자가 방어 네트워크

자가 방어 네트워크

더욱 빠르게 전파되고 보다 치명적인 네트워크 위협이 급증하자, 새로운 보안 전략과 기술이 요구되고 있다.

Snapshot:
불과 얼마 전만 하더라도 바이러스는 단순히 귀찮은 존재로 여겨졌으며, 경영진들은 이에 대해 거의 관심을 두지 않았다. 하지만 현재에는 자가 증식 기술이 결합된 위협 요소와 협업 애플리케이션, 상호 연결된 환경 등이 결합되어 보안에 치명적인 피해를 끼칠 수 있게 되자 연일 뉴스의 헤드라인을 장식하고 있다. 대표적인 사례는 2003년 1월에 발생한 SQL 슬래머 웜으로서, 전세계 네트워크의 상당 부분을 다운시켰으며, 한국의 이동통신 사업자인 KTF의 네트워크를 거의 정지시킨 사건이 발생했다.

시스코의 보안 제품 및 기술 마케팅 담당 이사인 제프 플라톤(Jeff Platon)은 "해커들이 80년대에는 개별 컴퓨터를 목표로 삼았다면 90년대에는 개별 네트워크를, 그리고 현재에는 전세계 인프라를 목표로 삼고 있다"면서, "그 결과, 보안은 성가신 문제에서 비즈니스에 중요한 이슈로 이동하고 있다. IT 책임자들은 이러한 위협에 대처하기 위해서는 과거와는 다른 방법과 구조가 필요하다는 결론에 도달하게 되었다"고 밝혔다. 시장 조사 기관인 인포네틱스 리서치(Infonetics Research)에 따르면, 보안 제품과 서비스에 대한 최종 사용자의 지출이 2003년과 2007년 사이에 45억 달러에서 80억 달러 규모로 78% 증가할 것으로 전망되고 있다.

"위험을 최소화하라"


시스코의 ASNS(Advanced Services for Network Security) 비즈니스 개발 매니저인 랜스 헤이든(Lance Hayden)은 "위협의 관점에서 본다면 5년 또는 10년 전보다 안전하다고 할 수가 없다"고 지적했다. 미국 정부 투자 기관이며 카네기 멜론 대학(Carnegie Mellon University)이 운영하는 연구 개발 센터인 CERT Coordination Center에 보고된 보안 사건은 1999년 9,859건에서 2003년 1~3분기까지 114,855건으로 대폭 증가한 것으로 나타났다.
위협 요소의 절대적인 수치가 증가할 뿐만 아니라 그에 따른 잠정적인 피해 규모도 늘어나고 있다. 최근에 발생하고 있는 대부분의 공격은 서비스 거부(DoS)와 연관되어 있다. 트로이 목마나 웜은 분산된 컴퓨팅 파워를 '동력'으로 활용하거나, 일대일(P2P) 파일 공유를 구성할 경우, 그 파괴력은 엄청날 것이다. 헤이든은 "현재 발생 가능한 웜은 정교한 탄두는 없는 장거리 미사일과 같다"면서, "하늘에서 폭파된 잔해가 땅 위로 떨어지면서 인프라를 강타하지만 실제로 폭발되는 것은 없다. 하지만 만일 해커가 정교한 코드를 사용해 웜에 악의적인 '탄두'를 부착하고 분산된 컴퓨팅 파워나 일대일 디스크 스토리지를 활용한다고 상상해보라. 진정한 네트워크의 파워를 동력으로 활용하기 때문에 수많은 호스트의 통제권을 장악할 수 있어 우리가 지금까지 보아왔던 그 어떤 웜보다도 치명적인 피해를 입힐 수가 있을 것이다"라고 설명했다. 자사 네트워크를 보호하기 위해서는 IT 전문가들이 다음과 같은 사항을 포함한 보안 위협의 새로운 특징을 이해하고 있어야 한다.

내부 공격에서 외부 공격으로의 이동. 주요 애플리케이션들이 미니컴퓨터와 메인프레임에서 구동되었던 1999년 이전에는 보안 위협 요소들이 일반적으로 특정 권한을 가지고 있던 내부 사용자들에 의해 발생되었다. 하지만 CERT에 따르면 1999년과 2002년 사이에는 외부에서 비롯되는 위협 요소가 250% 증가한 것으로 나타났다.

파급 속도 향상. 개별 컴퓨터나 네트워크에 공격이 상주할 경우, 기업들은 그 위협을 인지하는데 보다 많은 시간이 걸리지만, 바이러스가 전세계에 전파되는 속도는 단 10분 밖에 걸리지 않는다. 안티바이러스 솔루션은 여전히 필수적으로 구축해야 하지만 이것만으로는 충분치가 않다. 바이러스의 특징이 규명될 때면 이미 늦은 것이다. 플라톤은 "자가 번식 기능을 가진 위협 요소로 인해, 공격에 대해 자율적으로 대응할 수 있는 네트워크 기술을 갖추어야 한다"고 밝혔다.

위협 탐지가 더욱 어려워짐. 인포네틱스 리서치의 가상사설망(VPN) 및 보안 담당 선임 분석가인 제프 윌슨(Jeff Wilson)은 "공격자들이 더욱 똑똑해지고 있다"면서 "과거에는 네트워크를 공격하곤 했지만 이제는 애플리케이션을 공격하거나 데이터 자체에 공격을 내장하고 있기 때문에 탐지하기가 더욱 어려워지고 있다"고 설명했다. 예를 들어, 네트워크 계층의 공격은 헤더 정보를 보면 탐지될 수 있다. 하지만 텍스트 파일이나 첨부 파일에 내장된 공격은 실제 패킷 페이로드(payload)를 살펴보아야 탐지가 가능하지만 일반적인 방화벽으로는 탐지가 불가능한 경우가 많다. 헤이든은 "위협 탐지가 방화벽에서 액세스 컨트롤 서버와 침입 탐지 시스템으로 이동하고 있다는 것이 부담?이라면서 "단일한 포인트 솔루션보다는 기업들이 전체적인 솔루션을 도입하는 것이 필요하다"라고 말했다.

해커들의 진입 장벽이 낮아짐. 마지막으로, 사용하기 쉬운 해커 툴과 스크립이 만연되고 있기 때문에 기술적인 지식이 없더라도 언제나 침입이 가능해졌다는 점을 들 수 있다. 헤이든은 "단순한 클릭 몇 번 만으로도 해킹이 가능해졌다는 것은 그들이 전문적인 지식을 보유하고 있지 않더라도 기업에 언제든지 큰 피해를 입힐 수 있다는 것을 의미한다"고 설명했다.

자가 보호 네트워크를 향해


보안 위협이 개별 네트워크에서 인프라로 이동함에 따라, 시스코의 보안 접근 방법도 이러한 경로를 따르고 있다. 플라톤은 "포인트 보안 솔루션 제공에서 보안 접속을 위한 통합된 시스템으로의 진화를 진행하고 있다"고 밝혔다. 이러한 통합 시스템은 몇몇 지점에서 네트워크를 보호하게 된다. 예를 들어, 시스코는 방화벽, 침입 탐지 시스템(IDS)을 비롯해, '보통의' 네트워크 행위와 그렇지 않은 행위를 판단할 수 있는 정교한 수리적 알고리즘을 통해 잠재적인 위협 요소를 파악할 수 있는 이상 행동 탐지 소프트웨어 등 세 가지 보안 시스템을 제공하고 있다. 플라톤은 이와 같은 세 가지 접근 방법을 은행에서 사용되는 물리적인 보안 수단으로 비유한다. 방화벽은 은행 외부에 있는 경비원이며, IDS는 24시간 감시 체제를 가동하는 비디오 모니터링 시스템에, 그리고 이상 행동 탐지 소프트웨어는 의심스러운 행동에 대해 경고를 보내고 즉각적인 조치를 준비하는 사람으로 비유하고 있다. 신원 관리는 고객에게 사진 ID를 제시할 것을 요청하거나 은행 서비스를 받기 전에 개인 식별 번호(PIN)을 입력할 것을 요구하는 것과 유사하다. 공격을 탐지하고 방어하기 위한 다양한 방법을 통해 보안을 강화시킬 수 있게 된다.
기업들과 정부 기관들이 새로운 IT 인프라 위협을 규명하고 예방하며 적응할 수 있도록 하기 위해 시스코는 자가 보호 네트워크(Self-Defending Network)를 발표했다. 첫 번째 솔루션인 NAC(Network Admissions Control)은 사용자 이름과 비밀 번호를 요구하는 것과 관련되어 있는 신뢰(trust) 및 신원 확인 관리와 밀접한 관련이 있으며, 대별되기도 한다. NAC는 사용자를 인증하지만 컴퓨터의 보안 기밀성은 무시한다. 이러한 필수적인 차원의 신뢰성을 보완하기 위해서 시스코는 최근 안티바이러스 벤더인 네트워크 어쏘시에이츠, 시만텍, 트렌드 마이크로(Trend Micro) 등의 업체와 NAC를 연동시킬 것을 발표한 바 있다.
대표적인 구동 방법을 들면, CSA(Cisco Security Agent)에 통합된 Cisco Trust Agent는 안티바이러스 소프트웨어 버전이나 운영 체제 패치 등 PC와 호스트의 보안 상태 정보를 수집한다. 노드가 VPN으로의 연결을 시도할 때, Cisco Trust Agent는 라우터나 스위치, 무선 액세스 포인트와 보안 어플라이언스 등 승인 제어를 담당하는 시스코 네트워크 액세스 기기로 보안 상태 정보를 전송한다. 이러한 기기는 보안 기밀 정보를 시스코 시큐어 액세스 서버(ACS)로 중계하는데, ACS는 고객이 규정한 정책에 따라 허락이나 거부, 격리, 제한하는 판단을 내린다. NAC는 Cisco Trust Agent와 더불어 또는 없이도 호스트에 대해 차별화된 액세스 정책을 집행할 수도 있다. NAC을 광범위하게 효과적으로 만드는 것은 클라이언트 에이전트의 편재성에 있다.
IDS 및 이상 행동 탐지 소프트웨어와 함께 사용됨으로써, Cisco NAC는 훨씬 강력해졌다. 예를 들어, IDS가 시스코 라우터에 내장되어 있고 DoS 공격 서명을 탐지하게 되면, 단 몇 초 내에 Cisco ACS는 네트워크의 모든 라우터에게 해당 트래픽을 거부할 것을 명령한다. 또한 트래픽 패턴이 경보 형태로 바뀌지만 서명이 알려지지 않을 경우, 기업의 자체 비즈니스 규칙에 따라 이상 행동 탐지 소프트웨어가 의심스러운 트래픽을 즉시 차단할 수 있다.

시스코의 보안 상태 평가로 본 트렌드
많은 기업들이 보안 침해 사건을 당하고도, 또한 방어 기술이 이미 대거 출시되어 있음에도 불구하고 공격에 대해 방어할 조치를 취하는데 소극적인 태도를 견지하고 있다. 예를 들면, 10대 해커가 인증되지 않은 다이얼 업 모뎀으로 전 세계를 핵전쟁의 위험에 노출시킨다는 내용의 1983년 개봉 영화 '위험한 게임(War Games)'이 선 보인지 20년이 넘었지만 기업들의 소극적인 태도는 좀처럼 바뀌지 않고 있다. 시스코의 Network Security의 Cisco Advanced Services 팀은 정기적인 보안 상태 평가를 수행하면서 대기업 네트워크에서도 보안이 허술한 모뎀이 여전히 존재한다고 보고했다. 아래 사항은 랜스 헤이든(Lance Hayden)과 그의 동료가 지난 몇 개월 동안 관찰한 보안에 대한 주요 트렌드를 소개한 것이다.

호스트 침해 증가. 헤이든은 이에 대해 웜 활동의 증가가 가장 큰 원인이라고 지적한다. 차세대 웜은 자동화된 해커와 같이 행동한다.
취약점에 긴밀히 유착된 코드 증대. 코드 구성의 두 가지 양상이 나타나고 있다. 하나는 자가 번식 코드로, 독립적으로 자가 발전한다. 나머지 하나는 번식과 취약점을 서로 말려들게 하는 것이다.
버그의 대상 이동. 1990년대 중반에는 해커들이 NetBIOS을 대상으로 공격을 시도했다. 2000년 초에는 마이크로소프트 인터넷 정보 서비스(IIS)로 공격 대상이 이동했으며 이후 마이크로소프트 SQL 서버로 옮겨갔다. 또한 최근에는 분산 요소 객체 모델(DCOM)과 RPC(remote procedure call) 등 커뮤니케이션 프로토콜을 대상으로 공격이 이루어지고 있다. 해커들은 특정 애플리케이션에 대한 버그를 찾는 대신에 소프트웨어 인프라에 대한 공격 형태로 이동하고 있다.
허술한 비밀번호. Cisco Advanced Services 팀은 대부분의 기업의 비밀 번호 중 70~85%를 알아낼 수 있는데, 비밀 번호 정책의 경우 강력하게 집행되지 않거나 허술하게 관리되기 때문이다. 만일 보안 담당자들이 이에 대해 직원들에게 언급하더라도 크게 효과를 거두지 못하는 경우가 많다. 윈도 LANMAN 인증은 해킹하기가 매우 쉽다. 또한 비밀 번호 보안에 더욱 신중한 자세를 견지해야 한다. 안전한 비밀 번호를 선택해야 하며 정기적으로 비밀 번호를 변경하고 크래커(cracker) 프로그램을 설치해 비밀 번호의 유출 가능성에 대해 검사하는 행위가 필요하다.
확실히 알아볼 수 있는 텍스트 프로토콜을 사용하는 UNIX 시스템. 텔넷(Telnet)이나 RSH(Remote Shell)을 사용하는 기업들은 여전히 비밀번호와 사용자 이름을 누구나 알아볼 수 있는 텍스트 형태로 전송하고 있다. 시스코 라우터에서 지원되는 SSH(Secure Shell)이나 IPSec(IP Security)와 같이 보다 안전한 프로토콜로의 전송을 권장한다.
안전하지 않은 무선 네트워크. 무선 보안 기술은 사용하기가 쉽다. 기업들은 Cisco LEAP(Extensible Authentication Protocol)과 Cisco Aironet? 제품군에서 이용 가능한 백엔드 인증 서버를 활용해야 한다.
포트 80으로의 트래픽 급증. 현재 포트 80을 통해 들어오고 나가는 트래픽이 너무나 많기 때문에 이 포트를 닫는 것은 더 이상 해결책이 될 수 없다. 일반적으로 널리 퍼진 웹 프로토콜로 포장되기 때문에 모니터링하기가 더욱 어려워지고 있다.
시스코의 보안 상태 평가로 본 트렌드


첫 번째 단계


효과적인 보안 접근 방법을 위해 기업들은 어떻게 시작해야 할까? 첫 단계로, Cisco Advanced Services 팀은 기업들에게 'SPA(Security Posture Assessment)'라 불리는 포괄적인 네트워크 보안 평가 방법을 제공하고 있다. SPA는 글로벌 포츈 500대 기업과 정부 기관을 위한 보안 운영의 기획 및 설계, 구축 및 최적화를 포함한 '신임장'이라 할 수 있는 Cisco ASNS 전문가들이 수행하고 있다. 대부분 CCIE?과 CISSP(Certified Information Systems Security Professional) 인증을 보유하고 있다.
SPA의 주요 목표에는 심각하거나 장기적으로 약화될 수 있는 네트워크 시스템의 취약성 상태를 계량화하며 보안 사고를 탐지 및 대응할 수 있는 현재의 인력을 판단하고, 시스템과 네트워크 관리자들이 보안을 향상시킬 수 있도록 권고 사항을 제공하는 것이 포함된다. ASNS 팀원들은 정교한 툴과 방법론을 사용해 네트워크 취약점을 포괄적으로 해결함으로써 인증되지 않은 액세스를 취득하려는 침입자의 공격을 차단하게 된다.
네트워크 주변의 방화벽을 비롯해, 라우터, 내부 방화벽, 스위치, 가상 LAN 등 다양한 네트워크 장비들이 평가된다. SPA는 또한 운영의 효율성을 위해 보안 정책이 테스트될 경우 호스트와 서버, 사용자 워크스테이션, 메시징을 검사한다.
보안은 인증되지 않거나 의도하지 않은 행동에 의해 중요한 정보가 침해 당할 수도 있는 잠재적인 노출을 검사하기 위해 내부에서 평가된다. 또한 외부 평가는 내부 데이터가 침해 당하거나 리소스가 거부될 수도 있는 취약성을 규명하기 위해 취해진다. SPA는 완벽한 소스 툴을 비롯해 자유롭게 이용 가능한 툴 및 맞춤형 독점 툴 등 인터넷에서 이용할 수 있는 툴과 시스코 엔지니어들이 개발한 소프트웨어 제품들을 통해 수행된다.
SPA가 내부에서 실행되는 동안, 시스코 엔지니어들은 침입자의 공격을 통제되며 안전한 상황에서 시뮬레이션하며 호스트와 비밀 번호의 약점 또는 시스템에 대한 관리적 차원의 액세스 간의 신뢰성 관계의 잠재적인 침해를 포함한 취약점을 수동으로 확인한다. 이러한 컨설팅 방법은 네트워크가 내부 직원이나 모호한 계약 업체나 신뢰성이 떨어지는 내부 사용자들에 의해 침투될 수 있는지를 파악해준다. 외부 SPA의 경우, 시스코 엔지니어들은 네트워크 장비에 침투하거나 인터넷 보안 제어를 해체하려는 악의적인 공격자들의 상황을 시뮬레이션한다. 여기에는 일반적으로 알려지지 않거나 보호되지 않은 원격 접속 서버를 통해 네트워크의 '백도어'를 제공할 가능성이 높은 기업 전화 번호 등에 대한 분석이 포함된다. Advanced Services 팀은 무선 네트워크에도 동일한 서비스를 제공한다.
평가 작업이 완료되면 Cisco ASNS 팀은 보고서를 취합한 다음 다른 기술적인 사항을 살펴보며 발견된 취약점을 우선적으로 파악해 네트워크 보안을 향상시키기 위한 조치를 권고하게 된다. 대부분 권고 사항은 기술과 정책에 초점이 맞춰지지만 때로는 네트워크를 다시 구축할 것을 권고하기도 한다. 어떠한 경우건, Cisco Advanced Services 그룹은 기업 전체에 심도 있는 보안을 설계 및 구현할 수 있다.

IT 통제 및 커뮤니케이션


보안은 또한 IT에 대한 통제권을 필요로 한다. 즉, 기업들은 보안을 데스크톱에서 네트워크 코어까지 측면에서 지원해야 할 뿐만 아니라 최고 기술 책임자(CTO)에서부터 이사진에 이르기까지 방화벽 구축 정책에 따라 수직적으로도 이루어져야 한다는 것을 인식하고 있다. 헤이든은 "적절히 배치될 수 있는 프로세스를 포함한 기술적인 전략과 비즈니스 상황 모두를 고려해야 한다"고 설명했다. 인포네틱스의 윌슨 역시 이에 동의하며, "기업의 보안 도입에 있어서 기업 운영과 균형을 이루는 것이 중요하다. 접속을 제한하는 보안 정책, 예를 들면 직원들이 기억하기에 너무 길거나 복잡한 비밀번호를 요구하는 경우 생산성을 방해하게 된다. 보안에 대한 필요성은 생산성 향상이나 접속 향상에 필요한 사항보다 우선되어서는 안 된다. 접속성은 항상 보안에 우선되어야 한다"고 지적했다. 공격에 대한 가장 강력한 방어는 개방된 커뮤니케이션과 기업 및 정보의 공조를 통해서 달성될 수 있다. 네트워크 공격에 대한 '무기'로서의 커뮤니케이션의 중요성은 2003년 12월에 단적인 예로 나타난 바 있다. 미국 국토 보안 서기관인 톰 리지(Tom Ridge)는 테러리스트의 공격으로부터 네트워크를 보호하기 위해 기술 기업들로 하여금 정보를 공유하도록 촉구, 큰 성과를 거두었다.




Cisco에 문의하세요



Packet 지난 호 보기