티핑포인트로 IPS 교체해 네트워크의 안전한 보호 실현, 바이러스ㆍ웜의 사전 방어 ‘OK’
뿐만 아니라 건국대는 학교라는 오픈환경의 특성상 알 수 없는 바이러스, 웜 등의 위협에 노출되기 쉽다는 판단 하에 보안에 대한 중요성을 인지하고 네트워크 보안에 대한 지속적인 관심과 투자를 쏟고 있다. 건국대의 티핑포인트 IPS(침입방지시스템) 구축 프로젝트는 외부로부터의 웜, 바이러스 등의 유해트래픽 차단과 기존 보안 솔루션의 보강으로 내부 네트워크를 안전하게 보호한다는 목표로 진행됐다.
벤더 선정요인은 '관리 및 업데이트 서비스'
건국대학교는 기존에 이미 코어망에 타사 IPS를 도입해 사용하고 있었으나, 외부로부터의 유해트래픽 차단에서는 만족스럽지 못했다. 임의의 IP에 대한 SynFlooding 관련 Dos Attack이 많았다는 게 건국대학교 관계자의 설명이다. 그러던 중 2006년 하반기에 웜(Worm) 공격으로 인한 문제가 발생했다. 건국대 관계자에 따르면 네트워크 트래픽 용량의 한계치를 넘어설 정도의 웜 대란으로 인해 당시 데이터 통신에 어려움이 있었고 학교 일부에 바이러스가 나타났다고 한다.
이 웜 대란의 발생을 계기로 건국대는 새로운 IPS를 도입하기 위한 검토를 하기 시작했다. 건국대학교 정보통신처 인프라운영팀 이인천 주임은 "이 프로젝트는 학생들에게 바이러스 없이 안전하고 자유로운 네트워크를 이용하도록 한다는 의지에서 비롯됐다"고 설명한다. 건국대는 IPS 장비의 성능과 기능은 물론 관리자들의 업무 복잡성을 덜기 위해 설치, 운영하기 용이한 제품을 도입하고자 했다. 특히 IPS 도입 후 관리 및 업데이트 서비스에 대한 벤더의 사후 지원 능력을 중요하게 고려했다는 게 이인천 주임의 설명이다.
티핑포인트는 본사 차원에서 일주일에 2회 디지털 백신 업데이트 서비스를 제공하고 있다. 수시로 신종, 변종 공격 패턴에 대한 업데이트가 이뤄져 바이러스, 웜에 대한 사전 보호 및 방어가 가능하다. 결국 건국대는 이러한 티핑포인트의 관리 및 업데이트 서비스에 높은 점수를 줘, 2007년 2월 티핑포인트의 고성능 IPS인 TippingPoint 1200E 2대와, 티핑포인트 IPS시스템을 위한 관리 운영, 구성 변경, 모니터링 및 리포팅 기능을 제공하는 Tipping-Point SMS(Security Management System)를 도입했다.
이인천 주임은 "기존에는 바이러스인지 모르고 넘어 갔지만 이제 바이러스에 대한 즉각적인 파악이 이뤄져 오히려 패치를 해야 할 일이 늘었다"며 "IPS 설치 후 데이터 및 회선 사용의 질이 높아졌고 네트워크가 안정화 됐다고 평가하고 있다"고 전했다. 티핑포인트의 IPS는 캠퍼스 백본이 있는 새천년관(코어망)에, 그리고 기존에 사용되던 2대의 IPS는 기숙사와 산학협동관의 인터넷망에 설치해 이용하고 있다.
캠퍼스의 증가되는 트래픽 분산차원에서 기숙사와 산학협동관의 인터넷망을 분리운영하고 있는데, 이 망에도 워낙 웜, DoS Attack 등에 대해 추가 보완이 필요한 상황이어서 기존 IPS를 이동, 배치해 활용하고 있다는 게 건국대 측의 설명이다.
NAC 솔루션 도입 검토 중
건국대학교는 자체 PC 클리닉 센터를 운영하면서 학교 내부 사용자들의 자체 진단 등 개인 보안에 중점을 둬 왔다. 티핑포인트 IPS와 SMS를 연계해 이용함으로써 바이러스, 웜 등으로부터 네트워크 장비가 부하를 받지 않도록 실시간 모니터링을 하고 바이러스 감염 여부를 파악해 PC를 관리한다. 다른 대학들의 경우 아웃소싱으로 이러한 문제를 해결하지만 PC 클리닉 센터에서 교육을 받은 학생을 직접 투입해 감염된 PC의 바이러스를 패치하는 것도 건국대만의 차별점이다.
건국대는 티핑포인트 IPS의 도입으로 PC 클리닉 센터의 운영을 보다 원활히 할 수 있게 됐다고 전한다. 특히 빠르고 정확한 패턴 업데이트를 지원하는 티핑포인트의 디지털백신 서비스로 인해 관리자들은 신종 공격에 대해 별도로 신경 쓸 필요가 없게 됐다. 뿐만 아니라 불안한 바이러스의 필터링은 물론 바이러스에 대한 관리까지 할 수 있어 네트워크망이 과거에 비해 안정화됐다.
이인천 주임은 "IPS를 도입하면서 외부로부터의 유해트래픽, 특히 DoS공격에 대한 방어능력에 대해 중점을 뒀다. 티핑포인트는 syn proxy 방식 등 Advanced DDoS 공격 방어에 대한 탁월한 성능을 보유하고 있어 이 부분의 문제점을 완벽히 해결해 줬다"고 강조했다. 건국대는 최근 보안의 새로운 트렌드인 NAC(Network Access Control)에 대해 관심을 갖고 있다. 이 주임은 "학생, 임직원들이 검증이 안된 노트북으로 학내 네트워크에 접근하는 것을 제어하기 위해 티핑포인트가 앞으로 출시할 NAC 솔루션 도입을 검토 중"이라고 밝혔다.
인터뷰/이인천 건국대학교 정보통신처 인프라운영팀 주임
"각자가 처한 현실에 맞는IPS를 도입해야" 이번 프로젝트의 의미는.
네트워크는 이미 실생활에서 없어서는 안 되는 부분이다. 이런 일상 생활 중에 불편함을 느끼거나 자신의 사생활이 노출된다는 것, 또 자신의 네트워크가 공격을 받는다는 것은 참으로 불쾌한 일이다. 이런 이유로 인해 네트워크의 안정화에는 많은 비용과 노력이 수반된다. 건국대는 이번 프로젝트를 통해 네트워크 보안에 대한 위상이 한단계 업그레이드 됐다고 자부한다.
IPS 도입 후 안정화 과정에서의 어려움은 없었나.
티핑포인트 IPS 구축 후 외부 MS SQL공격 및 Storm worm 공격이 많아졌다. 또한 내부의 몇몇 클라이언트 PC로부터 야기되는 DoS공격으로 망 전체에 큰 문제를 일으킬 뻔 했다. 하지만 IPS로 이 부분들을 감지하고 차단해 망을 안정화할 수 있었다.
새로 IPS를 도입하고자 하는 곳에서 고려해야 할 사항은.
첫째, IPS가 설치될 구간의 상·하단 장비간의 유연한 연동성 둘째, 신규 취약점에 대한 정확하고 신속한 패턴 업데이트 능력 및 업데이트 주기 셋째, 신뢰할 수 있는 기술 지원 능력이 중요하다. 특히 제품이 아무리 좋다고 하더라도 비용이든, 보안정책이든 각자 상황에 따라 현실에 맞는 IPS를 도입해야 한다.
김정은 기자
jekim@itdaily.kr