Offcanvas

보안 / 통신|네트워크

블로그ㅣ'네트워크 인프라', 충분히 보호하고 있는가?

2022.07.18 John Burke  |  Network World
필수적인 네트워크 인프라 보안 이니셔티브에는 일반 자격증명 제거, IT 관리자 계정 정기 감사, 인프라 접근용 MFA 구축 등이 있다. 

네트워크 인프라 보호에 충분한 리소스를 투자하고 있는지 면밀하게 살펴봐야 할 때다(그리고 아마도 그렇지 않을 공산이 크다). 하이퍼 스케일러라면 네트워크 보안을 위해 할 수 있는 모든 일을 하고 있을 것이다. 하지만 이외의 거의 모든 기업은 ‘아니오’라고 가정하는 게 안전하다. 
 
ⓒGetty Images Bank

이는 무조건 비난할 만한 문제가 아니다. 대부분의 경우 이 문제는 가용 자원과 인지된 위험에 달려 있기 때문이다. 사이버 보안 예산은 물론이고 네트워크에서 발생할 수 있는 모든 위험을 처리하기에 인력과 시간도 너무 적을 때, 네트워크 사이버 보안 인력은 무엇에 집중할까? 

대부분은 네트워크의 ‘내부(inward-facing)’보다 ‘외부(outward-facing)’에 집중하는 경향이 있다. 여기에는 2가지 큰 문제가 있다. ‘내부’가 흔들리고 있어서다. 즉, 기업 환경의 ‘내부’와 ‘외부’ 사이에 명확한 선을 긋기가 갈수록 어려워지고 있다. 그리고 ‘내부’에는 내부자 위협도 존재한다. 

위험 평가를 수행할 때, IT 담당자가 인터넷과 직접적으로 연결되는 곳을 보호하는 것과 거의 동일한 방식으로 모든 네트워크 인프라를 보호해야 한다는 의미다. 다시 말해, 캠퍼스 스위치는 메인 인터넷 라우터 또는 애플리케이션 딜리버리 컨트롤러와 마찬가지로 엔터프라이즈 공격 영역의 일부다. 따라서 네트워크 보안 담당자는 네트워크 인프라 보안뿐만 아니라 전사 보안을 향상하기 위해 더 많은 시간을 투자해야 한다. 여기서는 이를 위한 4가지 방법을 살펴본다. 

일반 자격증명 공유를 중단하라
이게 문제라는 걸 더 이상 말할 필요가 없다. 하지만 충격적인 수의 IT가 여전히 이러한 일을 하고 있다. 이를테면 스위치 관리 액세스 권한 등을 얻기 위해 네트워크 직원이 필요에 따라 로그인할 수 있는 계정이 있거나 때로는 이러한 계정이 여럿 있는 경우다. 

특히 문제가 되는 부분은 3가지다. 첫째, 특정 사용자를 관리 및 추적하는 게 어렵거나 불가능하다. 둘째, 자격증명이 손상될 가능성이 높다. 셋째, 더 이상 계정에 접근할 수 없어야 하는 내부의 누군가가 (이를) 계속해서 사용할 가능성을 크게 높인다(내부자뿐만 아니라 최근에 회사를 그만둔 직원까지 그럴 수 있다). 일단 이러한 방식으로 설정되면 누가 네트워크에 액세스할 수 있는지 알 방법이 없다. 접근 권한이 필요한 모든 사용자는 각자 계정이 있어야 한다. 

접근 권한이 있는 사용자 수 줄이기
계정별 접근 권한 관리 없이는 거의 불가능한, 한 가지 인프라 보안 방법은 실제로 필요한 사용자에게만 접근 권한을 제한하는 것이다. 네트워크 인프라 접근 권한이 있는 계정 감사는 업무가 변경돼 더 이상 접근 권한이 필요하지 않은 계정이나, 회사를 그만뒀지만 여전히 활성화돼 있는 계정 등을 찾아낸다. 아울러 IT는 권한이 있는 계정을 정기적으로 감사해야 한다. 자리가 채워지거나 공석이 될 때마다 해당 직책과 관련된 모든 계정을 검토하는 표준 프로세스를 만들고, 직원들이 퇴사할 때마다 권한이 있는 계정을 비활성화해야 한다. 

다중 요소 인증(MFA)으로 이동하라
MFA가 대부분의 시스템에서 보안을 크게 향상시킨다는 데 이견이 없을 것이다. 이는 은행 애플리케이션뿐만 아니라 인프라에서도 마찬가지다(물론 네트워크 손상은 최악의 경우 모든 애플리케이션을 손상시킬 수 있다). 네트워크 팀은 RADIUS 또는 TACACS+를 통해 스위치를 MFA 지원 ID 서비스로 전환해야 한다. 

소프트웨어 정의 경계로 이동하라 
소프트웨어 정의 경계 시스템을 구축하면 IT는 MFA를 통해 1인/1계정 액세스에 추가적인 보호를 제공할 수 있다. 예를 들어 SDP 소프트웨어를 사용하면 관리자가 상태가 양호한 회사 노트북이나 데스크톱 또는 물리적 네트워크의 특정 세그먼트에서만 네트워크 노드에 접근할 수 있도록 허용할 수 있다. 또 네트워크 노드 관리 권한이 없는 계정은 네트워크에서 볼 수 없도록 할 수 있다. 인증되지 않은 사용자나 시스템이 표시되지 않는다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.