방화벽 사용하는 기업들이 하는 흔한 실수 다섯 가지
[보안뉴스 문가용] 공격의 방법이 다양해짐에 따라 방화벽 환경설정의 중요성이 그 어느 때보다 강조되고 있다. IT 전문가들이 오류와 취약점에 머리를 싸매고 있지만 정작 유출사고의 95%는 잘못된 환경설정 때문에 일어난다는 사실을 최근 가트너가 지적한 바 있다.
방화벽은 네트워크 보안에 있어 필수불가결의 요소이다. 그리고 잘못 설정된 방화벽은 네트워크에 심각한 구멍을 만들어 공격이 이루어지도록 한다. 그럼에도 이렇게 환경설정 잘못한 사례들은 너무나 많고 빈번하다. 그중 대표적인 것 다섯 가지를 여기에 소개하고자 한다. 해당되는 사항이 있다면 바로 수정하기를 권고한다.
1. 너무 광범위한 허용
방화벽의 보안 설정 혹은 정책 설정을 너무 낮게 설정하는 경우가 대부분이다. 즉, 트래픽의 출처를 묻지도 따지지도 않고 다 허락한다는 건데, 이는 IT팀이 최초에 어느 정도로 엄격하게 이를 조정해야 하는지 판단을 못해서 발생하는 현상이다. 모르니까 일단 다 허용하고 나중에 회사 사정에 따라 조절해야겠다는 생각에서 나온 거다. 그런데 이는 반드시 거꾸로 가야 한다. 즉 트래픽을 최소한으로만 허용하고 상황에 따라 조금씩 넓히거나 그때그때 필요한 것만 열어주어야 한다.
2. 위험천만한 기능, 오래된 프로토콜
방화벽에 별로 필요 없는 기능들이 계속해서 작동하고 있는 모습이 자주 눈에 띈다. 특히 동적 라우팅(dynamic routing)과 네트워크 내 가짜 DHCP 서버들이 위험하다. 또한 암호화 통신 대신 텔넷 등 30년이 넘는 통신 프로토콜이 여전히 널리 사용되고 있다는 것에도 매번 놀란다. 즉 보안성을 높이는 작업을 하지 않았다는 건데 이는 회사 차원에서 관리가 가능하다. 회사 업무 및 사업방향에 맞게 방화벽에 어울리는 기능을 선별하고, 네트워크에 연결해서 사용하기 전에 어떤 기기라도 보안 점검을 미리 하는 걸 사칙으로 삼으면 상당 부분 해결된다.
3. 비표준 인증 시스템
인증 절차가 표준화되어 있지 않은 라우터 방화벽을 사용하는 기업의 수도 상상을 초월한다. 지난 번엔 어떤 대형 은행의 보안업무를 담당한 적이 있는데, 그 은행은 금융기관답게 모든 장비를 잘 갖추고 있었다. 중앙 인증 시스템으로 데이터센터까지 관리하는, 아주 바람직한 모습이었다. 다만 이는 본사의 이야기였을 뿐 각 지방은행 및 지사의 라우터 인증 시스템은 제각각이었다.
본사의 정책을 지사에 반영하지 않았기 때문에, 본사 직원이 우회로를 경유해 지사의 네트워크에도 쉽게 접속할 수 있었다. 거꾸로 얘기하면, 누군가 지사에 침투해 본사직원의 절차를 거꾸로 밟아 본사 네트워크에도 침투할 수 있게 되었다는 이야기다. 대형 기업이라면 본사 정책과 지사 보안정책을 하나부터 열까지 통일할 필요가 있다.
4. 실제 업무에 사용되는 데이터로 실험하기
침투 테스트를 실제로 해보는 기업들 대부분 실제 업무 네트워크와 테스트용 네트워크를 철저하게 분리시키는 게 보통이다. 그러나 데이터의 종류가 다르면 분명히 침투의 방법과 난이도가 달라진다. 조심스러운 건 좋으나 한두 번쯤은 실제 데이터를 가지고 실제 사고가 일어날 환경에서 실험을 할 필요도 있다.
심지어 일반 직원들이 아무것도 모르고 평소처럼 일을 하는 가운데 실험하는 것도 좋다. 그래야 회사 전체의 시스템은 물론 각 엔드포인트 시스템의 방화벽이 실제로 어떤 설정으로 돌아가고 있는지 파악할 수 있다. 이게 불가능하다면 실험 환경을 최대한 실제와 똑같이 구성하는 게 중요하다.
5. 로그 아웃풋
보안 기기들이 각각 만들어내는 로그 아웃풋을 분석하지 않고 그냥 넘어가는 기업이 대부분이라는 것도 경악스러운 사실이다. 개인적으로 네트워크 보안에 있어서 기업들이 하는 가장 빈번하고 가장 큰 실수라고 꼽는다. 왜냐하면 로그 분석에 게으르면 공격에 취약할 뿐 아니라 그 공격이 반복되었을 때 또 당할 확률이 높아지기 때문이다.
보통 로그 관련 장비가 비싸다는 핑계를 댄다. 게다가 제대로 분석하려면 전문가가 필요한데 그걸 위해 사람 하나를 고용한다는 게 꺼려진다고 한다. 하지만 이걸 생각해야 한다. 사고가 일어났을 때 드는 복구 비용, 소송 비용, 배상 비용이 훨씬 높다는 걸.
방화벽을 보유하고 있는 기업이라면 당장 이 다섯 가지 사항을 최우선으로 검토할 필요가 있다. 그리고 발견된 사항에 대해서 개선할 수 있는 절차를 밟아나가기를 권장한다. 방화벽이란 회사 전체의 네트워크 보안을 담당하는 부분이기 때문에 일개 부서가 아니라 회사 전체의 정책으로서 사용법을 결정해야 한다. 방화벽 무용론이 가끔 들리는데, 방화벽이 문제가 아니라 그걸 잘 사용 못하는 게 문제다.
글 : 카일 위커트(Kyle Wickert)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
