보안은 내게 맡겨라

"보안은 내게 맡겨라"

사고 대응 팀은 제품 보안 문제에 신속히 대응하며 고객의 신뢰를 유지하기 위한 부단의 노력을 가속화하고 있다.

Snapshot:
인터넷이 기업에서 차지하는 비중이 절대적인 상황으로 진화하면서 기업의 기밀 자료를 유출하거나 네트워크를 침해, 가동 중지시키는 악의적인 행동 또한 정교하게 진화하고 있다. 다행스럽게도, 문제가 발생할 경우 시스코의 고객들은 신뢰성이 높고 전문적인 리소스를 보유한 전문가들에게 요청, 문제를 신속히 처리하고 재발을 방지할 수 있다.

1995년에 조직이 구성된 시스코의 제품 보안 사고 대응 팀(PSIRT; Product Security Incident Response Team)은 제품의 취약점을 처리하는 것 뿐만 아니라 시스코 제품과 관련된 고객 보안 사고를 처리하는 전세계적인 24×7 전문가 집단이다(cisco.com/go/psirt). 이 팀은 문제를 분석하고 솔루션을 개발하며 문제 해결 방안을 논의하기 위해 필요한 시스코 전체에 분포된 리소스를 신속히 수집한다. PSIRT는 고객들에 대한 신속하며 효과적이고 정확한 대응을 위해 시스코의 전세계 TAC(Technical Assistance Center)와 다양한 사업부로부터 리소스를 수집해 활용한다. 시스코에서 가장 고객과 대면하는 비중이 높은 팀이기에, PSIRT는 Security Advisories를 만드는 역할을 담당, 보안 관련 버그를 해결하고 사고 대응 및 보안 팀인 'FIRST(Forum for Incident Response and Security Teams)'과 같은 기구를 통해 외부 대응 팀과 공조하며 서비스 거부(DoS) 공격과 같은 네트워크 보안 위협에 실시간으로 대응하고 있다. PSIRT 팀원이 받는 전화와 이메일의 대부분은 DoS 공격 형태와 같은 실시간 사고 대응 관련 문의이다.
PISRT는 문제 발생시 시스코 제품 관련 여부와 상관 없이 해결할 수 있는 방안을 고객들에게 제공하고 있다. PSIRT의 매니저인 리차드 아체브(Richard Aceves)는 "시스코 고객의 전화를 받으면 우리는 고객이 문제를 이해하고 문제를 완화할 수 있는 충분한 정보를 얻게 해주며 문제를 해결할 수 있는 소프트웨어를 찾게 해준다"고 설명했다.
PSIRT 팀원들은 높은 기술력을 보유한 엔지니어들로서, 보안에 대해 많은 관심 사항 및 정보를 공유하고 있다. PSIRT에 합류하기 전 대부분이 TAC에서 근무했었다.

이 팀은 두 가지 형태로 고객의 문제 해결을 진행하고 있는데, 주로 보안 문제가 발생할 때마다 대응하는 방법이 그 첫번째에 해당된다. 하지만 시간이 허락하는 경우, 교육 및 예방을 위한 활동에도 적극적으로 참여하고 있다. 후자의 경우, PSIRT는 시스코 제품에서 잠재적으로 발생 가능한 보안 취약점이 없는지 분석하고 관련 정보를 수집한다. 아체브는 "그러한 업무 중에서 가장 주안점을 두는 것은 취약점이 있는지를 알아내는 것"이라고 말했다. PSIRT 팀은 'CIA' 자격 부여 방법을 사용하는데, 문제가 기밀성이나 무결성 또는 가용성에 대한 위협을 노출하면 보안 침해로 규정한다.
아체브는 "고객이 시스코의 제품과 솔루션을 구입하게 되면 시스코 제품 뿐만 아니라 최종 사용자의 워크스테이션에서 발생하는 보안 문제에 대해서도 시스코에게 문의할 수 있다는 것이 고객의 입장에서는 매우 훌륭한 지불 대가"라고 밝혔다. 인터넷 웜은 시스코 고객에게 가장 큰 고민 거리이다. 또한 웜은 특정한 네트워크 장비를 타깃으로 하고 있지 않고 네트워크에서 번식할 수 있다. 아체브는 "고객들은 우리에게 전화를 네트워크를 원상 복귀시켜줄 것을 요청한다. 네트워크가 정상으로 돌아오면 시스코 장비가 아니라 사용자의 워크스테이션 등 감염된 장비에 대해서도 문의한다. 물론 그 요청을 거절하지는 않지만 가장 먼저 진행하고 가장 중요하게 실행하는 부분은 시스코 제품과 관련된 문제"라고 밝혔다.

PSIRT 프로세스

시스코 고객이나 시장 분석 기관 등 외부 채널과 시스코 그룹 등 내부 채널을 통해 취약점이 PSIRT로 보고된다. 일단 문제를 접수한 뒤 팀원들이 취약점이나 보안 감염에 대한 실상 파악에 나서게 되면 다음 단계는 문제의 특징을 분석하고 향후 실행 방향에 대해 논의하게 된다. 이 때까지가 가장 많은 시간이 소모된다. 아체브는 "고객들이 우리를 매우 전문적인 인력으로 평가하기 때문에 팀원들에게 매우 자세한 분석을 통한 실행을 주문하고 있다"고 밝혔다. PSIRT의 완벽하고 철저한 자세는 고객들에게 문제의 범위나 교정 방법, 완화 기술 등의 측면에서 가능한 한 많은 정보를 제공할 수 있게 해준다.
취약점이 외부 소스를 통해 보고되는 경우, PSIRT가 직면하게 되는 중요한 과제는 고객의 보안을 위협하지 않고 고객과 어떻게 문제에 대해 커뮤니케이션할 것인지 판단하는 것이다. 타이밍과 세밀한 수준 등 두 가지 요인이 존재하는데, 취약점이 노출되지 않게 고객들에게 알릴 것만을 알리며 그 시기도 적절히 조율해야 한다. 준비가 덜 된 상태에서 취약점을 너무 빨리 발표하게 되면 외부 침입을 위한 허점을 발표하는 것이 된다. 또한 문제점에 대해 너무나 자세하게 제공하더라도 이를 악용하는 위험이 제기될 수 있다.
취약점이 여러 벤더의 제품으로 확장되면, CERT/ C(CERT Coordination Center)와 같은 기구가 벤더간 협조를 요청, 준비가 미흡한 상황에서 누군가 정보를 누출함으로써 네트워크에 피해를 입히지 않도록 하기 위해 모든 업체들이 문제를 동시에 발표하고 해결하도록 하고 있다.
보안 취약점에 대해 네트워크 커뮤니티에 공표할 경우, 일반적으로 발표(disclosure)와 전체 발표(full disclosure) 등 두 가지 범주로 나뉜다. 시스코는 전체 발표가 삭제하는 것에 비해 시스코 고객들에게 더 위험하다는 전제 하에서 발표를 책임지고 있는데, 전체 발표는 취약점에 대해 즉각적이며 종합적인 발표를 요구한다. 아체브는 "발표 책임 문제가 여전히 논의 중에 있다"면서 "시스코는 논의를 주도하는데 적극 가담하고 있으며 고객과 벤더 교육에도 적극적으로 나서고 있다"고 밝혔다.
아체브는 자신의 팀이 가장 우선시하는 부분은 시스코 고객의 네트워크를 보호하는 것이라고 강조했다. 그는 "우리의 시스템을 통해 이미 구동되고 있는 문제의 경우에도 신경을 곤두 세우고 무엇이 유출되는지 면밀히 모니터링하고 있다"면서, "아무 것도 유출되지 않으면 계획을 즉시 철회하고 문제를 고객들에게 알리는 것을 최대한 늦추거나 개발 부서에게 교정 방법을 신속히 강구하도록 요청한다"고 설명했다. 하지만 이것 역시 조율이 필요하다. 보안 침해에 대한 증거가 없다면 취해야 할 조치는 시스코 고객들을 혼란스럽지 않게 하고 다음 릴리즈에 교정을 통합해 제공하는 것이다.
아체브는 "우리는 고객의 신뢰를 유지하길 원한다"면서, "우리의 고객들은 역사적으로 PSIRT 팀을 신뢰해왔는데, 시스코 제품의 어떠한 결함도 발견되는 즉시 고객에게 알려주기 때문이다. 시스코 고객들에게 필요한 정보를 지속적으로 배포해 신뢰를 높여가고 있으며 또한 불필요하게 알리는 행위도 자제함으로써 고객과의 관계를 더욱 밀착시키고 있다"고 전했다.



성공적인 사고 대응 팀이 되기 위한 조건
시스코의 기업 고객 중 상당수가 자사의 네트워크 기반 비즈니스 기능을 지원하는 보안 사고 대응 팀을 구성하고 있거나 구성할 계획이다. 아체브는 성공적인 보안 사고 대응 팀을 위해서는 다음과 같은 세 가지 요건을 갖추어야 한다고 밝히고 있다.

법률 및 홍보 팀과의 긴밀한 협력 체제 구축 - 사고 대응 팀은 자사의 법률 및 홍보 부서와 긴밀한 관계를 구축하고 있어야 한다. 이러한 협력 관계는 자사의 고객에게 영향을 미치는 보안 사고 발생시 중요한 역할을 할 수 있다.
저명 인사와의 유대 관계 형성 - 사고 대응 팀은 대학 총장이나 기업 경영자 등 저명 인사와의 유대 관계를 유지해야 한다. 이러한 사람들과의 친분은 큰 사고 발생시 중요한 역할을 제공할 수 있다.

뛰어난 팀원으로 구성 - 사고 대응 팀은 몇 명에서 수십 명으로 구성될 수 있는데, 팀원 모두가 탁월한 능력을 갖고 있는 사람들로 구성되어야 한다. 보안 사고


적극적인 조치

적극적인 모드에서는 PSIRT 팀원들은 예방이나 교육을 위한 행동에 적극 가담하고 있다. 구축 문제로 네트워크 보안의 중요성을 강조하고 안전한 구축을 위한 최적 실행 방안에 대해 고객들을 지속적으로 교육시킨다.
PSIRT 팀원은 Cisco IOS? 소프트웨어의 혁신적이며 통합된 보안 기능에 초점을 맞춘 시스코 프로그램에 참여하고 있으며 Cisco SAFE 아키텍처와 같은 안전한 구축 방법에 대해 시스코 고객들을 교육시키고 있다. PSIRT 팀원들이 IOS 프로젝트에 기여하고 있는 대표적인 사례는 Cisco AutoSecure로, 네트워크 운영자들이 공격을 당할 때 신속히 장비를 보호할 수 있게 해주는 Cisco IOS 소프트웨어와 연동하는 장비 차단 프로세스이다.
또 다른 사례로, 아체브는 PSIRT 팀원들이 패킷 레벨 커뮤니케이션에 대해 임의 일련 번호를 생성하는데 가담한 것을 들 수 있다. 당시, 임의 일련 번호를 생성하기 위한 알고리즘은 취약점을 노출하고 있었지만 다행히도 침해 당한 적은 없었다. PSIRT 팀원들은 Cisco IOS 소프트웨어의 변경을 주도했다. 아체브는 "이후 독립된 기구에서 여러 벤더들의 제품에 대한 일련 번호 테스트를 실행했는데, 시스코의 제품이 매우 우수한 것으로 입증되었다"고 밝혔다.
아체브는 "우리 모두 누구도 버그에서 자유로운 코드를 만들 수는 없다는 것을 인정해야 한다"면서, "이러한 마음 가짐을 토대로, 시스코를 비롯한 업체들은 현재까지 소개된 모든 문제점을 밝혀내야 하며 향후에 이와 같은 잘못을 다시 범하지 않도록 해야 한다"고 지적했다.
PSIRT 팀원들은 또한 고객의 관심 사항을 시스코의 제품 개발 조직에게 반영하도록 매일매일 고객과의 상호작용도 진행하고 있다. 아체브는 "우리는 고객들이 직면하고 있는 네트워크 보안 문제에 대해 지속적으로 수렴하고 있다"면서, "수렴된 정보는 개발 부서에 보내 고객들이 그러한 문제를 해결하는데 필요한 솔루션 개발의 지표로 활용하고 있다"고 설명했다.
게다가, 미국 연방 수사국(FBI)이 후원하는 Infraguard 프로그램이나 FIRST와 같은 다양한 보안 관련 기구에도 적극적으로 참여하고 있다.
PSIRT 팀원들은 시스코 고객의 네트워크를 위한 '보안관'으로서 시스코 제품에 국한되지 않고 종단간 모든 제품에서 보안 전문가가 되어야 한다고 생각하고 있다. 아체브는 "시스코 고객들은 전문가를 요구하며 우리는 이를 받아들이기 위해 노력하고 있다"면서, "TAC 서비스와 발간물을 지속적으로 향상시켜 가능한 한 최대의 보안을 유지할 수 있는 방안을 강구하는데 주력하고 있다"고 밝혔다.
아체브는 전문가로서의 자질을 높이는데 최대한의 노력을 기울이고 있으며 인터넷의 안전에 기여하는데 크게 만족하고 있다고 설명했다. 그는 "시스코 제품이 고객이 걱정할 필요가 없을 만큼 충분히 높은 보안 기능과 완벽한 성능을 구현할 수 있도록 하는데 주력할 것"이라고 부언했다.


Packet 지난 호 보기