Case Study - 고려대학교 IPS 구축
상태바
Case Study - 고려대학교 IPS 구축
  • 승인 2005.10.24 00:00
  • 댓글 0
이 기사를 공유합니다

합보안 장비로 인텔리전트 캠퍼스 라이프 실현
취약점 탐지·서비스 안정화·효율적 통합관리 가능 … 웜·바이러스·제로데이 공격 안심



최근 대학들이 ‘인텔리전트 캠퍼스(Intelligent Campus)’를 실현하고 첨단 정보기술을 교육과 연구에 접목시키며 대학교육의 변화를 주도하려 하는 시점에서 정보시스템이 얼마나 중요한지는 두말할 나위가 없을 것이다. 또한, 그 정보시스템의 한가운데는 ‘보안’이라는 핵심요소가 포함돼 있다. 이에 지난해 연말 고려대학교(총장 어윤대 www.korea.ac.kr)는 인텔리전트 캠퍼스를 구축함에 있어, 보안을 최우선과제로 선정했고, 올 초 기존 운영중인 방화벽, IDS 등 보안 솔루션의 한계를 보완하며, 학내망 보안을 더욱 강화할 수 있도록 IPS도입을 추진했다.
장윤정 기자·linda@datanet.co.kr
사진·김구룡 기자·photoi@datanet.co.kr


고려대학교는 학내에서 운영중인 방화벽, IDS만으로 학내외의 다양한 보안 위협을 능동적으로 차단하는데 한계를 느꼈다. 특히 대학은 학기초에 많은 문제가 생기는데 과도한 트래픽의 발생으로 인해 네트워크를 사용하지 못하게 되는 상황이 발생하지 않도록 가용성이 중요했다.
학내 보안 시스템의 능력을 벗어난 공격의 증가는 학내 인트라넷서버, 포털서버 등 중요한 운영서버들을 위협했다. 더불어 네트워크 장비에 씬 플루딩(Syn flooding)이나 패킷 플루딩(packet flooding)같은 유해 트래픽을 과도하게 유발함으로서 인터넷 서비스의 가용성을 위협하는 경우까지 이르렀다.
또한 새로운 신종 웜이나 변종 웜, 신규 취약점에 대한 해킹 공격 위협에 대한 방어 부재로 중요한 연구자료에 대한 보안이 거의 이뤄지지 않고, 개인에 의해 보호되고 있다 보니, 항상 해킹의 위험에 직면해 있었다.
즉, 지능화, 고도화돼 가는 다양한 공격에 대한 기존 보안 솔루션의 능동적인 방어 능력 한계 등에 따른 정보보안 인프라 강화와, 그런 보안 위협 및 침해를 사전방어하기 위한 능동적인 보안시스템구축이 절실했고 이에 ISS코리아의 ‘프로밴티아 시리즈’를 도입, 복합적인 보안 위협에 능동적으로 대응키로 결정했다.
고려대학교 정보전산처 전산운영부 최철호 선생은 “고려대는 지난 2001년도에 보안솔루션을 도입, 2세대 보안솔루션을 도입할 시기가 도래했다”며 “최근 보안 솔루션은 IPS로 가는 흐름이었고 IPS를 통해 보안 위협을 능동적으로 대처하자는 의견에 따라 도입을 검토했다”고 언급했다.
지난 2003년부터 각 벤더들의 IPS를 검토했고 2004년부터 검토의 결실을 맺어 5월에 완료됐다. 유수한 국내외 IPS벤더들과 몇 주간에 걸친 BMT 끝에 다양한 보안사고가 빈번하고 여러 가지 변수가 많은 학내망이라는 특성에 부합하는 보안성, 성능, 관리성 등을 갖춘 ISS(Internet Security Systems)의 프로밴티아(Proventia)를 고려대 인텔리전트 캠퍼스의 보안 솔루션으로 선정했다.

학내망 특성에 맞춘 보안성·관리성·성능 갖춰
고려대학교에 도입된 IPS는 프로밴티아 시리즈 중 가장 대형 장비인 ‘프로밴티아 G2000F’ 모델 5대다. 최 선생은 “기능적인 부분에 대해 만족한다. 특히 문제발생시 분석능력 뛰어나다”며 “어떤 문제인지 한눈에 알 수 있는 편리한 구성과 문제점을 세부적으로 찾아낼 수 있는 문제해결능력이 뛰어나다”고 만족을 표시했다. 인포섹과 ISS코리아가 함께 구축을 지원, 구축 당시는 물론이고 현재까지 별다른 문제없이 안정적으로 운영되고 있다.
최 선생은 “우선, BMT시 여러 가지 변수가 많은 학내망이라는 특성에 따라 형식적인 성능테스트 장비에 의한 테스트를 배제하고, 대학교 실망에 일정기간 적용함으로서 실제 학내 트래픽환경에 가장 적합한 장비 선정에 초점을 맞췄다”고 언급했다. 또 그는 “탐지, 방어 능력에 있어서는 얼마나 많은 수의 프로토콜을 제대로 인식하고, 해당 프로토콜에 대한 취약점을 패턴 매칭이 아닌 취약점기반으로 방어할 수 있는지, 마지막으로, 신종 웜 또는 변종 웜에 대처하기 위해 공개된 코드를 통해 시그네이쳐를 업데이트하는 방식이 아닌 자체 연구조직을 통해 빠르게 대응할 수 있는지 등을 고려해 ISS 프로밴티아를 선정했다”고 덧붙였다.


취약점 기반 공격 탐지·효율적 통합관리 ‘만족’
프로밴티아 시리즈 도입 후 고려대학교에 일어난 변화는 여러 가지를 들 수 있겠지만 우선 가장 만족스러운 점은 신종 보안 위협을 완벽히 차단할 수 있는 능력을 보유했다는 점이다. 최 선생은 “예를 들면, 얼마 전 발생한 MS PnP 취약점을 이용한 ‘Zotob 웜’에 대해서 타 기관에서는 뒤늦게 대응책 마련에 고심했지만, 고려대학교는 ISS로부터 받은 권고문을 통해서 사전에 대응을 할 수 있었다”고 언급했다.
ISS의 취약점 연구조직인 엑스포스(X-force)팀에서 올 3월 MS PnP 취약점을 발견해 해당 내용을 MS에 알려 줬고, 해당 취약점에 대한 사전방어가 가능한 가상 패치가 이미 지난 4월 모든 ISS 제품에 업데이트되어 새로 출현할 보안 위협에 대해 사전 방어를 제공했다는 것. 또한 얼마 전 발생한 선 프린트(Sun printd) 데몬 관련 취약점 역시 사전방어를 제공함으로서 해당 공격으로부터 학내망을 안전하게 보호할 수 있었다.
이런 장점은 또한 패치 관리시스템(PMS)에 의해 실시간으로 패치를 적용하기 어려운 운영서버의 패치 전까지 해당 공격으로부터 안전하게 시스템을 보호해 줄 수 있다. 최 선생은 “이런 사전방어가 가능한 것은 세계적으로 발표된 취약점의 50% 이상을 발표하는 ISS의 엑스포스팀이 있기에 가능하며, 제품 선정시 이런 점을 고려했다”며 “사실, BMT 당시는 새로운 취약점에 대한 사전방어를 테스트해 볼 수 없어 그 효과에 대해 반신반의했지만 지금은 그 효과에 대해 100% 만족하고 있다”고 언급했다.
또한, 코드레드, 님다, 슬래머, 블래스터, P2P, IRC 관련 웜이나 기타 웜 공격을 차단하는데 있어, 프로밴티아는 탐지분석방법으로 취약점기반 탐지 기법을 사용하고 있다. 이는 IPS 벤더들이 일반적으로 사용하는 시그니쳐 기반의 패턴 매칭 방식이 아닌 취약점기반 탐지 방법을 핵심으로 여러 가지 공격탐지 기법을 혼용함으로, 이미 발견된 웜바이러스 뿐만 아니 변종된 웜이 발생하더라도 별도 시그네이쳐 업데이트없이 기존 시그네이쳐로 여전히 차단이 가능할 수 있다. 게다가 이런 트래픽을 자동 격리해 제 2의 전파 피해도 차단할 수 있다. 이런점은 불특정 다수가 접속하는 학내망이라는 특수한 상황에 대해 능동적으로 공격에 대처할 수 있어 학내망 보안강화에 일조를 하고 있다.
또한 프로밴티아 시리즈는 기존 방화벽에서 차단하지 못한 서비스거부 공격(DoS)이나 DDOS 공격, DRDOS, 웜바이러스 등을 탐지, 방어할 수 있으며, 기가망의 환경에서도 속도 저하없이 탐지, 차단함으로 학내 웹, 포털, 메일 등 내부 인트라넷 서비스 및 인터넷 서비스의 안정화를 가져오게 됐다.

인터넷·인트라넷 서비스 안정화
최 선생은 “BMT시 실망에서의 혹독한 테스트를 통해 빠르고 안정적인 성능을 보장해 주는 것을 확인했고, 이는 과다한 트래픽으로 인해 발생할 수 있는 네트워크 장비의 장애를 사전에 제거, 네트워크 장비의 안정화를 가져옴으로써 현 네트워크 자산 활용의 극대화를 가져올 수 있었다”고 언급했다. 또 그는 “대학교라는 환경의 특수성을 고려해 인터넷 방화벽 앞뒤, 그리고 각단과대별로 IPS를 구현함으로 유해트래픽이 학내망 내, 외부에 전파되는 것을 단과대별로 차단함으로 보안성을 한층 높일 수 있다”고 덧붙였다.
특히 고려대는 각 단과대의 이중화된 백본스위치를 ISS 프로밴티아의 멀티세그먼트로 구현함으로 저비용, 고효율을 도모할 수 있었다. 또한 ISS에서 지원하는 사이트 프로텍터라는 통합관리모듈을 통해 모든 IPS의 이벤트를 통합관리함으로 학내 트래픽 상황을 쉽게 모니터링할 수 있다. 따라서 실시간 발생할 수 있는 보안 사고를 효과적으로 대체할 수 있는 장점이 있다.
최 선생은 “문제가 있어 시스템을 구축하게 되면 기본적인 보안 위험은 막아진다. 그러나 시간이 지나면 아무리 관리를 잘 한다해도 방어능력보다 위험적인 요소들이 증가할 수밖에 없다”며 “보호되지 않는 위협의 증가로 방어되지 않을 위험성을 막기위한 최선의 방법은 관리”라고 강조했다. 진보된 솔루션 도입도 중요하지만 늘어나는 시스템과 철저한 보안을 위해서는 관리가 필요하다는 것이다. 따라서 향후 고려대학교는 보안교육과 보안 마인드 형성도 앞으로 가야할 큰 과제라고 생각하고 있다.
최 선생은 도입한 ISS 프로밴티아 시리즈에 대해 “수치로 계산하면 솔루션 자체의 기능 등에서 100점을 주고 싶다. 그러나 우리가 활용하는 부분에서 100% 하고 있느냐고 묻는 다면 답은 아니다”라며 “시간투자, 효율적 활용 등에서 아직 미흡하다. 제품 자체의 활용도는 100점이지만 나머지 활용도는 30점이다. 나머지는 관리자가 꾸준히 제품의 기능을 공부하고 그 기능을 활용, 100%가 되도록 노력할 방침이다 그것은 도입한 시스템관리자의 임무라고 생각한다”고 언급했다.
고려대학교는 프로밴티아 시리즈를 통해 확보된 안정성, 보안성, 통합보안 관리의 장점을 바탕으로 글로벌 KU(코리언 유니버시티)를 향해 오늘도 힘찬 한걸음을 내딛고 있다.

INTERVIEW
최철호 | 고려대학교 정보전산처 전산운영부 담당
통합 보안·성능 우수·업무 효율 향상만족


ISS 프로밴티아 시리즈를 도입한 이유는.
갈수록 높아져가는 보안 침해 사고에 효과적으로 대응하기 위해 IPS를 도입키로 결정했고 IPS로 보안 사고를 막으려면 탐지부터 잘 해야 한다는 점을 고려했다. 각 벤더마다의 장비가 차단하고 못하는 부분이 다른 것은 이 위협을 차단하게 되면 시스템이 다운되는 문제가 발생할 수 있어 탐지는 IPS의 생명이자 가용성을 보장하는 요소다.
ISS는 본사의 엑스포스팀에서 신종 보안 위협을 즉각적으로 탐지하고 이에 대한 대응을 바로 취해주기 때문에 보안위협에 대한 효과적인 탐지와 이에 대한 대응이 가능하다는 점을 높이 평가했다. 기대대로 ISS 프로밴티아 시리즈는 탁월한 취약점 기반 공격 탐지 기법을 보여주고 있으며, 인터넷, 인트라넷 서비스의 안정화를 가져와 만족하고 있다.

대학에서 IPS 선정 시 고려할 사항은.
실제 담당자가 선택한 IPS가 가장 좋다. 벤더쪽에서 BMT를 하게 되면 가격이나 정책적인 이유로 관리자가 선택한 장비가 들어오지 못하게 되는 경우가 많다. 가격이나 영업력보다는 관리자의 선택을 존중해야한다. 또한 그 벤더가 얼마나 영속성을 가질 수 있는 것인가도 중요하다. 만약 업체가 사라진다거나 제품이 단종될 경우 유지보수를 어떻게 받을 것인지 고려한다면 장기적인 안목으로 신뢰성있는 업체를 선택하는 것이 필요하다.
특히 IPS는 패턴업그레이드 등 영속성이 중요하다. 실제 검증된 학교 네트워크에 검증된 제품인 살펴야 한다. BMT만으로는 어느 장비나 좋은 퍼포먼스를 낸다. 그리고 이제는 거의 모든 IPS 제품들이 비슷한 퍼포먼스를 내고 있다. 우리 학내망에 가장 적합한 제품이 어떤 것인지, 관리자가 꼼꼼이 따지고 분석한 후 실제 망에서의 성능을 고려한 관리자의 선택이 중요하다.

향후 시스템 활용 계획은.
고려대학교는 전 지역에 사설 무선랜을 구축, 모바일 캠퍼스를 실현하고 있으며 전자결제시스템 등도 구축하는 등 전산 인프라에서 앞서가고 있다. 향후 진정한 유비쿼터스 캠퍼스를 실현하는 정보화 구축 5단계에서 현재 4단계인 시큐리티 구축 단계를 실현중이다.
이에 따라 보안을 강화할 수 있는 보안관제쪽을 진행중이다. 통합보안관제시스템과 센터 구축 2가지를 함께 구축하려고 계획중이다. 현재 구축돼 있는 기술적인 인프라를 기반으로 관리적인 측면에서 틀을 잡아가게 될 것이다. 보안프로세스를 정립하는 데서 ISO 인증부분도 검토중이다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.