급변하는 현실, 기술과 정책 면에서 제때 반영하고
상황과 역할에 따라 개별화된 보안 정책 적용해야
.jpg)
[보안뉴스 문가용] 방화벽은 기업 환경의 보안에서 가장 기본적이면서 필수적인 요소다. 대부분 기업에서 ‘정보 보안에 대비하겠다’고 하면 방화벽부터 설치한다. 물론 방화벽이 이렇게까지 중요한, 필수불가결의 요소로서 취급받을 자격이 있는가에 대한 논의에는 아직도 답이 없는 상태다. 특히 공격의 기술이 갈수록 고도화되고 있는 요즘, 방화벽 무용론이 심심치 않게 등장하고 있기도 하다.
그럼에도 아직도 기업의 네트워크 보안이라고 하면, 제1선에 방화벽을 놓지 않는 곳은 찾기가 힘들다. 즉, 싫든 좋든 방화벽은 ‘보안’에 대해 신경을 쓰는 조직이라면 어디에서나 찾아보는 게 가능하며 아직까지는 대체할 수단이 마땅치 않다는 것. 그렇다면, 이왕 있는 거 잘 활용하는 방법을 모색하는 편이 훨씬 생산적일 것이다. 다음 몇 가지 사안이 도움이 될 거라고 믿는다.
1. 방화벽의 성능 검사
디폴트 상태에서 방화벽의 평소 성능이 전부가 아니다. 당연한 사실인데, 이를 제대로 이해하지 못하는 예가 굉장히 많다. A10 네트웍스(A10 Networks)의 보안 전문가인 케이시 크로스(Kasey Cross)는 이 부분을 거듭 강조한다.
“오늘날 데이터센터에서 호스팅하는 애플리케이션과 서비스들 대부분 SaaS의 일종이거나 클라우드에 기반을 두고 있습니다. 모바일 기기로부터 발생하는 패킷 트래픽의 비율이 증가하고 있는 것도 현대의 네트워크 환경의 새로운 점이기도 합니다. 즉 네트워크 보안의 관점에서 예측하기 힘든 트래픽이 많아졌다는 겁니다. 이 말은 방화벽이 다루어야 할 데이터의 양도 늘었다는 뜻입니다. 지금 가지고 있는 방화벽이 이런 변화를 소화할 수 있는가를 반드시 확인해야 합니다. 기술적인 측면의 점검이 끝났다면, 정책의 면에서 방화벽의 성능저하를 가져오는 게 있지는 않은지도 확인해야 하고요.”
2. 암호화 점검하기
암호화된 것들을 포함해 트래픽이란 트래픽은 전부 검사가 가능하도록 해야 한다. 네트워크에 드나드는 트래픽 중 대다수가 SSL과 SSH 암호화 과정을 거친다. 당연히 데이터의 보호를 위해 있어야 할 조치이다. 다만 암호화된 트래픽은 보안 담당자만 활용하는 게 아니라는 건 문제다. 해커들조차 자신들의 통신과 활동을 감추기 위해 암호화를 활용한다. 통계에 따라 조금씩 차이가 있긴 하지만 기업 네트워크 당 약 1/3의 암호화된 통신이 존재한다고 한다. 단지 암호화가 되었다고 해서 이를 보안 관리자가 확인할 수 없다면, 해커들에겐 감사한 일이다.
최근에 등장한 방화벽들에는 암호화된 트래픽의 복호화 기능이 존재한다. 그러나 이는 최신형 소수일 뿐 아직도 대부분에는 이런 기능이 존재하지 않는다. 지금 사용하고 있는 게 그런 오래된 방화벽이라면 SSL 트래픽이 방화벽에 다다르기 전에 먼저 가로채는 것도 한 방편이다. “그러고 나서 내용물을 검사하고, 다시 암호화해서 본래 받기로 한 사람에게 보내는 것이죠. 안전을 위해서는 이런 과정이 필수라고 봅니다.” 높은 속도와 퍼포먼스를 유지한 채 위 문제를 해결해주는 프록시 서버가 이런 과정을 해결해준다. 유연한 환경설정을 통해 암호화/복호화 대상이 되는 트래픽을 지정하는 것도 가능한 것이 좋다.
3. 역할에 기반을 둔 접근 통제
네트워크에 존재하는 자산이나 서비스에 접근하려는 사람들이 한둘이 아니다. 그럴 때는 사람마다 다른 기준을 적용하는 편이 안전하다. 포티넷(Fortinet)의 세일즈 매니저인 제임스 케이브(James Cabe)는 “구체적인 정책을 정하고, 그것을 방화벽에 강력히 적용함으로써 인증 과정을 적용해야 한다”고 하며 “사용자의 접근이라는 상황 속에서 발생할 수 있는 위험요소를 최소화하기 위한 것”이라고 설명했다.
“사용자마다 접근할 수 있는 데이터의 민감도나 양이 다른 게 정상이죠. 사장님과 파트타이머가 같은 권한으로 같은 데이터에 접근하면 안 되잖아요. 차이를 둬야죠. 관리자는 이런 차별적인 인증 체계 자체를 관리할 수 있어야 하고요. 이러려면 팀 단위로 권한을 뭉텅이로 배정하는 게 아니라 개인별로 해야 합니다. 그게 가장 어려운 부분이기도 하지만 핵심이기도 합니다.”
4. 새로운 위협 막기
권한을 개개인별로 설정한 것처럼 콘텐츠도 일일이 걸러낼 수 있지만, 그렇게 하는 건 굉장히 자원이 많이 든다. 트래픽 콘텐츠를 일일이 관리할 여력이 되지 않는다면 신뢰도가 낮은 사이트로부터 발생하는 트래픽을 막아내는 것도 한 방법이 된다. 개설된 지 얼마 안 된 사이트도 차단하는 편이 안전하다. 이는 소포스(Sophos)의 기술제품 관리자인 알란 토우즈(Alan Toews)의 설명이다. “피싱 공격을 하는 해커들은 주로 새로 사이트를 하나 만들어서, 그곳을 기반으로 공격을 하기 시작합니다. 그러고 나서 피싱공격이 끝나면 사이트도 접어버립니다. 최근 짧은 시간 안에 만들어졌다가 폐기처분된 사이트를 알아두는 것도 도움이 된다. 확실히 공격의 확률이 줄어들 것이다.
또한 웹 광고를 차단하는 것도 좋은 생각이다. 멀버타이징은 이미 가장 흔한 해킹 공격 수단 중 하나가 되어버렸다. “이게 조금 민감한 문제이기도 한데, 여러 브라우저에서 광고를 차단하는 기능을 발견할 수 있지만, 그만큼 광고를 노출시켜야만 하는 사업체 쪽에서는 이 기능을 우회하는 방법을 개발하고, 브라우저 생산자들은 그에 맞춰 더 강력한 차단 기능을 발표하는 등 악순환이 이루어지고 있습니다. 그럼에도 최대한 차단하는 게 보다 안전한 것임은 부정할 수 없습니다.”
5. 정책 및 규칙 검토하기
방화벽에는 규칙이 적용된다. 이 규칙을 주기적으로 검토하는 게 중요하다. 아마 처음 방화벽을 설치하고 환경을 설정했을 때는 굉장히 이해하기 편하고 깔끔한 정책들로 구성되었을 것이다. 그러나 앞에서 설명했듯이 현대의 네트워크는 빠르게 확장하고 있으며, 변수가 가득한 패킷들이 넘쳐나고 있다. 즉, 처음 방화벽 설정할 때와 환경 자체가 완전히 달라졌을 가능성이 높다는 것이다. 그러므로 지금 방화벽의 정책이 현실을 얼마나 충실하게 반영하고 있는지 객관적으로 판단하는 것이 중요하다. 정책이 정확하지 않으면 어떤 방화벽이라도 무용지물이 되기 마련이다.
또한 이런 과정이 너무 긴 시간 반복되면 자꾸만 추가되는 규칙들끼리 충돌을 일으킬 때도 많다. 방화벽 정책의 충돌은 치명적인 취약점이 되어 해커들의 공격을 허락하는 통로가 되기 일쑤다. 즉 현실을 반영한다는 건 더하기와 빼기를 모두 아울러야 한다. 가장 바람직하며 보편적인 정책 검토 주기는 6개월이다.
글 : 제이 바이제이얀(Jai Vijayan)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
상황과 역할에 따라 개별화된 보안 정책 적용해야
[보안뉴스 문가용] 방화벽은 기업 환경의 보안에서 가장 기본적이면서 필수적인 요소다. 대부분 기업에서 ‘정보 보안에 대비하겠다’고 하면 방화벽부터 설치한다. 물론 방화벽이 이렇게까지 중요한, 필수불가결의 요소로서 취급받을 자격이 있는가에 대한 논의에는 아직도 답이 없는 상태다. 특히 공격의 기술이 갈수록 고도화되고 있는 요즘, 방화벽 무용론이 심심치 않게 등장하고 있기도 하다.
그럼에도 아직도 기업의 네트워크 보안이라고 하면, 제1선에 방화벽을 놓지 않는 곳은 찾기가 힘들다. 즉, 싫든 좋든 방화벽은 ‘보안’에 대해 신경을 쓰는 조직이라면 어디에서나 찾아보는 게 가능하며 아직까지는 대체할 수단이 마땅치 않다는 것. 그렇다면, 이왕 있는 거 잘 활용하는 방법을 모색하는 편이 훨씬 생산적일 것이다. 다음 몇 가지 사안이 도움이 될 거라고 믿는다.
1. 방화벽의 성능 검사
디폴트 상태에서 방화벽의 평소 성능이 전부가 아니다. 당연한 사실인데, 이를 제대로 이해하지 못하는 예가 굉장히 많다. A10 네트웍스(A10 Networks)의 보안 전문가인 케이시 크로스(Kasey Cross)는 이 부분을 거듭 강조한다.
“오늘날 데이터센터에서 호스팅하는 애플리케이션과 서비스들 대부분 SaaS의 일종이거나 클라우드에 기반을 두고 있습니다. 모바일 기기로부터 발생하는 패킷 트래픽의 비율이 증가하고 있는 것도 현대의 네트워크 환경의 새로운 점이기도 합니다. 즉 네트워크 보안의 관점에서 예측하기 힘든 트래픽이 많아졌다는 겁니다. 이 말은 방화벽이 다루어야 할 데이터의 양도 늘었다는 뜻입니다. 지금 가지고 있는 방화벽이 이런 변화를 소화할 수 있는가를 반드시 확인해야 합니다. 기술적인 측면의 점검이 끝났다면, 정책의 면에서 방화벽의 성능저하를 가져오는 게 있지는 않은지도 확인해야 하고요.”
2. 암호화 점검하기
암호화된 것들을 포함해 트래픽이란 트래픽은 전부 검사가 가능하도록 해야 한다. 네트워크에 드나드는 트래픽 중 대다수가 SSL과 SSH 암호화 과정을 거친다. 당연히 데이터의 보호를 위해 있어야 할 조치이다. 다만 암호화된 트래픽은 보안 담당자만 활용하는 게 아니라는 건 문제다. 해커들조차 자신들의 통신과 활동을 감추기 위해 암호화를 활용한다. 통계에 따라 조금씩 차이가 있긴 하지만 기업 네트워크 당 약 1/3의 암호화된 통신이 존재한다고 한다. 단지 암호화가 되었다고 해서 이를 보안 관리자가 확인할 수 없다면, 해커들에겐 감사한 일이다.
최근에 등장한 방화벽들에는 암호화된 트래픽의 복호화 기능이 존재한다. 그러나 이는 최신형 소수일 뿐 아직도 대부분에는 이런 기능이 존재하지 않는다. 지금 사용하고 있는 게 그런 오래된 방화벽이라면 SSL 트래픽이 방화벽에 다다르기 전에 먼저 가로채는 것도 한 방편이다. “그러고 나서 내용물을 검사하고, 다시 암호화해서 본래 받기로 한 사람에게 보내는 것이죠. 안전을 위해서는 이런 과정이 필수라고 봅니다.” 높은 속도와 퍼포먼스를 유지한 채 위 문제를 해결해주는 프록시 서버가 이런 과정을 해결해준다. 유연한 환경설정을 통해 암호화/복호화 대상이 되는 트래픽을 지정하는 것도 가능한 것이 좋다.
3. 역할에 기반을 둔 접근 통제
네트워크에 존재하는 자산이나 서비스에 접근하려는 사람들이 한둘이 아니다. 그럴 때는 사람마다 다른 기준을 적용하는 편이 안전하다. 포티넷(Fortinet)의 세일즈 매니저인 제임스 케이브(James Cabe)는 “구체적인 정책을 정하고, 그것을 방화벽에 강력히 적용함으로써 인증 과정을 적용해야 한다”고 하며 “사용자의 접근이라는 상황 속에서 발생할 수 있는 위험요소를 최소화하기 위한 것”이라고 설명했다.
“사용자마다 접근할 수 있는 데이터의 민감도나 양이 다른 게 정상이죠. 사장님과 파트타이머가 같은 권한으로 같은 데이터에 접근하면 안 되잖아요. 차이를 둬야죠. 관리자는 이런 차별적인 인증 체계 자체를 관리할 수 있어야 하고요. 이러려면 팀 단위로 권한을 뭉텅이로 배정하는 게 아니라 개인별로 해야 합니다. 그게 가장 어려운 부분이기도 하지만 핵심이기도 합니다.”
4. 새로운 위협 막기
권한을 개개인별로 설정한 것처럼 콘텐츠도 일일이 걸러낼 수 있지만, 그렇게 하는 건 굉장히 자원이 많이 든다. 트래픽 콘텐츠를 일일이 관리할 여력이 되지 않는다면 신뢰도가 낮은 사이트로부터 발생하는 트래픽을 막아내는 것도 한 방법이 된다. 개설된 지 얼마 안 된 사이트도 차단하는 편이 안전하다. 이는 소포스(Sophos)의 기술제품 관리자인 알란 토우즈(Alan Toews)의 설명이다. “피싱 공격을 하는 해커들은 주로 새로 사이트를 하나 만들어서, 그곳을 기반으로 공격을 하기 시작합니다. 그러고 나서 피싱공격이 끝나면 사이트도 접어버립니다. 최근 짧은 시간 안에 만들어졌다가 폐기처분된 사이트를 알아두는 것도 도움이 된다. 확실히 공격의 확률이 줄어들 것이다.
또한 웹 광고를 차단하는 것도 좋은 생각이다. 멀버타이징은 이미 가장 흔한 해킹 공격 수단 중 하나가 되어버렸다. “이게 조금 민감한 문제이기도 한데, 여러 브라우저에서 광고를 차단하는 기능을 발견할 수 있지만, 그만큼 광고를 노출시켜야만 하는 사업체 쪽에서는 이 기능을 우회하는 방법을 개발하고, 브라우저 생산자들은 그에 맞춰 더 강력한 차단 기능을 발표하는 등 악순환이 이루어지고 있습니다. 그럼에도 최대한 차단하는 게 보다 안전한 것임은 부정할 수 없습니다.”
5. 정책 및 규칙 검토하기
방화벽에는 규칙이 적용된다. 이 규칙을 주기적으로 검토하는 게 중요하다. 아마 처음 방화벽을 설치하고 환경을 설정했을 때는 굉장히 이해하기 편하고 깔끔한 정책들로 구성되었을 것이다. 그러나 앞에서 설명했듯이 현대의 네트워크는 빠르게 확장하고 있으며, 변수가 가득한 패킷들이 넘쳐나고 있다. 즉, 처음 방화벽 설정할 때와 환경 자체가 완전히 달라졌을 가능성이 높다는 것이다. 그러므로 지금 방화벽의 정책이 현실을 얼마나 충실하게 반영하고 있는지 객관적으로 판단하는 것이 중요하다. 정책이 정확하지 않으면 어떤 방화벽이라도 무용지물이 되기 마련이다.
또한 이런 과정이 너무 긴 시간 반복되면 자꾸만 추가되는 규칙들끼리 충돌을 일으킬 때도 많다. 방화벽 정책의 충돌은 치명적인 취약점이 되어 해커들의 공격을 허락하는 통로가 되기 일쑤다. 즉 현실을 반영한다는 건 더하기와 빼기를 모두 아울러야 한다. 가장 바람직하며 보편적인 정책 검토 주기는 6개월이다.
글 : 제이 바이제이얀(Jai Vijayan)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
