리케이션이 볼 수 있는 스토리지를 관리자가 제한할 수 있게 해주는(개별적인 파일 레벨로까지) 애드온 애플리케이션을 제공하고 있다. 이 애플리케이션은 공격자가 데이터베이스 사용자의 로그인에 손을 댄다 하더라도 SQL*넷과 같은 애플리케이션을 이용해 데이터베이스 안에 있는 데이터로 액세스하지 못하게 막는 데 유용하게 사용될 수 있다.
SHA-1에 대해 최근에 발표된 좋지 못한 소식은, 공격들이 키나 데이터가 특정 기준 세트를 준수해야만 하는 환경에서 공격이 주로 도모돼 왔지만, 앞으로 새로운 해싱 표준들 가운데 하나를 사용해야 할 것이라는 사실을 뒷받침해준다. 당신이 선택한 제품이 확장 가능한지를 확인해 보라. 보안에 있어서 유일하게 확실한 것은 변화한다는 것뿐이다.

비싸게, 하지만 신중하게
결국 데이터 보안에 들어가는 비용은 그리 놀랄 게 없다. 데이터 암호화는 당신이 생각하는 것만큼은 아니겠지만 대역폭과 대기시간을 잡아먹는다. 액세스 제어 및 인증은 액세스 제어 목록을 설정 및 유지하는 데 관리 시간을 필요로 하며, 단 그룹 기반의 관리로 얼마간의 시간을 절약할 수 있을 것이다. 대형 네트워크를 유지하고 있을 경우에는 래디우스(RADIUS)
지원을 통해 비용을 줄여주는 제품을 선택하는 게 좋다.
사실 안심하고 데이터 보안을 하지 않을 경우에는 값비싼 암호화 어플라이언스들보다 훨씬 많은 비용이 들어갈 수 있다. 가트너에 따르면 내년 말경이면 데이터베이스에 저장된 신용카드 번호를 암호화하지 않을 경우 허가받지 않은 정보 공개로 인한 민사사건에서 과실(negligence)로 간주될 것이라고 한다.
이미 초이스포인트의 주주들은 소비자들의 개인 정보가 도난당했다는 뉴스로 인한 회사 주가 하락을 이유로 소송을 제기한 상태다. 미 연방거래위원회(FTC)에 따르면 미국의 기업과 소비자들의 신용정보 절도사건 금액은 연간 500억~600억 달러에 달한다고 한다. 자신들의 데이터가 도난당하도록 내버려두는 회사를 상대로 고소를 하는 소비자는 앞으로도 계속 늘어날 것이다. 나아가 캘리포니아 데이터베이스 보안위반법안(California Database Security Breach Act)에서는 이 주 내에 고객을 둔 기업이면 어떤 기업이든 침입이 의심스러운 경우까지도 공개를 하도록 요구하고 있다.
통보(notification)와 같은 역 퍼블리시티(adverse publicity)가 만들어내는 생각만 하더라도 저장된 데이터의 보호를 심각하게 받아들이지 않는 어떤 조직에서도 경종의 역할을 하게 될 것이다.

스토리지 보안

저장된 데이터를 보호하는 데는 스토리지 전문가가 보안 전문가들과 긴밀히 협력하는 게 중요하다. 지금은 각자의 영역을 구분할 때가 아니다. 최근 빈번하게 발생하고 있는 개인 정보 유출사건을 감안할 때, 오늘날의 데이터 보안 규정은 앞으로 올 것들에 비하면 아무 것도 아닌 수준이다. 예를 들어 미국 캘리포니아 주의 다이언 페인스테인 의원은 데이터베이스 보안을 위한 전국적인 표준이 될 법안을 제안했는데, 여기서는 공격자가 암호화되지 않은 개인 데이터를 확보했다는 의심이 갈 경우에도 기업과 정부 기관은 개인에게 이를 통보해야 하며, FTC에게 사건당 5천 달러에서 일당 최고 2만5천 달러까지의 벌금을 부과할 수 있도록 하고 있다.
본고 제1부에서는 네트워크 엔지니어, 데이터베이스 관리자, SAN 엔지니어 및 보안 전문가들이 데이터를 보다 안전하게 저장하기 위해 어떤 일을 할 수 있는지 소개하고 있다. 여기서는 또 취약한 영역이 어디인지를 설명하고, 자신의 조직에 적합한 스토리지 보안 수준에 대해 생각해볼 수 있는 일련의 질문들을 제시했다.
제2부 리뷰 코너에서는 본지 리얼월드 랩에서 암호화 제품과 스토리지 스위치들을 검토해 보았는데, 이를 위해 제품을 출품한 업체들은 브로케이드 커뮤니케이션즈, 시스코시스템즈, 데크루 시스템즈, 잉그리안, 캐스턴 체이스, 맥데이터, 네오스케일 시스템즈 및 프로테그리티 등이었다.
이번에는 제품별 최종평가표를 만들지 않았으며, 시스코의 MDS 921 6i 스토리지 스위치를 집중 조명하긴 했지만 에디터즈 초이스를 선정하지도 않았다. 그보다 우리는 업체들이 스토리지 보안 영역에서 당신에게 무엇을 해줄 수 있는지를 설명하고자 했다. 결과는 대체로 만족스러웠으며, 다음번에 이들 제품을 보다 심도깊이 분석해볼 수 있는 기회를 갖기로 했다.