Global Case Study - PHR&A 보안 시스템 구축
상태바
Global Case Study - PHR&A 보안 시스템 구축
  • 승인 2006.04.18 00:00
  • 댓글 0
이 기사를 공유합니다

침입 방지 위한 화이트리스트 구축으로 보안 문제 해결
지적재산·사용자·고객 위한 보안 대폭 강화 … 관리 과정 효율성도 향상

제로데이(zero-day) 공격을 피하는 것이 보수적이면서도 노동 집약적이다. PHR&A(Patton Harris Rust & Associates)는 사용자가 구동할 수 있는 각각의 화이트리스트(whitelist) 애플리케이션을 결정했다. PHR&A의 보안 전략 개요를 살펴보고, 이를 구축하는 과정에서의 교훈을 짚어본다.

버지니아주 샹틸리(chantilly)에 위치한 PHR&A는 민간뿐 아니라 정부를 고객으로 확보하고 있는 토목공학 및 컨설팅 업체로 PHR&A는 마이크로소프트의 윈도 메타파일(Windows MetaFile)의 보안 취약점이 제로데이 공격을 받게 될지 모른다는 사실을 알아냈다. 이에 따라 IT팀은 재빨리 애플리케이션 화이트리스트로부터 성가신 WMF 다이내믹 링크 라이브러리 파일을 제거했다.

ACL 도입
존 로이드(John Loyd) PHR&A 정보기술부문 부사장은 “DLL을 잡아 인증되지 않은 그룹이 구동되지 않도록 했다”며 “이를 통해 공격이 발생하기 전에 회사가 오프라인의 위험한 애플리케이션을 잡을 수 있었다”고 설명했다. 마이크로소프트는 WMF의 취약성에 대해 패치를 내놓았으며, PHR&A는 승인된 애플리케이션으로 DLL을 다시 작성했다.
최근의 화이트리스팅은 특정 사용자와 그룹이 구동할 수 있는 애플리케이션을 자세히 설명할 수 있는 보안 체계에 관해 새로운 잣대다. 사용자가 인증되지 않은 애플리케이션에 접속하려 하거나 실행 가능한 불량 파일이 워크스테이션을 통해 전달될 때 화이트리스트 소프트웨어가 이를 막는 것으로 정의된 애플리케이션과 실행파일만을 구동할 수 있다.
PHR&A는 시큐어웨이브(SecureWave) 생튜어리(Sanctuary) 화이트리스팅 소프트웨어를 설치했는데, 원하는 장소와 시간에 구동이 가능할 뿐 아니라 누가 구동할 수 있는 지 조건 지정이 가능한 ACL(Access Control List)을 사용하고 있다. 인터넷 사용이 폭증하며 더 이상 안티바이러스 툴만으로는 급증하는 제로데이 공격을 방어할 수 없게 되면서 PHR&A는 지난해 은밀히 이 소프트웨어를 도입했다.
로이드 부사장은 “더 이상 제로데이 공격에 관한 어떠한 방어책도 없었다”고 밝혔다. 더 이상 회사의 네트워크를 안전하게 지킬 수 없었던 IDS(Intrusion Detection System)를 사전에 폐기했다.
새로운 화이트리스팅 소프트웨어는 자체적인 규칙을 따랐다. 원격 사용자들은 아침에 자신의 워크스테이션에 전원을 연결했을 때 부팅이 매우 느린 고통스러운 경험을 갖고 있었다. 그 이유는 1MB의 화이트리스트 데이터베이스는 본사의 생튜어리 서버가 워크스테이션을 업데이트할 때 회사의 프레임릴레이 왠 상으로 2MB 정도의 데이터 트래픽을 대량으로 수집한 것으로 판명됐다.
시큐어웨이브의 도움으로 PHR&A는 이러한 문제를 조기에 치료할 수 있었다. 이는 생튜어리 클라이언트 소프트웨어에서 30초 타임아웃 세팅과 회사의 384Kbps 원격 프레임 릴레이 연결에 의해 부과된 새로운 제약 등 환경 설정이 변화하며 악화된 것으로 향후 생튜어리가 이미징 및 구축 소프트웨어인 고스트(Ghost) 시스템과 어떻게 상호 작용할 것인가에 관한 문제를 적절하게 지적했다. 이는 생튜어리 서버로부터 끊임없이 요구되는 워크스테이션 업데이트의 원인이 된다.
그간 PHR&A는 T1 왠 연결로 16개 사이트를 업그레이드할 수 있도록 스프린트로부터 왠 서비스 기반의 MPLS(Multiprotocol Label Switching)를 구현하고 있었다. PHR&A는 원격 사용자들에게 그들의 워크스테이션을 금요일 밤에 정지시키고 월요일 아침에 재부팅하도록 요구했다.
로이드 부사장은 “우리는 접속 지연에 관해 사용자들을 교육해야 했으며, 아침마다 부팅하지 않아도 된다는 것을 확인했다”며 “그들 중 대다수가 여전히 확장된 시간 동안 자신들로부터 떨어져 있는 워크스테이션을 로그오프 한다”고 설명했다.

IPS·방화벽 어플라이언스 구현 계획
PHR&A의 윈도XP 프로페셔널 워크스테이션 대다수는 생튜어리에 맞춰져 있고, 생튜어리 애플리케이션 서버 역시 화이트리스트 수용을 기반으로 SQL 데이터 베이스 서버를 구동한다.
그러나 PHR&A는 윈도 2000/2003 서버의 나머지를 롤링 생튜어리로 채우고 있다. 로이드 부사장은 “이 시스템이 중요하고 라이선스 이슈와 복잡하게 얽혀있어 이 서버로의 전환에 대해 조심하고 있다”고 덧붙였다.
PHR&A는 또한 안티바이러스와 이메일 스크러빙(scrubbing)이 포함된 스프린트의 SEPS(Sprint’s Email Protection Service)를 사용하고 있다. 향후에는 유선 분야의 보안을 위한 IPS 등 보안 아키텍처와 관련해 또 다른 방어 레이어 뿐 아니라 서버 기반 방화벽의 다른 측면에 하드웨어 기반의 방화벽 어플라이언스도 구현할 계획이다. IPS는 화이트리스트가 할 수 없는 것을 구현할 것으로 기대하고 있다. 로이드 부사장은 “부적절하고 불법적인 기술이 사용되는 것을 방어할 수 있을 것”이라고 말했다.

The Hard Sell
보안 투자 핵심, ‘보안 이슈와 위협 관리에 대한 지속적 의견 교환’
보안 기술은 설득이 어렵다. 이는 타깃이 움직이는 위험 관리에 관한 모든 것이고, IT 조직들이 각각의 경우에 ROI(Return on Investment)를 의미있게 높일 수 있도록 해야 하기 때문이다.
PHR&A의 부사장이자 IT 매니저인 존 로이드는 “보안 프로젝트는 현실적으로 추진돼야 한다”며 “자사의 기술에 적합하도록 시도해야 하며, 문을 통해 들어오는 누군가와 네트워크를 통해 인입되는 무엇을 살펴봐야 한다”고 주장했다.
PHR&A 경영진은 로이드와 IT 그룹이 최신 위협 기술에 대해 정통하다는 것을 인지했다. 이에 따라 로이드가 토목공학 및 컨설팅 회사용 화이트리스팅 소프트웨어를 구매하기 위한 예산으로 3만5천달러를 요청했을 때 주저하지 않았다.
로이드 부사장은 “경영진들은 보안 기술의 이점을 충분히 오랫동안 지켜봤으며, 어떻게 총알을 피할 것인지를 알고 있었다”고 설명했다. 이 회사의 IT 구매 전략은 실용적인 것으로, 보안 프로젝트의 예산은 약 30만달러 규모의 IT 구매 예산과 개별적인 것은 아니다. 로이드 부사장은 “이러한 예산 편성은 사용자 중심의 IT”라며 “우리와 사용자가 원하는 것 모두를 방어하기 위한 솔루션을 갖추기 위해 노력했다”라고 덧붙였다.
로이드 부사장은 핵심은 보안 이슈와 위협 관리에 대한 지속적인 의견 교환을 유지하는 것이라고 말한다. 만약 정기적으로 의견을 교환하고 있다면 끔찍한 공격 이후 또는 공격이 이뤄질 때 무엇을 구매해야 하는지 그다지 신경 쓰지 않아도 된다.
로이드 부사장은 “구매를 작정한 당일에 프로젝트를 위한 캠페인을 시작하지 말라”며 “위협이 있는 곳을 설명하고 관리하기에 앞서 우리는 몇 년을 준비했으며, 이로 인해 전반적인 보안 정책 변화에 따른 필요한 것을 시큐어웨이브에 정확히 설명할 수 있었다”라고 강조했다.
PHR&A는 외부로부터의 공격 방어는 일단 제쳐두고 최우선적으로 고객을 위한 측량, 도면 그리고 엔지니어링 데이터 등 지적 재산인 대형 캐드파일은 물론 원격 사용자와 통신사 및 전력회사 등 2개의 대형 고객을 위해 VPN 접속을 안전하고 완벽하게 유지하는 것이었다. 로이드 부사장은 “고객사의 네트워크에 우연히 멀웨어(Malware)가 침입해도 PHR&A가 모든 손해를 책임져야 한다”고 밝혔다.

Lessons Learned
“고통이 없으면 얻는 것도 없다”

PHR&A의 화이트리스트는 노동 집약적이었다. 로이드 부사장은 “첫 번째는 많은 관리"라고 지적했다. 이 회사는 리스트에 공을 들여야 했으며 실행 가능한 모든 것들은 특정 사용자 그룹을 포함해 허용됐다.
데이터 베이스는 4만3천 라인을 포함하고 있는데, 대다수는 이 회사의 오토캐드 기반의 랜드 구축 애플리케이션 스위트로 구성돼 있다. 로이드 부사장은 “오토캐드 스위트는 굉장히 거대한 것”이라며 “PHR&A는 필요없는 엔트리를 제거함으로써 데이터베이스를 1만5천개로 줄였다”라고 말했다.
관리 과정은 회사가 화이트리스트를 만든 이후 한층 능률적으로 변해갔다. PHR&A는 중복된 사용자 그룹을 제거하기 위해 화이트리스트를 정기적으로 추리고 있는데, 예를 들어 생튜어리 소프트웨어 마법사는 윈도 패치 과정을 자동화한다.
이 회사는 현재 윈도 XP 프로페셔널 워크스테이션 상의 새로운 소프트웨어를 인스톨하기 위해 VM웨어의 버추얼 머신을 사용하고 있다. 또한 생튜어리의 디바이스 컨트롤 툴을 구동 중으로 이는 사용자들이 업무를 위해 워크스테이션과 함께 사용할 수 있는 디지털 카메라, USB 메모리 스틱 등의 휴대용 디바이스로부터 네트워크를 보호한다.
로이드와 그의 팀은 이러한 디바이스의 연결이 가능하도록 다양한 애플리케이션을 제시했다. 로이드 부사장은 “우리는 처음에 바이러스에 감염된 카메라용 SD카드를 갖고 있었는데 이는 몇몇의 하드드라이브로부터 감염된 것"이라며 “회사의 안티바이러스 소프트웨어를 통해 감염을 멈추게 했다”고 밝혔다. 생튜어리 디바이스 컨트롤 툴은 CD-RW 디스크에 파일 복사를 또한 감사했다.
로이드 부사장은 “우리는 외부 디바이스에 복사된 모든 데이터를 감추도록 설정했는데, 파일은 단지 이름을 붙이기만 했다”며 “전송된 파일의 전체 복사를 차단할 수 있었다”고 설명했다. 그러나 다른 보안 기술과 같이 화이트리스팅만으로 모든 문제를 해결할 수는 없다.
로이드는 “화이트리스트는 적법한 프로그램의 불법 사용으로부터 사용자를 보호하지 않는다”고 지적했다. 사용자가 허용된 실행 가능 파일을 활용하고 부적당한 웹사이트에 터널을 구축했다면, 시큐어웨이브는 알아채지 못한다는 것.
하지만 데이터 전송 활동을 감사하는 생튜어리의 쉐도우 로깅 기능은 내부 데이터 또는 지적 자산의 도난을 방어하도록 한다. 로이드 부사장은 “캐드 워크스테이션 상에서 시간 당 1만5천~2만달러를 보호한다”며 “악의적인 공격과 부주의한 삭제 등의 우연한 공격에 이르는 모든 경우를 포함한다”고 설명했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.