Tech Tips and Training 27호

deploying Cisco Serutiy Agent

CSA 효율적 구축 '안전하고 비용 절약'

초기에 정책 잘 세워야 … 실무팀 함께 작업하면 좋아



 
적절한 계획에 필요한 시간을 투자함으로써 막대한 시간 절감 효과를 얻을 수 있다.
서버 및 데스크탑 컴퓨팅 시스템용 시스코 시큐리티 에이전트(CSA; Cisco Serutiy Agent) 침입 방지 소프트웨어는 전통적인 종단지점 보안 솔루션의 기능을 능가한다. 이렇게 할 수 있는 비법은 원치 않는 활동을 찾아내기 위해 서명 대조에만 의존하는 게 아니라, 분석 활동을 통해 악의적 행동이 발생하기 이전에 이것을 미리 식별하고 예방할 수 있기 때문이다. 시스코 시큐리티 에이전트의 고유한 아키텍처는 파일 및 메모리 액세스, 프로세스 활동, COM(Component Object Model) 객체 액세스 및 공유 라이브러리 액세스 등과 같은 단서들을 모니터링함으로써, 종단 시스템에서 발생하는 행동을 상호연관시킨다.

이런 기능은 웜이나 바이러스 감염으로 인한 원치 않는 중단 상황을 미리 예방함으로써 네트워크 운영자에게 막대한 투자 회수를 가져다 준다. 시스코 시큐리티 에이전트는 연속적인 제로 데이(zero-day) 위협과 알려진 악용(exploit)을 예방하며, 문서화된 보안 정책 이행을 위한 메커니즘을 제공한다. 시스코 시큐리티를 이행하는 동안 가장 흔히 접할 수 있는 문제는 컴퓨터 지원 프랙티스와 관련된 것들이다. 성공적인 배치에 있어서는 정책 정의와 제품 설치에 대한 책임을 모두 맡고 있는 이행 팀에서 조직이 시스템과 매일 매일 어떻게 상호작용을 하고 있는지 확실히 이해하는 게 중요하다. 또 운영자는 제품의 기능과 조직에서 달성하려 하는 것의 명확한 범위에 대해 반드시 철저히 이해하고 있어야 한다. 이행 팀에서는 자체 랩과 IT 스태프 PC에서 제품을 테스트하는 것으로 처음 시작 하는 경우가 많다. 이런 방식은 합리적인 것 같아 보이지만 프로젝트 스케줄 계획과 제품 상호작용 및 지원 요건에서 부정확한 판단을 유발하는 잘못된 정보 기반을 가져다 줄 수 있다.

기술적으로 앞선 사용자의 시스템에서 시작을 하기보다는 "일반(everyday)" 사용자의 시스템에 에이전트를 설치하는 게 훨씬 더 생산적이다. 이 때 일반 사용자는 특히 많은 지원 사례를 만들어 내거나, 시스코 시큐리티 에이전트의 기본 정책을 거스르는 애플리케이션을 사용하고 싶어 하는 사용자일 경우 효과가 더 좋다. 실제 사용자의 손에 제품이 일찌감치 놓여지면, 이행 및 지원 비용에 대해 보다 잘 파악할 수 있게 된다. 이행은 준비, 에이전트 소프트웨어 설치 및 정책 개발의 3단계로 이뤄진다.


준비 단계

적절한 계획에 소요되는 시간은 향후 막대한 시간 절감으로 이어진다는 사실을 명심해야 한다. 이 단계에서는 자신의 컴퓨팅 환경에 있는 소프트웨어 목록을 만들고, 매우 세부적으로 이것을 파악해야 한다. 여기에 속하는 항목들로는 사용된 운영시스템과 패치 갱신; 예상되는 애플리케이션(마이크로소프트 오피스, 빅픽스 에이전트, 개인용 방화벽); e-메일 애플리케이션; 안티바이러스, VPN, 방화벽 및 기타 사용 중인 보안 애플리케이션; 소프트웨어/패치 배치 메커니즘(빅픽스 에이전트, MS SMS, 로그인 스크립트, 매뉴얼); 허용된 채팅 및 파일 공유 메커니즘; 그리고 내부적으로 개발된 소프트웨어 등이 있다.

자신의 환경에서 허용 및 예상되는 애플리케이션 목록을 만들면 트러스티드(trusted) 및 지원 애플리케이션이 바라는 대로 작동하도록 시스코 시큐리티 에이전트 소프트웨어를 튜닝할 때 도움이 된다. 뿐만 아니라 이행 스태프는 이들 각각의 애플리케이션과 운영 시스템이 헬프 데스크와 지원팀 기술자에 의해 매일같이 어떻게 유지보수 및 지원되는지를 파악해야 한다.

지원 프로시저는 시스코 시큐리티 에이전트 이행에서 가장 자주 간과되는 부분이다. 대부분의 이행 초기 단계에서 소프트웨어는 테스트 모드로 설치된다. 여기서 소프트웨어는 관리자에게 시스코 시큐리티 에이전트의 어떤 작동이 로컬 사용자에게 아무런 영향도 미치지 않고 이루어지리라는 것을 알려준다. 이러한 정보는 이점이 되기도 하지만 또한 관리자가 배치로 인해 핵심 직무, 즉 기술 지원이 어떤 영향을 받게 되는지에 대해 간과하도록 만들기도 한다. 날마다 사용자를 지원하는 기술자는 시스코 시큐리티 에이전트와 같은 예방 차원의 소프트웨어와 상호 작동하는 데 익숙치 못하다. 때문에 기술자는 스스로, 혹은 이들의 일일 업무에 익숙한 대리인을 프로젝트의 처음부터 포함시켜야 한다. 현장에서 자기 일을 수행하거나 원격 제어 소프트웨어를 사용하면서, 기술자가 시스템과 어떻게 상호작용하는지를 파악하는 게 중요하다.

접속성을 요구하는 외에도 엔지니어는 설치, 업그레이드 및 장애관리를 하는 동안 소프트웨어 에이전트와 상호작용할 수 있는 능력이 필요하다. 많은 시스코 시큐리티 에이전트 이행에서는 엔드유저가 로컬 시스코 시큐리티 에이전트 소프트웨어를 보거나 상호작용할 수 없어야 한다고 전제한다. 때문에 소프트웨어 설치와 같이 평상시 상호작용을 필요로 하는 작업은 이것을 요구하지 않거나 혹은 필요한 경우에 한해서 가능하게 돼 있다.

임시 상호작용에 대한 필요를 해결할 수 있는 일반적인 방안으로 기술자가 자신의 사용자 ID를 이용해 시스템에 로그인을 할 수 있게 하는 방법이 있다. 이것은 시스코 시큐리티 에이전트에서 로컬 사용자 기반 상태를 트리거링한다. 이러한 상태에서는 기술자가 필요한 프로시저를 끝내고 로그 오프를 할 때까지 에이전트가 인러랙티브하게 된다. 관리자는 엔드유저가 개인용 방화벽 규정과 같이 로컬 워크시스템에서 시행되는 일부 정책에 대한 종단지점 제어를 위해 고급 사용자 인터페이스를 보고 사용할 수 있도록 마음대로 허용할 수 있다. 이것이 바람직하지 못할 때는 이러한 상호작동 기능을 배치하지 않거나, 혹은 지정한 사용자 집단용으로만 사용하게 할 수 있다.

원격 접속성 지원 프로시저에 대한 필요는 짧은 파일롯 기간 동안에는 확실히 드러나지 않을지도 모른다. 하지만 효율적인 사용자 지원 메커니즘이 자리 잡을 수 있으려면 반드시 이것을 염두에 둬야 한다. 이것이 언제나 필요한 것은 아니고, 기술자가 멀리서 고칠 수 있는데 엔드유저 좌석으로 기술자를 보내는 게 생산적인 것도 아니다. 원격 지원 툴에는 시스템 임시 제어용인 마이크로소프트 리모트 데스크탑(Microsoft Remote Desktop)이나 원격 시스템 설정 및 자원 검색용 마이크로소프트 매니지먼트 콘솔(Microsoft Management Consoles) 등 원격 시스템 레지스트리를 변경하거나, 원격 시스템에서 프로세스와 서비스를 시작하는 것과 같은 작업을 수행하기 위한 다양한 옵션들이 있다.

원격 시스템에서 문제가 발생할 때 이런 조치들이 취해지도록 시스코 시큐리티 에이전트 관리자가 허용할 때까지 이런 툴은 그 어떤 것도 예상처럼 기능하지 않을 것이다. 이것은 오늘날 많은 웜 변종들에 의해 사용되는 공격 벡터로 일반적으로 알려져 있는 작업이기도 하다. 이러한 원격 접속을 차단하는 기본 시스코 시큐리티 에이전트 기능을 무효화(override)하기 위해서는 관리자가 보호되는 시스템에 배치된 정책을 튜닝함으로써 특정 액세스를 허용해야 한다.

준비 단계의 시스코 시큐리티 에이전트에 대한 베스트 프랙티스는 시스템이 정상적인 시스템 지원 사이클의 일부분으로서 자동 패치되는 방식을 확인하는 것이다. 이러한 자동화는 새 소프트웨어 설치와 기존 패키지의 소프트웨어 업그레이드에도 적용이 된다. 많은 조직들이 에이전트 기반 소프트웨어 배치 메커니즘뿐만 아니라, 마이크로소프트 윈도 업데이트 같은 빌트 인(built-in) 메커니즘을 이용해 소프트웨어와 애플리케이션이 사람의 개입 없이 배포될 수 있게 보장하고 있다.

이러한 업데이트는 필요에 따라 발생하고, 어떠한 사용자 상호작용도 필요로 하지 않기 때문에, 드라이버와 시스템 파일 설치 등과 같은 설치 작업을 완료하는 데 필요한 능력을 설치 애플리케이션에게 반드시 허용해야 한다. 파일롯 단계에서 이러한 서비스 튜닝을 하지 않을 경우, 관리자는 시스코 시큐리티 에이전트 보호책이 보안 업데이트가 포함된 새로운 소프트웨어가 배치되는 것까지 막는 상황에 처하게 된다.


공격 알리기 시스코 시큐리티 에이전트는 특히 알려진 서명이 없는 곳에서 새로운 유형의 공격을 막을 수 있도록 고안되었다.




에이전트 소프트웨어 설치

시스코 시큐리팅 에이전트 배치에서 이 단계는 가장 쉬우며 간단히 끝낼 수 있다. 발생 가능성이 있는 문제는 다른 소프트웨어 제품 설치에서 부딪치는 문제들과 전혀 다를 게 없다. 설치 이전에 다른 소프트웨어 제품을 테스트하는 것과 마찬가지로 시스코 시큐리티 에이전트를 설치 전 테스트해야 한다. 유일한 차이가 있다면, 이 소프트웨어가 워드 프로세싱 같은 다른 많은 애플리케이션에서는 흔치 않게 로컬 운영 시스템 및 애플리케이션과 상호작용을 한다는 점이다.

에이전트는 처음에 실행 가능한 설치 파일을 통해 종단지점에 설치된다. 설치 방식으로는 EXE 파일을 수동으로 로컬 실행하거나, 기업용 소프트웨어 설치 시스템 등과 같은 다른 많은 스크립트와 자동화된 설치 프로시저를 통하는 방식이 있다. 워크스케이션에 에이전트 키트를 설치할 수 있으려면 그 전에 에이전트가 사용할 적절한 초기 모듈, 정책 및 규정을 만들어야 한다. 이런 다음 그룹을 규정하고 여기에 정책을 붙여야 한다. 여기서부터 여러분은 에이전트 키트를 만들고 몇 가지 설치 키트 파라미터를 규정하게 된다.


정책 개발

정책 개발은 종종 가장 긴 시간이 걸리고, 다른 단계와 중복될 때도 많은 단계다. 이러한 중복은 생산 환경과 랩에서 모두 테스트의 매우 이른 단계에서 시스코 시큐리티 에이전트 소프트웨어 정책을 튜닝하기 시작하기 때문에 발생하며, 이 작업의 일부는 생산 이행 단계로 넘어가게 된다.

정책 튜닝(policy tuning)이란 숙련된 기술자가 배치의 전 과정에서 소프트웨어 에이전트로부터 오는 이벤트 메시지를 번역하여 정책을 가장 잘 튜닝할 수 있는 방법을 결정하는 것이다. 이러한 사람들은 운영 시스템이 어떻게 기능 하는지를 잘 알고 있거나 파악할 수 있는 능력을 갖고 있어야 하며, 배치 중인 소프트웨어가 돌아가는 방식에도 곧 익숙해져야 한다. 이들의 목적은 보안 및 수용 가능한 이용량에 대해 문서화된 조직의 규정뿐만 아니라, 프로젝트 초기 단계에서 만들어진 다른 지침들에 위배되지 않는 정책을 이행하는 것이다.

프로젝트에서 이 역할을 담당하고 있는 사람들(운영 시스템과 애플리케이션을 가장 잘 아는 사람들)은 보통 보안보다 시스템이 계속 돌아가게 하는 데 더욱 주의를 기울인다. 시스템이 이행 전과 마찬가지의 기능을 계속 유지하면서 다음 번에 바이러스로 인한 중단 사태가 발생했을 때 영향을 받지 않게 하는 데는 조화의 기술이 필요하다. 사용자에게 큰 영향을 미치거나 트레이닝 필요요건이 없이 시스템과 데이터의 보안을 유지한다는 프로젝트의 목표를 염두에 두라. 효과적인 보안 제어는 조용하게 이뤄지며, 추가적인 작업 부담을 유발하지 않는다. 사용자의 일일 작업을 더 힘들게 한다면 이들은 당신의 보안 제어를 피해 가려 할 것이다.

시스코 시큐리티 에이전트 매니지먼트 센터에서 생긴 정책 및 규정 변경의 효력이 발생하게 하려면 네트워크를 통해 매니지먼트 센터와 접속 및 커뮤니케이션을 할 수 있는 능력이 시스코 시큐리티 에이전트에게 있어야 한다. 이러한 커뮤니케이션 경로에서는 접속 기간 동안에 엔드 투 엔드 IP 도달성(reachability)이 있는 한 에이전트와 관리 스테이션 사이에 있는 어떠한 운송수단이든 이용할 수 있다. 에이전트는 업데이트를 요청하거나 이벤트 로그 메시지를 전송하기 위해 DNS(Domain Name System)나 다른 어떤 사용 가능한 로컬 분석 수단(로컬 호스트 파일 등)을 이용해 시스코 시큐리티 에이전트 매니지먼트 센터의 IP 어드레스를 분석하고자 한다.

이러한 정보는 성공적인 접속을 돕기 위해 그리고 SSL(Secure Sockets Layer) 커뮤니케이션에서 사용되는 인증을 검증하기 위해 수정이 돼야 한다. SSL은 인증되고 암호화된 업데이트 및 이벤트 전송 통신을 보장하기 위해 관리 대 에이전트(management-to-agent) 상호작용에 사용된다. 기업 내에서는 이름 분석이 보통 문제가 되지 않는다. 하지만 서로 다른 네트워크들을 로밍하게 될 시스템이 있다면 기계가 정확한 어드레스를 분석할 수 있는지, 그리고 시스코 시큐리티 에이전트 매니지먼트 센터 서버가 이러한 로케이션들로부터 도달 가능한지를 반드시 확인해야 한다.




복합 문제 해결하기

시스코 시큐리티 에이전트는 문서화된 보안 정책을 정확히 시행하고, 다음 번 제로 데이 악용으로 조직 전체가 파괴되는 일이 없도록 예방해 줄 수 있는 복합 제품(complex product)이다. 이것이 복합적인 유일한 이유는 이 제품이 해결하고자 하는 문제가 매우 복합적이기 때문이다. 하지만 그렇다고 해서 시스코 시큐리티 에이전트를 이행하는 게 복잡하다는 얘기는 아니다. 준비만 잘 갖춘다면 이 소프트웨어를 효과적으로 배치 및 지원할 수 있으며, 지원 팀에서는 자신들이 지원하는 소프트웨어와 시스템을 보다 잘 이해할 수 있게 된다. 이것은 모든 시스코 시큐리티 에이전트 이행에서 얻을 수 있는 부수적인 이점으로서 랩에서 생산 환경으로 가져가기에 충분한 이유가 된다.


CHAD SULLIVAN
필자 채드 설리반(CHAD SULLIVAN)은 보안 및 네트워킹 컨설팅 회사인 프리비온(Priveon, Inc)의 공동 설립자이자 보안 컨설턴트다. 프리비온을 만들기 전에는 시스코에서 보안 컨설팅 시스템 엔지니어로 일한 바 있다. 시스코 프레스에서 출간된 'Cisco Security'의 저자이기도 한 설리반은 현재 'Advanced Host Intrusion Prevention with Cisco Security Agent'를 집필 중이다. CCIE Noo. 6493, 이메일 주소는 chad.sullivan@priveon.com이다.


추가자료




Packet 지난 호 보기