다양화 지능화된 위협, 멀티-티어 보안으로 대응해야
수작업 보안 대체해 효율적 보안환경 구현 … 인포메이션 인티그리티 구현 기반

윤광택 // 시만텍코리아 제품기술본부 차장 patrick_youn@symantec.com

지난호까지 오늘날 점점 늘어나고 다양화되고 있는 보안 위협 속에서 어떻게 해야 가장 효율적이면서 효과적인 보안 시스템을 구현할 수 있을지 살펴봤다. 구체적으로 어떻게 포괄적 위협 관리는 다양화되는 보안위협 속에서 능동적인 보안 시스템을 구현하는가. 이번호에서는 단순한 개념적인 차원을 넘어 기업의 효율적, 효과적 보안 요구사항을 즉각적으로 실현할 수 있는 구체적이며, 실제적인 솔루션으로서의 포괄적 위협 관리의 기능과 구현 방법론을 살펴본다. <편집자>

연재순서
1. 오늘날의 보안 위협 동향
2. CTM 정의와 필요성
3. CTM 보안 구현방안(이번호)

보안 위협에 대처하기 위해서는 이제 사후 예방이 아닌 사전 예방이 가능한 보안 솔루션 구현이 필수적이라는 것은 명백한 사실이다. 지난호에서 살펴본 것처럼 포괄적 위협관리(Comprehensive Threat Management)는 최신 보안 공격을 효과적으로 차단하기 위해 제시된 개념으로, 사전 예방적이며 어느 한 영역에 제한되지 않은 보안 시스템을 의미한다. 즉, 인터넷 경계 지점에 한정돼 있지 않고 전체적인 컴퓨터 환경을 통합적으로 관리해 줄 수 있는 멀티-티어 보안 환경을 제공하는 솔루션을 뜻하는 것이다.

CTM, 엔터프라이즈 전영역 포괄
대개의 엔터프라이즈 아키텍처는 자원층, 컨트롤층, 경계영역, 그리고 외부 영역의 4가지 영역으로 이뤄져 있다. 엔터프라이즈 아키텍처의 가장 중심 영역은 기업 컴퓨팅 및 네트워크 자원층으로, 이 영역에서는 중심 컴퓨팅 시스템 및 데이터 스토리지와 중앙화된 애플리케이션의 실행/관리가 이뤄진다. 중앙에 위치한 컴퓨팅, 네트워크, 각종 인프라스트럭처 디바이스, 애플리케이션, 데이터 및 OS 등이 여기에 속한다.
컨트롤 계층은 액세스 컨트롤, 정책 관리, 감시, 싱글 사인-온 등의 기능을 관리하는 계층으로 볼 수 있다. 파이어월, IDS/IPS, 스팸 및 바이러스 방지 서비스, 이메일 스캐닝, 무선 액세스 및 VPN 액세스가 이뤄지는 경계영역은 보안 관련 디바이스 및 보안 기능들로 구성된 층위다. 마지막으로 외부 영역에서는 선별된 애플리케이션 및 중앙 데이터에 제한된 혹은 스크리닝된 액세스를 제공하게 된다.
포괄적 위협 관리 솔루션은 이러한 엔터프라이즈 아키텍처를 종합적으로 보호할 수 있도록 네트워크 보안, 게이트웨이 보안, 주요 시스템 보호, 클라이언트 보안, 위협 관리 시스템 등으로 구성되며, 각각의 기능들은 독자적으로 전체 솔루션 내에서 필요한 역할을 개별적으로 담당하고 있다.

네트워크 보안, 인프라스트럭처 전계층 보호
네트워크 보안 어플라이언스에서는 경계 보안 체제를 우회하거나 침투한 보안 위협의 확산을 차단하고, 내부 네트워크의 호스트 상에 존재하는 취약점이 악용되는 상황이 발생하지 않도록 방지하는 역할을 수행한다. 네트워크 보안 솔루션은 기능적으로 봤을 때 침입 탐지 솔루션과 침입 방지 솔루션의 기능을 모두 포함하고 있으며, 네트워크 토폴로지의 유형에 관계없이 침입 탐지 모드에서 침입 방지 모드로 전환하는 기능을 제공한다. 대개 마우스 클릭 한 번만으로 가능하기 때문에 조작이 편리하며, 물리적으로는 네트워크 기반 디바이스이지만, 컴퓨팅 인프라스트럭처의 전체 계층에 대한 보안 기능을 제공하게 된다.
네트워크 보안 어플라이언스는 몇 가지 방식으로 이상적인 위협 관리 솔루션으로 포괄적 위협관리 기능을 구현하게 된다. 이를 살피면, 먼저 네트워크 보안 어플라이언스는 침입을 방지하는 통합 네트워크 엔진 기술을 활용해 사전 예방적이고 효율적인 보안 환경을 제공한다. 네트워크 엔진 아키텍처는 다양한 탐지 기술을 통해 알려진, 또는 알려지지 않은 공격을 감지하고, 정당한 비즈니스 트래픽에 대한 영향을 최소화한다.
사전 방지 네트워크 엔진 아키텍처에 포함된 탐지 메커니즘은 아래와 같다.

▶ 프로토콜 어노멀리 탐지 : 프로토콜이 정상적인 방법으로 사용되고 있는지 감시함으로써 알려지지 않은 보안 취약점에 대한 공격을 차단한다.
▶ 취약점 공격 차단 : 공개된 보안 취약점의 특성 정보를 활용해 알려지지 않은 웜, 보안 공격을 예측하고 차단한다.
▶ 시그니처 탐지 : 알려진 보안 위협(애드웨어, 스파이웨어, 봇 포함)의 패턴 정보를 기반으로 외부 공격을 발견하고 차단한다.
▶ 트래픽 모니터링 : 비정상적인 트래픽 패턴 또는 정책을 위반하는 트래픽 패턴을 감지해 공격을 차단한다.

두 번째로는 네트워크 보안 솔루션이 제공하는 다양한 구축, 고가용성, 처리성능 옵션을 이용해 현재와 미래의 요구사항을 모두 만족시킨다. 또 수집한 글로벌 위협 정보를 기반으로 새로운 탐지 알고리즘과 시그니처를 실시간 업데이트로 제공하는 테크놀로지를 통해 기업이 시시각각으로 변화하는 보안 환경에 효과적으로 대처할 수 있게 한다.
포괄적인 네트워크 보안을 위한 이 보안 어플라이언스는, 네트워크 재구성 작업이 필요하지 않아 쉽게 설치를 완료할 수 있다는 장점을 갖고 있다. 앞에서 설명한 다양한 보안 기능은 중앙 집중적인 콘솔과 관리자의 개입 없이 새로운 보안 정책을 적용할 수 있게 하는 자동보호(AutoProtect) 등과 같은 관리 기능을 통해 통제되므로 운영 효율성 또한 보장된다.

게이트웨이 보안, 관리환경 단순화·비용절감 실현
최근 경계 보안 솔루션을 우회하는 보안 공격의 사례가 증가하고 있는 것은 분명하나, 그렇다고 해서 경계 보안의 중요성이 낮아지는 것은 아니다. 오히려 인터넷에 대한 기업의 의존도가 높아지면서 경계 보안에 대한 중요성은 더욱 강조되고 있는 것이 현실이다.
이러한 경계 보안의 요구사항을 만족시키는 것이 게이트웨이 보안의 기본적인 역할이다. 다기능 네트워크 보안 어플라이언스의 형태로 제공되는 게이트웨이 보안 솔루션에는 안티바이러스 및 안티스팸 솔루션을 포함하는 다양한 기술이 포함돼 있다.
게이트웨이 보안이 포괄적 위협 관리 솔루션에서 중요한 구성요소로 활용되는 이유는 다양한 보안 기능을 긴밀하게 통합된 형태로 관리함으로써 오늘날 빠른 속도로 증가하고 있는 복합적 위협을 차단하기 위한 효율적인 대안을 제공한다는 것이다. 이에 관련한 보안 기능은 다음과 같다.

▶ 풀 인스펙션(Full-Inspection) 방화벽 : 패킷 레벨, 서킷 레벨, 애플리케이션 레벨의 필터링 및 정책 기능을 제공한다.
▶ 안티바이러스 보호 : 고전적인 형태의 시그니처와 사전예방적, 휴리스틱 기반 탐지 메커니즘을 조합해 웹(HTTP), 이메일(SMTP, POP3), 파일 전송(FTP) 트래픽을 감시한다.
▶ 침입 탐지/방지 : 시그니처 탐지, 취약점 공격 차단 등을 조합한 형태로 제공한다.
▶ URL 기반 콘텐츠 필터링 : 불필요한 웹 콘텐츠, 또는 악성 코드를 포함하고 있는 사이트에 대한 외부 액세스를 차단한다.
▶ VPN : SSL, IPSec 기반으로 암호화된 액세스를 지원함으로써 외부에서의 편리한 접속을 보장하면서도 보안 기능을 강화할 수 있다.

게이트웨이 보안 솔루션은 뛰어난 확장성과 하드웨어 이중화 구조를 제공해 다양한 기업 환경의 안정성 및 성능 요구사항을 만족시킬 수 있으며, 실시간 라이브 업데이트(LiveUpdate)를 이용한 보안 업데이트의 자동 적용 기능은 새로운 보안 위협에 효과적으로 대처할 수 있는 유연성을 제공하게 된다. 이와 함께 다양한 보안 테크놀로지를 설치가 용이한 어플라이언스 환경에 통합시킴으로써 구매 및 설치 비용을 절감할 수 있다는 장점도 제공한다. 단일 콘솔을 통해 모든 보안 기능을 통합적으로 관리할 수 있으므로 관리 환경을 단순화함은 물론, 인력과 비용 절감이 가능하게 된다.

행동 규정으로 핵심 시스템 보안 실현
공격 방법과 메커니즘이 점점 더 정교해지고 있다는 사실은 이미 여러 차례 강조한 바 있다. 이러한 보안 공격의 일부가 기업 내부의 타깃, 즉 핵심 애플리케이션이나 데이터베이스 서버까지의 도달에 성공할 가능성은 도처에 존재한다.
이러한 경우를 대비해 시만텍의 ‘크리티컬 시스템 프로텍션(Critical System Protection)’과 같은 핵심 시스템 보안 기능은 타깃에 성공적으로 도달한 외부 공격에 대한 방어 모델을 제시하고 있다. 행동 기반 보안 정책을 기반으로 하는 핵심 시스템 보안 기능은 OS, 애플리케이션, 서비스, 프로그램의 ‘올바른 행동’만을 허용하며, 이러한 조치에 대해 ‘타깃의 강화’란 표현을 사용하기도 한다.
일반적으로 악성 코드는 기존 시스템의 파일을 수정된 버전으로 교체하는 바꿔치기를 시도하거나, 시스템 레지스트리에 코드를 등록해 프로그램이 삭제된 경우에 재설치될 수 있도록 한다. 하지만, 핵심 시스템 보안 기능의 보안 정책을 이용하면 이러한 시도를 차단하는 것이 가능하다. 이는 호스트에 피해를 입히는 거의 모든 공격이 ‘읽기 전용’ 또는 ‘절대로 수정돼서는 안 되는 시스템 리소스를 수정하는 방법을 사용하고 있다는 분석 결과에 기반한다.
예를 들어 ‘크리티컬 시스템 프로텍션’은 정책 편집기를 이용해 시스템 상에서 실행되는 각각의 프로그램 별로 보안 정책을 쉽고 빠르게 생성함으로써 보다 정교한 보호 기능 구현과 탐지 오류의 가능성을 최소화하고 있다. 또 각각의 정책이 상호간에 간섭하지 않기 때문에 관리자가 쉽게 정책을 관리하고 편집할 수 있게 한다.
핵심 시스템 보안 기능은 기본적으로 30여 종의 보안 정책을 사전 정의해 제공한다. 그 결과 설치 후 별도의 설정과정 없이 바로 사용할 수 있으며, 이는 기존 시스템 접근을 허용하는 한편 즉각적인 보안 조치가 가능하도록 만들어 준다. 이 시스템을 활용하면 다음과 같은 기능을 구현할 수 있다.

▶ 버퍼-오버플로우, 메모리 기반 공격 차단(윈도)
▶ 이기종 플랫폼 지원(윈도, 유닉스, 리눅스)
▶ USB, CD-ROM 등의 외부 디바이스 통제를 통한 데이터 유출 방지
▶ 보안 사고에 대한 자동화된 대응으로 운영 효율성 개선
▶ 다양한 설정 옵션(null, alert only, block and alert 등)을 통해 구축 유연성을 개선
▶ 네트워크 계층 방화벽을 이용한 애플리케이션, 포트, 프로토콜, IP 주소 기반 연결 차단
▶ 고급 감사, 모니터링, 경고, 리포팅 기능을 제공하는 중앙 관리 콘솔을 이용한 효율적인 운영 지원 및 컴플라이언스 환경 구현

클라이언트 보안, 필요성 ‘충분’
현재 많은 기업들이 기업 내 핵심 애플리케이션 및 서버를 보호하는 것만큼 엔드 유저 컴퓨팅 환경을 보호하고 있지는 않고 있다. 하지만, 클라이언트 보안 기능은 매우 중요한 이슈다.
기업 외부로 이동해 작업중인 클라이언트 플랫폼의 경우 심각한 보안 위협이 제기될 수 있다. 무엇보다 모바일 환경에서는 기업 랜 환경이 제공하는 경계 보안, 네트워크 기반 보안과 같은 방어 체제가 제공되지 못한다는 것이 문제다. 따라서 꼭 필수적이라고 할 수는 없겠지만 완벽한 보안 관리를 위해서는 클라이언트 플랫폼을 위한 강력한 보안기능을 구현할 충분한 필요성이 있다.
클라이언트 보안 기능은 일련의 통합 보안 테크놀로지를 기반으로 클라이언트 시스템에 대한 통제를 수행하고, 데이터 손실의 위협을 최소화하고, 클라이언트 보안을 개선하는 효과를 제공하는 솔루션이다. 복합적 위협, 스파이웨어, 불법적 네트워크 액세스, 매스-메일링 웜, 그 밖에 다양한 보안 위협에 대한 사전 예방적 보호 환경이 제공된다.
포괄적 보안 위협 솔루션의 구성요소로서 클라이언트 보안 기능이 제공하는 특성은, 먼저 안티바이러스, 개인 방화벽, 네트워크 레벨 침입 탐지 기능 등을 조합해 사전 예방적이면서도 사후대응적인 보안 메커니즘 및 취약점 공격 차단 기능을 구현하고, 효과적이면서도 비용 면에서도 저렴한 보안 환경 구현이 가능하다는 점이다.
또한 스파이웨어 및 애드웨어에 대한 보호 기능을 강화하고, 스파이웨어 제거 및 시스템 클린업 작업을 자동으로 수행하도록 함으로써 효율적인 운영이 가능하게 된다.
마지막으로는 위치 인식 기능을 이용해 클라이언트 시스템이 기업 네트워크에 연결되는 방식(무선랜, 랜, VPN 등)에 따라 다른 클라이언트 정책이 적용되도록 할 수 있다. 방화벽과 스파이웨어 설정은 언제든 커스터마이즈가 가능하며 자동 라이브 업데이트 기술을 이용해 최신 위협으로부터 시스템을 효과적으로 보호할 수 있다. 이러한 기능들은 변화하는 비즈니스 요구사항과 보안 환경에 적응할 수 있는 유연성을 제공하게 된다.

광범위한 네트워크 활용, 보호 수준 향상
포괄적 위협 관리의 마지막 단계는 바로 위협 관리 시스템의 구축이다. 위협 관리 시스템은 새로운 취약점 및 위협에 대한 조기 경고, 통계, 전문가 분석, 대응방안 권고 등을 수신, 조회하기 위한 통합 콘솔을 의미한다. 이 시스템이 보안 위협을 탐지하는 글로벌화된 네트워크의 방대한 리소스와 연결되어 구현된다면, 각 국가에 배치된 이벤트 센서와 방화벽, 침입 탐지 엔진, 보안 운영 센터 및 연구소를 통해 제공되는 다양한 리소스를 활용할 수 있게 된다.
이처럼 광범위한 네트워크를 통해 수집된 데이터는 보안 전문가들로 구성된 팀에 의해 필터링되고 분석되는 과정을 거쳐, 끊임없이 진화하는 보안 위협과 취약점에 대한 높은 수준의 모니터링 서비스를 제공할 수 있게 된다. 이러한 노력의 최종 결과로, 새로운 보안 취약점 및 예상 공격에 대해 조기 경고를 하거나 경보를 실행시킬 수 있으며, 위협에 대응할 수 있는 권고와 대응 조치를 바로 제공할 수 있게 되는 것이다.
이와 함께 커스터마이즈 작업을 통해 각각 IT환경에 맞춤화된 정보만을 제공받도록 설정할 수 있다. 임계치 및 우선순위의 설정 기능을 활용해, 보안 인력과 기타 리소스를 최적화된 수준으로 관리할 수 있다는 것 또한 위협 관리 시스템의 실현이 가지는 이점 중 하나다.
이처럼 위협 관리 시스템은 인터넷과 벤더로부터 제공되는 다양한 웹 사이트, 이메일, 데이터베이스 등의 정보를 수작업으로 검색해야 했던 기존의 비효율적인 보안 관리 환경을 대체할 수 있는 탁월한 대안을 제시하고 있다. 또 유용하고 지능적인 정보를 활용해 보다 효율적으로 보안 문제에 대처하고, 지금까지는 불가능했던 수준의 사전 예방적 보호 환경을 구현케 한다.
보안 위협에 대한 예측이 가능한 컴포넌트는 글로벌 지능형 네트워크를 통해 수집된 정보에 다양한 고급 분석 테크닉을 적용해 보안 전문가들이 새로운 공격의 잠재적인 가능성과 경향을 예측해낼 수 있으며, 이는 결과적으로 비즈니스에 부정적인 영향을 미칠 수 있는 다양한 보안 위협에 대해 한층 향상된 수준의 방어 체제를 구축할 수 있도록 할 것이다.
현재 기업들과 IT관리자들, 전문가들이 직면하고 있는 보안 위협은 더욱더 복잡해지고 있으며 날로 새로워지고 있다. 보안 위협이 점차 거세어지고 있는 상황 속에서 보안 수준은 그대로 이전 초기 바이러스에 백신으로 대응하던 시기에서 답보하고 있다면 기업 경쟁력이 크게 흔들리게 될 것은 자명한 일이다.
앞에서 살펴본 바와 같이 포괄적 위협 관리는 광범위한 종단간 솔루션으로 다양한 문제들에 사후 대응은 물론 사전 예방과 예측을 통해 기업 IT환경을 능동적이면서도 전면적으로 보호할 수 있는 솔루션이다. 또한 신속한 정보 수집을 통해 빠르게 변화하는 보안 환경과 위협 동향에 대한 즉각적인 대처가 가능하며, 구축이 쉽고 관리도 매우 편리해 효과 면에서도 뛰어나다고 할 수 있다.
포괄적 위협 관리 솔루션이 모든 보안 위협을 한꺼번에 해결할 수 있는 만능 솔루션이라고는 할 수 없지만, 보안 위협 환경에 적응과 대처가 쉬우며 효율을 극대화할 수 있는 혁신적인 보안 정책임은 분명하며, 이는 여타의 보안 솔루션과 차별성을 갖게 하는 부분이다. 앞으로 기업은 포괄적이며 능동적인 위협 관리 솔루션을 통해 핵심영역 보안은 물론 더 나아가 개인 정보보호, 기밀유지, 보안 관리는 물론 ‘인포메이션 인티그리티(Information Integrity)’를 위한 보다 광범위하고 완전한 형태의 프레임워크와 통합한 포트폴리오를 구현할 수 있을 것이다.