Offcanvas

보안

우리 회사는 안전할까? 10가지 보안 점검

2012.07.20 Roger A. Grimes   |  InfoWorld
필자는 직접 접한 누군가가 컴퓨터, 네트워크, 보안에 대해 얼마나 지식을 갖추고 있는지 단 몇 분만에 파악해 말해줄 수 있다. 그 사람의 발언, 답변, 특정 주제에 대한 생각을 통해서다. 대부분 마찬가지일 것이다. 그리고 이런 첫 인상은 놀랄 만큼 정확하다.
 
회사나 네트워크의 보안에도 동일한 법칙이 적용된다. 물론 필자가 보안 점검을 할 때는 여러 항목들을 살핀다. 그러나 처음 도착해 살펴본 소수 항목만으로도 그 회사의 네트워크 건강이 어떤지 정확히 파악할 수 있다.
 
필자는 최소 1주에서 4주 동안 보안 평가를 한다. 범위와 세부 내용에 따라 달라진다. 또 40~80페이지에 달하는 보고서를 준비한다. 그러나 다음 10개 항목이 보안과 관련된 정확한 지표 역할을 한다.
 
1. 사전예방을 위한 보안 감시
버라이즌의 데이터 침해 사고 보고서가 일관되게 말해주는 사실이 있다. 적절한 감시만 했다면 대부분의 악성 보안 침해 사고는 초기에 감지가 가능하고, 피해를 최소화 할 수 있다는 것이다. 
 
필자가 보안 평가를 한 대부분은 이벤트 로그 관리를 하고 있었다. 도처에서 이벤트와 로그가 기록된다. 그러나 이런 로그를 수집, 평가하거나, 이에 대한 대처를 하지 않는다. 
 
탄탄한 이벤트 로그 관리 시스템과, 이를 레버리지로 활용하는 평가 프로세스를 갖추고 있는 기업이라면 다른 많은 일도 제대로 하고 있을 것이다. 이런 시스템이야말로 보안 대책에 있어서 최종적인 장치 역할을 하기 때문이다.
 
2. 불필요한 프로그램과 서비스의 수
필자는 통상 두 가지를 평가한다. 첫째, 설치된 프로그램과 서비스의 수와 둘째, 컴퓨터가 시작될 때 자동 실행되는 프로그램들이다. 
 
불필요한 프로그램과 서비스가 많을수록 보안 침해의 공간이 확대된다. 설치된 프로그램과 서비스의 수가 적을 수록 안전하다. '적은 것이 많은 것'이라는 가치가 적용된다. 또한 특정 컴퓨터를 책임진 사람에게 프로그램과 서비스를 설치한 이유와 용도가 무엇인지 묻는 것도 중요하다.
 
3. 패치 관리의 범위와 일정
누구나 패치를 한다. 그러나 제대로 하고 있을까? 모든 설치된 프로그램과 서비스에 중요한 패치를 설치해야 한다. 운영체제는 물론 브라우저 애드온, 생산성 소프트웨어, 펌웨어 모두에 해당된다. 
 
많은 기업들이 철저하게 패치를 하고 있다고 생각하지만, 오라클 자바(Oracle Java), 어도비 애크로뱃 리더, 어도비 플래시 등 가장 많이 쓰는 브라우저 애드인은 패치하지 않는다. 서버에서 많이 쓰는 관리 툴도 마찬가지다. 각 서버에는 동일한 서버 관리 소프트웨어를 쓴다. 
 
그러나 필자가 직접 버전을 확인해보면 몇 년 동안 업데이트를 하지 않은 경우가 많다. 이런 관리 소프트웨어에는 몇 년 전 패치한, 이미 알려진 여러 취약점이 있을 수 있다. 그리고 해커들은 이런 취약점을 사랑한다.
 
4. 안티멜웨어 커버리지 및 상태
스스로 대답을 해보기 바란다. 안티바이러스 소프트웨어를 설치했는가? 최신 버전을 업데이트했는가? 스팸과 피싱 및 애드웨어 방지, 기타 데스크톱과 서버를 보호할 툴을 보유하고 있는가? 얼마나 자주 업데이트를 하는가? 
 
최소 24시간 이내에는 업데이트를 해야 한다. 그러나 이틀을 넘게 안티멜웨어 업데이트를 하지 않은 서버를 종종 발견하곤 한다. 
 
5. 특별 권한(Privileged) 그룹 및 멤버십
얼마나 많은 사용자들이 이 그룹에 속해 있는가? 탄탄한 보안 대책을 갖고 있는 기업은 최소한의 사용자만 유지한다. 
 
그러나 보안 대책이 취약한 기업들은 통제 불가능한 사용자를 이 그룹에 지정해둔다. 가장 탄탄한 기업들은 아예 이 그룹에 사용자를 지정하지 않는다. 액티브 디렉토리를 예로 들면, 엔터프라이즈 관리자(Enterprise Admins) 및 도메인 관리자(Domain Admin) 그룹에는 정말 소수의 사용자만 지정하는 것이 좋다. 
 
그러나 수백 명을 이 그룹에 지정한 기업도 있다. 놀랍게도 매년 증명된 사용자(Authenticated Users) 그룹에 이런 최고 수준의 그룹을 지정하는 기업들을 접하곤 한다. 수년간 되풀이된 경험이다. 또한 필자는 민감한 공유 디렉토리의 승인이 과도한 지를 평가한다.
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.