(엔드포인트 보안의 기초)
넷북, 스마트폰 등 네트워크로 연결되는 기기가 급속도로 늘어나면서 엔드포인트 보안의 중요성이 커지고 있다. 특히 이를 다양한 디바이스를 통제해야 하는 it부서에게는 대응책 마련이 시급한 과제로 부상했다. "엔드포인트 보안의 기초"는 현실로 다가선 스마트폰 보안 위협 등 점점 복잡해지고 있는 엔드포인트 보안에 대한 현주소를 짚어보고, 효율적인 보안 방법의 대안으로 떠오른 화이트리스팅의 기본개념과제품들의 테스트 결과를 비교분석해 엔드포인트 보안에 대한 이를 도울 것이다.
-"복잡다단" 엔드포인트 보안의 현주소
- 어려워지는 엔드포인트 보안, 그리고 IT부서의 부담
- 더 이상 무시할 수 없는 스마트폰 보안의 현주소
- 멀웨어 차단하고 생산성 높이는 화이트리스트링 활용
- 기업의 스마트폰 도입, "똑똑한 보안이 필요하다."
- Test Center; 보안 해결책을 제시하는 화이트리스팅
- 컴퓨터 보안에 대한 불편한 진실
- IDF Deep Dive (원문보러가기)
앤드포인트 보안 방법론
기업 네트워크 보안 정책은 외부 네트워킹에서 발생하는 위협요소에서 내부 네트워크인 에지 네트워크(Edge Network)단의 보안 문제로 옮겨가야 한다. 실제로 내부 네트워크인 에지 네트워크단에서 발생하는 보안위협이 점차 증가하고 있기 때문이다. 에지 네트워크와 관련된 엔드포인트는 데이터를 생성 보관하는 주요 장소인데, 보안 위협 요소가 침입했을때 가장 치명적인 곳이다. 엔드포인트 보안을 강화하지 않는다면 고비용, 장기간이 투자될 기업 네트워크라도 이빨 빠진 호랑이와 같다. 이처럼 보안이 가장 취약한 엔드포인트의 보안방법에 대해 논하기로 하겠다.
박광청/ 주피터시스템즈 정보보안컨설팅 팀장
이전까지의 기업 네트워크 보안은 주로 외부로부터 유입되는 웜/바이러스나 해킹, 그리고 DoS/DDoS와 같은 보안 위협요소에 대응하기 위해 파이어월이나 바이러스월, IDS/IPS 등의 네트워크 보안솔루션을 도입, 배치하는 데에 집중되어 있었다.
그러나 최근에는 이런 외부로부터의 보안 위협은 점차 감소하는 반면, 내부 네트워크 영역인 에지 네트워크(Edge Network) 단에서 많은 보안위협 요소가 발생하면서 전체 IT 인프라 보안에서 네트워크 내부의 보안 위협이 중요한 이슈로 부상하고 있다. 오늘날 기업 네트워크 환경에서 가장 큰 관심의 영역인 엔드포인트(End?Point) 보안의 개요와 가장 대표적인 보안방법론에 대해 살펴보겠다.
엔드포인트의 보안 개요
엔드포인트(End-Point)는 서버시스템이나 사용자 PC, 그리고 각종 모바일 장치와 같이 네트워크에 최종적으로 연결된 IT장치를 의미한다. 이런 기기들은 사용자에게 접속 편의성과 업무 효율성을 제공하지만. 동시에 다양한 보안위협에 노출돼, 실제로는 많은 보안 문제점을 야기하고 있다.
가장 대표적인것이 웜/바이러스나 트로이목마로 인한 피해라 할 수 있는데, 최근에는 봇(BOT)이나 피싱(Phishing) 기법 같은 신종 보안 위협으로 인한 내부 기밀정보 유출 뿐 아니라. DoS/DDoS 와 다른 시스템의 2차 감염으로 인한 전체 네트워크 장애 유발 사례도 심심치 않게 보고되고 있다.
엔드 포인트 보안은 이런 내부 네트워크 영영ㄱ의 보안 방법론으로 새로운 기법이 아니라 전통적 보안 영역이었던 사용자 PC나 시스템 보안에서 발전한 개념이다. 엔드포인트 보안은 기업 네트워크 환경에 맞는 보안정책과 관련 프로세스 적용을 통해 전체 네트워크 보안 인프라를 완성하기 위한 핵심요소로 인식되고 있는데, 주요 보안 이슈를 정리하면 (표1)과 같다.
최근 엔드포인트 영역은 데이터의 생성과 사용 뿐 아니라, 주요 보관 장소로 사용되므로 이를 통한 정보 훼손이나 데이터 불법 유출은 치명적이다. 특히 IT환경이 복잡해지고, 네트워크 기반 분산/개방 환경으로 발전하면서 엔드포인트 보안이 전체 IT인프라의 보안 신뢰성을 좌우할 수 있는 수준에 이르렀다. 최근의 엔드포인트 보안 환경의 변화를 정리하면 (그림1)과 같다.
진화하는 엔드포인트 보안 방법
현재까지 엔드포인트 영역 보안 방법론으로 대표적인 것은 안티바이러스와 안티스파이웨어, 그리고 안티 스팸 등이다. 최근 내부 네트워크 영역에서 보안 문제가 중요시됨에 따라 통합 데스크톱 보안솔루션이나 디바이스 인증, SBC(Server Based Computing), NAC(Network Access Control)과 같은 진보된 보안 방법론이 등장하고 있다.
개별 PC와 시스템 단위로 보안 기술이 적용되었던 과거와는 달리, 최근 엔드포인트 보안 방법론의 핵심은 다양한 보안 기술의 통합과 연동을 통해 전체 보안 수준을 높이는 쪽으로 진화하고 있다. 엔드포인트 주요 보안 방법론과 기술 발전 동향을 정리하면 (그림2)과 같다.
NAC, 보안 위협 사전에 방지
대다수의 기업은 네트워크 보안과 정보보호를 위해 최전방에 파이어월과 IPS, 바이러스월과 같은 게이트웨이 보안 솔루션을 도입했다. 그러나 최근 많은 피해를 발생시키는 웜이나 악성코드의 주요 공격 대상은 취약점을 가진 사용자의 컴퓨터다. 따라서 적절한 보안정책이 실행되지 않으면 전체 네트워크 보안은 위험에 노출되고 만다.
NAC(Network Access Control)는 이런 엔드포인트 보안에 대한 현실적 고민에서 시작됐다.
NAC는 네트워크 접속 관리를 통해 허가 받지 않은 사용자와 기업 보안 정책에 위배되는 사용자를 별도의 영역으로 격리시켜 제어함으로써, 네트워크를 통해 유입되는 악성코드와 보안 위협 요소를 사전에 방지하기 위한 보안 방법론이다.
NAC는 네트워크 인프라와 백신 그리고 인증과 같은 다양한 보안 기법 뿐만아니라, 운영체제와 애플리케이션 보안 솔루션이 유기적으로 결합됐다. NAC는 최종 사용자가 네트워크 접속시 기업 조안정책에 따라 보안수준과 사용자를 인식하고, 필요시 보안 프로그램이나 패치 설치와 같은 적절한 보안 프로세스를 강제함으로써 전체 네트워크의 안정성을 확보할 수 있다. NAC의 주요 기능은 다음과 같다.
사용자 인증(802.1x)을 통해 내부 네트워크에 접근하는 컴퓨터는 NAC에 의해 내부 구성원 유무가 판별되고, 보안정책은 각 그룹에 따라 적절히 할당된다. 또한 운영체제에 대한 보안패치 적용여부를 판별하는 것뿐만 아니라, 접속 단말의 백신 프로그램 설치 유무와 최신 엔진/패턴의 적용 여부, 그리고 패치 관리시스템 프로그램 설치 유무와 각종 패치 상태 점검 필요 여부까지도 판별하고 그에 따른 적절한 조치를 수행한다.
한편 내부 네트워크에서 보안 위반과 웜/바이러스 감염 시스템이 발생하면 문제가 된 곳을 치료하거나 격리시킨다.
현재의 NAC 기술은 시스코, 마이크로소트프와 TCG(Trusted Computing Group)와 같은 업체나 단체에서 주도하고 있는데, 그외 네트워크와 백신 업체들의 참여가 이저이고 많은 솔루션이 소개되는 등 향후 본격적인 성장세가 예상된다. 특히 시스코는 2005년 10월, 확장된 'NAC Phase 2'를 발표하며 802.1x 기반 유무선 통합 환경으로까지 개념을 확대 했다.
NAC 솔루션은 자동화된 접근 제어와 차단을 통해 관리 포인트를 획기적으로 감소 시킬 수 있으며, 특히 보안 위협에 능동적인 사전 대응이 가능하다는 장점이 있기 때문에 향후 지능형 자기방어 네트워크의 핵심 기술이 될 것으로 전망된다. 그러나 일부 NAC솔루션의 경우 도입 효과 대비 지나치게 높은 비용과 네트워크 아키텍처의 변경이 불가피한 점 등, 도입과 구성, 그리고 유지보수와 관련해 해결해야 할 과제도 적지 않아 NAC의 도입은 신중하게 고려되어야 한다.
중앙 서버기반 관리, 효과 대비 비용이 장점
SBC(Server Based Computing, 서버 기반 컴퓨팅)는 각종 데이터와 기업용 애플리케이션을 중앙 서버에 집중시켜 놓고 이를 다수의 클라이언트가 공유하여 사용하는 방식으로, 호스트와 씬(Thin) 클라이언트로 구성된다.
SBC는 애플리케이션 정보와 데이터의 중앙집중화된 관리가 가능하고, 기존 애플리케이션과 정보 도구에 대한 신속한 접근 지원이 장점이다. 또 관리 비용과 하드웨어 비용 등의 IT비용이 절감되고, 불법 소프트웨어 설치와 유포를 방지함으로써 법적 위험성도 감소된다. 이외에 정보시스템 운영의 안전성과 신뢰성이 확보되고, 회사 정보의 외부 유출을 방지하는 것 뿐만 아니라 보안성이 강화되는 장점이 있다. SBC는 애플리케이션 일괄 배표와 호스트 관리의 용이성, 그리고 비용절감 효과가 탁월한데, 초창기에 이 기술이 시장에 폭넓게 도입되지 못한 이유는 열악한 네트워크 인프라로 인한 느린 응답속도와 값싼 PC 의 등장 때문이었다. 최근에는 정보보호 네트워크 보안 강화라는 측면에서 재조명되고 있다.
실제로 SBC 솔루션이 보안 솔루션은 아니지만, 애플리케이션이나 중요 데이터가 중앙 서버에 저장돼 내부 사용자에 의한 정보 유출이 원천적으로 차단되며 문서보안솔루션(DRM)과 통합하면 강력한 보안정책을 적용할 수 있다.
현재까지 국내시장에서 SBC 솔루션은 기업환경에 전사적 도입보다 관리와 보안 이슈가 중요한 일부 시스템에 도입되는 경우가 대부분이다. 대표적인 예로 정보유출 방지시스템 구축이나 정부 차원에서 추진하는 공공기관망 분리사업에 도입돼 관리와 보안이 강화된 정보보호 효과를 높이고 있다.
특히 최근에 금융권, 보험업체 등의 콜센터 환경에서도 정보의 외부 유출 방지와 업무 효율성 향상을 위한 도구로 SBC 솔루션을 도입하는 사례가 꾸준히 증가하고 있는데, 개인정보 보호에 대한 법적 규제 강화와 사회적 관심증가가 그 원인으로 지적되고 있다. 또한 공공기관과 대기업을 중심으로 한 내부 보안 인식이 점차 고조되면서 엔드포인트 보안 도구로서의 SBC 솔루션에 대한 관심도 높아질 것으로 예상된다.
이에 따라 향후 SBC 솔루션은 기존 시스템 환경의 부족한 영역을 보안하면서 지속적인 성장세를 유지해 나갈 것으로 전망된다.
엔드포인트 보안 강화는 필수
최근 기업 네트워크 환경에서 보안 아키텍처를 설계할 때 많이 사용하는 방법 중 하나는 네트워크를 영역별로 분류하고, 각 계층에서의 보안 문제 분석과 보안 대응 방법론을 정의하는 것이다. 실제로 이런 분석 방법을 적용하면 보안 문제가 가장 많이 발생하는 영역은 웹 서버가 존재하는 DMZ 네트워크 와, 엔드포인트 보안과 관련된 에지 네트워크다.
특히 에지 네트워크 영역은 공격자(Attacker)와 피해자(Victim)가 공존하는 문제 외에도 다양한 보안 위협에 노출된 가장 취약한 보안성을 가진 부분이다. 따라서 엔드포인트 보안을 강화하지 않는다면 잘 디자인된 네트워크도 유명무실해질 수 있으므로 엔드포인트 보안 강화를 위한 노력은 필수적이다.
마지막으로 엔드포인트 보안의 최종 목표 는 다양한 IT 기기를 이용하는 사람들에게 안전한 IT 접속 환경을 제공하기 위한 것이므로, 지나치게 기술적인 방법론으로 접근하거나 이에 국한시키는 것은 피해야 할 것이다.
- 글쓴이 : 박광청/ 주피터시스템즈 정보보안컨설팅 팀장
- 출처 : 네이버블로거