2017.08.07

강은성의 보안 아키텍트 | 관리 포인트를 관리하자

강은성 | CIO KR
올해에도 개인정보 유출 사고가 여러 곳에서 발생하였다. 얼마 전에는 필자가 가입한 중소규모 사이트에서도 해킹 때문에 개인정보가 유출되었다는 통지 메일이 왔다. 이러한 유출 사고가 발생하면 보안투자를 왜 이렇게 하지 않았나, 왜 이리 허술하게 개인정보를 관리했냐는 비난을 받는다. 뭔가 문제가 있어서 사고가 났겠지만, 일정 규모가 있는 회사들이 그런 경우는 많지 않다.

이제는 웬만큼 보안투자를 한 회사에는 20여 개의 보안솔루션을 운영하는 것은 낯설지 않다. 그냥 생각나는 걸 꼽아도 안티바이러스, PC매체제어, 패치관리시스템, 개인정보유출방지(DLP), 문서암호화(DRM), DB접근제어, DB암호화, 개인정보 검색 및 암호화, 네트워크 방화벽, 네트워크접근제어(NAC), 가상사설망(VPN), 일회용 비밀번호(OTP), 망분리/가상화, 침입탐지/방지시스템(IDS/IPS), 무선접근방지시스템(WIPS), DDoS 방어, 통합위협관리(UTM), 유해사이트 차단, 웹방화벽, 스팸차단, 통합계정관리(IM/IAM), APT대응 등 20개가 넘어간다. 보안관제나 모의해킹, 인증 컨설팅 같은 서비스도 이용한다. 미래부가 제정한 「정보보호 공시제도 가이드라인」에서는 정보보호 제품과 서비스를 60여 가지로 분류하고 있다. 실제로 시장에 나와 있는 보안솔루션은 이보다 더 많을 것이다.

제아무리 탁월한 보안전문가라 하더라도 이렇게 많은 보안솔루션을 다 잘 안다는 것은 불가능에 가깝다. 결국 기업의 보안실무자들이 각 솔루션을 어느 수준까지 알아야 하는지 관건이 된다. 어떤 회사에서는 보안관제기업에 보안솔루션 관리를 맡기는데 그렇다고 발주기업에서 해당 솔루션을 몰라도 되는 건 아니다. 보안관제 인력은 주로 발주기업의 지시에 따라 단순 운영하기 때문이다. 그래서 각 보안솔루션의 관리 포인트를 잘 관리하는 것이 중요해진다.

각 보안솔루션은 어떠한 보안위험에 대응하기 위한 것인지 명확한 목적이 있다. 당연히 대응하지 못하는 더 많은 보안위험이 있다.

예를 들어 정보보호의 기본이 된 네트워크 방화벽은 IP와 port를 기반으로 네트워크 트래픽을 차단하는 강력한 전송계층의 네트워크 보안제품이다. 아무 설정도 하지 않으면 오가는 모든 트래픽을 차단하고(Deny all by default), 열어줘야 할 IP와 port는 운영자가 허용 룰로 설정하는 것이 원칙이다. 따라서 방화벽에서 열어 주는 모든 룰은 예외 처리가 된다(Deny All Permit by Exception, DAPE). (1) 적절한 승인절차 (2) 최소 권한 허용 (3) 한시적 허용 (4) 주기적 점검 (5) 지속적인 모니터링과 같은 예외처리의 원칙을 지켜서 관리해야 한다. (예외 처리 5원칙에 관한 상세 내역은 지난 칼럼을 참고하기 바란다)

그런데 적지 않은 회사들에서 열어줘야 할 서비스가 많다거나 파악하기 어렵다는 등의 ‘현실적인’ 이유를 들어 방화벽 룰을 정반대로 쓴다. 즉 룰의 맨 앞에 ‘Permit All’을 설정한 뒤 차단할 IP와 포트를 차단 룰로 설정한다. 문제되는 사이트의 실시간 차단이 어렵기 때문에 의도치 않게 허용되는 곳이 생기게 되는 원인이 된다.

[그림] 방화벽에서의 인바운드/아웃바운드 연결



사실 세밀하게 따져보면 일반 기업에서 인터넷에 UDP로 통신할 서비스는 그리 많지 않다. TCP 역시 아웃바운드 또는 인바운드 연결을 할 서비스 역시 특정할 수 있다. 인터넷, DMZ, 내부망 사이에서 DAPE 방식의 방화벽 룰 관리가 가능하다는 말이다.

업무 분장이 잘 되어 있는 회사일수록 보안 문제가 더 커지기도 한다. 예를 들어 개발자가 내부망에 있는 특정 개발서버에 접속하기 위해 방화벽을 열기 위해서는 개발자가 품의를 올리고, 개발팀장의 승인, 정보보호팀의 협조 결재 후, 방화벽을 담당하는 외주 운영인력이 해당 룰을 적용하는 것이 보통이다. 프로세스를 보면 아무런 문제가 없다. 그런데 업무가 완료되었거나 시한이 지나도 예외적으로 허용했던 IP, 포트가 계속 열려 있는 경우가 생긴다. 그런데 업무 분장이 잘 되어 있는 회사일수록 아무도 전체 룰을 점검하지 않는다. 다 부분적인 업무를 하기 때문이다. 예외 허용이 쌓이면 방화벽에 열린 구멍이 커지고 사고 위험은 커진다.

따라서 방화벽에서의 주요 관리 포인트는 불필요하게 (넓게) 허용되어 있지는 않은지, 예외 처리 원칙에 맞게 운영되고 있는지 주기적으로 방화벽의 ‘전체 룰’을 점검하는 것이다. 예를 들어 인터넷 영역과의 인바운드 또는 아웃바운드 접속이 C클래스 이상으로 열려 있다면 그 이유는 타당한지, 어떤 위험과 보완대책이 있는지, 시한은 지나지 않았는지 검토한다.

웹방화벽은 이와 좀 다르다. 웹방화벽은 웹서비스에 대한 보안공격을 룰 또는 시그니처 기반으로 차단하는 보안솔루션이다. 룰을 적용하지 않을 시스템을 운영자가 직접 화이트리스트로 관리하기도 하지만, 대부분의 룰은 솔루션 기업에서 업데이트한다. 따라서 해당 웹방화벽이 운영 중인 웹서비스에 모두 적용되는지, 차단모드로 설정되어 있는지, 신규 출시되는 웹서비스들에 오픈 전에 적용되는지 점검하는 것이 주요 관리 포인트가 된다. 웹서비스 개발 프로세스에 이러한 관리 포인트가 포함되어야 전체 서비스에 적용될 수 있다.


데이터베이스에 저장된 데이터가 중요한 회사에서는 DB암호화나 DB접근제어가 중요한 보안도구인데, 이 또한 각각 필요한 관리 포인트가 있다. 관리 포인트를 잘 관리해야 보안솔루션의 도입 목적대로 보안위험을 예방하거나 이상 징후를 사전에 탐지할 수 있다. 정보보호 업무의 60~70%는 운영성 업무다. 관리 포인트의 관리는 아무리 강조해도 결코 지나치지 않다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 
2017.08.07

강은성의 보안 아키텍트 | 관리 포인트를 관리하자

강은성 | CIO KR
올해에도 개인정보 유출 사고가 여러 곳에서 발생하였다. 얼마 전에는 필자가 가입한 중소규모 사이트에서도 해킹 때문에 개인정보가 유출되었다는 통지 메일이 왔다. 이러한 유출 사고가 발생하면 보안투자를 왜 이렇게 하지 않았나, 왜 이리 허술하게 개인정보를 관리했냐는 비난을 받는다. 뭔가 문제가 있어서 사고가 났겠지만, 일정 규모가 있는 회사들이 그런 경우는 많지 않다.

이제는 웬만큼 보안투자를 한 회사에는 20여 개의 보안솔루션을 운영하는 것은 낯설지 않다. 그냥 생각나는 걸 꼽아도 안티바이러스, PC매체제어, 패치관리시스템, 개인정보유출방지(DLP), 문서암호화(DRM), DB접근제어, DB암호화, 개인정보 검색 및 암호화, 네트워크 방화벽, 네트워크접근제어(NAC), 가상사설망(VPN), 일회용 비밀번호(OTP), 망분리/가상화, 침입탐지/방지시스템(IDS/IPS), 무선접근방지시스템(WIPS), DDoS 방어, 통합위협관리(UTM), 유해사이트 차단, 웹방화벽, 스팸차단, 통합계정관리(IM/IAM), APT대응 등 20개가 넘어간다. 보안관제나 모의해킹, 인증 컨설팅 같은 서비스도 이용한다. 미래부가 제정한 「정보보호 공시제도 가이드라인」에서는 정보보호 제품과 서비스를 60여 가지로 분류하고 있다. 실제로 시장에 나와 있는 보안솔루션은 이보다 더 많을 것이다.

제아무리 탁월한 보안전문가라 하더라도 이렇게 많은 보안솔루션을 다 잘 안다는 것은 불가능에 가깝다. 결국 기업의 보안실무자들이 각 솔루션을 어느 수준까지 알아야 하는지 관건이 된다. 어떤 회사에서는 보안관제기업에 보안솔루션 관리를 맡기는데 그렇다고 발주기업에서 해당 솔루션을 몰라도 되는 건 아니다. 보안관제 인력은 주로 발주기업의 지시에 따라 단순 운영하기 때문이다. 그래서 각 보안솔루션의 관리 포인트를 잘 관리하는 것이 중요해진다.

각 보안솔루션은 어떠한 보안위험에 대응하기 위한 것인지 명확한 목적이 있다. 당연히 대응하지 못하는 더 많은 보안위험이 있다.

예를 들어 정보보호의 기본이 된 네트워크 방화벽은 IP와 port를 기반으로 네트워크 트래픽을 차단하는 강력한 전송계층의 네트워크 보안제품이다. 아무 설정도 하지 않으면 오가는 모든 트래픽을 차단하고(Deny all by default), 열어줘야 할 IP와 port는 운영자가 허용 룰로 설정하는 것이 원칙이다. 따라서 방화벽에서 열어 주는 모든 룰은 예외 처리가 된다(Deny All Permit by Exception, DAPE). (1) 적절한 승인절차 (2) 최소 권한 허용 (3) 한시적 허용 (4) 주기적 점검 (5) 지속적인 모니터링과 같은 예외처리의 원칙을 지켜서 관리해야 한다. (예외 처리 5원칙에 관한 상세 내역은 지난 칼럼을 참고하기 바란다)

그런데 적지 않은 회사들에서 열어줘야 할 서비스가 많다거나 파악하기 어렵다는 등의 ‘현실적인’ 이유를 들어 방화벽 룰을 정반대로 쓴다. 즉 룰의 맨 앞에 ‘Permit All’을 설정한 뒤 차단할 IP와 포트를 차단 룰로 설정한다. 문제되는 사이트의 실시간 차단이 어렵기 때문에 의도치 않게 허용되는 곳이 생기게 되는 원인이 된다.

[그림] 방화벽에서의 인바운드/아웃바운드 연결



사실 세밀하게 따져보면 일반 기업에서 인터넷에 UDP로 통신할 서비스는 그리 많지 않다. TCP 역시 아웃바운드 또는 인바운드 연결을 할 서비스 역시 특정할 수 있다. 인터넷, DMZ, 내부망 사이에서 DAPE 방식의 방화벽 룰 관리가 가능하다는 말이다.

업무 분장이 잘 되어 있는 회사일수록 보안 문제가 더 커지기도 한다. 예를 들어 개발자가 내부망에 있는 특정 개발서버에 접속하기 위해 방화벽을 열기 위해서는 개발자가 품의를 올리고, 개발팀장의 승인, 정보보호팀의 협조 결재 후, 방화벽을 담당하는 외주 운영인력이 해당 룰을 적용하는 것이 보통이다. 프로세스를 보면 아무런 문제가 없다. 그런데 업무가 완료되었거나 시한이 지나도 예외적으로 허용했던 IP, 포트가 계속 열려 있는 경우가 생긴다. 그런데 업무 분장이 잘 되어 있는 회사일수록 아무도 전체 룰을 점검하지 않는다. 다 부분적인 업무를 하기 때문이다. 예외 허용이 쌓이면 방화벽에 열린 구멍이 커지고 사고 위험은 커진다.

따라서 방화벽에서의 주요 관리 포인트는 불필요하게 (넓게) 허용되어 있지는 않은지, 예외 처리 원칙에 맞게 운영되고 있는지 주기적으로 방화벽의 ‘전체 룰’을 점검하는 것이다. 예를 들어 인터넷 영역과의 인바운드 또는 아웃바운드 접속이 C클래스 이상으로 열려 있다면 그 이유는 타당한지, 어떤 위험과 보완대책이 있는지, 시한은 지나지 않았는지 검토한다.

웹방화벽은 이와 좀 다르다. 웹방화벽은 웹서비스에 대한 보안공격을 룰 또는 시그니처 기반으로 차단하는 보안솔루션이다. 룰을 적용하지 않을 시스템을 운영자가 직접 화이트리스트로 관리하기도 하지만, 대부분의 룰은 솔루션 기업에서 업데이트한다. 따라서 해당 웹방화벽이 운영 중인 웹서비스에 모두 적용되는지, 차단모드로 설정되어 있는지, 신규 출시되는 웹서비스들에 오픈 전에 적용되는지 점검하는 것이 주요 관리 포인트가 된다. 웹서비스 개발 프로세스에 이러한 관리 포인트가 포함되어야 전체 서비스에 적용될 수 있다.


데이터베이스에 저장된 데이터가 중요한 회사에서는 DB암호화나 DB접근제어가 중요한 보안도구인데, 이 또한 각각 필요한 관리 포인트가 있다. 관리 포인트를 잘 관리해야 보안솔루션의 도입 목적대로 보안위험을 예방하거나 이상 징후를 사전에 탐지할 수 있다. 정보보호 업무의 60~70%는 운영성 업무다. 관리 포인트의 관리는 아무리 강조해도 결코 지나치지 않다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 
X