2012.02.27

중소기업을 위한 다계층 보안체계 체크리스트

Paul Mah | CIO
‘보안’이란 복잡하면서도, 끊임없이 변화하는 성격을 지닌다. 보안 담당 인력이 부족한 중소기업에게는 그야말로 난제다. 인정해야 할 진실 하나는 모든 보안 문제를 해결해줄 만능 해결책이란 없다는 것이다. 여기 중소기업들을 위한 체크리스트 8가지 아이템을 정리했다.   

악당 해커들로부터 컴퓨터 자원을 보호하기 위해 다중 방어벽을 구축하는 사례에 관해 들어 보았을 것이다. 이 아이디어의 핵심은 복수의 방어벽을 이용해 잠재적인 보안 침입을 좌절시키거나 최소한 그 피해를 제한하도록 하는데 있다.

보안 분야의 변화는 너무 빠른 속도로 진행되다. 기업에 배치되어 있는 안정장치의 구체적인 이름을 정하는데도 어려움을 겪고 있을 정도다. 오늘은 컴퓨터 보안의 좀 더 보편적인 측면들에 대해 조명해보고 개선할 수 있는 잠재 요소에 대한 확인 목록을 제공하고자 한다.

1. 네트워크 방화벽
불편한 방문자를 막는 최전방의 방어선은 아마도 방화벽일 터다. 한 때, 서로 다른 벤더들이 제공하는 이중 방화벽을 사용하는 것이 유행이었으나 지금은 DMZ(Demilitarized zone)를 설정하는 방식이 더 인기를 얻고 있는 것으로 보인다. 인터넷에 연결된 서버들은 일반적으로 DMZ 내에 위치하게 되어 내부적인 기업 네트워크에 비해 더 적은 제약조건과 덜한 감시를 받도록 하는 구조다.

여기에는 몇 가지의 방식이 있다. 예를 들어, 소비자용 라우터(Router)는 일반적으로 NAT(Network Address Translation)을 사용한다. 이 기술은 본디 제한된 IPv4 주소의 문제를 해결하기 위해서 고안됐다. 호스트(Host)의 정체가 애매하기 때문에 NAT은 종종 방화벽 기능을 제공하는 것으로 알려져 있다.

적절한 방화벽은 최소한 패킷 필터 기술을 이용해 데이터 패킷의 종류, 출처, 목적지 주소 등과 관련된 확립된 규칙을 바탕으로 데이터 패킷을 허용하거나 거부하도록 되어 있다. 스테이트풀(Sateful) 패킷 필터 방화벽은 상태기반 패킷 검사(Sateful Packet Inspection, 이하 SPI)를 수행하는데 이것은 활성화된 연결을 추적하여 도용한 패킷을 걸러내는 것으로 스테이트레스(Stateless) 패킷 필터 방화벽보다 우월한 접근 방식이다. 끝으로, 애플리케이션 계층에서의 방화벽 운용은 애플리케이션 수준의 프로토콜(Protocol)을 이해하여 정교한 침입 시도를 찾아낸다.

보안에 대한 인식이 증가하고 전자상거래가 더욱 빈번해지면서 이제 많은 사용자들이 제 3자의 스누핑(Snooping)으로부터 보호받기 위해 암호화를 사용하고 있다. 역설적으로, 이로 인해 정교한 악성 소프트웨어들이 암호화에 편승하여 일반적인 검사를 회피하려 할 때도 네트워크 트래픽을 제대로 확인할 수 없는 일이 발생한다.

2. 가상 사설 네트워크
공공 와이파이(Wi-Fi) 핫스팟 등 안전하지 않은 장소에서 기업 네트워크에 접속하려는 직원들의 경우, 특히 보안에 취약하다. 이런 직원들은 가상사설네트워크(Virtual Private Network, 이하 VPN) 연결을 이용해 네트워크 접속 기밀을 보호할 수 있다. VPN은 모든 네트워크 트래픽을 암호화된 터널을 통해 신뢰할 수 있는 기업 네트워크로 돌린다.

단점은, VPN을 배치하는 작업이 중소기업에게는 다소 복잡할 수 있으며 인증, 처리, 대역폭 등의 간접비로 인해 지원 비용이 높다는 점이다. 또한 인증 토큰 또는 인증 기술의 물리적 도난에 취약하다. 이런 단점은 지난 해 RSA의 ‘SecurID’ 기술 침입에서 여실히 드러났다. 마지막으로 사전에 VPN이 설정된 기업 노트북을 도난 당하거나 분실할 경우, 인증 받지 않은 접속을 위한 관문으로 악용될 가능성이 있다.

3. IDS와 IPS
침입탐지시스템(Intusion Detection System, 이하 IDS)은 네트워크 중심적인 전략으로 수상한 활동의 트래픽을 감시하여 기업 네트워크 침입을 찾아낼 수 있다. 가장 단순한 수준에서는 네트워크 또는 서버에 로그인 하려는 시도로 유발되는 포트 스캔(Port Scan)의 탐지가 수반될 수 있다. 전자는 침입 당한 호스트가 초기 정찰을 위해 사용될 수도 있음을 뜻하며, 후자는 다소 강압적인 시도가 될 수도 있다. 더욱 발전된 네트워크 스위치류에서 IDS 네트워크 트래픽 감시는 포트 미러링(Port Mirroring)을 통해 활성화되거나 수동 네트워크 탭(Passive Network Tap)의 사용을 통해 활성화될 수 있다.

침입방지시스템(Intrusion Prevention System, 이하 IPS)는 침입을 능동적으로 예방하거나 검출되었을 때 차단하기 위해서 일반적으로 일렬로 배치된다. 구체적인 IP 주소는 자동적으로 차단할 수 있으며 관리자에게 경고 메시지를 전송하게 된다.


2012.02.27

중소기업을 위한 다계층 보안체계 체크리스트

Paul Mah | CIO
‘보안’이란 복잡하면서도, 끊임없이 변화하는 성격을 지닌다. 보안 담당 인력이 부족한 중소기업에게는 그야말로 난제다. 인정해야 할 진실 하나는 모든 보안 문제를 해결해줄 만능 해결책이란 없다는 것이다. 여기 중소기업들을 위한 체크리스트 8가지 아이템을 정리했다.   

악당 해커들로부터 컴퓨터 자원을 보호하기 위해 다중 방어벽을 구축하는 사례에 관해 들어 보았을 것이다. 이 아이디어의 핵심은 복수의 방어벽을 이용해 잠재적인 보안 침입을 좌절시키거나 최소한 그 피해를 제한하도록 하는데 있다.

보안 분야의 변화는 너무 빠른 속도로 진행되다. 기업에 배치되어 있는 안정장치의 구체적인 이름을 정하는데도 어려움을 겪고 있을 정도다. 오늘은 컴퓨터 보안의 좀 더 보편적인 측면들에 대해 조명해보고 개선할 수 있는 잠재 요소에 대한 확인 목록을 제공하고자 한다.

1. 네트워크 방화벽
불편한 방문자를 막는 최전방의 방어선은 아마도 방화벽일 터다. 한 때, 서로 다른 벤더들이 제공하는 이중 방화벽을 사용하는 것이 유행이었으나 지금은 DMZ(Demilitarized zone)를 설정하는 방식이 더 인기를 얻고 있는 것으로 보인다. 인터넷에 연결된 서버들은 일반적으로 DMZ 내에 위치하게 되어 내부적인 기업 네트워크에 비해 더 적은 제약조건과 덜한 감시를 받도록 하는 구조다.

여기에는 몇 가지의 방식이 있다. 예를 들어, 소비자용 라우터(Router)는 일반적으로 NAT(Network Address Translation)을 사용한다. 이 기술은 본디 제한된 IPv4 주소의 문제를 해결하기 위해서 고안됐다. 호스트(Host)의 정체가 애매하기 때문에 NAT은 종종 방화벽 기능을 제공하는 것으로 알려져 있다.

적절한 방화벽은 최소한 패킷 필터 기술을 이용해 데이터 패킷의 종류, 출처, 목적지 주소 등과 관련된 확립된 규칙을 바탕으로 데이터 패킷을 허용하거나 거부하도록 되어 있다. 스테이트풀(Sateful) 패킷 필터 방화벽은 상태기반 패킷 검사(Sateful Packet Inspection, 이하 SPI)를 수행하는데 이것은 활성화된 연결을 추적하여 도용한 패킷을 걸러내는 것으로 스테이트레스(Stateless) 패킷 필터 방화벽보다 우월한 접근 방식이다. 끝으로, 애플리케이션 계층에서의 방화벽 운용은 애플리케이션 수준의 프로토콜(Protocol)을 이해하여 정교한 침입 시도를 찾아낸다.

보안에 대한 인식이 증가하고 전자상거래가 더욱 빈번해지면서 이제 많은 사용자들이 제 3자의 스누핑(Snooping)으로부터 보호받기 위해 암호화를 사용하고 있다. 역설적으로, 이로 인해 정교한 악성 소프트웨어들이 암호화에 편승하여 일반적인 검사를 회피하려 할 때도 네트워크 트래픽을 제대로 확인할 수 없는 일이 발생한다.

2. 가상 사설 네트워크
공공 와이파이(Wi-Fi) 핫스팟 등 안전하지 않은 장소에서 기업 네트워크에 접속하려는 직원들의 경우, 특히 보안에 취약하다. 이런 직원들은 가상사설네트워크(Virtual Private Network, 이하 VPN) 연결을 이용해 네트워크 접속 기밀을 보호할 수 있다. VPN은 모든 네트워크 트래픽을 암호화된 터널을 통해 신뢰할 수 있는 기업 네트워크로 돌린다.

단점은, VPN을 배치하는 작업이 중소기업에게는 다소 복잡할 수 있으며 인증, 처리, 대역폭 등의 간접비로 인해 지원 비용이 높다는 점이다. 또한 인증 토큰 또는 인증 기술의 물리적 도난에 취약하다. 이런 단점은 지난 해 RSA의 ‘SecurID’ 기술 침입에서 여실히 드러났다. 마지막으로 사전에 VPN이 설정된 기업 노트북을 도난 당하거나 분실할 경우, 인증 받지 않은 접속을 위한 관문으로 악용될 가능성이 있다.

3. IDS와 IPS
침입탐지시스템(Intusion Detection System, 이하 IDS)은 네트워크 중심적인 전략으로 수상한 활동의 트래픽을 감시하여 기업 네트워크 침입을 찾아낼 수 있다. 가장 단순한 수준에서는 네트워크 또는 서버에 로그인 하려는 시도로 유발되는 포트 스캔(Port Scan)의 탐지가 수반될 수 있다. 전자는 침입 당한 호스트가 초기 정찰을 위해 사용될 수도 있음을 뜻하며, 후자는 다소 강압적인 시도가 될 수도 있다. 더욱 발전된 네트워크 스위치류에서 IDS 네트워크 트래픽 감시는 포트 미러링(Port Mirroring)을 통해 활성화되거나 수동 네트워크 탭(Passive Network Tap)의 사용을 통해 활성화될 수 있다.

침입방지시스템(Intrusion Prevention System, 이하 IPS)는 침입을 능동적으로 예방하거나 검출되었을 때 차단하기 위해서 일반적으로 일렬로 배치된다. 구체적인 IP 주소는 자동적으로 차단할 수 있으며 관리자에게 경고 메시지를 전송하게 된다.


X