기업에서 필요로 하는 보안과 기업이 원하는 유연성은 종종 상반되는 경우가 많다. AD(Active Directory) 보안 규정준수를 보장해 주는 툴이 해결책이 될 수 있을까? 그럴 수 있을지도 모른다. 하지만 그 전에 정책이 반드시 먼저 마련돼야 한다. <편집자>

시스템이 회사의 보안 정책을 준수하고 있다고 얼마나 확신하는가? 감사를 두려워하지 않을 만큼 충분히 자신이 있는가? 본지에서 실시한 2008 전략적 보안 설문조사에서 자신의 조직이 정부나 산업 규정 기관이라고 말한 응답자의 63%에게는 이것이 결코 단순한 말장난이 아닐 것이다.

기존의 역량 검토한 다음 쇼핑 시작해야
규정준수(compliance)의 핵심 부분은 액티브 디렉토리 같은 시스템들을 통해 정책을 시행하는 것이지만, 일단 정해지고 나서 그 규정들이 효과를 유지하고 있는지 확인하기란 쉬운 일이 아니다. 급속히 진화하는 기술로 인해 계속되는 인프라 변화는 IT 의 변화 관리 능력을 능가하고, 이로 인해 ‘공식적인’ 회사의 정책과 실제 현실 사이에 갭이 생기기 마련이다.

제대로 방향을 잡기 위한 첫 번째 단계는 규정에 맞게 보안 가이드라인을 설정하고 액티브 디렉토리 정책을 배치하는 것인데, 이것은 결코 만만한 일이 아니다. 그후 IT는 규정준수가 이뤄지고 있음을 보여 줘야 한다. 단지 필요한 설정만으로는 충분치 못하며 감사자들은 규정이 정확하게 적용되고 있는지 입증하기를 바랄 것이다.

업체들은 새로운 액티브 디렉토리 규정준수 툴이 정책의 효과를 측정하고 IT와 비즈니스 양쪽에 모두 가치를 추가할 수 있다고 주장하고 있다. 잘못 구성된 장비들은 데이터를 익스플로이트(exploit)나 내부적인 오용 사태에 노출시키는 보안 문제를 야기할 가능성이 더 많다. 그리고 비교적 적은 비율의 워크스테이션들, 보통 사용자에게 너무 많은 제어를 허용하는 비표준 설정을 하고 있는 것들은 일관성 없게 발발하는 바이러스와 스파이웨어 사건들을 만들어 내는 경향이 있다.

규정준수 비용을 합리화하고 보안을 대폭 향상시켜 준다고 약속하는 기술은 어떤 것이든 그럴 만한 논거가 있을 것이다. 하지만 대부분의 규정준수 소프트웨어와 마찬가지로 목청 높은 과대선전들 사이에서 진정한 가치를 찾아내기가 쉬운 일이 아니다. 모든 제품이 똑같이 만들어지는 것은 아니며, 결국에는 제대로 기능을 발휘하지 못하는 또 다른 포인트 툴들만 가득하게 될 것이다.

그렇다고 아무 것도 기대할 수 없다는 말로 오해는 말기 바란다. 하지만 잘못된 보안 감각과 실질적으로 전혀 향상을 가져다주지 못하게 되는 상황을 피하기 위해서는 정책의 토대를 마련하고 기존의 역량을 검토한 다음 쇼핑을 시작해야 한다.

그룹 준수 해결하면 포인트 툴들이 더 효과적
AD 정책 감사 툴은 GRC, 즉 거버넌스, 위험 관리 및 규정 준수(Governance/Risk management/Compliance)라는 보다 포괄적인 범주의 틈새시장을 차지하고 있다. 공급업체 관점에서 보자면 GRC 제품들은 매출 성장의 지속적인 원천이 돼 왔으며, 이들은 좋지 않은 경제 상황에서 수반되는 예산 삭감에 비교적 내구성을 갖고 있다. 따라서 업체들이 기존의 제품을 강화해서 ‘규정준수 솔루션’으로 재포장하고 있는 것도 무리는 아니다. 불행히도 이렇게 나눠진 시장은 개발자들이 신기술을 따라가고자 애를 쓰면서 여전히 유동적인 상태를 유지하고 있다. 사양 세트는 매우 포괄적이며 비슷한 두 제품도 없기 때문에 비교 자체가 매우 힘들다.

일반적으로 CA, IBM, 노벨, 썬마이크로시스템즈 및 시만텍 같은 대형 업체들은 전사적으로 필요한 규정준수를 충족시키는 데 초점을 둔 포괄적인 스위트를 내놓고 있지만 그룹 정책이 언제나 처리되는 것은 아니다. 어떤 패키지들은 그룹 정책 관리를 네이티브 툴에게 남겨두기도 하며, 일종의 종단지점 정책 감사 기능이 포함된 제품들에게는 적절한 깊이가 결핍된 경우가 많다.

오히려 액티브 디렉토리 전용 툴을 제공하는 보다 규모가 작은 업체들이 그룹 정책 영역에서 보다 포괄적인 기능을 제공하는 경향이 있는데, 이러한 업체들로는 빅픽스(BigFix), 풀아머(FullArmor), 넷아이큐(NetIQ), 넷프로(NetPro) 및 퀘스트(Quest) 등이 있다.

우리 입장을 정리하면, 다양한 환경이 있는 대형 조직이라면 포괄적인 스위트로 제품 수를 줄일 수 있겠지만, 취약한 부분에서는 이들을 보완할 필요가 있을 것이다. 단지 그룹 정책 규정준수 부분만 해결하면 될 경우에는 포인트 툴들이 더 효과적이다.



이미 갖고 있지는 않은가?
대형 업체들이 인정하는 것처럼, 마이크로소프트의 액티브 디렉토리는 종단지점의 집중식 관리를 가능하게 해주는 빌트인 기능들을 제공한다. 그렇다면 정책 및 구성 관리에 대한 액티브 디렉토리의 네이티브 해답인 그룹 정책으로 일이 다 해결되지 않는 이유는 무엇일까?

그룹 정책은 정책 설정을 배치하는 데 효과적인 툴이다. 마이크로소프트는 비교적 사용이 편리한 GUI에서 수천 가지의 구성 옵션들과 각각의 새 OS 버전에서 수백 개의 추가 설정들을 내놓은 바 있다. 기반 기술은 비교적 강력하며, 사용자나 장비에 정해진 대로 제어가 이루어지고 정기적으로 갱신이 될 수 있다.

하지만 로컬 보안 정책 파일의 갑작스런 중단에서부터 제어를 피하려는 사람들에 의한 고의적인 변경에 이르기까지, 적절한 그룹 정책 적용을 막을 수 있는 문제들이 얼마든지 발생할 수 있으며, 따라서 로그를 수집하고 에러를 일으키는 로그를 중앙에서 분석하지 않는 한(요구되는 대역폭과 오버헤드를 감안할 때 워크스테이션에서는 무리다) IT에서는 조금도 나아질 게 없다. 그리고 이벤트 로그는 애플리케이션 문제 탐지용으로만 유용하며, 제어 설정이나 일탈 현상에 대한 보고를 확인해주지는 않을 것이다.

복잡성도 또한 문제가 된다. 정책의 수가 늘어나면서 정책 자체나 우선순위 지정 단계에서 구성 오류가 발생하기 쉬우며, 다중 정책 레이어로 작용하게 되는 상속(inheritance)이 적용이 된다.

보안 감사 회사인 레드스핀의 CEO인 존 아브라함은 “어렸을 적 하나의 전등을 두 개의 스위치로 조종하던 방을 기억하는가? 스위치 하나는 언제나 내려져 있고 다른 하나는 언제나 올라가 있으며 불을 켜기 위해 올라가 있는 스위치를 다시 내리자면 늘 이상한 느낌이 들곤 했을 것”이라며 “액티브 디렉토리에서의 그룹 정책 설정은 이것과 마찬가지며 단지 스위치 같은 것이 수백 개, 때로는 심지어 수천 개가 있을 뿐이다. 불이 켜지는 것을 어떻게 알 수 있겠는가?”라고 말했다.

많은 비 마이크로소프트 애플리케이션 설정을 정책에 포함시키고 싶다면 복잡성은 더 늘어난다. 대부분의 조직에서는 여전히 그룹 정책의 윈도 2003 버전을 돌리고 있는데, 여기에는 템플릿을 개발하지 않고 맞춤 레지스트리 설정을 쉽게 지정할 수 있는 능력이 없다.

윈도우 2008에서 새롭게 추가된 가장 핵심적인 기능 가운데 하나로 GPP(Group Policy Preference)가 있는데, 이것은 사용 가능한 구성 옵션들을 확장시켜 주며, 맞춤 관리 템플릿을 만들 필요 없이 레지스트리 설정을 관리할 수 없는 것 같이 예전 버전에서의 많은 구멍을 메워 준다.

그룹 정책,  규정 준수 강력한 무기
GPP는 2006년 말 마이크로소프트가 인수할 때까지 그룹 정책 익스텐션 분야를 선도하던 데스크톱스탠다드(DesktopStandard)의 정책메이커(PolicyMaker) 기술이 가장 최근에 재현된 것이다. 다행히도 정책메이커의 강력한 기능들은 변화의 과정에서도 그대로 살아남았는데, 일례로 로컬 계정 패스워드, 파워옵션, 프린터, 드라이브 매핑 및 환경 변수들 같은 페인 포인트(pain point)에 타깃을 둔, 미리 지정된 구성 항목들의 확장 세트를 들 수 있다.

가장 멋진 점은 이것이 실제로 무료며 그 혜택을 받기 위해 윈도우 2008로 AD 도메인을 업그레이드할 필요가 없다는 것이다. 필요한 것이라고는 하나의 윈도우 2008 서버나 비스타 워크스테이션, RSAT(Remote Server Administration Toolkit), 그리고 기존의 기계에 배치된 작은 클라이언트 업데이트뿐이다.

AGPM(Advanced Group Policy Management)은 변화 관리, 롤백 및 향상된 보고 기능을 제공한다. AGPM은 데스크톱스탠다드의 또 다른 제품인 GPOVault에서 이식된 것으로, 불행히도 마이크로소프트는 윈도우 비스타 보급을 위한 노력의 일환으로 이 툴을 포함시켰다. 현재 이 막강한 기능을 얻을 수 있는 유일한 길은 소프트웨어 어슈어런스(Software Assurance)가 있는 MDOP(Microsoft Desktop Optimi zation Pack)를 통해서 뿐이다. 라이선싱 필요조건을 충족시킬 수만 있다면 AGPM을 이용하기를 적극 권하고 싶다.

새로 나오는 그룹 정책 툴조차도 제대로 하지 못하는 주요 영역들로는 감사, 종단지점 검증 및 비 AD 컴퓨터 지원 등이 있다. 영업 사원이나 가정의 VPN 사용자들을 로밍하는 데 사용되는 것처럼 산발적으로 연결된 워크스테이션들도 또한 문제가 될 수 있는데, 그 이유는 이들의 설정이 언제나 시기적절하게 적용되는 것이 아니기 때문이다. 보고는 단일 워크스테이션으로 제한되며 각각의 장비용으로 수동으로 생성돼야 한다.

결론적으로 말하자면, 그룹 정책은 규정준수에는 강력한 무기가 될 수 있지만 모든 필요조건을 다 충족시켜 주지는 못한다.

관리가 문제
액티브 디렉토리 정책 규정준수용 툴이 확산됨에 따라 효과적인 관리 또한 도전 과제로 떠오를 것이다. 감사 기관인 레드스핀에서 CTO로 일하고 있는 브라이언 헤이즈는 “IT 조직에서 관리가 불가능할 정도로 모니터링과 보고 장비를 너무 많이 구입하는 것을 보아 왔다”며 “가끔은 의도했던 것과 정반대의 결과를 가져오기도 한다”고 경고했다.

해결책은 무엇일까? 구매를 안내할 위험 관리 원칙을 적용시키라는 것이다. 새로운 유틸리티를 이행하는 데 있어서 의사결정은 반드시 구조화된 위험 관리 방안에 의해 이뤄져야 한다. 자신의 포트폴리오에 툴이 어떻게 들어맞을지를 확인함으로써 ‘포인트 제품 과다 신드롬’을 피할 수 있는데, 이것은 IT 관리자들이 잘못 통합돼 중복되거나 필요없는 기능을 제공하는 콘솔들의 혼란 속에 파묻히게 되는 고질병을 말한다.

어느 한 제품으로 모든 규정준수 문제를 해결할 수는 없기 때문에 일정 수의 관리 스위트를 유지하는 것은 불가피한 일이지만, 적절한 위험 등급 분류를 통해 툴박스가 균형을 잃어버리는 일을 방지할 수 있을 것이다.

좌절하지 않을 수 있게 해주는 기본 원칙은 정책이 우선이라는 것이다. 스위트를 구입하기로 하든, 내부의 자원을 이용하든, 보다 높은 레벨의 거버넌스 문제를 간과해서는 안 된다. 아무리 좋은 툴이라도 관리가 뒷받침되는 잘 구성된 보안 정책의 도움이 없이는 가치를 발휘할 수 없다. 아마도 정책에 있어서는 숙제를 해야 할 조직들이 많을 것 같다. 본지 2008 전략적 보안 설문 조사에 따르면 54%의 조직들이 아직 보안 정책을 마련하지 못한 것으로 밝혀졌기 때문이다.

균형 유지해야
서버와 워크스테이션을 강화하는 게 사용자의 자유를 제한한다는 것은 틀림없는 사실이다. 관건은 필요한 비즈니스 기능성과 최적의 보안 세팅 사이의 균형을 유지하는 일이다. 새로운 구성이 워크스테이션의 제한을 크게 심화시킨다면 MBI(Management Buy-In)를 승인하고 기술적 제어를 정책 필요조건에 명확하게 맵핑함으로써 불가피한 반발에 대비해야 한다. 여기서 위험 관리 원칙은 어떤 제어가 적합한지를 결정할 수 있는 양적인 수단을 제공함으로써 도움이 될 수 있다.

툴을 위한 자금을 확보하는 일은 지령을 따르기만 한다면 문제되지 않겠지만 규정준수 예산을 최대한 확보하기 위해서는 역시 실사(due diligence)가 필요할 것이다. 그렇다고 물론 큰 그림을 무시해서는 안 된다. 전체적인 위험 관리 전략에서 그 툴이 어디에 적합할지를 판단하기 위해서는 시스템 전반에서 규정준수 갭들을 매핑해야 한다.

규정준수의 보호막아래 있지 않는 IT 조직이라면 승인을 얻는 데 더 힘든 시간이 요구될 것이기 때문에(CFO들은 보안 사고에 대한 계속되는 끔찍한 예언들에 면역이 돼 있다) 구조화된 방안을 이용해서 당신이 선택한 제품이 얼마만한 위험을 어떻게 해결해주는지를 보여 줄 수 있어야 한다. 최악 의 가상 시나리오를 기반으로 한 모호한 ROI 통계는 시도하지 말기 바란다. 경영진에서 당신의 주장을 약간이라도 과장되게 받아들인다면 당신은 신뢰를 잃게 될 것이다.

툴만 가지고는 그룹 정책 규정준수에 대한 걱정을 모두 해결할 수 없다. 하지만 적절한 기반이 있는 상태에서 적절한 제품은 감사자를 만족시키고 종단지점 보안을 향상시키고자 하는 과정에서 그 가치가 입증될 수 있다.