최근 사이버 공격으로 인한 방송사, 금융권 대규모 전산 장애는 우리 사회를 다시 한번 혼란에 빠뜨렸다. 연이은 보안사고로 안전한 데이터 관리에 대한 요구가 높아졌지만 어느 정도의 실질적인 대응책이 수립되고 보완됐는지 의구심이 가지게 되는 계기가 되기도 했다. 보안에 관한 한 이제는 사고에 대응해 무언가 보완하는 방식이 아니라 근본적이고 실효성 있는 대책이 요구되는 시점이다. 이에 따라 기업 및 각 기관에서 서버 보안 문제를 근본적 개선하기 위해 고민해야 할 영역을 살펴보고자 한다.
첫째, 기업의 핵심 자산에 대한 재 평가가 필요하다. 지금까지는 데이터 가치, 워크로드의 중요도 중심으로 IT자산을 분류하고 보호 역량을 집중했다. 하지만 최근 사례에서 보여준 것처럼 공격자는 공격 효과 배가와 피해 극대화를 위해 자산관리서버(배포/업데이트서버)와 같이 조직 내 파급효과가 큰 자산을 공격의 거점으로 적극 활용하고 있다.
이를 악용할 경우 전사적으로 대규모의 피해 확산이 예상되는 민감한 서버임에도 단순한 워크로드 구조와 상대적인 중요도가 낮다는 이유로 저가의 저사양 서버에 해당 업무를 배치하고 관리 또한 소홀한 것이 현실이다. 따라서 전통적인 자산분류 방식을 보완하여 조직 내 IT자산들과 연결성 및 상호 연관성이 높은 자산은 핵심서버로 분류, 보안성이 높은 서버에 배치할 필요가 있다.
둘째, 불법적인 침입 시도에 대해 네트워크 단계에서 감시와 모니터링, 차단도 중요하지만 개별 서버에서 사용자 활동 로깅이 더욱 정교한 수준으로 이루어져야 한다. 이렇게 수집된 정보는 지능적인 분석기법을 통해 실시간으로 이상 징후가 보고 되어져야 한다. 또한 서버 내 모든 유형의 자원은 세분화해 통제되고, 역할 중심으로 권한관리가 이루어져야 한다.
최근 공격유형이 공격대상에 대해 불법적인 시스템 분석 도구 또는 정보유출 프로그램을 설치와 장기간에 걸쳐 필요정보를 수집한다. 그리고 충분한 정보가 수집된 후 정상적인 권한을 가진 사용자처럼 공격을 시도하기 때문에 사전 적발을 강화하고 권한통제를 세밀하게 하며, 권한사용자의 주기적인 검토 및 변경이 가능하도록 유연성을 강화할 필요가 있다.
셋째, 그 동안 기업의 핵심 데이터 관리 역할을 담당하면서 윈도에 비해 상대적으로 안전하다 여겨졌던 유닉스, 리눅스 등 분산서버에 대해서도 악성코드로 직접적인 공격에 대비해야 한다. 특히 시스템 자체를 파괴할 수 있는 명령어 관리, 알려진 시스템 파일 구조의 변경, 주요 시스템 파라메터의 접근권한 관리 등은 필수적이라 할 수 있다. 혹자는 해킹 기술의 발전으로 더 이상 안전한 오픈 분산서버는 없다고까지 말한다. 어떤 식으로든 지금과 같은 단순한 서버 자체의 보안 체계로는 진화하는 공격 시도에 대응이 어려운 것이 사실이다.
네트워크 트래픽, 특정서버의 과부화와 같은 서비스 거부 유형 공격을 제외하면 결국 모든 공격은 파괴, 변조, 탈취로 대변되는 사이버 공격의 본질적인 특징에 따라 서버에 집중될 수 밖에 없다. 그렇다면 우린 어떻게 대응해야 할까?
먼저 가시성을 확보해야 한다. 로그, 네트워크 트래픽, 사용자 활동등을 모니터링하고 비정상적이거나 숨겨진 활동에 대한 스마트한 탐지가 필요하다. 만약 탐지되었다면 지능적으로 분석하여 다른 활동들 사이의 연관관계를 연결하여 우선순위를 두고 대응하는 전략적인 자세가 필요하다.
또 취약점 및 패치를 관리해야 한다. 대상에 분석을 수행하여 취약점을 찾아내는 Assessment, 평가 결과를 분석하고 취약점들을 해결해야 할 문제들의 우선순위화를 해야 한다. 이를 위해 Priority, 취약점 완화 및 제거 계획을 위한 Assign Remediation Plan, 코드 수정 및 보안관련 코드 추가, 패치 등을 통해 취약점을 해결하는 Remediate 과정을 관리해야 한다.
그리고 보안구성을 적용해야 한다. 시스템 Role, TCB등의 사용자 권한을 구성 및 관리를 하고, 사용하지 않는 사용자 계정을 삭제해야 한다. 또한 사용하지 않는 열린 네트워크 포트를 제거하고, 패스워드 복잡성과 정책을 강제적으로 적용해야 한다. 그렇지 않으면 8천억원이상의 피해를 가져 온 3.20 사이버 공격의 피해가 우리회사가 아니기만을 바래야 할 것이다.
마지막으로 전체적인 관점에서 다시 고려해 보고 보안문화를 활성화해야 한다. 사용자 교육에 있어 달성하고자 하는 목표를 왜 하는지에 대한 인식 전환과 당위성을 제시하고 무엇을 해야 하는지에 대한 방법론적 지식을 전달하여 어떻게 해야 하는지에 대한 체득의 과정을 보안 문화로 활성화 한다면 전체 영역을 아우르는 기업의 보안 역량을 높일 수 있을 것이다.
한편 IBM에서는 최근 잇따른 사고에서 전체 영역을 아우르는 보안 서비스를 실시한다고 발표했다. 이를 위해 3천700명 이상의 보안 컨설턴트와 아키텍트 경험 기반의 실질적인 접근을 통해 인텔리전스한 컨설팅 서비스를 실시한다. 그리고 전세계적으로 가용한 관리 보안 서비스 플랫폼에 근거하여 운영관리 및 탐지와 대응이 가능한 보안 운영센터를 통합 관리 서비스가 가능하다고 IBM 측은 설명했다.
관련기사
- 미래부, 중소기업 보안서버 구축비용 지원2013.06.06
- 보안업계 코스닥 상장 러시...왜?2013.06.06
- 온라인 게임 보안…IT기술의 재발견2013.06.06
- 학력차별 없는 사회...지니네트웍스의 반란2013.06.06
통합된 보안 포트폴리오와 클라우드 모바일, 위협보안 솔루션 등 전세계 위협 연구소와 보안 지능을 가진 IBM보안 프레임워크가 현재 대비가 충분하지 않은 기업이나 조직의 근본적인 보안 문제를 조직의 특성에 맞게 더 안전하고 더 편리하게 고민을 해결해 줄 수 있을지 주목되고 있다.
