> 뉴스 > 기획특집 > 구축사례
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
인터넷 나야나 IPS 도입
2006년 06월 22일 00:00:00
보안 안심·고객 만족도 극대화로 경쟁력 업그레이드

해킹·이상 트래픽 발생율 90% 이상 감소 … 취약점 기반 공격 탐지·효율적 통합관리 만족

젊은 기업, 정직한 기업을 모토로 하는 인터넷 호스팅 전문업체 인터넷나야나(대표 황칠홍 www.naya na.com)는 호스팅 업체답게 많은 서버들을 관리하다보니 보안의 어려움이 많았다. 보안설정을 원하지 않는 고객도 있고 보안에 대한 자체적인 대처 능력이 없는 고객도 많아 만일의 사고를 미연에 방지할 수 있는 방법이 필요했던 것. 이에 인터넷나야나는 ISS의 ‘프로벤티아(Provent) G2000' IPS를 도입, 전체적인 공격에 대한 방어와 통합적인 관리라는 두 가지 문제를 동시에 해결했다.
인터넷나야나의 IPS 도입 사례를 들여다본다.
글·장윤정 기자·linda@datanet.co.kr
사진·김구룡 기자·photoi@naver.com


홈페이지 제작과 운영에 필요한 각종 호스팅 서비스, 무료 계정, 무료 도메인 지원 등 다양한 웹 호스팅, 서버 호스팅 사업 등을 주력으로 하는 인터넷나야나는 KT IDC에서 다수의 고객 서버들을 관리하고 있다. 고객중에서는 자사의 서버에 관리자를 두고 직접 관리하는 고객들도 있지만 서버 한 두 대를 겨우 운영하는 영세한 고객들도 있어 보안까지 신경쓴다는 것은 사치스러운 일이라는 것. 상면과 네트워크만 빌려 쓰는 고객들이라 해도 기본적인 보안은 제공해야 고객에 대한 책임을 다할 수 있다는 생각에 나야나는 네트워크 상단에 걸어두면 자동으로 각종 공격을 방어할 수 있는 IPS 제품을 도입키로 결정했다.

ISS 프로벤티아 G2000 IPS 도입
인터넷나야나에는 약 1천여 대의 고객 서버가 운영되고 있으며 이중 웹 호스팅을 제외한 800여대의 서버 호스팅 코로케이션 서버들을 관리 하고 있다.
IPS를 도입하기 전 나야나에서는 KT IDC측과 협의해 상단 스위치단에서 방화벽 ACL 기능을 사용해 공격지 IP를 차단하는 방식을 썼지만, 이는 형태는 이미 공격이 벌어진 후에 손을 쓰는 형태라 한 단계 늦은 방어법이었다. 또 IDS를 활용해 로그를 탐지, 분석하는 작업에 많은 노력을 기울였으나 이 역시 로그가 방대하고 IDS의 오작동도 있어 효과적인 탐지가 어려웠다.
인터넷나야나 시스템 엔지니어 김대식 팀장은 “서버 호스팅 코로케이션 업체의 경우 다양한 고객들의 서버를 운영하기 때문에 보안설정을 원하는 고객도 있고 원하지 않는 고객들도 있어 일관적인 보안 정책 적용이 어렵다”며 “그러나 한 고객의 서버가 감염되면 다른 고객 서버까지 전파될 수 있어 전체적인 방어가 가능한 IPS를 도입하기로 했다”고 밝혔다.
IPS를 도입하기로 결정한 후 ISS를 포함한 2개 업체로 BMT를 실시했다. BMT에서 특히 나야나는 서버 플랫폼 OS의 80% 이상이 리눅스여서 윈도 계열의 공격에는 두 제품 모두 비슷한 성능을 보였으나 리눅스 기반 공격을 잘 막아냈고 기능, 퍼포먼스가 보다 뛰어난 ISS의 ‘프로벤티아 G2000’ IPS를 선택케 됐다. IPS 도입 후 나야나에서는 이상트래픽이 한건도 발생하지 않아 KT IDC측에서 나야나로 무슨일이 있었냐고 문의해올 정도라는 것.
김 팀장은 “중국쪽 해킹이 빈번했으나 IPS 도입 후 중국발 해킹이 현저히 감소했으며 이상트래픽 발생도 줄어들어 입주해있는 KT IDC 측에서도 만족해한다”며 “IPS를 도입하면 혹시 네트워크가 전체적으로 느려지지 않을까, 장애가 발생하면 서비스가 중단되지 않을까 걱정했지만 모두 기우였다”고 만족감을 표시했다. 실제로 나야나가 BMT시 가장 중점적으로 봤던 부분도 IPS 장애로 인한 서비스 중단에 대한 대비였다. 그러나 ISS 프로벤티아 G2000 IPS는 하드웨어 장애시 바이패스(Bypass) 기능을 제공함은 물론 리부팅시에도 세션이 거의 끊기지 않아 고객이 서비스 일시 중지를 거의 느끼지 못할 수준이었다.


효율적 방어정책 위한 시뮬레이션 모듈 제공
또한 나야나는 ISS의 글로벌 취약점 연구조직인 엑스포스(X-force)팀에서 어떤 패치의 경우는 마이크로소프트보다 빨리 업데이트가 가능할 정도로 빠르고 신속한 취약점 업데이트를 지원하는 것에도 믿음이 가 ISS의 장비를 선택하게 됐다고 밝혔다.
나야나의 인프라는 서비스망이다 보니 BMT를 진행하기도 쉽지 않았다. 서비스 정기 점검시간, 주로 새벽을 이용해 잠깐씩 BMT를 하고 결과치를 보여줘야 했기 때문에 BMT를 진행하는 공급업체쪽에서도 진행이 쉽지는 않았다는 것. 그러나 ISS의 채널인 윌스텍에서 밤낮을 가리지 않고 세심히 지원해줘 BMT는 물론 장비 설치 후에도 아무런 문제없이 잘 운영되고 있다.
인터넷나야나 시스템 엔지니어 김대식 팀장은 “ISS와 채널쪽에서 설치와 운영에 걸쳐 꼼꼼이 지원해준 덕분에 장애 발생 없이 잘 운영되고 있다”며 “앞으로 시그니처를 직접 설치하고 장비를 운영할 수 있도록 추가적으로 직원들을 교육하고 직접 관리할 수 있는 능력을 키우도록 ISS에서 지원해주면 더욱 좋을 것 같다”고 덧붙였다.
취약점 기반의 IPS인 프로벤티아 G2000 시리즈의 장점을 좀더 세밀히 살펴보면 우선 프로벤티아 G2000은 2기가비트 성능을 제공하며, 8개의 기가 포트를 보유하고 있으며 전원 및 장비 장애시에 네트워크 흐름을 유지시켜주는 바이패스 기능을 기본으로 제공한다.
ISS의 경쟁력이자 IPS의 핵심이 되는 본사 보안연구조직 엑스포스팀에 의해 발견된 취약점 정보에 의해 업데이트되는 취약점기반 시그니처를 자동으로 공급받게 되며 웜의 피해 서버 및 지원지가 되는 PC나 시스템의 분석을 실시간으로 시행, 신종 웜에 대응한 사전방어 수행 뿐 아니라 변종 웜에 대한 대응과 사후 추적관리 기능이 뛰어나다. 또한 2천여개의 시그너쳐중에서 1천여 개의 자동 블록킹 정책을 제공하므로서 사용자의 고민없이 안정적인 장비운용과 자동 방어를 동시에 만족 할 수 있도록 설계됐다.

웹 방화벽 도입 등으로 지속적 보안 강화할 것
뿐만 아니라 IPS 도입에서 정상 운영시까지 기존트래픽을 분석해 효율적인 방어정책을 수립해 나갈 수 있도록 도와주는 시뮬레이션 모듈(Simulation mode)를 제공함으로서 네트워크의 안정성 보장과 웜에 대한 방어능력을 최대한 발휘할 수 있다. 특히 번들로 제공되는 통합 관리 툴인 사이트프로텍터(SiteProtector)를 통해 장비운영 및 관제수준의 모니터링기능을 제공하여 웜방어 현황 및 해킹 시도를 손쉽게 추적 관리하며, 강력한 실시간 리포팅 기능을 이용하여 전사적 보안 수준을 한층 끌어 올릴 수 있다.
ISS는 올 하반기에는 16개 기가포트에 10기가를 지원하는 NPU를 탑재한 IPS가 출시예정이며 내년에는 100기가 지원 IPS 모델을 출시할 예정이다. 나야나에서는 현재 설치한 IPS가 최대 2기가비트의 성능을 제공해주지만 추후 회선을 증설할 계획이라 내년에 보다 큰 용량의 제품이 출시되면 도입을 고려할 방침이다. 회선 증설전에 우선 분리돼 있던 L3 라인 윗단에 ISS IPS를 재배치하고 L4 스위치를 도입해 로드밸런싱을 구현하는 등 늘어나는 트래픽에 대비하기 위해 네트워크 구성을 다시 할 계획이다.
또 몇 년 전부터 웹 해킹이 늘어나 웹 방화벽 등 전문적인 웹 해킹 방어 장비를 통해 보다 보안을 공고히 할 예정이다. 김대식 팀장은 “현재 대부분의 웹 사이트는 개발단계부터 보안을 염두에 두고 개발된 사이트가 없어 보안에 매우 취약하다”며 “물론 ISS의 IPS로도 웹 공격을 어느 정도 차단해 주지만 앞으로 웹 공격은 더 심해질 것으로 예상되기 때문에 전문 웹 방화벽 장비를 도입해 웹 애플리케이션 공격을 차단해줄 필요성을 느끼고 있다”고 언급했다.
이렇게 고객들의 안전한 보안을 위해 다각도에서 항상 고민하고 노력하는 인터넷나야나는 사이버세상 속에 자신만의 영토를 갖고자 하는 많은 네티즌들을 위해 새로운 유토피아 건설에 일조를 하고자 늘 새로운 도전과 노력을 아끼지 않을 방침이다.

- 도입 배경: 일괄적인 자동방어와 통합적인 관리 정책 적용
- 도입 제품: ISS 프로벤티아 G2000 IPS
- 도입 효과: 리눅스 기반 공격 감소, 통합 관리 용이, 이상 트래픽 발생 감소, 중국발 해킹 차단 등

INTERVIEW
신뢰성 있는 지원·편리한 사용 ‘만족’
김대식 | 인터넷나야나 시스템엔지니어 팀장


제품 도입 배경은.
웹, 서버 호스팅 코로케이션 등 호스팅 서비스를 전문으로 하는 업체라 서버 한 대로 소형 쇼핑몰 등을 운영하는 영세한 고객들도 많아 보안에 대한 인식이 희박했다. 하지만 전체 고객들에게 일괄적으로 보안 정책을 적용시킬 수도 없고 (IDS 삭제), 방화벽, ACL 정책, 오픈소스 기반 IDS스노트 활용, SUS 패치서버 등으로 기본적인 보안서비스를 제공하긴 했지만 감염된 서버가 발생할 경우 서비스 특성상 고객 서버에 함부로 들어갈수도 없고 감염을 방치할 수도 없어 예방이 최선이란 결론을 내렸다.
또 최근 중국발 해킹이 빈번해져 중국쪽에서 들어오는 각종 변경 공격들을 차단해야할 필요성도 커졌기에 네트워크 상단에 걸어주면 자동방어와 통합 관리기능이 가능한 IPS를 도입하게 됐다. 지난 3월1일 BMT를 시작하고 한달간 모의해킹 성능 평가를 진행한 후 4월초에 ISS 프로벤티아 G2000 IPS를 도입했다.

도입한 ISS 프로벤티아 G2000 IPS에 만족하는지.
ISS 프로벤티아 G2000 IPS는 리눅스 기반의 공격을 차단하는 데 뛰어난 성능을 보여 OS의 80% 이상이 리눅스 기반인 나야나에 적합했다. ISS IPS를 도입한 이후 중국발 해킹이 눈에 띄게 줄었고 로그 분석 등에 들어가던 시간이 줄어 관리의 효율성도 높아졌다.
또 이상트래픽 발생률이 IPS 설치 후 90% 이상 감소되어 IPS 설치의 효과를 절감하고 있다.
특히 호스팅 서비스 업체의 특성상 연속성, 가용성이 중요해 보안 장비로 인해 혹 장애가 발생, 서비스가 느려지거나 중단되는 사태가 생길까 걱정했지만 바이패스 기능과 리부팅시 세션이 거의 끊기지 않아 장애발생에도 안심할 수 있어 만족한다.

향후 확장 계획은.
늘어나고 있는 트래픽 용량을 대비하기 위해 곧 회선을 증설할 계획이다. 현재 구축돼 있는 ISS IPS가 2기가비트의 성능을 제공해 주는 제품인데 ISS에서 5기가비트, 10기가비트를 제공하는 대용량의 제품이 출시된다고 해 서버가 늘어나고 회선이 증설되면 보다 대용량의 IPS를 추가 증설할 수도 있다.
또 늘어나는 웹 애플리케이션 공격에 대비해 웹 방화벽 제품을 도입해 웹 공격을 전문적으로 차단, 고객 안전을 높일 방침이다.
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr