“중소기업도 보안 투자 예외 아니다”
상태바
“중소기업도 보안 투자 예외 아니다”
  • 데이터넷
  • 승인 2007.10.25 00:00
  • 댓글 0
이 기사를 공유합니다

중소기업 네트워크 보안
비즈니스 성공 발판 … 보안정책수립·직원교육 병행돼야

오늘날 정보 유출로 인한 위험은 더욱 증가하고 있으며, 이로 인해 기업에게 일정한 정보보호 수준을 요구하도록 하는 법규 또한 지속적으로 증가하고 있다. 이러한 결과로 보안의 범위는 계속 확대되고 있으며, 철저한 정보보호 시스템 구축을 위한 솔루션은 계속 증가하는 상황이다. 하지만, 중소기업에게 대기업과 동일하게 다수의 보안 솔루션 구축은 현실적으로 무리한 요구라고 할 수 있다. 인력과 자금 모두가 대기업에 비해 상대적으로 열악한 현실이기 때문. 중소기업 네트워크 보안을 위한 효율적인 방안에 대해 살펴본다. <편집자>

연재순서
1회 : 중소기업 네트워크 보안의 과제와 해결책
2회 : 중소기업 네트워크 보호 솔루션의 조건(이번호)

윤광택 // 시만텍코리아 부장
patric_youn@symantec.com

기업에 있어 데이터는 비즈니스의 성공 및 전략 등 기업 전반 운영의 성패를 좌우할 수 있을 만큼 중요한 무형 자산이다. 특히, 중소기업의 경우 습득하고 창출한 중요 데이터를 잃게 되거나 피해를 입게 되면 그 결과가 매우 치명적일 수 있다.
예를 들어, 기업의 전산시스템의 운영이 중단될 경우 서비스의 중단과 그로 인한 고객의 불신을 초래할 수 있고, 나아가서는 그 기업의 생존을 위협하는 중대한 원인으로 악화될 수도 있다. 또한 여러 가지 원인에 의해 데이터 손실이 발생할 수 있다. 단순한 실수나 무지 또는 고의적인 파괴행위에 이르는 인위적인 사고와 지진이나 화재, 수재 등의 자연 재해, 그리고 911 테러 이후로 부각되고 있는 테러에 의한 재해 등 데이터 손실 및 원활한 시스템 운영을 방해하는 수많은 위협이 존재한다. 따라서 데이터의 안전한 보관 및 유지를 위한 대책, 시스템 도입 투자는 선택이 아닌 필수 요소라고 말할 수 있다.

활용 가능한 다양한 보안 기술 및 정책
먼저 중소기업이 보안 위협에 대처할 수 있도록 할 수 있는 다양한 보안 기술들을 살피면, ▲방화벽 ▲안티바이러스 ▲침입탐지시스템(IDS) ▲ID 및 액세스컨트롤 시스템 ▲암호화 ▲가상사설망(VPN) 등을 꼽을 수 있다.

방화벽으로 방지할 수 있는 보안 위협
인터넷에 연결된 기업 내부 네트워크와 외부 네트워크는 방화벽(Firewall)에 의해 보호돼야 한다. 그러나 다른 장비들 사이에서 고정된 연결 장치로만 구성된 기업 내부 네트워크에 인터넷 기술을 사용한다고 해도 방화벽을 사용하지 않는 기업도 존재한다. 하지만, 방화벽을 바르게 설치하는 것은 보안 시스템 구축 시 매우 중요한 요소다.
방화벽은 데이터 트래픽이 두 개의 네트워크 사이에서 원활히 교환되도록 조절해 준다. 나아가 방화벽은 해커 침입과 같은 외부 위협 요소로부터 기업 시스템을 보호하는 것뿐만 아니라 기업 내부 직원 및 컴퓨터가 외부와 커뮤니케이션 하는 통로 차단용으로도 사용될 수 있다. 기업에서는 사무실의 로컬 네트워크와 인터넷 연결 사이에 방화벽을 설치해야 하며, 호텔 등과 같은 원격지에서 인터넷을 사용하는 모바일 사용자, 자택 근무자들은 기업 네트워크 방화벽이 외부 네트워크상에까지 기능을 할 수 없기 때문에 각 사용자의 컴퓨터에 소프트웨어 방화벽을 설치하는 것이 권장된다.
방화벽은 필요하지 않는 모든 포트를 닫고 어떤 포트가 열려야 하는지 결정하고 해당 포트를 모니터링해주는 역할을 한다. 다양한 규칙을 통해 트래픽이 필터링 되도록 하고 액세스 권한이 없는 트래픽의 수신을 막아주는 방화벽은 외부의 어떠한 요소가 열린 포트에 액세스하기 위해 시도하고 있는지 이미 닫힌 포트를 열려고 시도를 하는지 감지할 수 있을 뿐 아니라 비정상적으로 나타나는 보안 상태를 경고해 줄 수 있다.

안티바이러스로 해결할 수 있는 보안 위협
개인 사용자는 물론 기업에게도 안티바이러스(Anti-Virus) 프로그램 설치는 보안 체계 구축 시 제일 처음 고려되는 보안 툴이다. 바이러스 방지는 인터넷 연결, 모든 서버 및 워크스테이션에 적용돼야 하며, 지속적으로 변화하는 보안 위협 요소들을 감지하고 업데이트할 수 있는 능력은 안티바이러스 프로그램 선정에서 고려해야 할 가장 중요한 요소다. 매일 웜, 트로이 목마 등 새로운 보안 위협 요소들이 인터넷 상에 나타나고 있기에 안티바이러스 보호 프로그램을 통해 직접적으로 이러한 새로운 보안 위협 요소들을 감지할 뿐 아니라, 발견된 모든 새로운 보안 위협 요소의 특징과 의심 가는 위협 요소들을 능동적으로 비교, 대처할 수 있다면 감염의 위험은 더욱 감소하게 된다.
시스템 보호 기능을 업데이트하기 위해 필요한 새로운 정의와 새로운 위협 요소 방지 정보들은 인터넷을 통해 안티바이러스 프로그램에 자동적으로 다운로드할 수 있다. 매주 100여개 이상의 보안 위협 요소들이 지속적으로 발견되고 있는 현실을 고려한다면, 효율적인 시스템 보호를 위해 적어도 하루에 한 번 바이러스 정의에 대한 업데이트가 이뤄지게 하는 것이 좋다. 더불어 적어도 1주일에 한 번씩 모든 시스템을 스캐닝하는 것도 좋은 방법이다.

침입탐지시스템으로 해결할 수 있는 보안 위협
침입탐지시스템(Intrusion Detection System)은 침입 요소가 시스템에 침입했는지 혹은 조직 내부에서 사용자의 오용에 의해 생성된 요소인지 감지하기 위해 네트워크 트래픽을 분석하고 모니터링하는 기능을 수행한다. 침입탐지의 가장 일반적인 방법은 공격을 미연에 방지하고 인식할 수 있는 원리에 기반하며, 나아가 정상적인 트래픽과 비정상적인 트래픽을 구별하고 트래픽이 특정 패턴에서 벗어날 때 경고하는 통계적인 침입탐지법도 이용된다.
광의의 개념에서 IDS는 방화벽이 트래픽을 정지시키고 모니터링하는 기능을 관리한다. 컴퓨터의 다른 가상 포트에 대해 접속 시도가 많을 때 포트 스캐닝을 함으로써 알려지지 않은 시스템을 맵핑하는 것이다. 이러한 프로세스가 이뤄진다면 침입탐지 시스템은 적기에 어떤 일들이 벌어지고 있는지 발견하고 관리 책임자에게 경고할 수 있게 된다.
침입탐지 시스템은 보호받는 장비에서 운용(호스트 기반 IDS, H-IDS)되거나, 독립적으로 모든 네트워크 트래픽을 모니터링하는 장비의 프로그램으로써 운용(네트워크 기반 IDS, N-IDS)될 수 있다. 이 두 기능을 병행해 사용할 수도 있지만, 가장 일반적인 옵션은 네트워크 기반 IDS 사용(N-IDS)이다.
방화벽과 마찬가지로, IDS의 운용은 지속적으로 모니터링 돼야 하고, 진짜 침입 요소 및 위험한 침입 요소들을 구별, 감지를 나타내는 수많은 오류 메시지들을 나타내는 로그들이 분석돼야 한다. 이러한 작업은 실시간으로 IDS를 다룰 수 있는 전문가에게 맡기는 것이 권장되며, 최상의 보안 시스템은 방화벽과 IDS 모두를 모니터링하는 것과 이러한 보안 시스템으로부터의 정보를 체계적으로 분석 및 대처하는 것에서 구현될 수 있다.

ID와 액세스 컨트롤 시스템으로 해결할 수 있는 보안 위협
기업 건물에 들어가기 위해 들어오는 사람의 출입 허가 여부를 체크해야 하는 것과 같은 원리로, 누군가 데이터 시스템에 액세스하는지 살피고, 허가 받지 않은 사용자들이 액세스할 때 그것을 차단해야 할 경우가 있다. 사무실 내 모든 컴퓨터 시스템에는 프로그램 및 데이터에 대한 액세스를 조절하는 통합 기능들이 있으며, 서버 콘텐츠, 네트워크 서비스에 액세스하거나 특정 프로그램을 사용하기 위해 ID와 패스워드를 할당받는 것은 이러한 액세스 조절 기능의 대표적인 경우다.
윈도와 유닉스 등의 일반적인 운영 시스템은 각 개인 사용자의 액세스 권한을 조절하기 위한 종합적인 옵션들을 제공하고 있으며, 또 대부분의 기업과 공공 기관들은 IT 플랫폼에 표준적으로 제공된 액세스 컨트롤 옵션을 사용하고 있는 추세에 있다. 대기업 및 외부에서 액세스할 수 있는 컴퓨터가 있는 사무소에서는 이러한 옵션들이 분리된 사용자 ID 시스템에 의해 강화돼 제공되는데, 통상적으로 개인용 ID와 직원용 패스 카드로 사용되는 스마트카드에 응용돼 제공된다.
예를 들어 어떤 워크스테이션에는 사용자들이 ID 카드를 삽입해야만 컴퓨터를 사용하게 해주는 카드 리더기가 장착돼 있으며, 이들은 모든 사용자의 ID, 패스워드, 다양한 시스템 사용을 위한 권한 등이 저장된 중앙 프로그램을 포함하고 있다. 액세스 컨트롤을 위한 분리된 사용자 ID 시스템은 시스템 접속을 위해 많은 다른 사용자 ID, 패스워드를 보유함으로써 생기는 혼란함을 방지하기 위한 실제적인 솔루션이라고 할 수 있다.

암호화(Encryption) 사용으로 방지하는 보안 위협
암호화 사용의 가장 중요한 이유는 정보의 ‘절도’ 방지 기능을 제공하기 때문이다. 손실됐거나 도난당한 컴퓨터는 다시 되찾을 수 없지만 중요한 데이터가 백업돼 있고, 절도범이 컴퓨터 내부의 정보에 액세스할 수 없다면 정보가 도난당한 것은 아니다. 암호화는 중요 데이터를 보호하기 위한 방법으로 권위 부여가 된 사용자들을 제외하고, 그 데이터에 대한 액세스를 제한하는 방법으로 정보 절도를 차단할 수 있다.
컴퓨터 환경에서는 데이터 암호화가 쉽게 구축될 수 있지만 동시에 암호화를 푸는 것도 쉽다고 할 수 있다. 따라서 대부분의 컴퓨터 시스템과 네트워크는 암호화 작업에 인색한 편이다. 패스워드는 일반적으로 암호화된 폼으로 저장돼있지만, 암호화 기술 자체가 비용 및 관리 비용이 드는 재정적인 요인으로 인해 다른 부분에서는 저장되는 추세가 아니다. 암호화 사용은 대부분의 기업에서 오랫동안 비실용적인 것으로 간주돼 왔으며 일반적으로 군대, 은행, 금융 기관 등 철저한 보안 체계가 필요한 기관에서만 사용되고 있다.
그러나 실제로 암호화는 매우 실용적인 보안 기능이다. 웹에 액세스할 수 있는 기기 및 무선 거래가 증가함에 따라 암호화 소프트웨어의 이용은 향후 더욱 증가할 것으로 전망된다. 또한 지속적으로 PC의 하드 디스크의 콘텐츠들을 암호화할 수 있는 프로그램은 상대적으로 저렴한 비용으로 구축할 수 있으며, 이메일 암호화는 사용자들이 쉽게 사용할 수 있는 툴에 구축될 수 있는 일반적인 방법이다.

가상사설망을 통해 방지할 수 있는 보안 위협
가상사설명(VPN)은 기업 내 사설망 구축을 위한 인터넷과 같은 공용 네트워크의 사용과 관련이 있다. VPN 기술은 암호화에 기반함으로써 사설 트래픽이 같은 인프라스트럭처를 공유하는 다른 그룹으로부터 효율적으로 분리돼 사용되도록 한다. VPN은 본래 대용량 트래픽 볼륨을 보유한 대기업을 위한 솔루션으로 주로 사용돼 왔지만, 현재 중소기업들에게 맞춤화된 VPN 서비스들이 보편화되고 있는 추세다.
예를 들어, 각각 다른 지역에 두 개의 사무실을 보유한 기업은 사무소 사이에 고정된 선을 임대, 구축하는 것 대신 각 사무실의 로컬 네트워크를 연결시키기 위해 VPN 솔루션을 사용할 수 있다. 또 VPN은 자택 근무 혹은 비즈니스 출장 동안 사무실 로컬 네트워크에 연결하기 위한 직원들을 위한 보안 솔루션으로서 기능을 한다.

중소기업 네트워크 보호를 위한 최적 솔루션
중소기업에 최적화된 보안 솔루션이란 무엇일까? 가장 중요한 것은 사용이 쉬운 통합 솔루션이어야 한다는 점이다. 다계층의 보안 기능을 하나의 솔루션으로 구축 가능하다면, 비용 효율 측면에서 높은 혜택을 볼 수 있게 된다.
그러나 다양한 기능만을 제공하면 모든 문제가 해결되는 것은 아니다. 빠른 속도, 안정적인 네트워크 성능과 네트워크 연결 보장은 물론 유무선, VPN 액세스 포인트에서도 최대치의 성능이 보장돼야만 한다. 보안 위협은 기업의 규모에 따라 달라지는 것이 아니기 때문에, 대기업 수준의 보안 게이트웨이에서 사용되는 것과 같은 강력하고 선진화된 기술이 중소기업용 보안 솔루션에도 그대로 적용될 수 있어야 한다.
정리하자면, 다음과 같은 기술들은 중소기업 네트워크 보안 이슈를 해결하기 위해 반드시 필요한 것들이다.

- 통합된 방화벽, IPSec VPN, 안티바이러스 정책 강제 실행, 침입탐지 및 방지, 콘텐츠 필터링 기술 : 이 모든 기술들이 하나의 단순한 솔루션으로 구현과 관리가 가능해야 한다.
- 웹 기반 관리 인터페이스 : 이러한 기능은 다기능의 보안 솔루션을 기업 시스템 내부와 외부, 그 어떤 위치에서도 편리하게 관리할 수 있도록 해준다. 이러한 관리 시스템을 통해서는 빠른 설치, 구성, 엔터프라이즈 레벨의 관리 등이 구현 가능하고, 더 나아가서는 관리 및 유지 비용을 절감할 수 있다.
- 안티바이러스 정책 강제 실행 기능 : 기업 보안 정책을 통해 규정한 보안 솔루션이 게이트웨이에 접근하는 모든 클라이언트에서 반드시 실행되도록 할 수 있어야 한다.
- 간편한 보안 기능과 관리 : 몇몇 IT 기업들은 중소기업 시장을 타깃으로 한 솔루션에 엔터프라이즈 레벨의 관리 인터페이스를 적용해서 출시하는 경우가 있다. 하지만, 이러한 인터페이스는 전문화된 용어, 옵션, 경계 설정 등을 모두 이해하고 있는 보안 엔지니어를 위해 설계된 것으로 중소기업은 이러한 복잡한 인터페이스가 필요하지도 않고, 또 이를 전부 소화할만한 자원을 가지고 있지 않을 수도 있다.
- 초기 설치 용이성 : 초기 시작 마법사에서 일반적으로 사용하는 ISP 연결 타입을 선택만 하면 인터넷에 연결되도록 해줄 수 있어야 한다.
- 단순화된 문제 해결 : 네트워크 연결 문제와 같이 일반적인 발생할 수 있는 이슈에 대해서 자동화된 문제 해결 프로세스를 제시하거나 기술 지원을 제공할 수 있어야 한다.

중소기업은 이러한 솔루션을 사용함으로써 개별 솔루션 도입으로 인해 야기되는 수많은 업데이트의 번거로움, 자원 소모, 또 업그레이드에 필요한 비용 소비 등으로 인해 고민할 필요가 없어진다. 또한 중소기업 보안 시스템 자체를 단순화시킴으로써 장기적으로도 IT 투자 비용의 가치를 극대화할 수 있다.

보안 정책 수립·직원 교육 병행돼야
완벽한 중소기업 보안 시스템을 위해 중요한 것은 기술과 솔루션뿐만이 아니다. 기업의 기존 정책이나 가이드라인에 기반한 보안 규정을 수립하는 일도 무엇보다 중요한 문제다. 이 규정들은 네트워크, IT플랫폼, 사용자 책임, 기업의 조직화된 구조 등에 관한 구체적인 정보를 담고 있어야 하며, 기업 내 모든 직원들은 보안 규정들을 준수해야 할 책임이 있으므로 이 규정들을 모두가 인지할 수 있도록 해야 한다.
보안 규정의 효력은 얼마나 체계적으로 만들어졌느냐에 관계없이 ‘직원들이 이러한 규정들을 얼마나 잘 인식하고, 준수하는가’란 ‘실천’ 단계에서 평가될 수 있다. 이를 위해서는 직원들을 위한 교육 및 훈련이 필요하다. 교육과 훈련이 내부적인 세미나 형식으로 실시될 때 보다 효율적으로 보안 이슈의 중요성이 강조될 수 있으며 직원들의 명확한 보안 인식을 구축할 수 있게 된다. 이러한 훈련 프로그램의 기회들은 확대되는 것이 좋으며, 시스템 및 운영상의 변화가 있거나 새로운 직원이 들어왔을 때에도 새로운 훈련 프로그램을 계속해서 업데이트할 것이 권장된다.
지금까지 중소기업을 위한 최적의 보안 솔루션이 갖춰야 할 조건을 알아봤다. 비즈니스 환경에서 데이터 및 정보는 그 가치가 점점 더 높아지고 있다. 즉, 기업의 비즈니스 성공과 흥망성쇠를 결정지을 수도 있는 기업 데이터 및 시스템 보안은 아무리 강조해도 지나치지 않는 부문인 것이다.
특히, 중소기업 입장에서는 시스템 보안 체제 구축이 비용과 인력을 소요하는 비필수적인 사항이라는 고정관념을 깰 필요가 있다. 기업 구성원 각자가 안전한 시스템 사용 요령을 습득하고 데이터 보안을 위한 규칙들을 지켜주며, 기업 경영자 입장에서도 보안 체제 구축을 위한 시스템 도입에 적극적일 때 기업 자산인 데이터가 완벽하게 보호되고, 또 이는 비즈니스 성공의 발판이 될 수 있을 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.