Offcanvas

CSO / How To / 보안 / 애플리케이션

기고 | 보안 베스트 프랙티스와 컴플라이언스 요건의 충돌 해결하기

2022.09.02 Susan Bradley  |  CSO
최신 보안 베스트 프랙티스가 기업의 컴플라이언스 탬플릿과 상충하는 상황이 발생하곤 한다. 여기 기업이 예외를 적용해야 할 일부 영역을 정리했다. 

‘인터넷에서 좋은 보안 팁을 읽었다. 이를 통해 보안 태세를 개선할 수 있을 것으로 판단된다.’

그러나 현실에서는 그 팁을 적용하려 먼저 알아보아야 할 점들이 있다. 해당 팁이 보안 컴플라이언스 요건에 부응하는지 또는 컴플라이언스 템플릿에 용인 가능한 예외가 될 수 있는지 등이다.

많은 사람들이 여러 컴플라이언스 요건이 있는 기업에서 근무한다. 기업이 크고 국제화될수록 더 많은 기술 컴플라이언스 규정을 준수해야 한다. EU(European Union)의 GDPR(General Data Protection Regulation), 미국 HIPAA(Health Insurance Portability and Accountability Act), PCI DSS(Payment Card Industry Data Security Standard), NIST(National Institute of Standards and Technology) 지침, FISMA(Federal Information Security Management Act), CIS(Center for Internet Security) 관리규정 등이 그것이다.
 
Image Credit : Getty Images Bank

관리 vs. 비관리 윈도우 업데이트
일부 컴플라이언스 또는 권 사항은 지난 몇 년 동안의 변화를 고려할 때 놀라울 수 있다. 좋은 예가 윈도우 업데이트 처리 방식이다. 일부 조직의 업데이트는 더 이상 WSUS(Windows Software Update Services)에 의해 제어되지 않는다. 그러나 기업이 업데이트를 배치하는 현실을 따라오지 못하는 규정도 존재한다.

좀더 자세히 살펴본다. 기존의 권고 원칙은 명확했다. 시스템 업데이트가 관리를 벗어나지 않도록 해야 한다는 것이다. 윈도우 서버(Server) 2012 R2의 섹션 노트에도 다음과 같이 명시되어 있다. 
 

“비관리 시스템 업데이트는 시스템에 문제를 발생시킬 수 있다. 외부 소스로부터 업데이트 구성요소를 확보하면 잠재적으로 기업 외부로 민감한 정보를 제공할 수도 있다. 옵션 구성요소 설치 또는 수리는 내부 소스로부터 확보할 수 있다.”


이 환경에서는 WSUS를 사용한 후 기기가 인터넷에서 .Net 3.5 구성요소를 확보할 수 있는 그룹 정책을 설정하는 것이 권장되지 않는다. 다음이 권장된다.
 

“컴퓨터 구성(Computer Configuration) → 관리 템플릿(Administrative Templates) → 시스템(System) → ‘옵션 구성요소 설치 및 구성요소 수리를 위한 설정 지정(Specify settings for optional component installation and component repair)’의 정책 값을 ‘활성화됨(Enabled)’으로 구성하고 ‘윈도우 업데이트로부터 페이로드 다운로드 시도하지 않기(Never attempt to download payload from Windows Update)’가 선택되어 있어야 한다.”


그러면 .NET 3.5를 설치하고 배치할 때 서버가 서비스를 위해 윈도우 업데이트에 독립적으로 연결하도록 할 수 있을까? 답은 ‘상황에 따라 다르다’이다. 일부 기업은 소속 산업에 적용되는 컴플라이언스 템플릿을 반드시 고수해야 한다. 비즈니스 요구와 보안 태세에 따라 예외를 요청할 수 있는 경우도 있다.

심지어 윈도우 서버 2019는 더욱 최신 업데이트 기능을 사용하지 않도록 하는 요건도 있다. 가령 서버 2019가 제공 최적화(Delivery Optimization)라는 P2P(Peer to Peer) 업데이트 기술을 사용하면 네트워크의 다른 장치에 대한 업데이트를 검색하지 않도록 한다. 다음과 같다.
 

“윈도우 업데이트는 마이크로소프트 대신에 추가적인 소스로부터 업데이트를 획득할 수 있다. 마이크로소프트 외에 업데이트는 인터넷뿐 아니라 로컬 네트워크의 PC와 주고받을 수 있다. 이것은 윈도우 업데이트 신뢰 프로세스의 일부이다. 하지만 외부 노출을 최소화하기 위해 인터넷의 시스템과 업데이트를 주고받는 것은 방지해야 한다.”


시스템에서 이 설정을 비활성화하기 위해서는 다음의 조치를 취한다.
 

컴퓨터 구성(Computer Configuration) >> 관리 템플릿(Administrative Templates) >> 윈도우 구성요소(Windows Components) >> 제공 최적화(Delivery Optimization) >> ‘다운로드 모드(Download Mode)’의 정책 값을 ‘활성화됨(Enabled)’으로 설정, 이후 ‘인터넷(Internet)’ 외의 모든 옵션을 선택.


마이크로소프트 애저에서 가상 머신 패치하기
심지어 애저 등을 사용할 때도 애저의 가상 머신에 최신 패치를 적용하도록 하는 컴플라이언스 사항을 따라야 한다. 권고사항은 애저 시큐리티 센터(Azure Security Center)를 사용하여 윈도우 및 리눅스 가상 머신의 상태를 검토하는 것이다. 또는, 서드파티 패치 소프트웨어를 사용하여 시스템을 최신 상태로 유지할 수 있다.

새로운 기술 플랫폼 조사하기
새로운 기술 플랫폼을 도입하기 전에 조사 및 승인을 해야 할 수도 있다. 워크스테이션 관리 및 제어를 위한 마이크로소프트의 새로운 플랫폼인 인튠(Intune)을 예로 들어보자. CIS는 인튠 배치를 위한 감사 템플릿을 제공하고 있다. 해당 탬플릿은 설정부터 인증까지의 내용을 아우른다.

비밀번호 베스트 프랙티스 vs. 지시사항
때로는 문제가 되는 비밀번호 설정이 권장되며 비밀번호 관리에 더 많은 문제를 유발할 수 있다. 예를 들어, 테너블(Tenable) 감사 페이지에서는 서버 템플릿과 인튠의 권고 비밀번호 사용기간 설정은 60일 이하이다. 하지만 최근 조사에 따르면 다중 인증과 함께 윈도우 헬로(Hello) 또는 기타 생체인식 옵션 등의 더 나은 인증 기술을 함께 사용하는 경우 비밀번호 만료기간을 60일 이상으로 설정하거나 심지어 완전히 비활성화할 수 있다. 후자의 선택에 의해 기관이 더욱 안전해질 수 있기 때문에 조직이 특정 컴플라이언스 템플릿에 대한 예외를 요청해야 할 수 있다.

규제 및 지침 리소스
CIS 사이트에서는 이메일 주소와 회사 정보를 제공하면 애플 장치부터 시스코 장치와 방화벽 및 프린터까지 다양한 장치에 대한 지침 PDF의 다운로드를 허용하도록 요구하고 있다. 지침을 다운로드하는 것 외에 벤치마크 커뮤니티에 가입하여 질문을 하고 논의에 참여하는 것도 좋다. 이런 벤치마크 커뮤니티에서 컴플라이언스 프로젝트에 도움이 될 수 있는 생각이 비슷한 참여자들을 찾을 수 있는 경우가 많다.

새로운 기술과 플랫폼에 투자한다면 각종 벤치마크 문서가 배치 프로젝트에 도움이 될 수 있다. CIS에는 애플 맥OS 12.0, 애플 맥OS 11.0 빅서(Big Sur), 애플 맥OS 10.15 카탈리나(Catalina), 애플 맥OS 10.14 모하비(Mojave) 등의 기술에 관한 지침이 포함되어 있다. 현재 애플 데스크톱 배치의 베스트 프랙티스에 관한 지침을 찾고 있다면 이런 문서가 초기 배치와 새로운 기술 조사에 도움이 될 것이다.

컴플라이언스는 거의 모든 규모의 기업에 적용된다. 목표는 적절한 지침을 선택하는 것과 기업의 보안을 높여줄 새로운 기술을 도입하는 것 사이의 균형을 찾는 것이다.

* Susan Bradley는 애스크우디닷컴(Askwoody.com), CSO온라인닷컴(CSOonline.com) 등에서 칼럼을 기고하는 전문 칼럼니스트다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.