메뉴 바로가기 검색 및 카테고리 바로가기 본문 바로가기

한빛출판네트워크

한빛랩스 - 지식에 가능성을 머지하다 / 강의 콘텐츠 무료로 수강하시고 피드백을 남겨주세요. ▶︎

IT/모바일

정보보호 시스템 핵심 관리 포인트(1): 네트워크보안과 안티바이러스

한빛미디어

|

2022-01-20

|

by 강은성

14,784

회사에서 대표적으로 많이 사용하는 정보보호 시스템의 관리 포인트를 정리했습니다. 

웬만큼 보안투자를 한 회사에는 20여 개의 보안솔루션을 운영하는 것이 낯설지 않습니다.

 

몇가지만 꼽아도 안티바이러스, PC매체제어, 패치관리시스템, 내부정보 유출방지(DLP), 문서 보안, DB 접근 제어, DB 암호화, 네트워크 방화벽, 웹 방화벽, 네트워크 접근 제어(NAC), 가상사설망(VPN), 일회용 비밀번호(OTP), 망 분리 및 연계시스템, 침입탐지/방지시스템(IDS/IPS), 무선침입방지시스템(WIPS), 디도스 공격 대응시스템(Anti-DDoS),  통합위협관리(UTM), ESM/SIEM, 유해사이트 차단, 이메일 보안, 계정 및 권한 관리(IM/IAM), APT 대응 등 매우 다양합니다. 

 

여기에 보안관제나 모의해킹, 인증 컨설팅 같은 서비스도 이용합니다. 

정보보호책임자는 정보보호 시스템이 설치보다 규칙의 설정과 운영이 훨씬 더 중요하다는 점에 주목해야 합니다.

 

 

정보보안 2.png

 

 

회사는 예산과 인력이 많이 들어가는 구축 단계에서 관심이 많고, 운영 단계로 넘어가면 관심이 적어집니다. 

실무자도 운영 단계를 중요하지 않게 생각하는 경향이 있지요. 

 

매우 잘못된 생각입니다. 

보안 사고는 정보보호 시스템의 구축 단계보다 운영 단계의 잘못으로 터지는 경우가 훨씬 많습니다.

규칙의 설정과 운영이 중요한 이유입니다.

 

여기에서는 기술적 깊이보다는 각 정보보호 시스템의 목적과 핵심 기능, 활용방안, 이용 시 고려사항과 문제점, 대응 방안 등에 관해 설명하겠습다.

 

어차피 그 많은 보안 솔루션을 모두 기술적으로 깊게 아는 사람은 거의 없어요

아니 정보보호책임자가 그렇게 알 필요도 없습니다.  

 

보안 기업에서 연구소장으로 일 할 때도, 일반 기업의 CISO로 일 할때도  여기에서 소개하는 관리 포인트를 중심으로 보안 인력과 질의응답, 토론을 통해 보안 실무를 관리했었거든요.

 

오늘은 네트워크 방화벽과 안티바이러스에 대해 알아보겠습니다. 

 

네트워크 방화벽 

1. 방화벽의 목적과 용도

네트워크 보안에서 가장 많이 이용하는 정보보호 시스템은 역시 네트워크 방화벽이죠. 

개인정보보호 관련 법규에서 침입차단 시스템이라고 정의한 대표적인 정보보호 시스템입니다.

 

외부에서 불이 났을 때 불이 내부로 들어오는 것을 차단하기 위해 방화벽을 설치하는 것처럼 네트워크 방화벽은 인터넷에 엄청나게 많은 보안 위협과 공격으로부터 내부 네트워크와 시스템을 보호하기 위해 사용합니다.

 

기본적으로 방화벽은 방화벽을 지나는 네트워크 트래픽의 헤더를 검사하여 트래픽의 방향, 출발지 주소(IP), 목적지 주소(IP, 서비스 포트)를 보고 사전에 설정된 규칙에 따라 해당 트래픽을 차단하거나 허용합니다.

  

2. 방화벽의 구성과 활용

구체적인 설명에 들어가기 전에 기본 전제를 알 필요가 있습니다.

네트워크 방화벽 규칙의 기본 Default 설정은 차단이라는 점입니다. 

 

아무런 규칙을 설정하지 않으면 차단 규칙이 적용됩니다. 

모든 접속이 차단된 상태에서 필요한 것만 허용해 주는 방식이죠. 

 

이것을 DAPEDeny All, Permit by Exception 원칙이라고 합니다. 

말 그대로 차단이 기본이고, 예외적으로 허용한다는 의미입니다. 

 

방화벽의 규칙은 다음과 같이 구성됩니다. 

 

> 방향, 출발지 IP, 목적지 IP, 서비스 포트, 차단/허용

 

네트워크 방화벽을 이용하여 서버 영역을 아래 그림과 같이 세 영역으로 구분하여 관리할 수 있습니다. 

 

스크린샷 2022-01-20 오후 12.28.21.png

 

 네트워크 방화벽의 이용

 

① ③ ⑤: 인바운드 접속 또는 인바운드 트래픽

② ④ ⑥: 아웃바운드 접속 또는 아웃바운드 트래픽

 

MZ는 인터넷과 내부망 사이에 있으면서 고객 서비스 등 인터넷과 통신이 필요한 서버를 두는 영역입니다.  

서비스를 보호하고자 하는 방화벽의 목적에 맞게 인터넷에서 DMZ로 들어오는 접속(⑤)은 기본 차단에 목적지 서비스 서버의 IP와 포트만 지정하여 허용합니다. 

 

DMZ에서 아웃바운드 접속(⑥) 역시 기본 차단입니다.

 

악성코드가 DMZ에 설치되면 원격에 있는 명령·제어(C&C) 서버에 접속하기 위해 아웃바운드 접속(Reverse connection)을 시도하여 지능형 표적 공격으로 이어지기 때문에 이를 사전에 차단하기 위해서 입니다.

 

하지만 아웃바운드 접속을 열어줘야 할 서비스도 있습니다.

예를 들어 CRM(Customer Relationship Management) 서버에서 고객에게 마케팅 메일을 보내려면 아웃바운드 접속이 필요하고, 당연히 허용해야 합니다. 

 

하지만 결제 서비스(PG), 은행 업무 등 DMZ에서 아웃바운드 접속이 필요한 서버는 그리 많지 않습니다. 외부 목적지 IP와 포트를 지정해서 열어주는것이 바람직하죠. 

 

방화벽 설치 전에 이미 사용하는 서비스가 있다면 실무자가 대응하기 어렵습니다.

기술적으로는 아웃바운드 트래픽을 1달 정도 모니터링하면 DMZ에서 아웃바운드 접속이 필요한 서비스를 찾아낼 수 있습니다. 

 

하지만 이러한 문제는 정보보호책임자가 사업 책임자, CIO 등과 협의하여 정책을 수립하는 것이 먼저입니다.

규제기관도 점검을 나갔을 때 아웃바운드 접속이 열려 있으면 지적합니다. 

 

DMZ는 인터넷에 접속하는 고객에게 서비스를 제공하고, 다른 한편으로는 인터넷 내부망에 침투하려는 보안 위협을 차단하는 중간지대 역할을 해야 합니다. 

 

내부망을 보호하기 위해 DMZ에서 내부망으로 들어오는 인바운드 접속(③)은 DMZ에 있는 출발지 서버의 IP, 내부망에 있는 목적지 서버의 IP와 포트 등 꼭 필요한 서비스를 지정하여 철저하게 통제하여야 합니다. 

 

DMZ에 있는 각종 운영 서버는 운영자 이외에 계정을 갖지 않도록 관리하는 것 역시 중요합니다.

 

내부망은 가장 보호해야 할 정보 자산을 두는 영역입니다. 

DMZ와는 달리 외부 인터넷에서 아예 접근할 수 없도록 사설 IP를 사용합니다(① 차단).

다만 아웃바운드 접속(②)을 통해 외부와 연결되면 그 연결을 통해 외부 트래픽이 들어올 수 있습니다(Stateful).

 

예를 들어 내부망에 있는 PC에서 웹 브라우저를 이용해 외부 웹 서버에 접속(②)하여 검색하면 결과를 브라우저에서 볼 수 있죠(① 인바운드 트래픽). 

 

이 상태에서도 인바운드 접속이 이뤄진 것은 아닙니다.

외부 인터넷 영역에서 내부망으로 들어오려면 가상사설망(VPN)을 이용하는데, 이것은 사용의 편의성만큼이나 공격자에게 직통 공격 경로를 뚫어 주는 일이어서 반드시 2단계 인증을 사용하고, VPN에서 불필요한 계정이나 오랫동안 사용하지 않는 계정은 제거하는 등 보안을 강화해야 합니다. 

 

로그 분석의 대상 중 하나가 방화벽 로그입니다.

방화벽 제품의 관리 UI를 보면 로그를 볼 수 있는 다양한 기능이 있습니다. 

로그를 살펴보면 의외로 많은 문제를 찾을 수 있죠. 

 

예를 들어 인바운드 규칙이나 차단된 로그를 살펴보면 어떤 서버로 공격이 들어왔는지 탐지할 수 있습니다.

특히 명령어 인터페이스를 통해 시도했다면 해당 서버의 계정이나 어떤 애플리케이션이 동작하는지 점검해 보는 것이 좋습니다.

 

아웃바운드 규칙에 의해 차단된 로그에서도 불필요하거나 악의적인 행위의 원인을 살펴서 적절한 대응을 하는 것이 필요합니다.

정보보호책임자가 로그 분석에 관심이 있다는 것 자체가 실무자가 로그 분석을 하는 계기가 됩니다.

로그 분석을 통해 보안 위협을 찾아내 보안 취약점을 보완함으로써 사고를 미연에 방지할 수 있어요. 

 

3. 방화벽 이용 시 유의사항

첫째, 기본적으로 방화벽은 응용 계층의 보안 위협을 막지 못한다.

방화벽은 네트워크 계층(Layer 3)에서 IP와 포트(Layer 4)를 검사하여 보안 위협을 차단하기 때문에 속도가 매우 빠릅니다.

하지만 http나 https 같이 서비스를 위해 늘 열어 놓는 포트를 통해서 공격한다면 막을 수 없어요.

 

응용 계층에서 공격을 차단하는 L7 방화벽이나 웹 방화벽, 침입차단시스템(IPS, Intrusion Prevention System) 같은 다른 정보보호 제품이 필요합니다.

 

둘째, 방화벽 규칙 설정 시 최소 원칙을 준수해야 한다. 

규칙 설정 시 인바운드 접속이나 아웃바운드 접속을 허용할 때 가능하면 출발지 IP나 목적지 IP를 최소한으로 지정해야 합니다.

보안 컨설팅을 나가면 방화벽 규칙을 점검하는데, 가끔 C클래스 수준으로 목적지 대역을 넓게 열어준 곳이 있습니다.

방화벽을 설치하나 마나인 상황까지 생기는 것이지요. 

 

셋째, 방화벽 규칙의 예외를 잘 관리해야 한다.

초기에 방화벽 규칙은 보안 업체에서 만들어 주는 경우가 많은데, 이후 업무를 수행하면서 접속을 허용하는 ‘예외’는 계속 늘어납니다. 

특히 부서마다 업무 분장이 잘 되어 있는 회사가 그럴 가능성이 더 높습니다.

 

예외 관리 5원칙 중 주기적 점검이 중요한 이유죠.

정보보안 부서에서 월별 또는 분기별로 방화벽 규칙을 점검하여 특별한 이유가 없다면 과도한 예외는 제거하는 프로세스를 갖춰야 합니다. 

 

4. 기타

지금까지 설명한 것은 네트워크 방화벽인데, 호스트 방화벽도 있습니다.

윈도 PC나 맥Mac 시스템도 내장 방화벽이 있습니다.

 

호스트 방화벽은 보호 대상이 PC나 서버일 뿐 방화벽의 규칙이나 활용은 같습니다. 

여러 보안 기능이 한 장비에 통합되는 흐름 속에서 방화벽에 사설 IP를 지원하는 NAT(Network Address Translation) 기능이나 VPN 기능을 포함하고, 라우터에 방화벽 기능을 통합한 제품도 있습니다. 

 

방화벽이나 VPN, 안티바이러스 등 여러 보안 기능을 하나로 통합한 통합위협관리시스템(UTM, Universal Threat Management)도 있습니다.

여러 보안 장비를 구입하기 어렵고 성능이 그리 중요하지 않은 규모의 회사라면 소규모 UTM을 임대해서 사용하는 것도 고려할 만합니다. 

 

안티바이러스(백신) 

무료 안티바이러스 제품도 많이 있어서 안타바이러스를 사용하지 않는 기업은 별로 없을 것 같습니다. 

다만 개인은 무료이지만, 기업에 유료인 제품이 많으므로 반드시 해당 제품의 라이선스 정책을 확인해야 합니다. 

 

실제 형사 재판까지 가는 경우가 많지 않지만, 이를 빌미로 정식 구매할 때보다 더 많은 보상금과 구매 비용이 들어갈 수 있으므로, 항상 회사 임직원이 불법 소프트웨어를 사용하지 않도록 유의해야 합니다. 

 

 

1. 안티바이러스의 목적과 용도

안티바이러스는 악성코드를 비롯해 이미 노출된 보안 위협(Known threat)을 탐지, 제거하는 정보보호 제품입니다.

노출된 보안 위협에 대응하는 안티바이러스 제품의 한계를 지적하며 다양한 보안 제품이 나오긴 하지만 연간 수천만 개의 악성코드가 발생하는 현실에서 안티바이러스는 여전히 값싸고 효과가 좋은 보안 솔루션입니다.

 

안티바이러스 회사는 악성코드(의심) 샘플을 수집하는 다양한 경로를 만들어서 악성코드를 수집하고 이것을 DB로 만들기 위해 많은 노력을 합니다. 

 

세계 유수의 안티바이러스 기업은 일정한 주기로 서로 탐지한 악성코드 샘플을 교환하는 네트워크가 있고, 국내에서는 한국인터넷진흥원에서 그러한 네트워크를 운영합니다. 

사업으로서 악성코드에 대응하기도 하지만, 공익성 또한 있다고 보는 것입니다. 

 

안티바이러스는 PC나 모바일용으로 주로 사용되지만, 서버에서도 많이 사용합니다.

개인정보보호법에서도 악성 프로그램 방지를 위해 안티바이러스를 사용하도록 하고 있어요. 

 

2. 안티바이러스의 활용

안티바이러스 역시 다른 정보보호 제품과 마찬가지로 설치뿐 아니라 운영이 매우 중요합니다.

다음 세 가지 설정만 잘해도 안티바이러스를 이용해 회사의 정보 자산을 보호할 수 있습니다. 

 

  • 실시간 감시: 이 설정을 하면 PC에 악성코드가 설치되거나 악성 파일이 열리는 등의 행위가 이뤄질 때 안티바이러스가 이를 검사하여 악성코드를 탐지하고 차단하는 설정이다. 한 PC에 여러 안티바이러스 제품을 설치하고모두 실시간 감시 기능을 켜 놓으면 디스크에 파일 읽기나 쓰기가 많을 때속도가 느려질 수도 있다.
  • 주기적 정밀 검사(예약 검사): 주기적으로 디스크에 악성코드가 저장되어 있는지 검사하는 설정이다. 매일 또는 최소한 1주일에 한 번은 검사하도록 설정한다. 실시간 감시 때 탐지하지 못한 악성코드를 탐지, 제거할 수 있다.
  • 자동 업데이트: 악성코드 시그니처 DB나 안티바이러스 소프트웨어의 변경이 있을 때 이를 감지하여 자동으로 업데이트하는 설정이다. 실시간 감시에서 차단하지 못한 악성코드가 이후 시그니처 DB에 반영되면, 자동 업데이트와 주기적 정밀 검사를 통해 탐지, 제거할 수 있다. 

저는 이 세 가지 설정을 안티바이러스 설정 3종 세트라고 부르면서 반드시 설정할 것을 권합니다.

안티바이러스 제품의 중앙 관리 솔루션을 구매하면 각 PC에 설치된 안티바이러스의 설정을 중앙에서 통제할 수 있습니다. 

 

별도 중앙 관리 솔루션이 아니더라도 매니저 수준의 간단한 관리 기능은 대부분의 안티바이러스 제품에서 제공하니 활용하세요. 

별도의 안티바이러스 제품을 사용하지 않는 회사는 윈도에서 무료로 제공하는 ‘마이크로소프트 디펜더 안티바이러스’를 사용하는 것도 고려할 만합니다. 

 

별도 기술 지원이 없어서 그렇지 성능과 효과가 상용 안티바이러스 제품과 견줘도 손색없는 제품입니다. 

안티바이러스와 같은 기본 제품에서도 로그 분석을 할 필요가 있습니다. 

 

어떤 임직원의 PC에서 악성코드 차단 로그가 많다면 비록 감염되지 않았더라도 원인을 분석해야 합니다. 

예를 들어 해당 인력이 악성코드가 많이 유포되는 사이트를 자주 방문하거나 스팸 메일을 자주 열어보는 습관이 있다면 그에 대해 조언하는 것이 좋아요. 

 

탐지 안 된 악성코드가 있을 수 있고, 향후에 그런 상황이 발생할 수도 있습니다.

특정 부서에서 악성코드 차단 로그가 많다면 해당 부서장과 협업하여 원인을 파악하고 대책을 마련해야 합니다. 

 

업무 파일 전달 시 외부 웹하드 사용, 외부 USB 메모리의 사내 사용, 집 PC에서 수행한 파일을 회사로 유입하는 등 해당 부서가 악성코드에 많이 감염될 수 있는 방식으로 업무를 수행할 수 있습니다. 

 

차단 로그가 많은 상위 3개 부서는 임원 회의 때 발표하여 전사적으로 경각심을 높이는 것도 방법입니다.

 

3. 안티바이러스 이용 시 유의사항

PC에서 돌아가는 소프트웨어가 한둘이 아니죠. 

몇 개씩 띄운 웹 브라우저, 회사에서 쓰는 각종 애플리케이션, 거기에 한 번 사용하면 서비스로 등록되어 조금씩이라도 CPU와 메모리를 점유하며 계속 작동하는 프로그램도 많습니다. 

 

그럼에도 불구하고 회사 PC 작동에 문제가 생기면 임직원은 가장 먼저 정보보안 부서에 전화합니다. 

 

각 개인의 경험치가 있어서 그런 것이기도 하지만, 안티바이러스는 물론이고 문서 보안(DRM), 내부정보 유출방지(DLP) 등 각종 보안 솔루션의 에이전트가 PC에 설치, 작동하고 있는 것도 사실입니다.

 

특히 일부 보안 솔루션은 실시간 감시를 위해 운영체제의 커널 레벨에서 작동하는데 ‘질 낮은’ 보안 제품은 커널에서 충돌을 일으켜 ‘블루 스크린’을 일으키기도 합니다. 

 

스크린샷 2022-01-20 오후 1.26.50.png

 ▲ PC의 성능 모니터링

 

따라서 안티바이러스를 선택할 때 CPU와 메모리 점유율 등의 성능도 중요하게 봐야 합니다.  

정밀 검사를 하면서 CPU를 많이 점유하여 다른 작업을 못할 정도가 되면 임직원의 원망을 온몸으로 감수해야 해요. 

 

관리 편의성은 언제나 중요합니다. 

정보보안 실무자가 하루 동안 처리하는 업무가 다양하기 때문에 관리 UI가 직관적이어야 정확하고 효율적으로 처리할 수 있습니다. 

 

아직 관리 UI에 관심이 없는 보안 기업이 많긴 하지만, 보안 운영 관점에서는 매우 중요한 항목입니다. 

안티바이러스 제품의 진단율은 악성코드 샘플을 어떻게 구성하느냐에 따라 편차가 심해서 객관적으로 측정하기가 쉽지 않습니다.

 

AV-test 같은 국제적으로 인정받는 테스트를 통과했다면 큰 차이가 있다고 보기 어렵다.

오히려 진단하지 못한 악성코드가 발생했을 때 신속하고 정확하게  악성코드를 수집하고 시그니처에 반영 및 업데이트하는 전반적인 기술 지원 체계가 잘 되어 있는지 확인하는 것이 좋습니다. 

 

자주 발생하지는 않지만 한번 발생하면 고생도 많이 하고 잘못하면 큰 사고로 확대될 수 있는 문제입니다. 

 

4. 기타

안티바이러스 기능 역시 여러 정보보호 제품에 통합되고 있습니다.

이메일 보안 제품은 이메일로 유입되는 악성코드를, UTM에서는 네트워크로 유입되는 악성코드를 응용 계층에서 탐지, 차단합니다.

 

엔드포인트에서도 EDR에 안티바이러스 기능을 통합한 EPP(Endpoint Protection Platform)가 있습니다.  

노출된 위협을 탐지, 차단하는 안티바이러스의 한계를 해결하기 위해 안티바이러스 제품에 행위 기반 탐지 기술이나 딥러닝 기반 탐지 기술을 도입하는 것도 오래된 흐름입니다. 

 

악성코드 제작자는 이러한 기술을 피하는 악성코드를 개발하는 창과 방패의 싸움을 여전히 진행 중입니다.

악성코드는 대표적인 보안 위협이자 모든 보안 공격의 출발점이라는 면에서 안티바이러스 제품의 이해와 적절한 활용은 중요합니다.

  

다음 시간에는 정보 보호 시스템의 핵심 관리 포인트 중에서 '계정 및 권한 관리' '암호화'에 대하여 알아보겠습니다. 


 

위 내용은 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」를 재구성하여 작성 되었습니다. 

 

표지_팀장부터 CEO까지 알아야 할 기업 정보보안 가이드.jpg

 

 

거버넌스부터 사고 및 규제 대응, 그리고 보안 솔루션까지

고도화 된 사이버 위협에 제대로 대응하는 방법이 정리 되어 있습니다. 

 

댓글 입력
자료실

최근 본 상품0