지사와 소규모 사무실을 위한 IP 커뮤니케이션

지사와 소규모 사무실을 위한 보안


Snapshot:
2003년 8월, 영국의 경제 전문 주간지인 이코노미스트에 따르면, 블래스터 웜(Blaster worm)은 한 기기가 다른 기기를 제어할 수 있게 해주는 OS인 마이크로소프트 윈도우에서 '원격 콜 처리에서의 버퍼 과부하'를 야기함으로써 전 세계 500,000여 컴퓨터를 감염시킨 것으로 나타났다. 서버와 PC가 주요 '제물'이 되었다. 이코노미스트는 웜의 유포자가 '유머 감각을 가진' 사람으로 추측되며 윈도의 취약점을 공략하고 윈도우 업데이트 사이트에 대한 분산 서비스 거부(DDoS) 공격을 감행한다. 또한 8월 19일 발생한 변종 소빅(SoBig.F) 웜은 이메일을 매개로 확산되었으며 네트워크의 과부하를 발생시켰다.

이외에도, 트로이 목마나 반달(vandal), IP 스푸핑, 패킷 스나이퍼, 데이터 가로채기 등 수많은 보안 위협 요인이 존재하고 있다.

지사나 중소 기업 사무실에 대한 보안 침해는 매출액 손실과 협력 업체와의 트랜잭션 중단, 고객 신뢰도 상실(특히, 웹사이트가 마비될 경우), 사기 사건 발생 가능성(개인 정보나 신용 카드 정보 도난의 경우)을 높여준다.

더욱이, 이러한 사무실들은 특히 보안에 취약하다. 독립적인 사무실의 경우, 보안 침해에 효과적으로 대응하거나 대비할 수 있는 예산과 인력이 절대적으로 부족하다. 이론적으로는 본사 IT와 보안 담당자를 활용할 수 있는 대기업의 지사들의 경우에도 현실적으로는 기업 운영 및 데이터베이스의 비인증 액세스를 차단할 수 있는 방안이 그리 많지 않다. 시스코의 솔루션 프로그램 매니저인 케빈 드카토(Kevin DeCato)는 "자신의 회사 네트워크에 얼마나 많은 액세스 포인트가 존재하는지 알고 있는 사람은 드물다"면서 "더욱 중요한 것은 접속하는 사람들 모두가 어디에 존재하는지 파악하는 것"이라고 지적했다.

하지만 효과적으로 보안을 구현하는 것이 그리 쉽지는 않다. 시스코의 액세스 라우터 담당 엔지니어링 디렉터인 아드리안 아멜스(Adrian Amels)는 "보안을 구현해야 하는 대표적인 장비는 기업 내부 LAN과 외부 세계에 대한 액세스를 관리하는 라우터"라고 밝혔다.

아멜스는 "액세스 라우터는 방화벽과 침입 탐지, 액세스 제어 목록, 가상사설망 등을 비롯해 보안을 향상해주는 속도 제한 등의 네트워킹 기능을 포함한 종합적인 보안 기술을 제공할 수 있다"고 말했다.

또한 그는 "이러한 기술들은 사무실에 유입 및 송출되는 패킷 경로의 일부로 시스템 내부에 구현될 수 있어 지연에 민감한 애플리케이션의 지연을 최소화하고 패킷 보안을 향상시킬 수 있다. 또한 온라인으로 이동시키는 것도 매우 용이하다"고 덧붙였다.

사무실 내부에서의 보안


이러한 보안 기능은 시스코 액세스 라우터에서 구현될 수 있는 기능 중의 일부분이며 Cisco 800 시리즈 라우터에서부터 Cisco 3700 시리즈 이상의 라우터 등 모든 시스템에서 구동하는 시스코 IOS 소프트웨어의 기능에 포함되어 있다. 이들 제품이 제공하는 대표적인 보안 기능은 다음과 같다.

  • 기업의 비즈니스 행위에 따라 결정되는 규칙을 기반으로 알려진 위협을 탐지 및 차단하는 방화벽과 침입 탐지 기능을 제공한다.
  • 라우터와 스위치에서 이용할 수 있는 액세스 제어 목록(ACL)은 사용자의 어드레스를 토대로 LAN 리소스에 대한 액세스를 허용하거나 거부할 수 있게 해준다. 포트 기반의 ACL은 특히 포트 번호 1434를 대상으로 하는 슬래머 웜(Slammer worm)과 같은 악성 웜이나 바이러스 차단에 효과적이다.
  • URL 필터링 역시 라우터에서 구축될 수 있는데, Cisco Content Engine의 기능 중의 하나로 모듈에서 이용 가능하다(이 콘텐츠 엔진은 또한 스탠드얼론 어플라이언스로 이용할 수 있다). 이 기능은 특정 URL이나 콘텐츠 키워드, 파일 유형(?.MP3 등), IP 어드레스, 포트 별로 사이트에 대한 액세스를 차단하거나 허용한다. 시스코 IOS 소프트웨어 내에서 통합되는 URL 필터링은 네트워크 보안을 향상해주며 콘텐츠 검사와 포트 80 서비스에 대한 액세스 제어를 높여준다.
    시스코의 보안 제품 마케팅 매니저인 케빈 플린(Kevin Flynn)은 "더욱이, 네트워크를 토대로 한 애플리케이션 인식(NBAR)이나 속도 제한과 같은 라우터 기반의 네트워킹 기능 역시 보안을 향상시켜준다"고 설명했다.
  • 모든 사용자들에게 할당된 대역폭을 보장하는데 사용되는 속도 제한(rate-limiting)은 서비스 거부 공격에 대한 특성을 나타내는 트래픽 범람을 탐지하고 이를 중지시킬 수 있다.
  • NBAR은 특정 애플리케이션을 금지시킬 수 있다. 플린은 "일단 블래스터가 규명되면 NBAR을 애플리케이션으로 보고

    이에 대한 액세스를 차단하게 된다"고 설명했다.

이러한 보안 기능과 기타 라우터 기반 보안 기능이 구현되고 사용될 경우, 액세스 라우터는 강력한 보호 장비 역할을 하게 된다. 하지만 아멜스는 "충분한 보안 기능을 갖추기 위해서는 다중 보안 계층을 구축함으로써 네트워크 전체의 다양한 시스템에 대해 복합적인 기술을 사용해야 한다"고 지적했다.

보안 기능은 라우터에서만이 아니라 LAN 스위치와 전용 어플라이언스를 비롯해 개인용 PC에서도 계층화되어 구성되어야 한다. 침입 탐지의 경우, 광범위하게 적용될 수 있다. IDS 소프트웨어는 라우터와 스위치 뿐만 아니라 전용 어플라이언스에도 탑재되어야 한다.

LAN 스위치 역시 중요한 보안 계층이 될 수 있다. Cisco Catalyst(r) 인텔리전트 스위치는 라우터와 마찬가지로 신원 확인 기반의 네트워크 서비스, ACL, 속도 제한 및 관리 트래픽 암호화 기능이 탑재될 수 있다. 또한 이러한 스위치들은 ACL Logging과 MAC 어드레스 통지 등 네트워크 위반 사항을 모니터링하며, 때에 따라서 사용자가 언제 어디에서 네트워크에 들어왔는지에 관해 네트워크 관리자들에게 알려줄 수 있는 자체 보안 기능을 제공할 수도 있다. 인증되지 않은 사용자나 애플리케이션이 네트워크에 들어오는 것을 차단할 수 있는 다른 보안 계층도 있다(Packet(r) 2003 봄호 커버스토리, "효과적인 보안" 참조).

마지막으로, 가상랜(VLAN)과 같은 사무실 내의 라우터 기반 관리 기술도 보안 기능을 향상시킬 수 있다는 것이 드카토의 설명이다. 일부 기업들이 네트워크 관리자를 위한 가상랜을 도입하고 있으며 사무실 네트워크의 모든 시스템에 대한 구성 및 유지 인터페이스를 포함하고 있는데, 이를 통해 직원들이 고의적이건 실수건 문제를 야기하지 못하도록 할 수 있다. 네트워크 관리자들은 또한 동일한 스위치나 가상랜의 사용자들이 각자의 트래픽을 볼 수 없게 해줄 수도 있다.
라우터의 보안 기능에 대한 전반적인 관리와 모니터링은 또 다른 내장형 기능인 SDM (Security Device Manager)에 의해 쉽게 구현될 수 있다. 이러한 직관적이며 안전하고 웹을 기반으로 하는 툴은 마법사 기능과 향상된 모드 구성 지원을 비롯해 한 단계로 진행되는 라우터 차단 기능을 통한 장 관리를 가능하게 해준다.




보안의 확장


사무실의 LAN을 벗어나는 커뮤니케이션 역시 보호되어야 한다. 이를 위한 핵심적인 기술은 안전한 가상사설망(VPN)이다. VPN은 지사와 지사, 본사와 지사 및 모바일 직원 간의 접속 뿐만 아니라 독립형 사무실과 모바일 직원 또는 협력 업체간의 접속을 보호해줄 수 있다.
IPSec(IP Security) 표준에 따라 패킷을 암호화함으로써, VPN은 공중 네트워크 내에서 터널을 구축해주며 사설 형태를 지속적으로 유지해준다.

터널은 광대역 공중 링크를 사용하는 기업용 WAN이나 다이얼업, DSL 또는 케이블 접속 등을 통해 운영될 수 있다. Easy VPN이라고 불리는 시스코 라우터 마법사는 중소 규모의 사무실과 지사에 VPN을 설치하는 업무를 매우 단순화해준다.
시스코 IOS VPN을 솔루션은 멀티캐스트나 음성, 비디오를 비롯해 전통적인 非IT 애플리케이션을 갖고 있는 고객들의 모든 애플리케이션을 지원하는 GRE(Generic Encaps ulation)과 QoS 기능에 표준을 따르는 IPSec과 결합시켰다.
아멜스는 "더욱이, 고객들은 안전한 접속과 풍부한 애플리케이션 및 유연한 라우팅 프로토콜을 지원하는 다양한 액세스 라우터를 시스코 IOS VPN 솔루션으로 최적화할 수 있다"고 말했다.

광범위한 보안 : 네트워크의 다양한 시스템에 탑재된 여러 기술들은 계층화된 보안을 제공한다.


안전한 무선랜 접속


많은 기업들이 모바일 기기에 대해 보안이 취약하다고 보고 있다. Cisco Wireless Security Suite는 이러한 인식에서 벗어나게 해준다. 이 제품은 최신 보안 기능을 지원하며 보다 강력한 보안 기능을 탑재하고 있다.
Cisco Wireless Security Suite의 대표적인 기능으로는 인증 및 키 관리를 위한 표준인 IEEE 802.1X에 대한 지원을 비롯해, EAP (Extensible Authentication Protocol)의 다양한 유형 지원, 무선으로 전송되는 정보의 기밀성을 위한 TKIP(Temporal Key Integrity Protocol)와 WPA(Wi-Fi Protected Access) 지원 기능을 들 수 있다.

드카토는 "이러한 보안 기능의 경우, 네트워크 사용자 ID와 비밀번호를 통해 사용자의 신원이 확인되고 연결이 허용되기 전까지는 무선 네트워크에 접속할 수 없다"고 말했다.
Cisco Wireless Security Suite는 또한 인증되지 않거나 '애매모호한' 무선랜(WLAN) 액세스 포인트를 규명함으로써 IT 관리자들이 이를 제거할 수 있도록 해준다.

드카토는 "이러한 기능을 통해, 누군가가 인증되지 않은 액세스 포인트를 구매해 사무실에 가져와 기업 네트워크로 접속함으로써 보안을 위협했던 요인을 없앨 수 있게 되었다"고 밝혔다.

E-커머스를 위한 보안


미국 테네시 주재의 GST Corporation에게 있어서 커뮤니케이션은 기업 생존과 직결되는 문제이다. NYK Logistics와 Megacarrier 그룹에 속해있는 GST는 소규모 기업에서부터 대기업에 이르는 모든 기업들을 대상으로 광범위한 운송 및 물류 솔루션을 제공하고 있다. 2000년에 GST는 공급망 관리를 비롯해 고객 및 협력 업체간의 긴밀한 전자 관계를 유지하고 향후 성장에도 대비할 수 있는 새로운 비즈니스 애플리케이션을 지원할 수 있는 네트워크가 필요하다는 것을 인식하게 되었다.

GST의 CEO인 도날드 미위스(Donald Meewees)는 "우리의 지사에 대해 안전한 네트워크를 구현해주며 고객 및 협력 업체들에게 애플리케이션을 확장할 수 있게 해주는 IP VPN 솔루션인 웹 기반 환경으로의 전환이 시급하다는 것을 깨닫게 되었다"고 밝혔다.
시스코를 추천한 AT&T와 공동으로 프로젝트를 추진한 GST는 VPN 기능과 함께 풀 서비스 음성 데이터 통합 네트워크를 도입해, 지사와 8개의 포털 사이트에 적용했다. 현재 이 네트워크는 19개에서 34개 지사로 확장되었으며 2005년까지 60개로 확장할 계획이다.

GST는 Cisco 3500 및 7200 시리즈 라우터와 Cisco Catalyst 6500 시리즈 스위치를 본사에 설치했으며, Cisco 1721부터 3725에 이르는 라우터를 지사에 Catalyst 3500 시리즈 스위치와 함께 도입했다. 라우터들은 VPN 기능이 탑재되어 GST 네트워크에 완벽히 통합된 음성, 비디오 및 데이터를 구현해주었다.

규모에 따라 본사와 일부 지사에 시스코 침입 탐지 시스템과 Cisco PIX(r) 515 방화벽, IPSec 암호화, 시스코 액세스 컨트롤 서버가 도입되었다. GST의 네트워크 서비스와 보안 담당 책임자인 마이크 놈랜드(Mike Nomland)는 "필요할 경우 각각 별도로 구매해야 했던 과거와 달리 라우터를 구매하고 카드를 사거나 VPN 카드용 소프트웨어를 사서 삽입이나 구동만 하면 되기 때문에 하나의 장비로의 통합이 가능해진다. 또한 고장이나 장애가 발생할 경우에도 우리가 살펴보아야 할 부분이 단 하나인 것 역시 매우 진보된 것"이라고 밝혔다.

보안 시스템에 대한 관리 보고서를 토대로, GST의 투자는 실효를 거둔 것으로 나타났으며, 방화벽 자체에서 액세스가 거부되는 패킷만 50,000개에 이르는 것으로 조사되었다.


독립 사무실과 지사를 위한 SAFE Blueprint


보안 부문에서의 시장 선도 기업인 시스코는 최고의 보안 실행 방안과 연동하는 네트워크 아키텍처인 SAFE Blueprint를 개발했다. SAFE 디자인 방법은 예측된 위협과 이를 해결하는 방안에 초점을 맞추었다. 계층화된 보안 솔루션을 제공하기 때문에 한 부분에 장애가 생길 경우에도 다른 네트워크 리소스를 침투하지 못한다.

보안을 강화한 소규모나 중간 규모의 독립 사무실을 구현하기 위해서는 Cisco 1700이나 2600 시리즈 라우터에 IOS 방화벽과, 시스코의 IOS 기반 네트워크 IDS 및 VPN 기능, VPN 기능을 가진 Cisco Catalyst 2950 시리즈 스위치 장비를 도입해 구축할 수 있다(그림 참조).



IP를 통한 보안


지사 네트워크에 보안을 구현한 뒤에도, 사용자들은 건물 자체에 대한 보안을 추가로 도입할 수도 있다. 시스코와 일부 협력 업체들은 감시국이나 중앙 데이터 센터에 WAN 연결을 통해 IP 비디오 이미지를 전송하는 비디오 감시 솔루션을 제공하고 있다.

시스코의 제품 및 기술 마케팅 그룹의 기술 마케팅 매니저인 톰 낼런(Tom Nallen)은 "대기업들은 기존 카메라를 원격지 사이트의 디지털 비디오 리코더나 IP CODEC(coder/decoder)에 연결한 다음 시스코 멀티서비스 VPN을 통해 보안 운영 센터로 연결할 수 있다. IP를 통한 비디오 감시는 과거 비용 효과적으로 실행하는데 어려움을 겪었던 사이트를 감시할 수 있도록 해주며 많은 데이터 스트림을 IP 네트워크로 통합해 하나로 묶을 수 있어 비용도 절감할 수 있다"고 설명했다.

낼런은 "액세스 라우터와 지사 또는 소규모 사무실에서 시스코와 같이 심도 있는 보안 서비스를 제공할 수 있는 라우터나 보안 업체는 존재하지 않는다"고 자신했다.

추가자료

■ 시스코 통합 네트워크 보안 :
    cisco.com/kr/securiey
■ 시스코의 SAFE Blueprint :
    cisco.com/kr/securiey
■ Full Service Branch 보안 :
    cisco.com/kr/fsb
■ 시스코 액세스 라우터 제품 :
    cisco.com/kr/products/pc/routers/
■ 시스코 네트워킹 전문가 웹사이트 :
    cisco.com/go/netpro
■ 시스코 엔터프라이즈 보안 및 VPN 솔루션 :
    cisco.com/go/evpn
■ 시스코 LAN 스위치 :
    cisco.com/kr/switching
■ 시스코 무선랜 보안 :
    cisco.com/go/aironet/security



Packet 지난 호 보기