이성욱 싸이버텍 홀딩스 보안기술팀 과장 swlee@cybertek.co.kr
연재순서
1. 엔드 포인트 보안의 중요성 및 현황(이번호)
2. 네트워크 기반의 엔드 포인트 시큐리티 강화 방안과 향후 발전 방향
현재 많은 기업들이 보안강화를 목적으로 다양한 보안 애플리케이션이나 보안 장비를 도입하고 있다. 또한 전문 보안 서비스를 이용하고 있는 조직도 많이 증가하고 있는 추세다. 네트워크 보안을 위해 사용되는 침입차단시스템과 침입탐지/방지시스템은 이제 더 이상 보안성 강화를 위한 선택사항 이라기보다 기본적인 필수사항이 되어가고 있다. 또한 요즘처럼 엔드 포인트 시큐리티(End point security)의 중요성이 부각되기 이전부터 안티 바이러스 프로그램 같은 보안 제품이 조직의 주요 보안장치로서 나름대로 제 역할을 해왔다.
그 이외에도 다양한 보안 애플리케이션들이 시장에 출시됐고 많은 기업들은 각자 환경에 적합한 보안 솔루션을 도입해 사용하고 있다. <편집자>
이처럼 많은 조직들이 적지 않은 비용을 들여 보안에 투자하고 있지만 ‘보안은 여전히 허술하다’라는 문제제기는 여전히 방송과 신문지상에 기사화되고 있다. 물론 언론에서 이슈화되는 이런 보안사고 중에는 직접적인 기술문제라기 보다 조직의 정책 부재에서 기인하는 문제들이 많은 것으로 나타났다. 그만큼 아직도 많은 기업이 보안문제를 일관성 있는 내부정책으로부터 접근하지 않고 일회성 기술보완으로 대응해왔다는 것을 알 수 있다.
정책 수립은 기술적 문제들을 포괄하고 여러 보안수단의 효율성을 극대화시킬 수 있는 중요한 요소임을 직시해야 한다. 다양한 보안위협에 직면한 엔드 포인트 시큐리티 역시 단순히 안티 바이러스만으로 해결될 수 없고 엔드 포인트 시큐리티에 대한 보다 근본적이고 포괄적인 정책과 절차에 따라 해결하도록 한다.
엔드 포인트 시큐리티의 중요성
많은 조직이 각 조직에 맞는 보안 제품을 도입했지만 관리자 스스로 여전히 뭔가 부족하고 취약하다고 판단하고 있다. 여러 이유 중의 하나는 지금까지 많은 조직들이 보안 강화를 위한 행동을 네트워크에 초점을 맞추어 진행했기 때문이라고 판단된다.
과거의 관리자들은 인터넷 파라미터(Internet perimeter)에 초점을 맞춰 보안 솔루션들을 도입했다. 침입차단시스템, 침입방지시스템 그리고 바이러스월 등의 도입이 그 단적인 예다. 하지만 지금의 네트워크 환경은 어떤가? 무선 및 모바일 디바이스들의 활성화로 인해 조직의 인터넷 파라미터를 통하지 않고서도 인터넷에 접근하기도 하며 외부의 랩톱 컴퓨터가 보안이 취약한 내부 네트워크에 접근하면서 커다란 문제를 야기할 수 있다는 것은 이젠 보편적인 현실이 됐다.
이런 디바이스를 조직 내부에서 분별없이 허용한다고 할 경우 아무리 인터넷 파라미터에 대한 보안을 강화했다고 해서 조직의 보안성이 유지될 수 있겠는가. 이런 환경이라고 하면 침입차단시스템과 침입방지시스템이 보호되고 있는 DMZ 구간(공개 서비스 서버 구간)이 아무 보안 단계를 거치지 않는 내부구간 보다 더욱 안전할 지도 모른다.
조직의 내부 클라이언트들은 사이버 범죄의 수단으로 악용될 가능성을 가지고 있다. 시만텍에서 발표한 인터넷 보안 위협 보고서를 보면 요즈음에 발생하고 있는 악성 툴은 단순 공격을 넘어서 사이버 범죄의 기반 수단으로 활용되고 있는 것을 알 수 있을 것이다. 과거에는 데이터를 손상시켜 가용성이나 무결성을 침해하는 것을 공격의 목적으로 했는데 현재의 공격들은 이런 데이터를 유출시켜 금전적인 이득을 취하려고 하는 것을 목적으로 하고 있다.
인터넷에 연결된 PC의 67~90%가 스파이웨어에 감염돼 있다고 알려져 있다. 스파이웨어는 사용자의 무관심과 오류로 인해 사용자가 모르게 설치(silent install)가 되며 인터넷 익스플로러의 취약점을 이용해 설치가 된다. 스파이웨어가 감염된 PC의 컴퓨팅 리소스를 감소시키는 것은 큰 문제점이 아니다. 스파이웨어를 통해 기업정보 유출의 수단이 될 수 있다는 점, 기존의 취약점을 이용해 설치가 되기 때문에 악의적인 코드(malicious code)로 사용될 수 있다는 점과 이를 관리자가 파악하지 못한다는 점이 스파이웨어의 가장 큰 위협이라고 할 수 있다. 또한 내부 클라이언트들은 조직의 네트워크 가용성을 위협할 수 있는 가장 위협적인 존재가 될 수 있다.
네트워크/서비스의 가용성을 위협하는 DoS 공격의 상당수는 봇 네트워크로 추정되고 있으며 봇 네트워크의 규모가 점점 커지고 조직화되면서 이런 이유로 봇은 특정 기업의 협박 수단이 되어가고 있다. 봇과 같은 악의적인 소프트웨어가 설치될 경우 특정 외부 기업을 공격하기 위한 수단으로 사용되지만 이로 인하여 봇이 설치된 클라이언트가 사용하는 조직의 네트워크 가용성도 위협 받게 될 수 있다.
엔드 포인트 시큐리티 강화를 위한 방안
엔드 포인트 시큐리티 보안 제품군에는 안티 바이러스, PMS, 개인용 방화벽, 스파이웨어/ 애드웨어 블럭, 팝업 차단, 콘텐츠 필터, IPSec 클라이언트, 스팸 필터, 호스트 IPS(IDS) 등 다양한 제품군들이 있다. 위에서 나열된 엔드 포인트 시큐리티 강화를 위한 대부분의 제품군들의 공통사항은 전용 보안 클라이언트가 대상 PC에 설치돼야 한다는 것이다.
엔드 포인트 시큐리티 제품군들이 하는 역할은 다음과 같다.
- 기업의 네트워크에 접속하려는 개별적인 통제를 받지 않는 PC를 검사
- ID, 패스워드, 데이터의 유출을 막고 스파이웨어 등을 차단해 대역폭 소모 사전 방지
- 규정에 반하는 원격 PC가 엔터프라이즈 자원에 접속하는 행위를 차단
- 퍼블릭 PC에 의한 조직 내부의 데이터 유출 방지
- 웜, 스파이웨어, 기타 해킹공격을 자동적으로 차단
- 안전한 상태의 PC들만 네트워크 접근을 허용
- 탁월한 보안성, 독보적인 관리기능 및 보안정책 수행기능
- 공격으로 인한 자산 피해 방지
- 클라이언트 PC의 유해성 검사 후 선택적 허용
- 자동 패치 관리
- 중앙통합 관리
PC에 설치되는 보안 에이전트는 보안성 검증 서버(중앙관리서버 등)에 보안성 검사를 의뢰한 후 그 결과에 의해 프로그램 실행/패치 적용/트래픽 전송 등의 기능을 수행한다.
중앙 관리 서버(보안 정책 서버)는 다음과 같은 사항을 확인한다.
- 안티 바이러스와 안티 스파이웨어와 같은 보안 프로그램의 실행 여부(최신 정보로의 업데이트 여부 포함)
- 기본적인 패치와 서비스 팩의 설치여부
- 최신의 룰이 적용된 개인 방화벽의 설치 여부
- 인터넷 익스플로러나 기타 애플리케이션이 최신 버전으로의 운영 여부
- 금지된 소프트웨어의 운영 여부
- 특별히 등록된 정책의 존재 여부
클라이언트 기반 엔드 포인트 시큐리티의 문제점
많은 보안 애플리케이션이 동일한 콤포넌트를 사용하는 경우가 빈번하다. 이로 인한 애플리케이션간의 충돌이 발생해 서비스에 문제가 발생하기도 한다. 예를 들어 금융권 서비스를 이용하기 위해서는 사이트에 접속 후 여러 개 이상의 보안 프로그램이 자동적으로 설치된 후에 서비스를 이용할 수 있다. 여러 개의 보안 프로그램이 설치되는 것도 문제가 될 수 있지만 서로 다른 금융 사이트를 동시에 접속할 경우 동일한 콤포넌트를 사용하는 상이한 프로그램이 각각 설치되기 때문에 종종 문제가 발생하고 있다.
또한 OS 업그레이드, 패치 등을 수행할 때 기존 보안 애플리케이션과 충돌이 발생해 심각한 시스템 오류가 발생하거나 특정 서비스를 이용할 수 없는 상황이 발생할 수 있다.
예상되는 문제점은 다음과 같다.
- 관리상의 어려움(buy/manage/install/update 및 별도 라이센스 관리 필요 등
- 내부 PC가 많은 경우의 관리 방안(조직의 모든 호스트 적용 가능 여부)
- 미숙한 사용자로 인한 관리/지원/유지보수 비용 증가
- 보안 클라이언트 설치 후 사용자로부터의 불만 사항 발생(성능 및 속도 저하 등)
- 블루 스크린 발생 가능성 존재(보안 애플리케이션의 경우, 커널 레벨에서 동작되는 경우가 많기 때문에 장애가 발생한 가능성 존재)
- 완벽한 보안 기능 수행을 위한 보안 정책 수반 필요(사용자가 보안 애플리케이션을 종료할 가능성 존재)
- 즉각적인 긴급 보안 적용의 한계성(중요 서버의 경우에는 서비스의 가용성을 보장하기 위하여 즉각적인 패치 및 업그레이드가 이루어 질 수 없다.)
- 모든 OS(operating systems)에 대한 보안 적용의 한계성(리눅스, 매킨토시 등)
- 모든 디바이스에 대한 보안 적용의 한계성(프린터, VoIP 전화, 무선 등)
현재 많은 네트워크/보안 관리자는 유해 트래픽이 자동으로 방어되기를 희망한다. 이를 위해 내부 PC에 보안 소프트웨어를 설치해 이를 해결하려는 시도가 진행 중이며, 내부 PC가 사내의 보안 정책을 준수한 경우(OS 보안 패치, AV 패치)에 내부 PC는 네트워크를 사용할 수 있도록 인가하고 있다. 하지만 이는 위에서 기술한 것처럼 쉽지 않다. 또한 에이전트를 PC에 설치함으로써 많은 보안 기능을 적용할 수 있지만 실제로 이로 인해 발생할 수 있는 문제점도 적지않은 게 현실이다.
클라이언트 기반 엔드 포인트 시큐리티 강화 제품군들은 이와 같은 문제점을 내포하기 있기 때문에 이를 해결하기 위한 네트워크 기반 엔드 포인트 시큐리티 구현 방안을 다음 기고에서 구체적으로 살펴보겠다.
