[ 정보 보안 ] 이제는 UTM 이다....

 

대부분의 보안 사고는 갑자기 튀어 나온 것이 아니라 보안 전문가들이 예측하던 형태로 진행되는 것들이 대부분이다.

 

영화를 보면 기가 막힌 해커가 국방 연구소나 금융 기관에 키보드 몇번의 고민을 통한 이후에 시스템을 뚫고 들어 가는 장면이 왕왕 나온다.

 물론 기술적인 설명은 거의 없다. 그리고 관객 역시도 기술적인 설명을 바라지 않는다.. 관객 스스로도 기술적인 설명을 원하지고, 또 알아 들을 것을 기대하지도 않으니까...

 

 유감스럽게도 시스템의 취약점 하나만을 사용하여 시스템을 뚫고 들어가서 해킹을 하고, 정보를 빼 내는 일은 현재는 어렵다. 대부분의 보안 사고는 갑자기 튀어 나온 것이 아니라 보안 전문가들이 예측하던 형태로 진행되는 것들이 대부분이다.

  이를 테면...  

 

 

 

이런 식이다...

 

의외로 우리 나라의 대표적인 홈쇼핑, 인강 사이트 등의 사이트는 DoS 같이 Service dinial 공격 이외의 공격에는 잘 버틴다.

 

기가 막힌 방법으로 뚫고 들어가는 것이 아니라 목적을 가지고 특정 집단의 구성원에게 지속적인 악성 코드와 원격 코드를 설치하므로서 결정적 한방을 기다리는 것이다.

 의외로 우리 나라의 대표적인 홈쇼핑, 인강 사이트 등의 사이트는 DoS 같이 Service dinial 공격 이외의 공격에는 잘 버틴다. 외부로 부터 공격에는 이미 대부분 차단 방어가 되어 있는 셈이다.

 내부의 정보를 유출당하고, 서버가 다운되고 데이터가 파괴되는 상황은 위처럼 내부 인원의 PC 에 공격 코드를 심고 정보를 통제권을 탈취하는 것이 대부분이다.

 

  따라서 이제 가장 중요한 보안은 서버가 아니라 서버를 관리하는 사용자의 PC 를 어떻게 관리하느냐는 것...

 

망분리

 가장 좋은 방법은 서버에 접근하는 관리자의 모든 PC 는 인터넷이 차단된 분리된 망을 사용하는 것이 원칙... 물론, 그 PC 역시 지속적인 관리가 필요하다.

 하지만, 현실적으로 그렇게 쉽지 않은데... 관리 인력의 생산성, 물리적 비용, 그리고 인프라 비용이 만만치 않기 때문이다.

 

 

 

EndPont Management

 

 문제는 통제권 밖에 있는 PC 가 단 한대라도 있는 경우 보안 사고로 연결된다

 

 두번째 방법은 관리 PC 를 완벽하게 방어하는 법, 즉 End Point management  다. PC 에 비정상적인 사용자의 행동을 제어하는 보안 툴과 백신들을 설치해서 원격 침탈로 인한 보안 사고를 예방하는 방법이다. 문제는 통제권 밖에 있는 PC 가 단 한대라도 있는 경우 보안 사고로 연결된다는 것이 문제다.

 

 

 

 

 

 실제로 약 10,000 대 정도의 PC 인프라 정보 기획을 수행한 경험으로 보면... 아무런 사용자 이탈의 조치를 취하지 않을 경우 한달에 약 200 대 이상의 관리 범위외 임의 이탈이 발생했다. 아마도 인지 하지 못한 것들까지 포함한 다면, 이는 더 클 듯...

 흔히들 알 듯이, 외부에서 유임된 PC 가 보인 홀이 아니라, 실제로 내부의 PC 중 정책을 위반하는 것이 더 큰 보안 홀인 것이다.

 

UTM

 

문제는 얼마나 정확하게 패턴 적용할 것이며, 이를 위해서 소요되는 비용이 너무나 크다

 

세번째.. 트래픽 차원에서 인바운드/아웃바운드를 감시하는 방법...

 이 경우, 공격 코드가 다운로드 되거나 이미 다운로드된 공격 코드에 감염된 PC 가 서버의 공격을 시도할 경우 식별해 낼 수 있고, 식별해 낸 PC 에 대하여 격리 방역 작업을 수행할 수 있다.

 하지만, 문제는 얼마나 정확하게 패턴 적용할 것이며, 이를 위해서 소요되는 비용이 너무나 크다는데 있다...

 방화벽, 웹 방화벽, IPS... 얼마나 많이 사야 할까?

 

 

 

 

몇 년전까지만 해도 가장 비싸지만 가장 좋은 대안이고, 하지만, 실제 사례로 적용하기에는 여러가지 리스크가 있는 대안이 바로 네트워크 단에서의 차단이었다.

 하지만, 향상된 CPU, 클라우드 기술이 기존에 이론상으로 존재하였고, 실제로 일부 제품을 시판하였지만, 시장에서 그 현실성이 의심받던 기술을 현실화 시키기 시작했다...

 

 바로 UTM...

 UTM 은 기존의 Proxy, Anti-Virus, 공격코드까지 한번에 걸러 주면서 공격을 위해 사용되는 공격 코드의 유입 부터 차단한다.

 

 

 

 

  기존의 각 보안 Feature 가 분리되어 유지/관리가 어렵고 높은 비용이 들던 것을 하나의 물리적 장비에서 서비스를 제공하므로서 높은 가격 대비 성능을 보이며, 전반적으로 향상된 CPU 연산 능력 및 처리 알고리즘은 순차적인 처리를 하던, 기존의 방식에서 탈피해서 병렬 처리를 수행하므로서 다중 필터의 사용시에서 성능의 저하가 없다.

 

주요 서버 앞단에 배치하게 되면, 사용자 PC 가 원격 조정으로 공격이 발생할 시점에 미리 대응할 수도 있게 된다.

 

 물론, UTM 을 설치한다고 해서 Endpoint management 가 필요없다거나, Anti-Virus   가 필요하지 않은 것은 아니다. 하지만, Application 레벨의 제어에서 단순히 유해 사이트, 증권 사이트 차단에서 벗어나

실제로 사용자가 어떤 행위를 하는지...

그리고 어떤 형태의 위협 요소에 접근했는지,

그 위협 요소에 대하여 근본적인 방어 대책이 무엇인지를 미리 차단할 수 있다면,  통제 범위를 벗어난 클라이언트 PC 가 있더라도 방어 할 수 있다.

 또한, 기 감염된 PC 가 있더라고 주요 서버 앞단에 배치하게 되면, 사용자 PC 가 원격 조정으로 공격이 발생할 시점에 미리 대응할 수도 있게 된다.

 

다중 기능 장비들은 스펙만큼의 성능은 고사하고 Feature 역시 완전하지 않으니까....

 

 원래 IT 관리자들은 다중 기능을 가진 장비들을 좋아하지 않는다.

 다중 기능 장비들은 스펙만큼의 성능은 고사하고 Feature 역시 완전하지 않으니까.... 하지만, 요즘 최고 사양의 장비는 10 Gbit 를 우습게 지원하지만, 정작 오피스의 대역폭은 100Mbps 를 넘지 않는 경우가 대부분이다.

 이 정도라면, 적은 Capa 의 장비를 도입하더라도 충분히 그 성능을 활용할 수 있다.

 다중 장비의 사용으로 골머리가 아픈  계약서, 그리고 지역별로 비대칭적인 보안 장비에 골머리를 썩힌다면, 이번에 한번 통합으로 진행해 보자.

 

 http://www.sonicwall.com/apac/en/