울타리 없는 네트워크...‘데이터 보안’이 최대 현안
현재의 다양한 보안 위협으로부터 IT를 완벽하게 보호해주는 그 어떤 방화벽이나 솔루션도 없다. 인터넷이 해커나 기타 사이버 공격의 유일한 근원지라고 판단을 내리던 시기는 지났다. 이제 위협은 기업 경계선 내부에서 발생하고 있다. 데스크톱과 애플리케이션이 감염될 수 있으며 IT부서는 데이터를 보호하는 방법을 강구해야만 한다.
지난해 딜로이트가 발표한 보고서에 따르면 기술기업과 미디어, 통신 업체의 83%가 '직원들의 정보 시스템에 대한 부정 행위'를 우려하고 있는 것으로 나타났다.
여기 기업 데이터 보호를 위한 '청사진(Blueprint)'이 있다. 이같은 종합적인 데이터 보안 계획을 통해 네트워크와 데스크톱이 위협으로부터 보호될 수 있다. 일부 새로운 것이 있긴 하지만 이러한 전략을 위한 기술 대부분은 이미 존재하는 것이다.
새로운 보안 상황
아웃소싱과 모바일 노동력은 보안의 '주적'이 되고 있다. 모든 기업에서 사용자들은 회사 외부에서도 기업의 리소스에 접근할 수 있어야 한다. 이러한 사용자들이 증가하고 그 필요성이 늘어남에 따라 그들의 의도와 능력, 그리고 전반적인 보안 위협에 대한 전제도 바뀌어야 한다.
공격자들은 '무해한' 써드 파티 Wi-Fi 네트워크에서 인터넷으로 접속해 새로운 공격 경로를 만들고 있다. 따라서 이제는 사용자들이 파트너의 도메인으로부터 회사 리소스에 접근하거나 회사의 지사에서 접근한다고 하더라도 더 이상 안심할 수 없는 처지에 이르게 되었다.
보안 설계자들은 데이터의 오남용 기회를 최소화하는 인프라를 구축해야 한다. 이점은 규제 기관이 기업들로 하여금 데이터 활용에 대한 모니터링과 통제에 있어 '최고의 노력을 다하라'고 요구하는 현재의 상황에서 특히 중요하다.
핵심은 데이터 보호이다. 접근을 허용하거나 거부함으로써 데이터를 보호하는 것은 가장 기본적인 기능에 해당된다. 사용자들이 데이터를 바꾸거나 최소한으로 검색해야 할 경우 데이터의 활용과 가용성을 제한하기가 훨씬 어렵다. 예를 들어, 문서의 컨텐츠를 바꿀 수 있는 사용자조차도 추후 정보의 변경이나 복제, 전송에 제한을 받을 수도 있게 된다.
경계가 사라진 네트워크
최고의 보안 혁신들
1. 통합형 보안 제품
다양한 엔드포인트 보안 애플리케이션들이 방화벽과 안티바이러스, 안티스파이웨어, 안티스팸 기능을 제공하는 제품을 비롯해 호스트 기반의 침입 방지 시스템으로의 통합이 지속될 것이다.
2. 차별화된 에이전트
단일하고 확장 가능한 에이전트들은 소프트웨어 및 하드웨어 검사와 패치 관리, 컨피규레이션 비준 및 인증 등 엔드 포인트 보안과 관리 기능을 제공하게 될 것이다.
3. 신뢰성있는 플랫폼 모듈
TPM 마이크로컨트롤러에는 대부분의 기업용 PC가 제공하는 기능 즉, 로컬 PC의 데이터를 암호화하는 키를 안전하게 생성할 수 있는 기능을 포함하고 있다. 이는 또한 디지털저작권관리(DRM)와 애플리케이션 서명의 토대로 활용될 수 있다.
4. ID 기반의 접근
인프라는 사용자의 신원을 토대로 네트워크에 대한 접근을 허용이나 거부할 수 있게 된다. 일단 허용되면 사용자들을 적절한 가상 네트워크(VLAN)에 할당해 부차적인 기업 리소스에 대한 접근이 제한되어야 한다.
5. 안전한 프로토콜
커뮤니케이션은 사설 네트워크와 인터넷에 있는 파트너간에 암호화되어야 누군가가 이를 가로채는 것을 막을 수 있다.
6. 확장 가능한 네트워크
VLAN과 정책 집행 포인트(PEP)를 사용할 경우 네트워크 리소스에 대한 접근을 제한할 수 있다. 정책은 사용자의 접근 허용 여부를 판단한다.
7. 중앙화된 정책 관리
관리 콘솔에 규정된 모든 정책은 PEP에 의해 관리 및 집행되어야 한다.
8. 허용 뒤의 통제
PEP는 IPS 기능을 사용, 이상 행동을 보이는 트래픽을 분석한다. 기대하지 않은 행위가 탐지될 경우 PEP는 관리 콘솔에 통지하고 그 행위를 차단한다.
적시에, 그리고 적합한 방법으로 이러한 기능을 제한하는 것이 관건이다. 데이터가 어떤 날에는 편집이 가능하지만 또 어떤 날에는 보는 것만 가능하도록 하거나, 데이터가 편집이 가능하더라도 바뀐 내용을 추적할 수 있도록 해야 한다.
이러한 권한 관리의 경우 이미 일부 애플리케이션에 통합되어 있다.
어도비 시스템즈는 이러한 기능을 아크로뱃에서 제공하고 있다. 관리자들이 플랫폼과 애플리케이션에 정책을 집행할 수 있게 해주는 기능이 없다는 것이 부족한 부분이다. 이러한 기능을 제공하려면 대부분의 기업용 PC가 제공하는 TPM 마이크로컨트롤러를 사용해야 한다. 이는 또한 디지털저작권관리(DRM)와 애플리케이션 서명의 토대로 활용될 수 있다.
접근 통제
데이터 접근 정책은 애플리케이션이 네트워크와 로컬 애플리케이션에 접근하는 방법을 규제하는 지능적인 수단이다. 대부분의 IT 부서에서는 승인된 디바이스만 허용하고 회사의 보안 정책에 위반되는 디바이스는 검역하는 네트워크 접근 제어(NAC) 기제를 도입하고 있다.
일부 IT 관계자들은 패치 업데이트 자동화와 같은 다른 수단으로 이러한 문제들을 해결할 수 있다고 밝히고 있다. 사무용 가구 제조 업체인 스틸케이스(Steelcase)의 보안 엔지니어인 스튜어트 버먼은 "NAC가 잘못 사용되고 있는 것 같다"면서, "NAC가 바이러스로부터 네트워크를 보호하는 수단으로 판매되고 있는데, 지난 수년 동안 그와 같은 문제는 들어본 적이 없다"고 밝혔다.
버먼은 실제 문제가 되는 것은 사용자의 로그온과 추적을 통해 네트워크를 보호하는 것이라면서, "시스템의 컨피규레이션이 아니라 사용자의 ID를 토대로 네트워크 리소스에 대한 접근을 제한하는 것만으로도 충분하다"고 언급했다.
애플리케이션 액세스
애플리케이션의 사용을 제한하는데 효과적인 방법은 크게 두 가지이다. 하나는 기업의 워크스테이션에서의 실행을 위해 승인되는 애플리케이션에 대해 잘 알고 있는 IT에 의존하는 것이다. IT 부서에 의뢰해, 변경을 막도록 해시 인덱스(hash index)가 붙여진 허용 가능한 바이너리의 '화이트리스트(whitelist)'를 만드는 것이다. 목록에 등재되지 않은 애플리케이션이나 서로 다른 해시가 붙은 애플리케이션들은 데스크톱에서의 실행이 차단된다.
화이트리스트는 모호한 애플리케이션 액세스를 차단하는데 효과적인 한편, 데스크톱 거버넌스와 관련되어 변화하고 있는 IT 트렌드를 반영해야 한다. 데스크톱 자체가 부서나 직원들이 자기네 소유물로 간주하고 있어 관리의 어려움이 있기 때문이다. 이러한 현상은 PC 가격이 하락하고 스마트폰의 위세가 높아지면서 더욱 악화되고 있다.
안전한 데이터 접근을 위한 모델
또 다른 솔루션은 데스크톱 가상화이다. 기업이 승인한 가상 기기에서 사용자들이 모든 기업용 애플리케이션을 구동하고 네트워크에 액세스하게 된다. 시트릭스 시스템즈와 마이크로소프트, VM웨어 등이 이러한 제품을 판매하고 있다.
호스트 보안
다음은 위협으로부터 호스트를 보호하는 것이다. 엔드포인트 보안 애플리케이션은 방화벽과 안티바이러스, 안티스파이웨어, 안티스팸 기능을 제공하는 통합 제품을 포함해 호스트 기반의 침입 방지 시스템과의 통합도 지속되고 있다. 이러한 추세는 보안과 관리 에이전트를 대체하는 단일한 에이전트로도 전환되고 있다.
사용자가 네트워크에 접근하는 것이 허용된 다음에 네트워크에 대한 부차적인 액세스를 제어하는 것이 보안 청사진의 마지막 단계이다. 네트워크 전체에 걸쳐 정책 집행 지점을 마련하는 것에서부터 솔루션이 시작된다. 이러한 디바이스들은 법률과 규제, 계약에 관계된 정책을 집행한다. 접근이 허용된 뒤 사용자들이 이러한 정책에 상반되는 행위를 할 경우 리소스에 대한 접근이 차단된다.
PEP는 기업 정책을 따르도록 IPS 기능을 통해 접근이 허용된 뒤의 통제력을 제공한다. PEP 관리는 모든 인프라 관리와 마찬가지로 기업의 관리 시스템의 전체론적인 관점에서 이루어져야 한다.
InformationWeek USA
webmaster@itdaily.kr