IP 환경에서의 음성 보안

IP 환경에서의 음성 보안

업무에 매우 중요한 애플리케이션과 동일하게 음성을 보호하기 위한 심도 있는 보안 전략

Snapshot:
음성 서비스를 데이터 IP 네트워크에 통합하는 것은 기업들에게 여러모로 큰 효과와 이점을 제공해준다. 하지만 음성 기술이 IP와 조우하면 상당수 IT, 전화, 비즈니스 관리자들은 외부 공격에 대한 우려를 표명한다. 음성은 높은 보안이 요구되는 데이터 애플리케이션과 동일한 수준의 높은 보안 표준을 요구한다. 기업의 전략적인 내용이나 사적인 통화, 금융 관련 정보 등 음성 전화에 담겨진 정보는 같은 정보가 담겨진 데이터의 외부 유출과 동일한 피해를 기업에게 입힐 수가 있다. 더욱이, 어떤 기업이나 서비스 사업자들도 음성 커뮤니케이션을 차단하는 서비스 거부(DoS) 공격을 감당할 수가 없다. 음성은 대부분의 기업들에게 여전히 없어서는 안 되는 필수 조건이며, 사용자들은 긴급 서비스로 음성을 절대적으로 활용하고 있는 상황이다.

많은 기업들은 Cisco SAFE 지침을 토대로, 데이터 보안을 보장하기 위한 프로그램을 도입하고 있으며, 물론 데이터처럼 이동하는 음성 역시 보호하고 있다. 음성 보안에 특히 초점을 맞추기 위해, 시스코는 보안 접속, 신뢰성 및 신원 확인 관리, 위협 방어 등 세 가지 분야에 대해 데이터 네트워크에서의 IP 음성을 위한 종합적인 SAFE 가이드라인을 개발했다.
안전한 접속은 음성을 전송하는 데이터 인프라에 국한되지 않고 음성을 위한 보안을 배가해주는 특정한 프로비저닝이 요구된다. 음성을 전송하는 IP 네트워크를 위한 SAFE 청사진은 IP 폰과 콜 프로세싱 매니저, 음성 메일 시스템, 음성 게이트웨이 등 4가지 주요 음성 시스템을 보호하는데 특히 강조하고 있다. 이처럼 음성을 위한 신뢰성과 신원 확인 관리, 위협 방어에서의 특별한 프로비저닝이 제시된다. 예를 들면, IP 폰을 보호하고 데이터 네트워크로 유입되는 바이러스의 침투를 차단하며, 네트워크의 음성과 데이터 부문 간의 접속을 중개하기 위해 데이터로부터 음성 콜을 분리할 수 있는 수단을 제공하고 있는 것이다. 여기에서 논의하는 IP 음성에는 아날로그 형태로 생성되어 전송시 디지털로 변환되는 VoIP를 비롯해 IP 형태로 생성 및 전송되는 음성 콜인 IP 텔레포니가 포함된다.
시스코의 마케팅 매니저 겸 보안 전문가인 로저 판스워드(Roger Farnsworth)는 "데이터와 음성을 보호하기 위해서는 광범위하며 통합된 접근 방법이 필수적"이라면서, "어떠한 보안 프로그램도 100%의 완벽함을 제공할 수는 없으며, SAFE 가이드라인을 신중하게 준수함으로써 Cisco IP 음성 커뮤니케이션을 가능한 한 안전하게 만들 수는 있다. 데이터 보안 솔루션 부문에서의 시스코가 보유한 리더십과 전문 지식 및 경험은 IP 텔레포니와 VoIP를 보호하는 데에도 특별한 솔루션을 제공할 수 있다"고 밝혔다.

위협


DoS와 같은 IP 음성에 대한 많은 위협 요인은 데이터 커뮤니케이션의 위협 요인인 바이러스, 웜, 트로이 목마, 패킷 스나이핑(sniffing), IP 스푸핑(spoofing), 비밀번호 공격 등과 유사하다. 음성을 직접 대상으로 한 toll fraud와 같은 위협도 있다. 실제로, 음성 콜과 음성 관련 시스템에 대한 공격은 새로운 것이 아니다. 전화 시스템에 대한 해킹 시도는 콜 제어 시그널링을 시뮬레이션하고 전화선에 DTMF(dual-tone multifrequency) 신호를 보내어 무료로 전화를 사용하려는 '폰 프릭(phone phreaks)'으로부터 시작되었다. 전통적인 음성 커뮤니케이션은 DoS 공격이나 도청을 비롯한 보안 침해에 취약하며 이러한 요인은 IP 음성도 위협할 수 있다. IP 네트워크에서 해커들은 '무료' 콜을 위해 음성 게이트웨이로의 진입을 시도할 수 있다. 또한 유닉스 툴인 tcpdump를 들을 수 있는 웨이브 파일로 캡쳐링해 IP 음성 트레이스로 재구성하는 VoIP 도청 툴도 등장했다. 상업적으로 이용할 수 있는 진단 툴 역시 음성 품질과 기타 서비스 파라미터를 해결하는 합법적인 수단을 가장해 IP 음성을 위협하고 있다. 애플리케이션 계층의 공격은 특히 콜 관리나 음성 메일, 통합 메시징 시스템을 타깃으로 하고 있다.


접속 보안


첫 번째 단계는 음성을 위한 보안 정책 수립으로, 이는 데이터 부문에서와 마찬가지로 개발되어야 한다.
이러한 정책이 수립된 다음에는 IP 음성을 보호하는데 각별한 주의를 기울여야 한다. 시스코의 기술 마케팅 매니저인 제이슨 핼펀(Jason Halpern)은 "많은 기존의 데이터 보안 단계 역시 이러한 성장 기술을 보호하고 있으며, 음성 보안에 특별하게 대응하기 전에 구축되어야 한다"고 지적했다. 그는 먼저 "안전한 접속을 갖추고 있어야 하는데, 여기에는 기존의 데이터 네트워크를 보호하는 것이 선행되어야 한다. 가능한 한 레이어 2와 레이어 3 어디에서나 네트워크를 견고하게 유지해야 할 것"이라고 설명했다. 견고하게 하는 방안에 대해서는 "방화벽이나 침입 탐지 시스템과 같이, Cisco IOS? 소프트웨어에 구현되어 있는 보안 기능을 활용함으로써 라우터와 스위치의 보안을 향상시킬 수 있어 보안을 향상시킬 수 있는 기능을 구현하고 네트워크의 노출을 방지하며 장비 구성을 견고하게 유지할 수 있다"고 언급했다.

그림 1 : SAFE는 네트워크를 보안과 관리 기능 모듈로 나눈다. SAFE는 IP 전화기와 PC 기반의 IP 전화기, 음성 서비스, 프록시 서비스, WAN 백업과 로컬 콜을 위한 PSTN, 구획 분할을 위한 VLAN 등을 지원하도록 개발되었다.

라우터를 견고하게 하는 방법에는 SNMP(Simple Network Management Protocol)의 차단을 비롯해, 불필요한 서비스 제거, SSH(Secure Shell)과 같은 안전한 관리 방법 사용, 라우팅 업데이트 인증 등이 포함된다. 스위치를 견고하게 하는 방법으로는 ARP(Address Resolution Protocol) 검사나 가상 사설랜(VLAN)과 같은 기능을 통해 레이어 2를 견고하게 하거나 IP 허용 목록을 사용해 SNMP와 같은 관리 포트에 대한 액세스를 제한하는 방안, 모든 트렁크 포트에 대해 전용 VLAN ID 부여, 불필요한 포트 제거 등을 들 수 있다.
콜 프로세싱 매니저와 음성 메일 시스템, 음성 게이트웨이에도 위와 동일한 방법이 적용되어야 한다. 핼펀은 "벤더의 최적 실행 방안에 따라 이러한 애플리케이션이 적절하게 구성되도록 하는 것이 중요하다"고 덧붙였다. 장비가 다양한 방법으로 구성될 수는 있지만 설치시 맞춤화하는 것이 필요하다는 설명이다.
네트워크를 견고하게 하는 것은 DoS, 스푸핑, 패킷 스나이핑, 바이러스, 웜 등의 공격을 받는 것으로부터 보호할 수 있다. 다음 단계는 네트워크 기능을 분리시키는 것으로서, 보다 효과적인 액세스 제어를 제공하며 공격의 효과를 최소화해 침입자가 네트워크에 들어오더라도 음성 트래픽에 영향을 끼치지 못하도록 할 수 있다. 그 첫 단계로, 네트워크는 기능 모듈로 분할되어야 한다. 구내 네트워크의 경우, 사용자 모듈과 서버 모듈, 랩(lab) 모듈로 모듈화하고 전송을 코어와 에지로 구성하는 모듈 관리가 요구된다.
이러한 과정이 완료되면, 데이터로부터 음성을 분리하고 이더넷 LAN 스위치에서 음성 사용자를 VLAN으로 그룹화해야 한다. 네트워크의 음성과 데이터 부문간의 접속은 콜 프로세싱과 음성 메일 시스템 등 특정 기기에 제한되어야 한다.

핼펀은 "웜이 만연되고 있는 최근 상황에서는 구획으로 나누는 것이 특히 중요하다"면서, "음성과 데이터를 분리하는 것은 데이터 부문의 공격 발생시 음성 부문에 영향을 끼치는 가능성을 없애줄 수 있다. 예를 들어, 음성 스트리밍이 RTP(Real-Time Transfer Protocol)을 통해 발생할 경우, 16,384~32,786 포트의 어디에서나 다양하게 사용하게 된다. 적절한 필터링과 분할이 없다면 공격은 이들 중에서 하나의 포트만으로도 데이터에서 음성으로의 진입이 가능해진다"고 설명했다.
또한 사용자가 자동으로 네트워크에 로그인하거나 제한된 구역에 들어가도록 허용해주는 시스템 기능을 차단하는 것도 도움이 된다. 예를 들어, 많은 콜 프로세싱 매니저는 인증되지 않은 전화기에 대해 일시적인 구성을 단독으로 실행한 다음 네트워크에 들어가도록 허용되는 자동 전화 등록 기능을 제공하고 있다. 이에 대한 위험성은 명백하다. 이러한 전화기나 전화기처럼 보이는 기기가 기업에 중요한 데이터에 대한 추가적인 액세스나 권한을 얻을 수 있게 된다. 이러한 기능은 즉시 삭제되어야 한다고 핼펀은 충고한다. IP 폰이 연결되어 있는 PC가 트렁킹을 실행할 수 있도록 허용하는 또 다른 기능은 대부분 필요하지 않는 기능이다. 세 번째로, IP 폰이 로컬 음성 문제 해결이나 다른 애플리케이션을 위해 전화기의 데이터 포트로 모든 음성 트래픽을 복사해주는 기능 역시 제거되어야 한다.
마지막으로, 액세스 컨트롤 리스트(ACL) 역시 레이어 2와 레이어 3의 분리를 강화함으로써 안전한 접속을 구현할 수 있게 해준다. 모든 시스코 라우터와 방화벽 소프트웨어를 비롯해, 많은 스위치의 소프트웨어에 내장된 ACL을 통해 요청자의 IP 주소와 프로토콜/포트 정보에 따라 음성과 데이터 VLAN간의 액세스를 허용 또는 거부할 수 있다. 만일 해당 목록에 존재하지 않은 사용자라면 들어갈 수가 없게 된다. 또한 데이터에서 음성 VLAN으로의 비인증 액세스나 음성 VLAN간의 비인증 액세스, 모듈간의 비인증 액세스를 차단할 수 있으며 특히, 네트워크를 통해 자동으로 전파되는 웜이나 바이러스를 막는데 효과적이다. 핼펀은 구획 분할을 담당하는 모든 장비에 ACL이 활성화할 것을 권고했다.

그림 2 :SAFE Blueprint는 안전한 IP 음성 네트워크와 관련된 시스템 및 보안 장비를 상세하게 소개하고 있다.

신뢰성과 신원 확인 관리


접속이 안전하게 구현되었다면 신원 확인과 신뢰성 관리에 초점을 맞추어야 한다. DHCP (Dynamic Host Configuration Protocol) 스누핑과 IP Source Guard, DAI (Dynamic Add- ress Resolution Protocol Inspection) 등과 같은 시스코의 새로운 기술 및 기능을 통해 이를 달성할 수 있다. 시스코 라우터와 스위치를 통해 액세스를 중개하는 이러한 기술은 특히 네트워크로의 액세스를 요청하는 기기에 대한 인증을 통해 스누핑 공격을 차단할 수 있다.
DHCP 스누핑은 네트워크 외부나 방화벽을 벗어난 곳에서 생성되는 DHCP 메시지를 가로채 DHCP 서버에 대한 DoS 공격을 감행한다. DHCP를 통해 알려진 MAC 어드레스에 대해 IP 폰의 IP 어드레스를 할당할 수 있기 때문에 IP 폰은 항상 동일한 MAC 어드레스를 가지며 해커들은 두 어드레스를 알아내기가 어렵다.
IP Source Guard는 DHCP 패킷을 제외한 특정 포트를 통해 나가는 모든 IP 패킷을 차단하고 필터링한다. DHCP에 할당된 주소를 통해서만 전달되기 때문에 네트워크를 공격하는 악성 호스트가 이웃 호스트의 IP 어드레스를 도용해 네트워크에 침입하는 것을 차단할 수 있다. DAI는 포트당 하나로 IP 어드레스를 제한하기 때문에 여러 종류의 스나이핑 공격을 완화할 수 있다.
최종 사용자 수준에서의 보안을 위해, 시스코는 최근 디지털 서명을 사용, 다운로드되는 소프트웨어 이미지의 정확성을 보장할 수 있다. 핼펀은 "해커들은 IP 폰의 유효하지 않은 이미지를 로드해 운영될 수 없게 하거나 운영을 변경시키려는 공격을 감행할 수 있다"고 밝혔다. 디지털 서명을 통해, IP 폰은 원래의 이미지를 유지할 수가 있다.

위협 방어


세 번째 부문은 위협 관리와 차단이다. 이는 방화벽이나 침입 탐지 시스템(IDS), 침입 차단 시스템(IPS)의 핵심 기술에 해당된다. 핼펀은 "방화벽만으로 네트워크의 모든 시스템과 음성 부문을 보호하는 것은 충분하지 않다"면서, "음성 부문의 음성 메일 시스템과 데이터 부문의 이메일 서버 사이의 접속 중개를 위해서나, 콜 프로세서와 음성 부문의 IP 폰 연결, 콜 프로세서에 연결된 IP 기반의 IP 폰, 통합된 트래픽과 만나는 음성 게이트웨이 어디에서나 Cisco PIX? 어플라이언스를 사용하는 것이 효과적"이라고 설명했다.
정적인 모니터로서의 PIX 어플라이언스는 ACL이 정적인 것보다는 역동적인 포트 어드레스를 필터링할 경우 뛰어난 역할을 제공할 수 있다. ACL은 정적이지 않기 때문에 유연한 포트가 RTP 프로토콜과 함께 사용될 경우, 보다 광범위하게 접속될 수 있다. 프로토콜 인식 기능을 사용하는 방화벽은 하나의 포트 정확도를 제공하기 때문에 많은 포트가 개방될 필요가 없다. IOS와 PIX 기반의 시스코 방화벽은 IP 음성과 관련된 문제를 해결해주는 다양한 향상 기능이 포함되어 있다는 것이 핼펀의 설명이다.
IDS는 네트워크 기반의 IDS(NIDS)와 호스트 기반의 IPS(HIPS) 모두가 보유하고 있어야 하는 기능으로, 각각 서로 다른 유형의 보안을 제공한다. NIDS는 서명이나 연속된 비트 상태, 알려진 공격자 등 안타바이러스 시스템처럼 패킷 스트림을 관찰하며, 서명이 이미 매핑된 알려진 공격으로부터 네트워크도 보호한다. 또한 프로토콜을 비롯한 다른 이상 징후도 탐지한다. 핼펀은 "IDS는 음성 메일과 콜 프로세싱 시스템을 포함, 네트워크에 존재하는 모든 주요 시스템을 보호하도록 구축되어야 한다"고 밝혔다.
HIPS는 NIDS를 보완하는 역할을 담당한다. 행태나 비(非) 서명 접근 방법을 사용해 호스트의 이상 징후를 탐지하고 공격으로부터의 완벽한 보호 기능을 제공한다. 핼펀은 "취약성 패치가 호스트에 적용되지 않거나 서명이 새로운 공격에 존재하지 않더라도, IPS는 공격을 완화해줄 수 있다"고 전했다. IPS는 이상 징후를 모니터링 및 탐지하며, 실제로 공격이 발생하기 전에 차단할 수 있다. 예를 들면, 웹 서버의 레지스트리(registry)의 구성 설정이 80% 이상 바뀌거나 웹 서버가 cmd.exe를 웹 스크립트 디렉토리에 복제하는 행위, 웹 서버나 shell 명령을 실행하는 등의 행위가 발생하면 이는 웜에 의해 시스템이 감염된 것으로 간주한다. IPS는 이러한 형태의 이벤트를 발생하기 전에 차단할 수 있다.
시스코는 CSA(Cisco Security Agent)를 통해 IPS 기능을 지원하고 있는데, 현재 Cisco VPN 클라이언트와 음성 제품에서 지원되고 있으며 추가적인 보안 기능을 제공한다. 데스크톱과 서버 등 두 버전으로 이용 가능한 CSA는 침입 차단과 분산형 방화벽, 악의적 모바일 코드 방지, 운영 시스템 무결성 보장, 감사 로그 통합 등을 제공한다. 핼펀은 Cisco Softphone이 구축된 곳 어디에서나 CSA를 도입해 데이터의 보안과 음성 부문 보안이 상호 작용하도록 할 것을 권고하고 있다.

데이터 보안 솔루션 부문에서의 시스코가 보유한 리더십과 전문 지식 및 경험은 IP 텔레포니와 VoIP를 보호하는 데에도 특별한 솔루션을 제공할 수 있다.

필터링의 중요성


안전한 접속과 신원 확인 및 신뢰성 관리, 위협 관리와 차단을 위한 준비를 완료했다면 '심도 있는 방어' 체제를 가동해야 한다. 네트워크의 모든 시스템의 적절한 곳에 모든 보안 기술을 적용해야 한다. 보안을 위해 하나의 메커니즘에만 의존해서는 결코 안 된다. 따라서 IDS는 라우터와 스위치, 서버와 PC 등 클라이언트 시스템에 활성화되어야 한다. 물론 ACL 역시 모든 시스템에 구축되어야 한다. Cisco IOS 기반 및 어플라이언스 방화벽은 네트워크 전체에 대해 계층화된 다양한 기술 및 시스템에 적용되어야 한다.
핼펀은 안전한 IP 음성 네트워크를 구축하는 것은 충분히 실현될 수 있다면서 이용 가능한 보안 기술과 제품, 신중한 설계 및 구축과 관심을 통해 성공적인 보안이 달성될 수 있다고 전했다. 하지만 그는 시스코만이 종합적인 보안 제품과 전략, 청사진을 제공하는 유일한 기업이라면서, "가능한 한 네트워크 전체에서 필터링은 아무리 강조해도 그 중요성이 지나치지 않다"고 밝혔다.

추가자료

■ SAFE: 심도 있는 IP 텔레포니 보안:
    isco.com/packet/161_6c1
■ SAFE: 기업 네트워크를 위한 보안 청사진:
    cisco.com/packet/161_6c2


맨위로

Cisco에 문의하세요



Packet 지난 호 보기