Survivor’s GuideTo 2007-보안
상태바
Survivor’s GuideTo 2007-보안
  • 데이터넷
  • 승인 2007.04.02 00:00
  • 댓글 0
이 기사를 공유합니다

“데이터를 안전하게”… ‘SOA·웹 2.0’으로 위험 가중
올해는 보안 전문가들이 마침내 리듬을 타고 보안의 최우선 임무, 즉 회사 자산을 잠구는 일에 다시금 힘을 집중시킬 것 같다. 하지만 여기에 도달하기 위해서는 상당한 무기들이 필요하다. 2007년에 필요한 쇼핑 목록을 뽑아 보자.

올해는 보안 전문가들이 마침내 제대로 리듬을 타고, 보안의 최우선 임무, 즉 회사의 데이터를 안전하게 보존하는 데 다시금 힘을 집중시킬 것이다. 혁신적이긴 하지만 안전하지는 못한 SOA와 웹 2.0 기술이 기업에서 로켓처럼 발사되고 있고, 놀라울 만큼 고무된 공격자들에 의해 추격을 당하고 있는 형편이기 때문에 이것은 말처럼 그리 쉬운 일은 아니다.
개발자와 애플리케이션 업체들에게 책임을 물고 침범할 수 없는 코드를 요구하는 게 가장 속은 시원하겠지만, 그래보아야 아무데도 갈 데가 없을 것이다. 남의 탓을 하기 이전에 혁신적인 XML과 SOA 보안 어플라이언스들을 찾아보라. 보호 및 스캐닝 툴 개발이 활발한 덕분에 종단지점을 보호하기도 더 쉬워지고 있다.
규정준수에 있어서는 우리가 정신을 좀 차릴 수 있을까? 부득이한 것과 싸우려 애쓰기보다는 내외부의 보안 정책과 정세를 조정함으로써 그 정신을 받아들이고, 외부의 감사를 환영하라. 사실 이것은 좋은 프랙티스고 제대로 충분히 활용되지 못하고 있다. 물론 마법의 총알을 약속하는 제품들에 대한 선전을 여전히 너무도 많이 듣게 될 것이다. 결코 그러한 것은 없겠지만 업체들이 장족의 진보를 한 것은 사실이다.
예를 들어 데이터베이스 보호가 마침내 주류가 됐다. 이제 민감한 데이터가 네트워크의 어디에 있는지를 밝혀낼 필요가 있다. 애플리케이션도 마찬가지다. 웹 서버가 IT 밖으로 무엇을 던져 올리고 있는지, 어떤 데이터를 누구에게 제공하고 있는지를 아는 것도 큰 일이다. 그리고 이러한 애플리케이션을 보호하는 것은 훨씬 더 큰 일이다.
그리고 사람에 대한 부분이 있다. 엔드 유저쪽에서는 IdM(Identity Management)이 우리를 구원해주리라 희망한다. 우리는 그룹 기반의 정책과 오토프로비저닝(autoprovisioning) 사일로를 느리지만 확실하게 구축해 왔으며, 이제 효과적으로 관리해야 할 너무나 많은 그룹을 갖고 있다. 물론 그 대안, 즉 개별적 관리는 불가능하다.
마지막으로 모든 사람들에게는 좋은 지킴이가 필요하다. NBAD(Network
Behavior Anomaly Detection) 시스템은 이런 필요를 너무나 잘 충족시켜주기 때문에 그 기능성이 다른 제품 영역까지 흡수되고 있다.

메모리 보호 기술
SOA 웹 서비스와 웹 2.0 기술의 재활용으로 인해 비보안 코드 문제가 더욱 증폭되고 있다. 현실을 직시하자. SOA는 계속 점유율을 높여갈 것이며, 에이잭스 버그는 개발자들을 심하게 물고 있다. 하지만 단순히 더 많은 보안 애플리케이션을 요구하는 것만으로는 해결책이 되지 못한다. 대부분의 개발자들이 코딩 보안을 개선할 수 있는 공식적 트레이닝이 부족하며, 공격자들의 기세는 놀라울 정도기 때문이다.
올 하반기에 본지에서는 최신 코드 스캐너를 분석해서 이들이 효과적인 보호장치를 제공하는지, 아니면 단순히 잘못된 보안 감각을 키워줄 뿐인지를 확인해 볼 예정이다. 현재로서 최선의 선택은 수상한 실행시간 활동을 탐지 및 차단해 주는 종단지점 보호 제품이다.
예를 들어 버퍼 범람 같은 것을 막기 위해 코드를 쓰기는 매우 힘든 일이지만, 버퍼 범람을 주시하고 막아 주는 드라이버 레벨 시스템을 개발하기는 비교적 쉽다. 프라이버시웨어(Privacyware), 사나시큐리티(Sana Security) 및 V.i. 래버러토리즈 같은 업체들이 현재 이 시장을 주도하고 있지만, 맥아피 등 기타 안티바이러스 업체들도 같은 일을 하고 있다.
이러한 메모리 보호 기술이 안티바이러스 및 HIPS 업체들을 통해 주류 데스크탑 보안 제품으로 성장할 수 있을지는 지켜보아야 알 일이며, 이러한 기능성은 스탠드얼론 패키지로도 이용할 수 있을 것이다. 올해 말이면 회사의 모든 노드가 API를 보호하고, 버퍼 범람을 감시하며, 시스템 레지스트리의 특정 부분의 자동 애플리케이션 변경을 제어하는 툴들의 보호를 받게 될 것이다.
한편 포럼시스템즈(Forum Systems), IBM 데이터파워(IBM-DataPower) 및 리액티비티(Reactivity) 같은 전통적인 SOA 보안 업체들이 엔터프라이즈에 다양한 패키지를 저렴하게 팔아치우고 있을 때, 신생업체인 레이어세븐테크놀로지스는 이들의 영역에 도전장을 냈을 뿐만 아니라 에이잭스 보안을 선택해서 이것으로 승부를 걸었다. 레이어세븐은 스키마 검증, 데이터 스크러빙 및 검증 같은 웹 2.0 전용 보안 기능들뿐만 아니라, 개발자의 최신 기호에 맞게 조여주는 스키마와 기본적인 DoS를 제공한다.
마지막으로 애플리케이션이 공통의 서비스를 공유할 수 있게 함으로써 급속히 변화하는 비즈니스와 보안 상황에 맞춰 주는 일관성있는 애플리케이션 인프라를 만들어야 하는 과제도 있다. SOA와 웹 2.0 보안 기능을 네트워크 장비로 이동시키는 것도 효과가 있을 것인데, 그 이유는 이것이 SOA의 전체적인 재활용 원칙과 완전히 일관성을 유지하기 때문이다. 어플라이언스는 공격을 방어하고, 어떠한 손상을 입히기 이전에 데이터 무결성 문제를 제거함으로써 종단 지점 메모리 보호 제품을 보완할 수 있다.

스캐너
네트워크가 웹 액세스를 통해 대중에게 더 많이 노출될수록 보안 결함을 찾기 위한 자동화된 방법에 대한 필요가 더욱 높아진다. 다행히도 취약성 및 멀웨어 스캐너는 계속 정교해지고 있으며, 이제 NAC에 포함되고 있는 추세다. 하지만 우리는 아직 스탠드얼론 제품 범주로서 취약성 스캐너의 죽음을 선포하고 싶지는 않다. 오히려 2007년 이들의 사용은 더욱 늘어날 것이며, 그 성숙도도 한층 높아질 것으로 예상된다. NAC 시스템이 도달할 수 없는 몇 가지 영역들이 있기 때문이다.
반면 코드 스캐너는 나온지 한참 된 것으로 우리는 이들과 애증의 관계를 반복하고 있다. 앞서 언급한 것처럼 이들은 올해 중에 리뷰를 본지에서 리뷰를 할 계획이며, 현재로서는 이렇게 생각하며 내버려 두어야 할 것 같다. 즉 코드 스캐너가 하나의 취약성이라도 발견한다면 이것은 유용하다. 하지만 이런 툴은 전체 보안 아키텍처의 일부에 불과하며, 나쁜 녀석들은 새로운 공격 벡터를 찾기 위한 시도를 결코 게을리하지 않는다는 사실을 명심해야 한다.
이러한 상황에서 매우 눈길을 끄는 한 가지는 블루레인테크놀로지즈(Blue Lane Technologies)에서 내놓고 있는 동명의 보안 어플라이언스로, 이 제품은 네트워크를 감시하고 패칭 군비확대 경쟁에서 시간을 벌어주는 수동 스캐너다.

그룹별 관리를 대세로
어떠한 네트워크 고참이든 같은 말을 하겠지만, 개별적인 사용자를 관리한다는 것은 승산 없는 경기다. 물론 팀에 있는 모든 사람이 저마다의 다른 권한을 필요로 한다고 주장하는 관리자가 있기 마련이며, 기업 내부의 통상적인 성장과 변화도 그룹 레벨의 관리를 더욱 힘들게 한다. 다행히도 2007년에는 IdM(Identity Management) 업체들이 포커스를 개인에게서 그룹으로 옮겨 놓을 것이며, 우리 모두가 제대로 된 균형을 관리할 수 있게 도와줄 확실한 솔루션들의 등장도 기대되고 있다.
노벨과 어플라이드아이덴티티(Applied Identity) 같이 신구 회사들 모두가 IdM 시장을 주도하고 있으며, 회사 프로파일에 추가할 중소기업을 흡수하고 있는 CA, 마이크로소프트, 오라클, 썬마이크로시스템즈 등도 마찬가지다.
이상적으로는 하나의 아이덴티티 저장소를 유지보수할 수 있도록, 하드웨어 인프라 안으로 확장되는 표준 IdM 스키마가 있다면 좋을 것이다. 문제는 전용 방식으로 유효 사용자들을 관리하겠다고 주장하는 어플라이언스 업체와 네트워크 장비로 인해 발생한다. 구매를 고려할 때는 이름 저장소의 아키텍처와, 이들이 어떻게 연관이 되고, ID가 여기서 어떻게 관련이 되는지를 반드시 알고 있어야 한다. 그래야만 메타 그룹 관리 제품을 합리적으로 수용할 수 있기 때문이다.

NBAD 시스템
NBAD 시스템은 수동 센서를 이용해 수상한 행동에 대해 네트워크를 감시하며, 누가 무엇을 하고 있는지, 그리고 이들이 이것을 하고 있어야 하는지 아닌지 여부를 파악하려고 시도한다. 보안 이벤트 정보 관리 업체들과 마찬가지로 최근에는 일부 IPS 제품에서 NBAD 기능성을 도입하기도 했다.
우리도 이런 동향에 수긍을 한다. NBAD는 전체 보안 아키텍처에서 아주 중요한 부분이다. 예를 들어 IPS는 불법적 활동을 차단하는 데 초점을 두고, SEIM은 보안 이벤트와 인시던트를 로깅하면서 비정상적인 활동에 대해 이런 로그를 감시하는 데 초점을 두지만, NBAD 툴은 회선 상에서의 비정상적 활동을 감시하며, 일부 행동이 언제 비허용돼야하는지를 파악하려 한다.
데이터베이스와 디렉토리 서버에만 정상적으로 연결된 호스트에서 갑작스럽게 다른 기계로 접속을 만들어 내기 시작하면 NBAD는 이 활동을 탐지해낼 것이다. IPS와 SEIM 제품은 특히 접속이 몇 되지 않고 트래픽이 무난할 경우 이런 행동을 무시할 가능성이 많다.
사람들이 계속해서 보다 완벽한 아키텍처를 선택함에 따라 머지 않아 스탠드얼론 제품으로서의 NBAD는 사라져갈 것이다. 2007년에는 SEIM 제품에서 변칙적인 것에 대한 탐색이 늘어나고, Q1랩스, 아버네트웍스(Arbor Networks) 및 리버베드(Riverbed) 같은 NBAD 업체들에 의한 이동이 SEIM 군단에서 보다 확실해질 것으로 예상된다.

데이터에 대하여
최근 외부의 규정준수 문제에 대해 관심이 집중되면서, 고객 데이터를 보호하는 것이 조직의 안녕에 필수라는 시각이 강화되고 있다. 업체들은 있는지도 몰랐던 모든 그러한 데이터베이스로의 액세스를 탐색, 제어 및 보고해 주는 제품으로 전열을 가다듬고 있다. 언뜻 보면 이런 제품은 불필요해 보일지도 모른다. 모든 주요 데이터베이스들은 특정 테이블과 칼럼으로의 액세스를 제어하고, 누가 무엇을 하고 있는지에 대해 알려주는 로그를 만들기 때문이다. 하지만 이러한 빌트인 액세스 제어는 매우 프로그램적이고 권한 지향적인 보호며, 그 로깅은 직관적이지 못하고 손상되기 쉽다.
애플리케이션시큐리티(Application Security)나 임퍼바(Imperva) 같은 업체의 데이터베이스 압출 탐지 제품은 일반적인 액세스 위반을 감시한다. 왜 미국 남동부의 영업 사원이 아태지역 고객 목록 전체를 내보내려 하는가? 왜 그 애플리케이션 서버에서 갑자기 한 번에 하나가 아니라 25개의 고객 기록을 요청하는가?
여기에 내부 사용자 이름을 보통 일반적인 데이터베이스 로그인을 사용하는 웹 애플리케이션으로 매핑할 수 있는 이런 제품들의 능력을 더하면, 갖고 있는 데이터의 알려진, 혹은 알려지지 않은 모든 위치를 찾아주고, 전체 애플리케이션에서 누가 무엇을 요청하고 있는지를 알려주며, 비정상적인 활동을 모니터링해주는 강력한 툴을 갖추게 된다. 이러한 툴들은 든든한 무기가 되며, 합법적 비즈니스 사용자의 손에 기간 데이터가 안전하게 보관될 수 있도록 도와줄 것이다.
게다가 네트워크 프로토콜을 관찰해서 활동을 파악하는 어플라이언스에 애플리케이션을 두거나, 데이터베이스 로그를 복사 및 풋프린팅하면 악의적 내부인이 로그 파일에 손을 대서 자신의 흔적을 지우기 힘들게 된다. 우리는 이 기술에 대해 흥분하고 있는데, 그 이유는 이것이 중요한 일에서 시선을 놓치지 않게 해주기 때문이다. 내부인 데이터 절도에 도움이 됐을 수 있는 몇몇 직원들은 태깅이 될 것이다. 그 외 단지 자기 일을 하려 했을 뿐인 대다수의 직원은 시스템에 거의 신경을 쓰지 않을 것이다. 그리고 비정상적 데이터베이스 활동을 만들어내는 데 대해 적절한 업무적 이유가 있는 사람들은 자신들의 행동을 신속하게 설명할 수 있다.

주목해야 할 회사들
디터미나

메모리 보호 부문의 선구자인 디터미나는 계속해서 지평을 넓혀가며, 타 업체들에게 능동적인 종단지점 보호란 어떻게 하는 것인지를 보여줄 것이다. 전통적인 안티바이러스 기술을 이행하는 단계까지 간다면 전면모를 갖춘 종단지점 보호 회사로서의 위용을 자랑하리라 기대된다.

EMC/RSA
EMC는 자사 제품에 RSA 끼워넣기를 끝내고 RSA는 EMC가 배후에 투자한 자본의 상당 부분을 활용하기 시작했기 때문에, 보다 활발한 마케팅과 한층 다양해진 제품을 볼 수 있을 것이다.

IBM ISS
ISS는 수익 지향형 공격(profit-oriented attacks)이라는 차세대 물결에 초점을 맞추고, 이러한 테러를 타겟 공격으로, 또 사회공학을 이용해 목표를 달성할 수 있게 돕는 멀웨어로 내비게이팅할 수 있게 해주는 방법을 모색하고 있다.

레이어세븐테크놀로지스
어른들은 “일을 하려면 제대로 하라”는 얘기를 하곤 한다. XML을 다룰 때도 마찬가지다. 레이어 7은 늘어나는 XML 데이터 전송 문제를 SOAP 문제가 아니라 XML 보안 문제로 접근하고 있다. 이 회사에서 2007년에 UI 문제를 해결할 경우 성장이 기대된다.

마이크로소프트
마이크로소프트가 안티바이러스 회사들에게 자사의 코드를 진정으로 개방한다고 가정하면 이 회사는 2007년 보안 메시징 부문에서 홈런을 치고, 제품이 얼마나 많이 보안성을 확보했는지를 자랑하며, 윈도 OS를 잠글 수 있는 실제로 유용한 툴을 얼마간 제공할 수 있을 것이다.

시만텍
시만텍이 움직이지 않았던 해가 있기는 했었나? 2006년 하반기에는 시만텍의 DB 프로텍션 솔루션이 발표됐으며, NAC와 HIPS 모두를 겨낭해 2007년에는 자사 제품을 다시 가다듬을 것으로 전망된다.

요점 정리
ㆍ스탠드얼론 제품으로서의 안티바이러스는 기업 시장에서는 사라져가고, 대신 NAC와 HIPS 솔루션 안으로 들어갈 것이다.

ㆍSOA 보안은 애플리케이션 개발 영역에서 점차 사라지고, 대신 게이트웨이나 특정 용도의 어플라이언스 내의 네트워크에 존재하게 될 것이다.

ㆍ능동적 메모리 보호가 향후 18~24개월 내에 데스크톱과 서버에 등장하게 될 전망인데, 그 이유는 사용자가 이것을 선택했거나, 혹은 이것이 다른 보호 솔루션에 번들링돼 나왔기 때문이다.

ㆍ실제로 특정 규정의 요구에 맞출 수 있게 도와주는 제품만이(그리고 이것을 입증할 수 있는 제품만이) 스스로를 ‘규정준수’ 제품이라 부를 수 있을 것이다. 물론 그렇게 되기를 바라는 입장에서 하는 말이다.

미래의 창
능동적 메모리 보호

그 품질과 성숙도는 매우 다양하겠지만, 이를 통해 비용이 절감될 수 있다. 무엇을 구입하고 있는지 확실히 알아야 하겠지만, 여기에는 분명 비즈니스 가치가 있다.

고급형 아이덴티티 관리
다른 조직의 사용자들 만큼이나 많은 그룹을 갖고 있다면, 추구할 만한 가치가 있다.

데이터베이스 압출 탐지
이들 제품은 안정적이며, 데이터베이스용으로 설계되었다. 단 이행하기 전에 성능에 미칠 영향을 먼저 파악해야 한다.

SOA 보안
이 애플리케이션은 새로운 것은 아니지만 점점 더 필요성이 높아지고 있다. 기업 내에서 XML 이용량이 계속 늘고 있다면 여기에 주목할 가치가 있다.


보안, 지난 해 전망에 대하여
우리는 UTMS(Unified Threat Management Systems)가 2006년 별 볼 일이 없을 것이라고 말했다. 물론 이들은 IPS와 NAC가 번영을 누린 데 반해 생존하는 데 머물렀다. 반면 우리는 또한 순수 IPS 업체가 사라질 것이라고 전망했는데, 이들은 아직도 존재하고 있다. 타이밍 문제라고 본다. 즉 예측은 맞았지만 이들은 단지 우리가 생각했던 것보다 더 오래 머무르고 있을 뿐이다.
우리는 보안 지출이 규정 필요조건에 근거해 이루어질 것이라고 예상했으며, 한해 내내 이 이야기만 들었다. 물론 이것은 누구나 쉽게 예상할 수 있는 일이었다. 아쉽게도 우리가 전망했던 ‘ROSI(Return on Security Investment)’ 지출 방법론은 통과되지 못했다. 우리는 여전히 ROI와 규정준수에 지출을 하고 있다. 하지만 규정준수는 ROSI에 아주 가까워진 듯한데, 여러분의 생각은 어떤지. 마지막으로 외로운 스크립트 키디들이 아니라 조직화된 공격이 상승세를 탔다. 그리고 불행히도 이러한 동향은 2007년에도 계속될 것 같다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.