‘통합 보안'이 대세

In Self Defense

'통합 보안'이 대세

모든 패킷과 플로우 보호 … 적응형 위협 방어 전략 제시



불과 몇 년 전만 해도 네트워크 보안은 LAN과 WAN이 만나 통합 네트워크와 인터넷 접속이 일어나는 네트워크의 물리적 경계 지점에서 스탠드 얼론 제품으로 개발됐다. OS 패치와 지속적인 안티바이러스 소프트웨어 업데이트가 결합해 일반적인 통합 보안 전략이 완성된 것이다. 하지만, 정의 가능한 네트워크 한계라는 개념이 사라지고 있다. 사용자 장비는 이동장비를 타깃으로 주변을 렌더링하면서 다양한 네트워크에 연결돼 있다. 그 예로 고객과 협력업체를 연결하는 엑스트라넷이 일반적이다. 무선/이동/원격접근 네트워크를 활용한 생산성 증대 역시 멀티 네트워크 접속 현상을 부추기고 있다. 보안 위협은 사용자 컴퓨터가 집, 사무실, 핫스팟(기지국), 호텔룸 같은 다른 네트워크 또는 인터넷과 연결돼 감염 위험이 존재한다는데 있다. 그 후 사용자는 사무실로 돌아가 이더넷 포트를 경유하거나 무선랜 접속을 통한 통합 네트워크에 다시 연결할 수 있으며, 이 때 악성 코드가 따라 붙을 수 있다. 그러는 사이, 해당 네트워크에 변칙적으로 도달해 심각한 결과를 일으킬 수 있는 악성 코드가 퍼지는 사이에 급속하게 움츠리는 시간의 창(window of time)이 있다. 결국 네트워킹 담당 직원이 바이러스, 웜, 트로이 목마 등을 탐색해 치료를 완료할 때까지 네트워크 중단 사태나 생산과 판매에서 손실을 피하기는 어렵다.
시스코의 보안 제품&시스템 매니저인 케빈 플린(Kevin Flynn)은 "보안 문제가 전략 시스템 이슈로 떠오른 것도 바로 이 때문이다. 보안은 이제 IT와 네트워크 운영과 밀접한 관계에 이르렀다"고 말한다. 보안을 안정적으로 유지하기에 이미 네트워크는 단 하나의 메커니즘만으론 복잡해졌다. 현재의 네트워크는 분배된 보안 능력과 호스트 가동, 상태 변화 같은 엔드포인트 관련 네트워크 전반에 따른 인식, 신뢰성을 대변할 인증 방법이 필요하다.

다양한 보안 메커니즘 적용
3단계로 구성된 시스코의 자가 방어 네트워크 전략은 이러한 조건을 만족시킬 새로운 요소들을 신속히 확보하고 있다. 예를 들어, 적응형 위협 방어라는 세 번째 단계는 올 3월 이 기사에서 소개할 주요 제품 출시와 함께 진행됐다. 적응형 위협 방어는 네트워크상에 패킷과 패킷 플로우를 보호하는 것을 목표로 한다.

자가 방어 네트워크 전략의 첫 번째 단계는 보안 기능을 라우터, 스위치, 무선 액세스 포인트(AP), 독립형 네트워크 애플리케이션 같은 네트워크 영역에 직접 통합시키는 것을 의미한다. 시스코의 NAC(Network Admission Control) 성과가 담겨 있는 두 번째 단계는 협력 방식으로, 서로 커뮤니케이션이 이뤄지는 보안 가능한 네트워크를 포함한다. ACL(Access Control List) 측에 접근을 거부하라고 통지하는 IPS(Intrusion Prevention System)가 그 예이다. 이로써 다른 네트워크와 연결돼 통합 네트워크를 감염시킬 수 있는 사용자 엔드포인트 장비까지 보안 기능이 확대된다.

그렇다면 왜 패킷과 플로우 보호의 필요성이 부각되고 있는가? 이유는 보안 침입은 HTTP 80번 포트를 사용하는 웹이 가능한 애플리케이션 내에서 발생 빈도가 높기 때문이다. 시스코 보안 기술 담당 수석 부사장인 제이슈리 울랄(Jayshree Ullal)은 "트래픽이 복합적인 네트워크를 오가며 우연히 악성 코드를 발견할 때 웹 애플리케이션은 애플리케이션 피해의 기회를 제공하는 셈"이라고 말한다.

시스코의 수많은 신제품은 이러한 원인을 방지하고 레이어 7에서 침입을 확인하고 저지시킨다. 심지어 공격의 근원을 제거한다. 이를 위해, DPI(Deep-Packet Inspection), 네트워크 전반 사고 상관성(networkwide event correlation), 상황 기반 정책, 정책 회계 감사 같은 기능에 영향을 준다. 예를 들면, 애플리케이션 폐해를 막기 위해 애플리케이션 검사 방화벽은 시스코 PIX 7.0 방화벽 제품과 시스코 IOS 소프트웨어 릴리즈 12.3(14)T에서 지원되는 시스코 IOS 소프트웨어 방화벽과 함께 제공된다. 뿐만 아니라 시스코가 선도하는 보안 기술인 시스코 ASA 5500 시리즈 ASA(Adaptive Security Appliance)를 결합하는 차세대 어플라이언스에도 포함된다.


시스코 자가 방어 네트워크 전략  
1단계 : 2단계 : 3단계 :
통합 보안 2000년 출시

공동 보안 2003년 출시

적응형 위협 방어
2005년 3월 출시
보안 기능은 스위치나 라우터 같은 네트워크 요소안에 포함돼 있다. 탑재된 보안 기능이 네트워크를 통해 사용자 엔드포인트까지 확장된다. 네트워크가 모든 패킷과 플로우를 보호할 능력을 획득해서 공격을 근절시킨다.
그림1. 보안은 시스코 자가 방어 네트워크 3단계 전략을 포함해 계속 발전하고 있다.


애플리케이션 검사 방화벽은 현재 HTTP(포트 80)와 이메일(포트 25)용 포트 컴플라이언스를 점검 중이다. 다시 말해, 엔진이 트래픽의 종류를 확인하기 위해 레이어 4 포트 트래픽을 검사한다는 의미다. "네트워크 운영자가 탐지되지 않으면 불량 애플리케이션에 의한 포트 오류를 컨트롤하기 한층 쉬워진다"고 울랄(Ullal)은 말한다.

보안 모니터와 응답 시스템 결합
시스코의 패킷과 플로우 보안 기능에 있어 획기적으로 개선된 점은 CS-MARS(Cisco Security Monitoring Analysis and Response System)라고 불리는 네트워크 보안 운영 체계를 도입했다는 것이다. 시스코 네트워크 운영 기술 담당 그렉 시몬스(Greg Simmons)는 "기본적으로 CS-MARS는 시스코의 철저한 방어 네트워크를 종합적이고 집중적으로 관리할 수 있게끔 도울 것"이라고 언급한다.

시스코가 최근 프로테고 네트웍스를 인수한 후 첫 번째 결실인 이 시스템은 실시간 모든 네트워크 구성, 호스트 로그, TCP, UDP 세션에서 발생하는 보안사고 데이터를 수집한다. 이 후에 통합 보안 정책과 함께 각 사고가 적법한 지를 결정하기 위해 대조하게 된다. 시몬스는 "CS-MARS를 집중적으로 사용하면 랩탑컴퓨터 전원도 끌 수 있을 것"이라고 설명한다.

시스코 네트워크 관리 기술 담당 마케팅 엔지니어인 티모시 스미스(Timothy Smith)는 "시스코의 라우터, 스위치, 방화벽, 어플라이언스, 시스코 IOS 소프트웨어와 통합된 모든 보안 기능은 특정 엔드포인트의 공격을 막는 '철벽 수비수'의 역할을 한다"라고 말한다. 몇몇 다른 벤더의 장비도 포함해 이러한 시스템들은 사고 데이터(event data)를 CS-MARS 측에 공급한다.

이에 비해 CS-MARS 시스템의 경우, 전체 보안 관리 상황을 관망하면서 중립적인 노선을 취하고 있다. 이에 따라 총체적인 관점에서 모든 보안 행위를 상호 결합시킬 수 있다. 시스코와 비-시스코 장비에 들어있는 TCP나 UDP 세션 내부의 모든 장비들은 데이터를 CS-MARS에 전달해서 세션이 진행되는 동안 모든 장비를 인식할 수 있게 된다.정보를 습득하게 되면, 네트워크 매니저는 공격을 확인해서 사용자에게 알려주고 공격의 진원지를 차단하게 된다고 스미스는 말한다. CS-MARS는 문제가 발생한 네트워크를 처리하기 위해 네트워크 관리자에게 적절한 명령을 보내게 된다. 반대로, 다양한 개별 보안 제품들의 역할은 네트워크의 다양한 레이어에서 공격이 가해질 경우 즉각적인 대응책을 마련하는 것이다.

또 CS-MARS는 공격이 일어나는 전체 경로를 파악함으로써 다른 방법으로 네트워크를 보완할 수 있다. 예를 들면, 주어진 라우터나 액세스 스위치, 애플리케이션 서버에서 CPU나 메모리가 패킷 범람으로 인해 포화상태인 경우도 예상할 수도 있다.

"CS-MARS는 명령을 내리면서 오류가 발생한 장비를 살려내고 서비스 거부를 막는 과정에서 다른 네트워크 시스템에 영향력 있는 행동을 취할 것"이라는 게 스미스의 견해이다.

CS-MARS는 시스코 넷플로우 수집 엔진 기능을 포함한다. 넷플로우는 시스코 IOS 소프트웨어 기능으로 개별적인 트래픽 플로우에서 패킷을 계산하거나, 트래픽 패턴을 발견하고 네트워크 출처 사용을 설명하도록 네트워크 운영을 돕는다. "CS-MARS는 포트가 가변적이긴 하지만 트래픽에서 급격한 증가를 겪는다는 것을 알기 위해 넷플로우를 사용한다"고 스미스는 설명한다. 이후 (쉽게 이해할 수 있는 매개변수를 지닌 CS-MARS 제어장치에 진열된) 6빌딩, 3층, B 회의실에 있는 특정 장비가 공격을 받게 될 경우 CS-MARS는 침입 보안 시그니처(signature)나 보안벽 로그처럼 다른 데이터를 기반으로 결정할 것이다.

CS-MARS 제품에는 초당 500 개의 이벤트를 처리하는 CS-MARS 20에서 업그레이드 된 초당 1만 개의 사고, 30만 개의 넷플로우를 처리하는 CS-MARS 200이 포함된다. 구성으로 보면 CS-MARS 200이 단일 대형 사이트 기능을 한다. 스미스는 "대안으로 다양한 작은 장비들이 원격 사이트에서 배포될 수 있다"고 설명한다.


멀티 기능 보안 어플라이언스 선봬
시스코 보안 포트폴리오의 새로운 철벽 수비수는 다양한 시스코 보안 기술을 단 하나의 확장 가능한 어플라이언스로 결합시키면서 적응형 위협 방어라고 불리는 통합 장비이다.

방화벽 기술
VPN 기능 - IP 보안과 SSL(Secure Sockets Layer) 기술
인라인 IPS 기술

시스코 ASA 5500 시리즈는 하이엔드용 시스코 ASA 5540과 미드레인지용 시스코 ASA 5520, 로우엔드용 시스코 ASA 5510을 포함하고 있다. 각각의 플랫폼은 애플리케이션 방화벽 서비스, 탄력적인 IPSec과 SSL VPN 연결을 제공한다. 시스코 생산 라인 매니저인 마이클 존스(Michael Jones)에 따르면, AIP-SSM(Advanced Inspection and Prevention Security Services Module)은 IPS, 네트워크 기반의 안티바이러스, 웜, 스파이웨어 보안을 지원한다.

그림2. CS-MARS 보안 관리 시스템은 네트워크 장비의 보안 데이터를 수집하고 상호 연관시켜 분석함으로써 네트워크가 받은 공격을 쉽게 확인해서 제거할 수 있도록 도와준다.


AIM(적응형 인식 완화, Adaptive Identification Mitigation)이라고 불리는 독특하고 확장 가능한 서비스 아키텍처는 시스코 ASA 5500 시리즈의 기반이다. 이 아키텍처로 인해 네트워크 운영자가 다양한 정책 컨트롤을 제공하면서 트래픽 플로우 기반에 의해 보안 네트워크 서비스를 지원할 수 있게 된다. 또 AIM 서비스 아키텍처는 미래의 위협 인식 완화 서비스의 통합을 가능케 만든다. 이로써 보안 지원이 확대되고 새로운 위협에서 네트워크를 방어하기 위한 사업이 허용된다.

시스코 ASA 5500 시리즈의 광범위한 보안 기능은 구축과 운영 비용을 절감시켜준다. "예를 들어 방화벽, VPN 연결, 침입 방지를 아우르는 보안 필요성 때문에 어플라이언스를 규격화할 수 있다"고 존스는 말한다. 게다가 ASA 기능을 위해 통합된 웹 기반 사용자 인터페이스는 운영의 복잡성을 감소시키고 운영비를 낮추게 된다.



VRF 인식 방화벽 등장

앞서 말했듯이 새로운 기반의 방화벽 코드는 시스코 IOS 소프트웨어 릴리즈 12.3(14)T에도 포함돼 있다. 이러한 단계는 시스코 IOS 방화벽 VRF(virtual routing and forwarding) 기능을 확장시켜왔다. "바꿔 말하면 다중 라우팅 사례를 실행하는 라우터는 현재 섀시 내부에 매치되는 다중 시스코 IOS 방화벽도 실행할 수 있다"고 시스코 IOS 라우터 보안 마케팅 담당 매니저 톰 게레트(Tom Guerrette)는 설명한다.

새로운 소프트웨어 출시로 인해 시스코 IOS 방화벽 기능이 각 VRF 인터페이스에 적용된다. 이로써 사용자가 per-VRF 방화벽을 구성하는 게 가능해진다. 방화벽은 VRF 내에서 오가는 IP 패킷을 검사한다. VRF 인식 IOS 방화벽에 관한 몇 가지 기능을 나열해보면 다음과 같다.

중복 IP 주소 공간을 지원하므로 비(非)교차 VRF로부터 오는 트래픽이 동일한 IP 주소를 가질 수 있게 된다.
per-VRF 방화벽 명령 매개변수와 서비스 거부(DOS) 공격 매개변수를 지원한다. 예를 들어 통신서비스 사업자의 경우 VRF 인식 방화벽은 다양한 VPN 사용자에게 할당해 복합적으로 실행할 수 있다.
per-VRF URL 필터링을 실행한다.
VRF 특성을 가진 시스로그 메시지는 특정 VPN으로만 볼 수 있으며, 이로 인해 네트워크 관리자는 방화벽을 관리할 수 있다.
VRF에 의해 방화벽 세션의 수를 제한할 수 있는 능력을 지원한다.

동일한 기능이 시스코 PIX 7.0 방화벽과 시스코 적응형 보안 어플라이언스에 적용된다.

CSA(Cisco Security Auditor)는 시스코 보안 관리 체계의 새로운 구성 요소로 사용자들에게 저렴하게 네트워크 보안 시설 정황을 감사(audit)할 수 있는 기능이다. 이 툴을 이용해 사용자들은 통합 보안 서비스와 일치하는지 자동으로 점검할 수 있다. 이와 동시에 시스코, 미국국가안전보장국, 인터넷 보안 센터(CIS)가 제정한 최상의 실행 상태를 체크할 수도 있다. "활성화된 네트워크의 보안 상태를 측정, 비교, 보고하는 능력을 통해 네트워킹 보안 위험도가 효과적으로 관리되고 정부의 보안 요구도 충족시킬 수 있다"고 플린은 언급한다.

소프트웨어는 짧은 시간 내에 많은 장비들의 자동 감사 기능을 가능케 만든다. CSA는 보안 체계에서 발견된 결함을 수정하는데 필요한 것들을 포함해서 보안 개선 권고 사항을 쉽게 나타낸다. 이로 인해 매뉴얼을 분석하는데 걸리는 시간과 유경험자 부족 현상을 보충할 수 있다.

시스코 NAC 전략은 맥아피, 시만텍, 트렌드마이크로와 같은 제휴사의 스위치나 라우터, 현재의 시스코 VPN 3000 시리즈 컨센트레이터처럼 엔드포인트 스캐닝 기술을 직접적으로 시스코 네트워크 구성 요소에 깊숙이 포함시키고 있다. 또 IEEE 802.1X, 래디우스(RADIUS) 인증 기술을 사용한 시스코 트러스트 에이전트 소프트웨어와 결합해 감염 위험 없는 통합 네트워크 연결을 지속시키기 위해 고객사 엔드포인트에 탑재해있다.

NAC API는 NAC 전략에 합류한 독립 소프트웨어 벤더(ISV) 측에 개방돼 왔다. 자동적으로 패치 관리용이나 자체 소프트웨어 운영 시스템을 경유해 인증 또는 소프트웨어 관리를 처리하기 위해 시스코 네트워크 시설을 체크하게끔 하기 위해서이다. ISV 제품군 중 NAC가 가능한 제품에는 IBM(IBM 티볼리), CA(이트러스트), 인포익스프레스(사이버 게이트키퍼 서버 3.1 & 사이버 게이트키퍼 폴리시 매니저 3.1) 등이 있다.

시스코는 현재 NAC 어플라이언스 옵션을 한데 모은 시스코 클린 액세스(Clean Access)를 제공한다. 클린 액세스는 최근 페르피고(Perfigo)를 인수하고 나온 성과물이다. NAC 전략과 별도로 클린 액세스는 최신 안티바이러스 업데이트와 주요 OS 패치용 정황 판단과 자동 검사를 실행하기 위한 자급 솔루션이다. 시스코 클린 액세스가 설치됨으로써 바이러스와 웜 치료 관련 IT 종사자들 일자리가 급속하게 감소했다. 예를 들어 애리조나 주립 대학에서 클린 액세스를 설치한 뒤 바이러스 파악에 필요한 IT 직원수가 6000명에서 50명으로 줄었다.

그림3. 시스코 적응형 서비스 어플라이언스의 보안 기능 통합은 IPSec 또는 SSL 인증서를 바탕으로 다양한 정책 기능을 제공한다.

어플라이언스 vs 통합 소프트웨어

보안 전략을 구사하기 위해 선택하는 폼팩터의 경우 조직 구조와 가지고 있는 장비의 상태, 기술 선호도와 철학에 의존하는 경향이 크다. 몇 가지 고려해야할 사항은 다음과 같다.

조직 내부에서 네트워크 관리와 보안 운영은 개별적으로 이뤄지고 있는가? 그렇다면, 장비를 사용하는 개별 그룹 관리 정책을 갖는 편이 더 간단할 수 있다.

라우터 소프트웨어를 업그레이드 할 시점에 있다면 지금이 보안 기능을 추가할 시기이다. 업그레이드할 필요가 없다면, 어플라이언스 루트를 정하는 게 간단하고 비용도 덜 들 것이다.

라우터에 있는 슬롯 수가 최대한 많다면 업그레이드 보다는 어플라이언스를 고려하는 게 나을 것이다.

지사용 제품을 생각하고 있다면 설비투자(CapEx, capital expenditures)를 감소시키거나 부동산을 갖는 것 보다는 모든 기능이 합쳐진 소프트웨어 기반 라우터/스위치를 선호할 지 모른다. 본사와 대규모의 사이트에서 각각 분리된 어플라이언스 대신 갖고 있는 장비를 포함시키는 편이 더 나을 것이다.


시스코 클린 액세스 발표
시스코 클린 액세스 마케팅 매니저인 아이린 샌들러(Irene Sandler)에 따르면, 클린 액세스는 802.1X 인증이나 클라이언트 소프트웨어가 필요 없다. 그러나 고객 소프트웨어는 보다 향상된 스캐닝 기능을 이용할 수 있고, 다운로드해서 실행할 수 있다.

주파수 대역 내(in-band) 제품에서 네트워크에 액세스를 시도하는 모든 호스트들은 클린 액세스 서버를 거쳐 간다. 지난 4월 출시된 외부대역(out-of-band) 구성의 경우, 클린 액세스는 비 호환성 장비 때문에 절판된 레이어 2 기반을 지원하기 위해 시스코 스위치와 공동 사용된다. 이후 클린 액세스 서버가 이를 수리한다. 적절하게 고친 후 최신 컴플라이언트 호스트는 클린 액세스 서버에 이르도록 네트워크 뒤 외부대역에 놓이게 된다.

또 외부대역 클린 액세스 버전은 네트워크 관리자가 중앙 인터페이스를 통해 정책을 만들고 시행하는 것을 도와준다. 정책은 임의대로 규정할 수 있다.

"이로 인해 관리자가 직원에게 허가나 컴플라이언스라는 특정 레벨을 할당하기 훨씬 쉬워질 것"이라고 샌들러는 말한다.

침입 방지 기능 향상
시스코 IOS 소프트웨어 릴리스 12.3(8)T에서 제공되는 시스코 IOS IPS는 인라인 정확성이라는 새로운 레벨을 확인하기 위해 합법적인 트래픽을 방해하지 않고 위협 요소들을 제거한다. 게레트에 따르면 시스코 IOS IPS는 위험 분석과 예방 정확도 향상 측면에서 전통적인 IPS 제품을 능가한다. 시스템은 시그니처와 SME(Signature Micro Engines)로 나뉜다. 시스코 IOS 소프트웨어 릴리스 12.3(14)T의 경우, 신종 공격이 자주 일어날 법한 장소를 세 가지 새로운 SME에 추가했으며, 그 결과 방어 능력이 눈에 띠게 향상됐다고 게레트는 설명한다.

또 SAV(Security Agent Version) 4.5 호스트 기반 IPS 소프트웨어는 다양한 운영 시스템과 호환 가능하며 레드핫 기반 리눅스 서버, 데스크탑, 윈도우 클러스터를 포함한 플랫폼을 확장 지원한다. 대형 회사들의 관리 유연성 때문에 시스코 보안 관리 운영 센터(Cisco Security Agent Management Center)도 1곳에서 10만 개로 늘어났다. NAC를 진보적으로 통합함으로써 NAC 보안 동향, 로그인한 사용자, 최종 장비의 위치에 따라 다양한 정책들을 구사할 수 있게 됐다.

자가 방어 네트워크 전략의 일환인 시스코 적응형 위협 방어와 함께 네트워크 보안이라는 다양한 측면들이 이더넷 포트에서 웹 애플리케이션 내부까지 미친다. 때문에 훨씬 진보한 21세기형 보안 패러다임이 대두되고 있다. "보안은 더 이상 안티바이러스 소프트웨어나 시그니처에 의존할 수 없는 문제다. 네트워크는 보다 친밀하고 협력적인 매체라는 믿음을 사용자에게 줄 필요가 있다"고 울랄은 강조한다.


다양한 네트워크 환경과 시시각각 네트워크를 둘러싼 보안 위협을 막고자 한다면, 핵심 제품 하나만으로는 더 이상 적절히 대처할 수 없다. 통합적이고 다양한 기능을 가진 시스템만이 자가 방어 네트워크를 가능케 한다. 보안은 네트워크와 애플리케이션으로 영원히 지속할 수 있도록 계속 진행 중에 있으며 그 스스로도 변화를 위협받고 있다.

추가자료


■ 시스코 보안 제품 관련 정보:
    cisco.com/packet/172_6a1
■ 시스코 자가 방어 네트워크:
    cisco.com/go/security




Packet 지난 호 보기