가장 취약한 지점에 있는 엔터프라이즈 데이터를 보호하라
권한 관리 _ 디지털 권한을 선포하라
권한 관리는 악명을 얻을 때가 많지만 엔터프라이즈에서 확실한 가치를 갖고 있다.
무선 보안 _ 거품 속에 가려진 안전성
무선 침입탐지 및 침입방지 시스템은 무선랜을 고립시킬 수 있다.
이들의 경비를 정당화할 수 있는 방법을 알아보자.
802.1x _ 강력한 네트워크 문지기
강력한 액세스 레벨 보안과 유연성,
그리고 간편한 이행을 두루 갖춘 802.1x는 이제 해야 할 일 목록에 올릴 만한 적기를 맞았다.
웹 애플리케이션 방화벽 _ 웹 공격을 차단하라
웹 애플리케이션 쿼리는 치명적인 한 방을 날릴 수 있다.
네트워크 강화를 위해 레이어 7 방화벽을 고려해 보라.
보안의 대중화
“보안 기술은 위험관리를 위한 하나의 수단일 뿐”
라스베이거스 블랫 햇(Black Hat) 컨퍼런스에 보안의 고수들이 모였다. 이번 모임에서 발표된 취약성과 공격 벡터 사양은 놀랄 정도였지만, 이런 취약성이 존재하는 곳은 전혀 새롭지 않았다. 올해의 초점은 마이크로소프트의 비스타(Vista)였지만, 다른 많은 주요 엔터프라이즈 IT 제품들(역시 시스코 것들도 몇 가지 포함됐다) 또한 주목받았다.
비스타가 윈도 악용(exploit)의 맹공격을 종식시키지 못하리라는 것은 새로울 게 없지만, 많은 사람들이 이로 인해 실망하고 있다. 보안이 마침내 ‘운영시스템 안에 제대로 구축될 것’이라는 희망이 조금이라도 있었다면 그러한 희망이 헛되었음을, 그리고 완전히 접어야 한다는 의미기 때문이다. 운영시스템이 더 안전하게 잠겨있다 하더라도 나쁜 녀석들이 시스템으로 들어올 수 있는 기회는 널려 있다. 지금은 과거 그 어느 때보다도 IT에서 돌리는 모든 시스템에서 보안을 계획해야 하는 때다.
이번 전문가 시리즈에서 우리는 기업의 데이터 유실에 가장 취약한 부분을 보완할 수 있게 도와주는 기술에 초점을 맞췄는데, 여기에는 유무선 네트워크, 웹 사이트 및 보안이 포함된다. 아마도 가장 논쟁의 여지가 있는 기술은 ERM(En-terprise Rights Management) 일것이다.
디지털 권한관리와 연관됨으로써 악명을 얻게 된(소니의 작은 루트킷 피아스코를 기억하는가?) ERM은 권한이 있는 사람만이 정확한 데이터에 액세스할 수 있게 보장해 주는 적법한 메커니즘이다. ERM의 약점은 효과적으로 이용되기 위해서는 많은 주의와 유지보수가 필요하다는 것이며, ERM 시스템을 제공하는 공급업체들은 이것을 전용 방식으로 하는 경향이 있다는 데도 주의해야 한다. 즉 업체 록인(lock-in)의 위험이 있다.
유무선 네트워크에서 액세스 제어 시스템은 무선 IDS/IPS와 함께 성숙한 기술로 자리를 잡고 있지만, 이들에게도 결점은 있다. 무선 IDS/IPS는 제대로 작동할 때도 많지만 무선 네트워크에 추가되는 비용 때문에 주로 비방을 듣는다. 802.1x를 기반으로 하는 네트워크 액세스 제어 기술은 이제 유무선 네트워크용으로 수많은 업체들로부터 구입이 가능하지만, 이행 비용과 계속되는 유지보수로 인해 네트워크 소유의 경제적 균형상태가 바뀔 수 있다.
마지막으로 인터넷에서 회사의 공식적 얼굴, 즉 웹 사이트가 있다. 웹 프레즌스가 단순히 정보를 알리는 용도 차원이라 하더라도 해커가 손상을 입힐 수 있다. 하지만 전자상거래를 하고 있을 경우에는 웹 애플리케이션 방화벽을 웹 서버 전면에 배치하는 게 좋을 것이다. 사실상 웹 애플리케이션 프로그래머가 이것을 아무 문제없이 제대로 해낼 가능성은 0%에 가깝다. 그리고 에이잭스(Ajax)나 XHTML 등과 같은 신기술을 도입할 때는 새로운 공격 벡터도 개방된다. 웹 애플리케이션 방화벽은 기술로 인해 야기되는 위험을 관리하는 동시에 그 이점을 계속 확보할 수 있게 도와준다.
언제나 이런 보안 기술들은 모두 위험을 관리하는 하나의 수단으로 보는 게 최선이다. 이들 중 어떤 하나가 마법의 총탄일 수는 없지만, 각각이 부분을 이루며 함께 모임으로써 사용자로 하여금 회사의 비즈니스를 구축하는 데 필요한 일을 하게 하는 동시에 이들에게 무엇이든 하게 함으로써 야기되는 위험을 관리할 수 있는, 제대로 된 보안정책을 이룰 수 있기 때문이다.
권한 관리
“디지털 권한을 선포하라”
IT 전문가들이 권한관리에 대해 걱정하는 것도 당연한 일이지만, 엔터프라이즈에서 그 가치는 확실하다. ERM에 대한 좋지 못한 PR과 판매를 가로 막는 사용자의 저항을 뚫고 제대로 된 평가를 내릴 수 있도록 시장을 분석했다.
우리는 데이터 분실이 어떻게 발생하는지 너무나 잘 알고 있다. 얼마나 많은 큰 회사들이 이런 재난을 당했는지는 신문 헤드라인들만 봐도 알 수 있다. 이것을 막을 수 있는 혁신적인 방법으로 ERM(Enterprise Rights Management) 시스템 배치가 있다.
ERM은 이행에 많은 비용이 들어갈 수 있지만, 데이터의 전체 수명 동안 정보보호를 제공할 수 있다. 어도비, EMC 및 마이크로소프트 같은 대형 업체의 제품들은 혁신적인 작은 업체 기술을 보완해주고 있다. 이러한 조합의 예는 EMC/다큐멘텀(Documentum)의 오쎈티카(Authentica) 인수와 어도비의 내비스웨어(Navisware) 인수 등과 같이 굵직한 기업 인수에서 찾아볼 수 있다.
권한관리에는 정책, 인코딩 및 디지털 권한관리 수명을 관리하는 협정(agreements) 등이 포함되는데, 이러한 협정에는 CAD 문서나 오디오 파일 같은 다양한 디지털 객체를 규정한 다음, 그러한 객체와 상호연동하는 사용자나 컴퓨터를 식별하고, 객체 이용 규정을 문서화하는 게 포함된다. 디지털 권한은 컴퓨터와 이것을 사용하는 사람들이 디지털 콘텐츠를 이용할 수 있도록 허용하는 것을 말하며, 시행은 콘텐츠나 콘텐츠 컨테이너에 있는 메커니즘을 통과해 흐른다. 이러한 권한들은 데이터가 네트워크를 통해 전송이 되든 아니든 시행되거나, 클립보드로 복사가 되거나, 데이터베이스에 저장되거나, 혹은 랩톱의 하드 드라이브로 그냥 저장되기도 한다.
권한관리 기술로는 문서나 오디오/비디오 매체 같은 암호화된 디지털 콘텐츠, 그리고 디지털 콘텐츠가 사용될 방식을 설명한 라이선스나 기타 정책들이 포함된다. 이와 대조적으로 기업용 디지털 권한관리, 즉 E-DRM이라고도 알려져 있는 ERM은 회사의 정보보호 메커니즘이다. ERM은 보는 사람이 제한돼야 하는 민감한 기업정보의 기밀성을 보호하는 데 가장 자주 배치된다. 또한 사용자가 제어되는 형태로 기업 데이터를 이용할 수 있도록 보장하는 데도 사용되고 있다.
보안 설계자는 암호화가 어디서 유용할지를 판단해야 한다. 즉, 파일과 폴더 안이 좋을까, 전체 워크스테이션 디스크가 좋을까, 데이터베이스나 아니면 네트워크 채널이 좋을까를 결정해야 한다.
한편 암호화 보강을 위해 기업에서는 워크스테이션이나 네트워크에서의 활동을 모니터링 함으로써 지적자산이 허가받지 않은 수신자에게 흘러가지 않도록 보장해 주는 콘텐츠 필터를 배치할 수 있다. 아니면 호스트 기반의 에이전트를 이용해 CD-롬 같은 매체에 데이터가 기록되지 못하게 막을 수도 있다. 불행히도 이런 시스템은 언제나 완벽한 게 아니며, 정보가 공유되고 필터를 통과할 경우 제어는 사라진다.
하지만 ERM은 라이선스/정책 서버 훼손, 권한관리 인코딩 파괴, 암호 알고리즘 파괴, 그리고 공중 키 서버 손상 등과 같은 몇 가지 위협을 야기할 수 있다. 집중식 권한관리 서버라면 공격, 혹은 부정관리에 대한 하나의 초점을 제공한다. 반면 ERM 스위트는 또한 사용자 데스크톱에 있는 위협을 줄임으로써 특정 위험요소를 개선시켜 주기도 한다.
뿐만 아니라 ERM은 콘텐츠 보호 문제를 야기한다. 바이러스를 포함하고 있을지도 모르는 암호화된 애플리케이션 레이어 데이터는 게이트웨이가 ERM 지원이 되고, 콘텐츠 암호를 해독할 키를 갖고 있지 않는 한 게이트웨이에 의해 스캐닝 될 수 없다. 예를 들어 ERM 지원 애플리케이션은 콘텐츠 스캐닝 매커니즘을 불러내야 하는데, 그 이유는 이 애플리케이션만이 콘텐츠를 해독할 수 있는 연관 권한을 갖고 있기 때문이다.
대신 PC 안티바이러스 소프트웨어와 호스트 기반 방화벽에서 권한관리를 가동시켜 멀웨어를 스캐닝 할 수도 있다. 하지만 스캐닝 엔진이 데이터를 검증할 때까지는 어떤 식으로든 콘텐츠에 손을 댈 수 없다. 게다가 키가 제대로 다뤄지지 못했을 경우 조직에서는 데이터를 분실할 위험도 있다.
조직에서 ERM을 설득하고 싶다면 다양한 규정준수 필요조건을 충족시키는 데 초점을 둔 수없이 많은 예들을 보여줘야 한다. 예를 들어 HIPAA 환자 정보는 기록을 어디로 갖고 다니든 공개되지 않도록 보호받을 수 있다. 그램 리치 빌리 법안(Gramm-Leach-Bliley Act) 준수 감사 데이터는 조직에서 누가 어떤 문서를 사용했는지를 보여줄 수 있다. 그리고 재정 기록의 정확성과 의무에 대한 사베인스 옥슬리(Sarbanes-Oxley) 필요조건은 허가받은 직원만 기록을 변경할 수 있도록 해주는 ERM 시스템의 도움을 받아 해결할 수 있다.
ERM 분야는 수년간 무난한 성장을 하며 고객의 관심을 끌어 왔지만, 큼직한 기업 인수로 인해 이 부문에 쏟아지는 관심이 늘어나고 있다. 자동 키 관리나 기타 기능 향상을 보려면 기다려야 하겠지만, 다행히도 민감한 데이터를 제어할 수 있는 제품 선택 폭은 계속 확대되고 있다.
TAKE AWAY
● 데이터 제어를 통해 이것이 잘못된 손에 넘어가지 않게 해주지만, 이는 곧 회사에 있는 모든 워크스테이션에 점점 더 많은 소프트웨어를 배치해야 한다는 의미기도 하다.
● ERM은 기밀 클라이언트 데이터를 공개 장소로 발표하는 것과 같은 당황스러운 사고를 막아준다.
● 막강한 감사 추적뿐 아니라 장애복구 및 스토리지 플랜 덕분에 규정준수 쪽은 틀림없이 강화될 수 있다.
