전문가 전망, 네트워크 보안의 지향점은 어디일까

현장속으로/세미나 2013.10.30 13:54

안랩은 10 23일 코엑스컨벤션센터 그랜드볼룸에서 기업공공기관 IT 관리자 및 보안담당자를 대상으로 새로운 보안 위협 동향 및 패러다임 변화에 따른 해법을 제시하는 ‘안랩 ISF 2013(AhnLab Integrated Security Fair, 이하 ISF 2013)’를 개최했다

전략제품사업팀 유명호 차장은 “네트워크 보안, 어디를 지향하는가”를 주제로 급격한 환경의 변화에 따라 네트워크가 어디를 지향하는지와, 안랩의 대표 솔루션인 TrusGuard(글로벌 제품명 AhnLab TrusGuard)가 어떻게 발전해왔고 어떻게 발전해갈 것인지를 설명하였다. 다음은 주요 내용.

현관문 자물쇠가 홍채 인식으로 진화하듯


집에 문(door)이 있어서 자신의 집에 있는 돈이나 문서 같은 정보가 외부로 유출되지 않게 된다. 컴퓨터 세계에서는 문처럼 네트워크가 내부의 정보가 지나가는 통로 역할을 하여 정보가 유출되는 것을 막는다. 과거엔 문을 자물쇠로 잠그다가, 현재는 도어락에서 홍채 인식으로 발전하였다. 네트워크 또한 역할의 증대, 서비스 인프라와 결합, 경계를 재구축, 플랫폼이 진화 4가지 측면에서 발전해왔다. 문의 보안이 계속 발전해왔듯이 네트워크 보안도 계속 발전해 나갈 것이다.


네트워크 보안의 역할 중에 “내부정보유출방지”와 “탐지대응”의 두 가지 측면이 중요하다. 내부정보유출방지를 위해서는 애플리케이션(P2P, 웹메일, 웹하드 등)을 제어함으로써 내부 정보가 외부로 유출되는 것을 막는 방법이 있다. 또한 문서 파일을 패킷이 아닌 파일 기반으로 만든 후 내부에 특정 개인정보가 들어있는지 탐지하여 데이터 유출을 방지하기도 한다. 탐지대응은 내부 PC에 APT가 발생할 수 있는 알려지지 않은 악성코드(unknown malware)가 존재하는지를 탐지하고 대응하는 것이다.

과거에는 보안 위협이 거의 없어서 정적으로 대응했지만 지금은 보안 위협이 고도화했기 때문에 동적으로 대응해야 한다. 그렇기 때문에 네트워크가 서비스 인프라와 결합되어 동적으로 대응하는 것이 중요하다. 


서비스 인프라와 결합된다는 것은 광범위한 보안 위협을 실시간으로 수집한다는 것이다. 외부 센서로부터 실시간 정보를 수집하여 중앙 시스템에 전달한 후, 중앙 시스템에서 여러 가지 분석을 통해 악성인지 판단하여 네트워크 보안 장비에 전달한다. 이러한 서비스 인프라와 결합해 ¹ 제로데이 공격에 대응할 수 있고, 알려지지 않은 위험(unknown risk)를 알려진 위험(known risk)로 만들 수 있고, 상황에 빠르게 변화할 수 있어 ² false positive를 최소화할 수 있게 된다.


과거에는 회사 내부 자원이 대부분 회사 안에 있었기 때문에 네트워크의 경계가 회사의 물리적 경계와 같았다. 하지만 요즈음은 약 7.9억 개의 모바일 디바이스가 개발되면서 네트워크의 경계가 회사 내부에서 모바일 영역까지 확장되었고, 이에 따라 네트워크의 재구축이 필요해졌다. 현재는 모바일의 개인의 영역과 업무의 영역이 모호해진 ³ BYOD 환경에 다가와 있다. BYOD는 안전한 모바일 VPN, 모바일 디바이스로부터 특정 승인번호를 가져서 2개 채널로 인증, 인증 정보를 기반으로 한 접근제어 같은 보안 기능을 제공한다.


모바일의 사용이 증가함에 따라 트래픽이 폭주하고 보안 장비가 트래픽을 처리하지 못하여 결국 병목 현상이 생기게 된다. 이에 따라 소프트웨어와 하드웨어의 가속 기술이 발전해 플랫폼의 변화가 있어야 한다. 소프트웨어 가속 기술에는 대용량 처리 기술, 고속 패킷 기술, 패턴/행위 탐지 고속 기술, 패킷 기반 탐지 기술이 있다. 


대용량 처리 기술은 패킷이 지나가는 곳을 넓혀 많은 패킷을 보내는 기술이다. 고속 패킷 보안 기술은 특정 패킷을 처리할 수 있는 경로를 두 개로 만들어 인증된 패킷은 빠르게 보내는 것이다. 패턴/행위 고속기술은 가장 최소의 패킷으로 가장 빠르게 탐지하는 것이고, 패킷 기반 탐지는 악성코드를 패킷 기반으로 고속으로 탐지하는 것이다. 


하드웨어 플랫폼도 처리해야 할 트래픽이 많아지면서 발전해왔다. 초기엔 싱글코어(single-core)로 사용했지만 트래픽이 많아지면서 멀티코어(multi-core)로 발전되었고, DPI 성능이 부족한 멀티코어을 보완하기 위해 고집적 성능 NP(Network process)로 바뀌었다. 하지만 이것은 코딩이 하드코딩이라 유연하지 못하고 가격이 비싸기 때문에 현재는 매니코어 플랫폼을 이용한다. 매니코어는 개발의 유연성뿐만 아니라 호환성이 수십 개에 달하고, DPI 같은 행위 패턴을 고속화시키고 가격 또한 저렴하다. 

세계에서 가장 빠른 TrusGuard

이처럼 네트워크의 변화가 가속화함에 따라, 안랩의 보안 장비 또한 과거의 개념에서 탈피하여 환경에 맞게 발전해가고 있다. 안랩의 뛰어난 장비들을 대표하는 차세대 네트워크 보안 솔루션에 TrusGuard(트러스가드)는 4가지 특징이 있다. 


첫째, TrusGuard의 방화벽 성능은 세계에서 가장 빠르다. 플러딩 공격이 많아지고, 작은 패킷을 사용하는 애플리케이션이 많아졌다. 현재 발생하는 트래픽의 45% 가량은 작은 패킷에서 발생하였다. 이로 인하여 초당 처리할 패킷이 많아지고 방화벽 성능이 떨어지게 되었다. TrusGuard는 코어 하나하나 최적화하여 패킷을 분배하기 위해 병렬 처리하였고, 소프트웨어 가속기술을 가지고 있어 인증된 패킷은 fast 경로로, 일반 패킷은 normal 경로로 지나가게 하였다. 


또한 하드웨어와 행위 패턴 가속하여 패킷 필터링과 레이턴시를 가속화하였다. TrusGuard는 3㎲ 이하 레이턴시로 처리 속도가 빠르다. 또한 패킷의 사이즈에 관계없이 와이어 처리 성공 속도도 빠르다. 가장 높은 모델에서 wire 40G를 처리할 수 있다. 

둘째, TrusGuard는 Next-Generation Provisioning이다. 이것은 미리 공격을 탐지하고 차단할 수 있다. 실시간으로 악성코드를 다운로드하거나 실시간으로 악성코드를 경유하는 리스트 DB를 가지고, 내부 PC가 그곳에 접속하는 것을 미리 차단한다. 또한 애플리케이션 제어로 내부정보가 유출되는 것을 방지 한다. P2P, 웹하드를 단순 접속하는 것을 제어하고, 파일 전송이나 채팅 같은 행동을 금지한다.


셋째, TrusGuard는 클라우드 기반의 강력한 서비스 인프라를 제공한다. 실시간으로 2천만 대의 센서들로부터 보안 경보를 모은 후 중앙 분석 시스템에서 이를 분석하여 악성을 고른다. 보안 위협에 대한 부산물을 통하여 빅데이터 기술로 DB화하고, 안 되면 100여 명에 이르는 전문조직이 분류한다. 이처럼 TrusGuard는 서비스 인프라와 결합하여 실시간 위협에 대응하는 생명력을 가지게 된다.


넷째, TrusGuard는 사용자 중심적이다. 웹 기반(http)이므로 어느 장소에서나 접속이 가능하고, 사용자의 편의성을 고려하여 UX 설계가 가능하다. 또한 1차원적이 아닌 공격자, 공격대상, 공격유형, 공격 서비스 등의 상관분석정보를 제공하여, 전체 장비를 직관적으로 볼 수 있다.


<용어 설명>

1. 제로데이 공격(zero-day attack) : 취약점 공격의 신속성을 의미하기도 하며, 대응책이 공식 발표되기도 전에 공격이 이루어지기 때문에 대처 방법이 없다는 위험성을 표현하기도 한다. 이 공격은 취약점의 최초 발견 보고 후 대응 패치가 나오기까지 시간을 이용한 공격방식이다. 

2. false positive : 악성코드 검사에서 정상 파일을 악성코드로 잘못 진단하는 것. 

3. BYOD(Bring Your Own Device) : 직원들이 개인적으로 사용하는 노트북, 테블릿, 핸드폰 같은 모바일 기기를 직장에 가져와 업무를 처리하는 것.

Ahn


대학생기자 윤현정 / 동덕여자대학교 컴퓨터학과


댓글을 달아 주세요

편리하고도 안전한 BYOD 환경 어떻게 만들까

지난 4월 25일 서울 JM메리어트 호텔 그랜드볼룸에서 <제 8회 NES 2013-차세대 기업보안 세미나&전시회> 가 열렸다. 올해 NES 세미나에서는 '지능형 위협과 기업 보안, 안전한 BYOD 환경 구축' 을 주제로 안랩(AhnLab)을 비롯한 많은 IT, 보안 회사들이 급변하는 IT 및 위협 환경에 대응하기 위해 주목해야 할 최신 보안 위협 이슈와 동향, 대응 방안을 논의하였다. 

현재 화두인 'BYOD((Bring Your Own Device)의 보안'에 대한 발표 중 지란지교소프트 윤두식 본부장의

BYOD를 위한 효율적인 모바일 보안 구축 방안과 사례를 관심있게 들었다. 다음은 주요 내용을 정리한 것이다.


BYOD란 Bring Your Own Device의 줄임말이다. 스마트폰 BYOD를 통한 스마트워크 구현이 용이한 시대가 열렸다. 그런데, 아이러니하게도 BYOD와 스마트워크는 근본적으로 추구하는 목적이 다르다.

개인자산, 프라이버시, 업무 편의성, 개인 경쟁력 강화, 다양한 단말을 추구하는 BYOD와는 다르게  스마트워크는 기업정보, 사내 업부 통제/감사, 기업 정보보안, 기업경쟁력 강화, 일관된 관리를 추구한다. 

그렇다면, 어떻게 해야 이 두 가지가 상호보완 관계로 나아갈 수 있을까? 먼저 그 둘 사이의 차이를 진단하고 해결해야 한다.

현재, 모바일 분야의 핵심 보안 이슈는 △단말기 내 개인 및 기업의 정보보호(단말 위협), 모바일 오피스를 통한 중요 정보의 유출 방지(디지털 정보 위협), △디바이스(카메라 등)를 통한 사내 정보 유출 방지(기반시설 위협) 등이다.

다양한 보안 위협은 응용 프로그램, 애플리케이션, 플랫폼, 단말기, 서버 및 네트워크를 겨냥한다. 응용 프로그램을 위협하는 것은 악성 애플리케이션, 악성코드, 앱 위·변조 등이며, 플랫폼을 위협하는 것은 루팅·탈옥, OS보안 취약점 등이다. 단말기에서는 도난·분실, 데이터 노출 등이 서버 및 네트워크에서는 Wi-Fi 해킹, 비인가 AP 등의 위협이 있다.

이를 해결하기 위해 현재 모바일 기기 보안을 위한 여러가지 가이드 라인이 존재한다. NIS(국가정보원)가 스마트폰 보안 규격을, 금융감독원이 스마트워크 정보보호 가이드라인을 행정안전부가 모바일 전자정부서비스 보안 가이드라인을 내놓았다. 이를 종합해 분석 해보면 다음과 같다.

▲ 모바일 기반의 실 업무 환경에 따른 보안 대책                                                                                    

이처럼 안전한 모바일 업무 환경의 기반은 MDM이다.

보안과 사용자 권리 사이 균형점 찾기가 관건

MDM(Mobile Device Management)은 휴대폰 정보의 유출을 막는 솔루션이다. 즉, 위에 언급된 문제들의 해결을 위한 것으로 분실, 도난된 단말에 원격으로 잠금을 걸거나 휴대폰을 초기화해 정보 유출을 막는다. 아울러 카메라, 녹음기, 블루투스, Wi-Fi 같은 휴대폰 기능을 제어하여 사내에서 발생할 수 있는 정보 유출을 사전에 차단한다. 또한, 애플리케이션 배포, 실행을 관리해 업무에 필요한 애플리케이션의 설치를 유도하고, 악성코드 등의 위험이 있는 악성 앱의 설치와 실행을 차단한다.

간단히 정리하면, 업무 앱 보안, 앱 배포/관리, 모바일 기기 출입 통제, 기본 MDM, 모바일 부가 서비스가 국내 MDM 수요의 범위라고 볼 수 있다.

보안 수위를 높이면 보안 측면에서는 철통 같은 수비가 가능하겠지만, 단말기는 '개인 소유 기기'이다. 즉, 너무 강압적인 보안 솔루션은 결국 직원들의 불만을 사게 되고, 어떻게든 정책을 빠져나가려는 사람이 생겨, 이로 인한 문제가 발생한다. 즉, 효율적인 보안과 사용자 권리 보장이 적절한 조화를 이뤄야 한다. 실제로 MDM은 Mobile Device Management -> Mobile App Management -> Mobile Content Management로의 발전과정을 거치고 있다. 장치에서 앱 그리고 콘텐츠로 좁아지는 양상은 사용자 권리 보장의 신장과 맞물리는 것이 아닌가 생각된다. Ahn


이승건 / 성균관대 전자전기컴퓨터공학부


댓글을 달아 주세요

BYOD, 편리하고 좋은데 무슨 문제 있어?

최근 스마트폰, 태블릿 PC 등 개인 소유의 IT단말기의 높은 보급률로 BYOD(Bring Your Own Device)에 대한 관심이 날로 증가하고 있다. 이는 개인 IT장비를 업무에 활용하는 새로운 업무 트렌드로 기업이 제공하는 일반적인 PC를 주요 업무용 단말기로 이용하면서 개인 IT장비를 업무 보조적 수단으로 활용하는 것을 의미한다.  

이처럼 활용도나 편리성이 높은 BYOD는 근무 시간 외에 회사 포탈이라던지, 관련 업무 사이트를 이용하는 등 이미 많은 사례들이 알려지고 있다. 이러한 BYOD를 가속화 시키는 요인은 다음과 같다.

-      무선 인터넷 환경 구축 및 태블릿 PC 사용의 대중화

-      데스크탑 가상화와 클라우드 서비스의 활용 증가

-      실시간 커뮤니케이션과 업무 연속성의 중시

(출처 : 스마트 오피스의 새로운 트렌드 BYOD, KT 경제경영연구소)

이러한 요인들에 의해 가속화하는 BYOD는 여러가지 업무상 편리함을 기대 할 수 있겠지만, 긍정적인 요소만 있는 것은 아니다.  “2012년 정보보호 전망”에서 빠지지 않고 등장하는 이슈가 바로 BYOD인 만큼, 개인용 IT기기는 기업 보안에 있어 동전의 양면과 같아 기업 모바일 보안의 중요성이 커지고 있다. 

이는 ‘BYOD (Bring Your Own Device)’ 트렌드가 급부상하고 있지만 기업들의 보안과 관리능력이 부족하고 직원들이 개인용 IT기기를 통해 접속할 수 있는 정보를 보호할 수 있는 능력이, 개인용 IT기기 사용 증가율에 미치지 못하고 있기 때문이다. 


특히 스마트폰 사용자가 급증함에 따라 외부에서의 보안 위협뿐만 아니라 내부 직원들에 의한 보안 문제도 기업들의 새로운 보안문제로 떠오르고 있다.

스마트 모바일 기기는 분실 및 도난의 위험이 높고, 고기능의 대용량 저장장치를 탑재하고 있기 때문에 기업 정보의 유출 위험도 그만큼 커 문제가 심각하다. 또 기업의 입장에서 이러한 스마트 기기의 확대는 기업의 IT통제권을 상실시킬 수 있다. 예를 들자면, 보안을 위해 기기에 백신을 설치하게 하거나, 특정 프로그램을 사용하지 못하게 하는 권한, 취약점 업데이트 등과 같은 통제가 개인용 기기에서는 제대로 반영되기 어렵기 때문이다. 

또 시스템에 안전성을 인증 받지 못한 기기가 연결돼 악성 코드나 공격이 네트워크와 기밀 정보에 침투할 수 있는 가능성이 증가해 기업 IT 자산에 위협이 될 수 있다. 보안인식이 낮은 직원에 의한 계정유출도 무시할 수 없다.

이처럼 활용가능성이 높지만 보안 위협 또한 큰 BYOD를 잘 활용하기 위해서는 기업들의 많은 어려움과 비상한 정책이 필요할 것으로 생각된다. 기업 구성원 스스로도 각자 어떻게 하면 BYOD를 잘 활용할 수 있을지 생각해 보는 것도 필요하겠다. Ahn



 

대학생기자 박선민 / 서울여대 정보보호학과

 

배는 항구에 있을 때 가장 안전하겠지만,

그것은 배가 존재하는 이유가 아니다.

더 많은 보안 이야기를 세상에 알리기 위해 나아가겠습니다! ;-D

 

  

댓글을 달아 주세요

  1. 2g폰 2012.10.27 12:03  Address |  Modify / Delete |  Reply

    스마트폰 사용하면 안 되는 이유들임돠~
    http://www.kfem.or.kr/kbbs/bbs/board.php?bo_table=discussroom&sfl=wr_subject||wr_content&stx=%EC%8A%A4%EB%A7%88%ED%8A%B8%ED%8F%B0+news