Tech Info - 취약성 평가 툴
상태바
Tech Info - 취약성 평가 툴
  • 승인 2005.09.26 00:00
  • 댓글 0
이 기사를 공유합니다

잠재적 보안 문제 탐지 이상의 기능을 발휘한다

취약성 평가(VA; Vulnerability Assessment)는포괄적인 보안 프로그램에 적용되는 필수적인 도구다. VA 툴은 잠재적인 보안 문제를 찾아내는 것 이상의 기능을 갖고 있다. VA 스캐너는 자산 트래킹 등을 통해 IDS 데이터를 좀더 유용하게 만들 수도 있다.

사실 취약성 평가(VA) 툴은 새로운 것은 아니다. 과거 10여년 전부터 존재해 왔었고, 보안 구조 내의 기능 확장을 지속하면서 개선되고 있는 것이다. 예를 들면 과거 몇 년 동안 수동적인 취약성 탐지와 보안 데이터 통합 등이 VA 데이터를 활용하는 방법으로 변화했다. 이러한 개발은 여타 다른 것을 지원하는 것과 무관치 않다. 활성화된 스캐너가 있더라도 클라이언트 측면의 여전한 문제들 때문에 수동적인 탐지가 필요하다. 취약성 평가는 다양한 소스로부터 회복된 모든 데이터를 통합하지 않는다면 효과가 저하된다.

수동 vs. 능동
수동적인 취약성 스캐너는 잘못된 명칭이다. 아무 것도 스캔될 수 없기 때문에 취약성 탐지시스템으로 부르는 것이 좀 더 정확할 것이다. 또한 수동적인 취약성 평가는 침입탐지시스템(IDS)을 일반 시장에서 지칭하는 것과 동일하게 들린다. 두 제품에는 몇 가지 유사성이 존재한다.
두 제품 모두 보안 관련 데이터를 인식하기 위해 네트워크를 모니터링 할 수 있는 수동적인 디바이스를 갖고 있는데, 탐색하는 데이터 형태는 각각 다르다. IDS는 주로 침입을 탐지하는데 비해 수동적인 VA 툴은 네트워크 트래픽상에서 다른 클라이언트 또는 서버의 취약성을 인식한다. 많은 취약성이 발견되거나 적어도 추측이 가능하다. 예를 들어 취약성이 존재하는 웹 브라우저는 유저 에이전트 군이나 네트워크상의 어떤 독특한 행동에 의해 탐지될 수 있다. 하지만 호스트상에서 지역적인 특권없이 재래식 취약성 스캐너로는 탐지할 수 없다.
수동적인 접근으로의 다운사이드는 활성화되지 않은 서버 또는 클라이언트를 탐지할 수 없다. 이러한 경우 수동적인 취약성 시스템은 이를 방어하기 위해 돕는 대신 활용된 상태로 단지 취약성을 나타냄으로써 IDS와 동등해질 수 있다. 이에 따라 활성화된 VA 툴은 수동적인 시스템으로 완전히 교체되지 않을 것이다. 수동적이거나 활성화된 VA 툴은 하나의 완전한 보안 프로그램을 위해 공존할 전망이다.

활용 방법
취약성 데이터의 효과성은 어떻게 잘 활용하느냐에 달려 있다. 한 가지 애플리케이션은 IDS를 좀 더 지능적으로 만들 수 있다. 각각의 스캔된 시스템의 취약성에 관한 정보를 한데 묶을 수 있는 자동화된 시스템을 확보함으로써 특성과 함께 이를 받는 것을 공격하고, IDS의 잘못된 확실성에서 극적인 감소를 가져올 수 있다.
부가적으로 스틸시큐어(StillSecure)의 VAM과 같은 몇몇 제품들은 이러한 책임을 질 수 있는 호스트나 IP 범위의 할당을 허용함으로써 대형 연구소 내에서 로컬 관리자를 추적할 수 있다. 다른 제품들은 동일한 목적을 수행할 수 있는 관리 소프트웨어로 작동할 수 있도록 개발됐다. 예를 들어, TNS(Tenable Network Security)의 VA 제품 인터페이스와 ISS의 사이트프로텍터(SiteProtector)는 VA 데이터를 한 데 모으거나 하나를 대표로 할 수 있다.
동일한 방법으로 기업용 취약성 스캐너는 데이터를 받아야 하는 관리자를 통해 보다 효과적으로 사용될 수 있다. 몇 가지 환경은 정보와 증명서와 같은 저장을 위한 외부 데이터베이스를 갖춰야 할지도 모른다. 만약 그렇다면 선택한 VA 제품이 이러한 데이터로 권한 부여가 가능하고 이를 인증할 수 있는 지 먼저 확인해야 한다.
또 다른 VA의 이점은 자산을 추적할 수 있는 능력이 있다는 것이다. 만약 이러한 일을 위해 별도의 제품을 구매할 계획이라면 이 기능을 갖고 있는 VA 제품을 이용해 비용을 줄일 수 있을 것이다.

심층 정보 제공
VA 제품군은 특정한 취약성 판명과 세부적인 수준을 심층적으로 제공한다. 예를 들어 로컬 유저 네임 리스트와 같은 추가 정보는 구체적인 증명을 제공할 것이다. 이는 관리자에게 취약성을 증명할 수 있는 보다 쉬운 방법을 제공하는 것이며, 결과를 보장하는 것은 오탐지(false positive)가 아니다.
모든 VA 제품은 몇 가지 증명 수준을 지원하는 데, 사용자의 환경에 따라 요구되는 수준이 다르다. 우선은 취약성 데이터베이스의 모든 크기를 고려해야 한다. 취약성 검사의 몇 가지 형태가 다른 것들 보다 상응하는 것일 수 있기 때문에 숫자들은 속임수를 쓸 수 있다. 예를 들어 윈도 환경에서 윈도 특유의 취약성 검사는 전체 숫자의 검사보다 더 유용한 데이터가 될 지 모른다.
또 다른 중요한 요인은 요구된 접근 수준이다. 다수의 VA 제품은 로그인을 할 수 있는 관리자 신임장의 이점을 갖고 있으며, 패치 또는 버전을 원격으로 검증한다. 패치관리 툴의 범위 내에 있음에도 불구하고, 호스트가 취약하다면 VA 제품이 결정하는 것이 보다 효과적일 수 있다. 많은 환경에서 로컬 신임장에 스캐너를 활용할 수 없기 때문에 고도의 우선권을 원격 검사하는 방법을 적용해야 한다.
사용이 가능한 데이터를 관리자에게 제공하는 것은 발행된 리포트의 품질에 의존된다. 이미 확보하고 있는 정보를 조정하는 데 관심이 있다면 커스터마이징이 가능한 리포트와 유연성을 제공하는 제품을 선택하는 것이 좋을 것이다.
우수한 취약성 스캐너는 사용자 환경의 전체 취약성 표면을 도형으로 증명할 수 있는데, VA 데이터를 잘 이용하기 위해 적용한다면 감소되는 것을 볼 수 있다. 취약성 스캔은 오래된 운영체제와 몇몇 임베디드 디바이스로 인해 문제를 일으킨다. 사용자 환경이 여전히 사용 가능한 여러 중요한 디바이스를 확보하고 있다면, 이를 스캐닝하는 데 좀 더 신중한 VA 제품이 필요하다. 또 다른 환경에서는 좀 더 강력한 스캐너를 요구할 지 모른다. 스캔을 구동할 때 호스트가 DoS(Denial of Service)에 감염되기 쉬운지 확인이 가능하기 때문이다.

발견과 고정
최종적으로 VA 제품군은 단지 취약성 발견에 그치는 것이 아니라 이를 고정시키도록 돕는다. 이에 따라 제품 개선 정보의 역량과 패치 상태를 추적할 수 있는 능력을 평가해야 한다. 서버가 분산형태를 유지하는 환경과 시스템 관리자의 능력이 한결 같지 않은 상태에서 개선 정보의 능력은 발견된 취약성을 확보하는 데 결정적이다.
사용자 조직이 강한 변화 조절 방법을 확보하고 있다면, 아마도 취약성 패치를 추적할 수 있는 툴을 갖고 있을 것이다. 만약 그렇지 않다면, 이러한 기능을 제공하는 VA 제품을 찾아야 한다. 이러한 기능을 지원하는 제품의 대다수는 SIM(Security Information Management) 플랫폼으로 통합된 것이다. 다른 것들은 스틸시큐어의 VAM과 같은 올인원 제품으로 이러한 종류의 패치를 통합해야 한다.
많은 VA 제품군은 스캔되는 네트워크 규모에 기반해 허용이 이뤄진다. 대형 네트워크를 확보하고 있거나 네트워크로부터 IP 공간을 제어 또는 추가를 종종 한다면 어떤 IP 주소라도 스캔을 허용할 수 있는 오픈 키로부터 이득이 있을 것이다. 안티바이러스 또는 시그니쳐 기반의 IDS를 선호하는 VA 제품군은 규칙적인 업데이트 없이는 빠르게 진부해질 수 있다. 업데이트되는 취약성 데이터베이스를 포함하는 것을 비롯 지원비용을 잘 따져야 한다.
수동적이거나 활성화된 VA 제품군은 모두 보안 프로그램에서 중요한 것들이다. 이 제품들은 전반적으로 취약성 표면을 최소화할 수 있도록 다른 보안 프로그램과 연동해 사용될 수 있다. 이러한 방법을 지원하는 VA 제품군과 취약성 데이터가 네트워크 관리에 통합될 수 있는 길을 찾아야 한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.