실시간 뉴스



[김홍선의 보안이야기]DDoS대란으로 본 통합의 중요성


정보보안의 범위(Scope) IV : 통합 보안 (2)

7월 한 달은 DDoS 대란으로 전국이 한바탕 들썩거렸다. 사실 충격적인 사이버 보안 사고는 우리 주위에서 빈번하게 발생해 왔다. CIH 바이러스 대란, 인터넷 대란, 1천만 명 개인정보 유출과 같은 국가적 재앙을 비롯한 크고 작은 사건, 사고는 어제 오늘의 일이 아니다. 실제 현장에서는 더 많은 사이버 위협이 감지되고 있다.

특히 최근 사이버 공격 양상은 해커들이 직접 악성코드를 제작해서 일반 사용자의 PC를 도구로 사용하는 형태로 전개되고 있다. 그러한 수법으로 중요 정보를 탈취해서 팔거나, DDoS 공격으로 협박을 해서 금전을 탈취하는 범죄 행위가 비일비재하다. PC에는 바이러스, 네트워크에는 해킹이라는 분리되었던 과거와는 명백한 차이를 보인다.

PC가 중요한 공격 루트로 활용되는 이유는 취약점이 많기 때문이다. 게다가 인터넷의 보급으로 PC가 브로드밴드 인터넷을 통해 항상 연결된 상태(Always-On)를 유지하고 있어, 대부분의 PC는 24시간 외부 공격에 노출되어 있다. 또한 (그림)과 같이 PC를 악성코드로 감염시키는 경로는 다양하다. 그러니, PC를 탈취해서 공격 무기로 삼든지, 정보를 빼내가는 공격 기지로 삼는 트렌드는 어찌 보면 당연하다.

오늘날 모든 컴퓨터는 그물처럼 네트워크로 연결되어 있을 뿐만 아니라, 인터넷 뱅킹, 전자상거래, 전자정부 등 PC와 인터넷 없이는 하루도 살 수 없는 환경이다. 이렇게 우리의 생활이 매일 매시간 노출되어 있는 상황, PC가 항상 네트워크에 연결되어 있는 환경, 더 나아가 최소한의 PC 보안 관리도 등한시하는 행태는 사이버 공간의 위험이 급증하는 원인이 되고 있다.

더욱이 현실적으로 해커가 어디에서 어떤 방식의 공격 시나리오를 가지고 있는지 예측하기 힘들다. 따라서, 이에 대응하는 체제도 입체적으로 바뀌어야 하며, '통합'이라는 키워드가 보안에서 절실한 이유가 여기에 있다.

보안 플랫폼 간의 결합: PC, Network, Application

기업의 IT 보안을 담당하는 사람이 원하는 것이 무엇일까? 개별 제품의 도입이 되었어도 여전히 위험을 느끼는 이유는 무엇일까? 혹 어떤 사람이 ‘A PC’를 통해 내부 인트라넷을 통해 ‘B 서버’에 접근해서 ‘C 정보’를 읽고 수정하는 일련의 과정을 투명하게 볼 수 있으면 되지 않을까? 그 과정에 허점이 없었는지를 판단해서 지능적으로 제어를 하면 보안의 궁극적 목적이 달성되는 것이 아닌가?

이와 같이 어떤 사용자(user)가 여러 IT 장비와 소프트웨어를 거치는 일련의 과정을 투명하게 보는 것이 보안 담당자의 희망이 아닐까 생각한다. 그러자면, 관련된 여러 장비와 소프트웨어를 통합적으로 볼 수 있는 통찰력이 필요하다.

취약점이 나올 수 있는 위치는 아주 많다. PC에 키보드 입력 정보를 탈취하는 키로거(keylogger)가 설치되어 있을 수도 있고, PC가 악성코드에 감염되어 원격 조종될 수도 있고, 해커가 서버를 장악해서 이미 DB에 대한 접근 권한을 확보했을 수도 있다. 실제 보안 사고는 이러한 일련의 과정 곳곳에서 발생한다. 요컨대 이를 통합적으로 보는 시각과 기술이 필요하다.

여기에서 등장하는 요소는 네트워크에 연결되는 PC, 인터넷을 기반으로 한 네트워크, 그리고 컴퓨팅 자원으로 운용되는 어플리케이션 시스템으로 크게 나눌 수 있다. PC, 네트워크, 어플리케이션을 '플랫폼'으로 정의해 보면, 결국 우리의 목적은 플랫폼 상호 간에 소통을 하는 통합에 의해 실용적 보안 대책을 마련하는 것이다. 따라서, PC, 네트워크, 어플리케이션을 별개로 보지 않고, 어떻게 서로 연동하는지에 초점을 맞추는 것이 바람직하다.

정책과 실행 간의 양방향 통합

보안 플랫폼 간의 통합 다음으로 중요한 것이 정책과 실행 간의 양방향 통합(bidirectional integration)이다. 위협의 징후는 적정한 위치에 설치된 보안 솔루션이 센서처럼 작동해서 알아낸다. 이를테면 방화벽, IPS는 네트워크 단에서, PC 보안 솔루션은 PC 단에서 주어진 정책에 따라 위협적인 상황을 판단하고 실행(execution)한다. 조직의 중심에서는 이러한 솔루션을 정책적으로 통합 관리해야 한다. 그러나, 실제로는 그 프로세스가 대체로 일방적이다.

예를 들어, 우리 나라에서 관제 시스템 도입으로 보편화된 ESM(통합보안관리시스템)을 들 수 있다. ESM의 본래 목표는 정보를 바탕으로 유연하게 정책을 바꾸어 보안 위협에 대응할 수 있는 능동적 태세를 확립하는 것이다. 그러나, 불행히도 ESM을 도입해서 웅장한 관제 센터를 구축한 곳에 가 보면 만족도가 의외로 떨어지는 것을 느낄 수 있다. 그 이유를 들여다보면 원래의 목표에서 멀어졌기 때문임을 알 수 있다.

보안 제품은 대부분 눈에 보이지 않는다. 화려한 어플리케이션이 있는 것도 아니고, 사고가 나야만 그 혜택(benefit)을 알 수 있는 제품이라 투자 효과가 크게 와 닿지 않는다. 그러다 보니, 많은 보안 담당자들은 보안을 잘 모르는 윗분들에게 보안 정보와 통계적 동향을 알기 쉽게 보여줄 방법을 찾았다. 그 목적에 잘 맞아 떨어진 것이 ESM이었다.

물론 ESM은 아주 유용한 도구다. 그러나, 우리 나라에서 ESM은 이렇게 보안을 잘 모르는 상사에게 어필(appeal)하기 위해 사용되다 보니 초기 방향이 왜곡된 경향이 있다. 그 결과 ESM의 기능은 많은 네트워크 장비를 붙여서 네트워크 단에서 올라오는 정보를 눈에 띄게 보여주는 쪽으로 치중되었다. 당연히 고객은 자신의 취향에 맞게 커스터마이즈를 요구했고, 프로젝트는 SI화되었다.

문제는 본연의 목표가 우선순위에서 밀렸다는 점이다. 지능적 시스템보다 관제 요원에 의존도가 높아지게 된 것이 이를 입증한다. 그 후 소프트웨어가 많이 진화되어 다행이지만, 아직도 시스템보다 물리적 운영에 의존하는 형태를 많이 목격하게 된다.

시시각각으로 벌어지는 공격에 실시간으로 대처하기 위해서는 센서(sensor) 역할을 하는 각 보안 솔루션의 보안 정보와, 정책을 관장하는 중앙 시스템 간에 긴밀한 양방향 통합이 이루어져야 한다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com







alert

댓글 쓰기 제목 [김홍선의 보안이야기]DDoS대란으로 본 통합의 중요성

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스