2011.07.11

최신 보안 수단 ‘화이트리스팅’이 뜬다

Jim Buchanan | CIO

피싱(Pishing), 스피어 피싱(Spear Pishing), 트로이의 목마 등 서로 다른 방식의 해킹들이 늘어나고 있을 뿐만 아니라 정교해지고 있다. 올해 세상을 떠들썩하게 만든 RSA, 록히드(Lockheed), 시티콥(Citicorp) 해킹 사건 이후 이러한 추세는 더욱 뚜렷해 졌다.

이는 빙산의 일각에 불과하다. 포네몬 인스터튜트(Ponemon Institute)의 최근 설문에 따르면, 미국과 유럽의 기업 보안 전문가 581명 중 90%는 지난해 최소 한차례, 56%는 2차례 이상 해킹 공격을 받았다고 답한 것으로 나타났다.

다행히 좋은 소식도 있다. ABI 리서치(ABI Research)는 2007년에서 2010년 보안 예산이IT 투자의 7%에서 14%로 증가했다고 전했다.

거시적으로 보면, 이러한 추세는 고무적인 현상이다. 그러나 자세히 들여다 보면, 그다지 희망적이지 않다. 과거에는 보안 솔루션 자체에 대해 준비가 안돼 있었으나 현재는 CIO들이 살펴보고 비용을 지출할 솔루션으로 부각되고 있다.

이러한 접근은 애플리케이션 화이트리스팅(Whitelisting), 또는 애플리케이션 컨트롤이라는 방법이다. 이와 관련해, IT 서비스 공급업체인 카루셀 인더스트리스(Carousel Industries)의 보안 인프라 설계자 토르스텐 베렌스는 “화이트리스팅이 새로운 보안 수단일 뿐 아니라 보안에 대한 새로운 사고 방식”이라고 설명했다.

보안에 대한 새로운 사고 방식
스팸 방지나 백신 소프트웨어와 같은 툴들은 블랙리스팅(Blacklisting)을 이용해 해킹 공격을 방어한다. 특정 사용자나 프로그램의 접근을 불허하고 내모는 툴들이다.

그러나 블랙리스팅을 활용하려면 누가 '악당'인지 알아야 한다. 또 자주 업데이트해야 한다. 이렇게 하더라도 허점이 있다. 패치를 발행해 설치할 때까지 틈이 있을 수 있고, 아예 패치가 발행되지 않는 경우도 있다.

화이트리스팅은 블랙리스팅과 정반대다. 사전에 승인한 코드만을 실행할 수 있도록 하고, 화이트리스트 데이터베이스에 들어 있지 않은 실행 파일들을 자동으로 차단한다. 실행 파일을 대상으로 하고 있기 때문에 알려지지 않은 실행 파일에는 반응하지 않는다. 즉 사용자의 파일 실행을 기반으로 하는 바이러스와 트로이의 목마, 스파이웨어를 무력하게 만드는 것이다.

화이트리스팅의 성장
화이트리스팅은 새로운 개념이 아니다. LAN 프로비저닝에, 그리고 ISP들이 이메일 스팸을 필터링 할 때 유사한 방법을 사용했다. 하지만 기업용 IT에는 더 많은 보안 수단이 필요해졌다.  몇 년 전부터 악성 코드의 수가 정상적인 코드의 수를 넘어설 만큼 부쩍 늘어났기 때문이다.

아직까지도 IT 부문의 도입률은 기대에 못 미치고 있다. 무엇보다 사용자들이 화이트리스팅이 일상 업무에 제약이 될 것이라고 생각하고 있기 때문이다. 예를 들어 화이트리스트 프로그램은 다른 애플리케이션에서 파일을 여는 것을 차단할 수 있다. 즉 사용자의 승인을 요청하는데 이는 시간을 잡아먹는다. 또 화이트리스트 데이터베이스에 IT업체의 새 소프트웨어 업데이트를 등록하지 않았다면 많은 사용자에게 영향을 미칠 수 있다.

이는 초기 제품들에 많았던 문제들이다. 그러나 현재 IT업체들은 이 부분에서 많은 발전을 성취했다. 신뢰할 수 있는 업체들의 파일을 자동으로 업데이트해 화이트리스트 데이터베이스에 등재할 수 있고, PC를 PCI와 같은 표준에 일치하도록 화이트리스팅 설정을 할 수 있도록 되어있다. 또 사용자 그룹에 대한 액세스 할당에도 많은 유연성을 제공하고 있다.

베렌스는 "PCI에 부응하는 기업들이 지불 처리를 목적으로 하는 특정 애플리케이션을 보유하고 있다고 치자. 웹 기반이라면 브라우저와 이메일에 필요한 툴, 지불 프로세싱 애플리케이션, PC의 OS를 화이트리스팅 해야 한다"라고 설명했다.

또 신뢰할 수 있는 파워 유저 그룹이라면 자신들의 애플리케이션을 승인할 권한을 포함해 더 광범위한 접근성을 확보해야 한다. 베렌스는 "파워 유저라면 업무 수행을 위해 항상 필요한 애플리케이션을 설치하고, 독자적으로 승인할 수 있는 권한을 가져야 한다"라고 전했다.




2011.07.11

최신 보안 수단 ‘화이트리스팅’이 뜬다

Jim Buchanan | CIO

피싱(Pishing), 스피어 피싱(Spear Pishing), 트로이의 목마 등 서로 다른 방식의 해킹들이 늘어나고 있을 뿐만 아니라 정교해지고 있다. 올해 세상을 떠들썩하게 만든 RSA, 록히드(Lockheed), 시티콥(Citicorp) 해킹 사건 이후 이러한 추세는 더욱 뚜렷해 졌다.

이는 빙산의 일각에 불과하다. 포네몬 인스터튜트(Ponemon Institute)의 최근 설문에 따르면, 미국과 유럽의 기업 보안 전문가 581명 중 90%는 지난해 최소 한차례, 56%는 2차례 이상 해킹 공격을 받았다고 답한 것으로 나타났다.

다행히 좋은 소식도 있다. ABI 리서치(ABI Research)는 2007년에서 2010년 보안 예산이IT 투자의 7%에서 14%로 증가했다고 전했다.

거시적으로 보면, 이러한 추세는 고무적인 현상이다. 그러나 자세히 들여다 보면, 그다지 희망적이지 않다. 과거에는 보안 솔루션 자체에 대해 준비가 안돼 있었으나 현재는 CIO들이 살펴보고 비용을 지출할 솔루션으로 부각되고 있다.

이러한 접근은 애플리케이션 화이트리스팅(Whitelisting), 또는 애플리케이션 컨트롤이라는 방법이다. 이와 관련해, IT 서비스 공급업체인 카루셀 인더스트리스(Carousel Industries)의 보안 인프라 설계자 토르스텐 베렌스는 “화이트리스팅이 새로운 보안 수단일 뿐 아니라 보안에 대한 새로운 사고 방식”이라고 설명했다.

보안에 대한 새로운 사고 방식
스팸 방지나 백신 소프트웨어와 같은 툴들은 블랙리스팅(Blacklisting)을 이용해 해킹 공격을 방어한다. 특정 사용자나 프로그램의 접근을 불허하고 내모는 툴들이다.

그러나 블랙리스팅을 활용하려면 누가 '악당'인지 알아야 한다. 또 자주 업데이트해야 한다. 이렇게 하더라도 허점이 있다. 패치를 발행해 설치할 때까지 틈이 있을 수 있고, 아예 패치가 발행되지 않는 경우도 있다.

화이트리스팅은 블랙리스팅과 정반대다. 사전에 승인한 코드만을 실행할 수 있도록 하고, 화이트리스트 데이터베이스에 들어 있지 않은 실행 파일들을 자동으로 차단한다. 실행 파일을 대상으로 하고 있기 때문에 알려지지 않은 실행 파일에는 반응하지 않는다. 즉 사용자의 파일 실행을 기반으로 하는 바이러스와 트로이의 목마, 스파이웨어를 무력하게 만드는 것이다.

화이트리스팅의 성장
화이트리스팅은 새로운 개념이 아니다. LAN 프로비저닝에, 그리고 ISP들이 이메일 스팸을 필터링 할 때 유사한 방법을 사용했다. 하지만 기업용 IT에는 더 많은 보안 수단이 필요해졌다.  몇 년 전부터 악성 코드의 수가 정상적인 코드의 수를 넘어설 만큼 부쩍 늘어났기 때문이다.

아직까지도 IT 부문의 도입률은 기대에 못 미치고 있다. 무엇보다 사용자들이 화이트리스팅이 일상 업무에 제약이 될 것이라고 생각하고 있기 때문이다. 예를 들어 화이트리스트 프로그램은 다른 애플리케이션에서 파일을 여는 것을 차단할 수 있다. 즉 사용자의 승인을 요청하는데 이는 시간을 잡아먹는다. 또 화이트리스트 데이터베이스에 IT업체의 새 소프트웨어 업데이트를 등록하지 않았다면 많은 사용자에게 영향을 미칠 수 있다.

이는 초기 제품들에 많았던 문제들이다. 그러나 현재 IT업체들은 이 부분에서 많은 발전을 성취했다. 신뢰할 수 있는 업체들의 파일을 자동으로 업데이트해 화이트리스트 데이터베이스에 등재할 수 있고, PC를 PCI와 같은 표준에 일치하도록 화이트리스팅 설정을 할 수 있도록 되어있다. 또 사용자 그룹에 대한 액세스 할당에도 많은 유연성을 제공하고 있다.

베렌스는 "PCI에 부응하는 기업들이 지불 처리를 목적으로 하는 특정 애플리케이션을 보유하고 있다고 치자. 웹 기반이라면 브라우저와 이메일에 필요한 툴, 지불 프로세싱 애플리케이션, PC의 OS를 화이트리스팅 해야 한다"라고 설명했다.

또 신뢰할 수 있는 파워 유저 그룹이라면 자신들의 애플리케이션을 승인할 권한을 포함해 더 광범위한 접근성을 확보해야 한다. 베렌스는 "파워 유저라면 업무 수행을 위해 항상 필요한 애플리케이션을 설치하고, 독자적으로 승인할 수 있는 권한을 가져야 한다"라고 전했다.


X