2018.07.17

네트워크 보안의 이해 : 정의, 방법론, 일자리

Josh Fruhlinger | CSO

승인받지 않은 사람이나 프로그램이 네트워크와 네트워크에 연결된 디바이스에 액세스하는 것을 막는 데 필요한 작업과역할, 툴을 포괄적으로 살펴본다.

네트워크 보안은 기업 네트워크에 승인되지 않은 침입이 일어나는 것을 방지하고 보호하는 일련의 프랙티스이다. 개념 상으로 네트워크 보안은 개별적인 디바이스에 중점을 두는 엔드포인트 보안을 보완한다. 네트워크 보안은 이들 엔드포인트 디바이스가 서로 간의 결합 조직 상에서 어떻게 인터랙션하는지에 중점을 둔다.

Image Credit : GettyImagesBank

보안 분야의 권위 있는 연구기관인 SANS 연구소는 네트워크 보안을 좀 더 넓은 의미로 정의한다.

“네트워크 보안은 물리적인 또는 소프트웨어 방어 도구를 이용해 기반 네트워크 인프라를 승인되지 않은 액세스나 오용, 오동작, 수정, 파괴, 부적절한 노출 등으로부터 보호하는 프로세스이다. 이를 통해 컴퓨터와 사용자, 그리고 프로그램이 승인된 핵심 기능을 안전한 환경에서 수행할 수 있도록 보안 플랫폼을 만든다.”

하지만 포괄적인 목표는 동일하다. 네트워크 보안은 승인받지 않은 사람이나 프로그램이 네트워크와 네트워크에 연결된 디바이스에 액세스하는 것을 막는 데 사용하는 툴과 작업으로 구현된다. 본질적으로 해커는 네트워크를 통해 사용자의 컴퓨터에 접근하지 못하면 해킹도 할 수 없다.

네트워크 보안의 기초
네트워크 보안의 정의는 목적을 나타내는 선언으로서는 좋다. 하지만 이런 비전을 구현하기 위해서는 어떤 계획을 세워야 할까? 스테판 노스컷은 10년 전 CSOonline에 네트워크 보안의 기초를 위한 입문서를 작성한 바 있다. 하지만 노스컷이 제시한 네트워크 보안의 3단계는 여전히 유효하며, 지금도 네트워크 보안 전략의 기반 프레임으로도 사용해야 한다. 네트워크 보안은 다음의 3단계로 구성된다.

보호 : 시스템과 네트워크를 최대한 올바르게 설정해야 한다.
탐지 : 설정이 변경되거나 일부 네트워크 트래픽에 문제가 생기면 이를 파악할 수 있어야 한다.
대응 : 문제를 신속하게 파악한 후에는 대응 조치를 취하고 가능한 빨리 안전한 상태로 돌아가야 한다.

한마디로 ‘종심 방어(defense in depth) ’ 전략이다. 보안 전문가 모두가 동의하는 사실이 하나 있다면, 한 가지 방어책에 의존하는 것은 위험하다는 것이다. 한 가지 방어 툴은 천적에 의해 깨질 수 있다. 네트워크는 선이나 점이 아니라 영토에 해당하며, 만약 공격자가 그중 일부에 침투했다 해도 적절한 방어 전략을 짰다면 여전히 전열을 가다듬어 적을 쫓아낼 자원이 있을 것이다.

네트워크 보안 방법론
이런 종류의 방어를 심도 있게 구현하려면, 배치하고 싶은 전문적인 기법이나 네트워크 보안 형태는 다양하다. 네트워크 인프라 업체인 시스코는 네트워크 보안의 서로 다른 형태를 다음과 같은 구조로 세분화했다. 이들 중 일부는 시스코의 제품군에 따른 것이지만, 네트워크를 보호하는 여러 가지 방법을 생각하는 유용한 방안이다.

-액세스 제어(Access Control) : 권한 없는 사용자와 디바이스가 네트워크에 액세스하는 것을 차단할 수 있어야 한다. 네트워크 액세스가 허용된 사용자라도 승인을 받은 한정된 자원만 사용할 수 있도록 해야 한다.
- 안티맬웨어 : 바이러스나 웜, 트로이목마 등은 당연히 네트워크 전체로 확산하려고 시도하며, 감염된 시스템에서 며칠, 몇 주를 활동하지 않고 숨어 있을 수 있다. 보안은 초기 감염을 방지하기 위해 최선을 다해야 하고, 악성코드가 네트워크로 확산되기 전에 뿌리 뽑아야 한다.
- 애플리케이션 보안 : 안전하지 않은 애플리케이션은 종종 공격자가 네트워크에 침입하는 데 이용하는 요소가 된다. 이런 애플리케이션을 막기 위한 하드웨어와 소프트웨어, 보안 프로세스를 채택해야 한다.
- 행위 분석 : 정상적인 네트워크 행위가 어떤 모습인지 알아야 비정상적인 행위나 악용이 발생했을 때 알아차릴 수 있다.
- 데이터 손실 방지 : 인간은 어쩔 수 없이 보안의 가장 약한 고리이다. 직원들이 일부러 또는 실수로 민감한 데이터를 네트워크 외부로 보내지 않도록 하는 기술과 프로세스를 구현해야 한다.
- 이메일 보안 : 피싱은 공격자가 네트워크 액세스 권한을 획득하는 가장 보편적인 방법 중 하나이다. 이메일 보안 툴은 내부로 들어오는 공격과 민감한 데이터를 담은 채 외부로 나가는 메시지를 차단할 수 있다.
- 방화벽 : 아마도 할아버지 시대의 네트워크 보안은 기업 네트워크와 인터넷 사이의 경계선에서 트래픽을 허용하거나 거부하도록 정의한 규칙에 따라 이루어졌다. 신뢰할 수 있는 영역과 거친 외부 영역 사이에 장벽을 구축한 것이다. 방화벽이 종심 방어의 필요성을 배제하지는 않지만, 여전히 필수적인 툴이다.
- 침입 탐지 및 방지 : 이들 시스템은 네트워크 트래픽을 조사해 공격을 파악하고 차단한다. 주로 네트워크 활동 시그니처를 잘 알려진 공격 기법 데이터베이스와 연계하는 방법을 사용한다.
- 모바일 디바이스 및 무선 보안 : 무선 디바이스 역시 다른 네트워크에 연결된 기기와 마찬가지로 보안 결함의 가능성이 있다. 하지만 다른 곳에서 다른 무선 네트워크에서도 접속할 수 있기 때문에 추가적인 조사가 필요하다.
- 네트워크 세그먼테이션(망 분리) : 소프트웨어 정의 세그먼테이션은 네트워크 트래픽을 서로 다른 분류로 보내 보안 정책을 좀 더 쉽게 적용할 수 있다.
- SIEM(Security Information and Event Management) : SIEM은 다양한 네트워크의 정보를 자동으로 취합해 위협을 파악하고 대응하는 데 필요한 데이터를 제공한다.
- VPN : 보통 IPSec이나 SSL을 기반으로 하는 툴로, 디바이스와 안전한 네트워크 간의 커뮤니케이션을 인증하고 개방된 인터넷을 가로질러 안전하고 암호화된 일종의 터널을 생성한다.
- 웹 보안 : 웹 기반 위협이 브라우저를 네트워크 감염 요소로 악용하는 것을 막기 위해 내부 직원의 웹 사용을 통제할 수 있어야 한다.

네트워크 보안과 클라우드
점점 더 많은 기업이 자사 컴퓨팅 수요의 일정 부분을 클라우드 서비스 업체로 덜어내고 하이브리드 인프라를 구현해 내부 네트워크를 서드파티가 호스핑하는 서버들과 안전하고 이음매없이 상호운영하고 있다. 때로 이런 인프라가 자체적으로 네트워크를 포함하고 있다. 여러 대의 클라우드 서버가 함께 동작하는 물리적인 환경일 수도 있고, 아니면 여러 가상머신 인스턴스가 함께 동작하고 한 대의 물리 서버 상에서 각각을 서로 네트워킹하는 가상 환경일 수도 있다.

보안의 이런 측면을 다루기 위해서 많은 클라우드 솔루션 업체가 중앙집중화된 보안 제어 정책을 자사 플랫폼 상에 구축했다. 하지만 여기에는 비밀이 하나 있는데, 이들 보안 시스템이 기업의 내부 네트워크용 정책이나 절차와 항상 맞는 것은 아니라는 사실이다. 그리고 이런 불합치 때문에 네트워크 보안 전문가의 업무 부하가 증가하기도 한다. 물론 이런 우려를 해소하기 위해 사용할 수 있는 툴이 다양하게 있지만, 이 영역은 여전히 불안정한 상태라는 것이 진실에 가깝다. 결국 클라우드의 편리함은 네트워크 보안 측면에서는 골칫거리를 안겨줄 수도 있다.



2018.07.17

네트워크 보안의 이해 : 정의, 방법론, 일자리

Josh Fruhlinger | CSO

승인받지 않은 사람이나 프로그램이 네트워크와 네트워크에 연결된 디바이스에 액세스하는 것을 막는 데 필요한 작업과역할, 툴을 포괄적으로 살펴본다.

네트워크 보안은 기업 네트워크에 승인되지 않은 침입이 일어나는 것을 방지하고 보호하는 일련의 프랙티스이다. 개념 상으로 네트워크 보안은 개별적인 디바이스에 중점을 두는 엔드포인트 보안을 보완한다. 네트워크 보안은 이들 엔드포인트 디바이스가 서로 간의 결합 조직 상에서 어떻게 인터랙션하는지에 중점을 둔다.

Image Credit : GettyImagesBank

보안 분야의 권위 있는 연구기관인 SANS 연구소는 네트워크 보안을 좀 더 넓은 의미로 정의한다.

“네트워크 보안은 물리적인 또는 소프트웨어 방어 도구를 이용해 기반 네트워크 인프라를 승인되지 않은 액세스나 오용, 오동작, 수정, 파괴, 부적절한 노출 등으로부터 보호하는 프로세스이다. 이를 통해 컴퓨터와 사용자, 그리고 프로그램이 승인된 핵심 기능을 안전한 환경에서 수행할 수 있도록 보안 플랫폼을 만든다.”

하지만 포괄적인 목표는 동일하다. 네트워크 보안은 승인받지 않은 사람이나 프로그램이 네트워크와 네트워크에 연결된 디바이스에 액세스하는 것을 막는 데 사용하는 툴과 작업으로 구현된다. 본질적으로 해커는 네트워크를 통해 사용자의 컴퓨터에 접근하지 못하면 해킹도 할 수 없다.

네트워크 보안의 기초
네트워크 보안의 정의는 목적을 나타내는 선언으로서는 좋다. 하지만 이런 비전을 구현하기 위해서는 어떤 계획을 세워야 할까? 스테판 노스컷은 10년 전 CSOonline에 네트워크 보안의 기초를 위한 입문서를 작성한 바 있다. 하지만 노스컷이 제시한 네트워크 보안의 3단계는 여전히 유효하며, 지금도 네트워크 보안 전략의 기반 프레임으로도 사용해야 한다. 네트워크 보안은 다음의 3단계로 구성된다.

보호 : 시스템과 네트워크를 최대한 올바르게 설정해야 한다.
탐지 : 설정이 변경되거나 일부 네트워크 트래픽에 문제가 생기면 이를 파악할 수 있어야 한다.
대응 : 문제를 신속하게 파악한 후에는 대응 조치를 취하고 가능한 빨리 안전한 상태로 돌아가야 한다.

한마디로 ‘종심 방어(defense in depth) ’ 전략이다. 보안 전문가 모두가 동의하는 사실이 하나 있다면, 한 가지 방어책에 의존하는 것은 위험하다는 것이다. 한 가지 방어 툴은 천적에 의해 깨질 수 있다. 네트워크는 선이나 점이 아니라 영토에 해당하며, 만약 공격자가 그중 일부에 침투했다 해도 적절한 방어 전략을 짰다면 여전히 전열을 가다듬어 적을 쫓아낼 자원이 있을 것이다.

네트워크 보안 방법론
이런 종류의 방어를 심도 있게 구현하려면, 배치하고 싶은 전문적인 기법이나 네트워크 보안 형태는 다양하다. 네트워크 인프라 업체인 시스코는 네트워크 보안의 서로 다른 형태를 다음과 같은 구조로 세분화했다. 이들 중 일부는 시스코의 제품군에 따른 것이지만, 네트워크를 보호하는 여러 가지 방법을 생각하는 유용한 방안이다.

-액세스 제어(Access Control) : 권한 없는 사용자와 디바이스가 네트워크에 액세스하는 것을 차단할 수 있어야 한다. 네트워크 액세스가 허용된 사용자라도 승인을 받은 한정된 자원만 사용할 수 있도록 해야 한다.
- 안티맬웨어 : 바이러스나 웜, 트로이목마 등은 당연히 네트워크 전체로 확산하려고 시도하며, 감염된 시스템에서 며칠, 몇 주를 활동하지 않고 숨어 있을 수 있다. 보안은 초기 감염을 방지하기 위해 최선을 다해야 하고, 악성코드가 네트워크로 확산되기 전에 뿌리 뽑아야 한다.
- 애플리케이션 보안 : 안전하지 않은 애플리케이션은 종종 공격자가 네트워크에 침입하는 데 이용하는 요소가 된다. 이런 애플리케이션을 막기 위한 하드웨어와 소프트웨어, 보안 프로세스를 채택해야 한다.
- 행위 분석 : 정상적인 네트워크 행위가 어떤 모습인지 알아야 비정상적인 행위나 악용이 발생했을 때 알아차릴 수 있다.
- 데이터 손실 방지 : 인간은 어쩔 수 없이 보안의 가장 약한 고리이다. 직원들이 일부러 또는 실수로 민감한 데이터를 네트워크 외부로 보내지 않도록 하는 기술과 프로세스를 구현해야 한다.
- 이메일 보안 : 피싱은 공격자가 네트워크 액세스 권한을 획득하는 가장 보편적인 방법 중 하나이다. 이메일 보안 툴은 내부로 들어오는 공격과 민감한 데이터를 담은 채 외부로 나가는 메시지를 차단할 수 있다.
- 방화벽 : 아마도 할아버지 시대의 네트워크 보안은 기업 네트워크와 인터넷 사이의 경계선에서 트래픽을 허용하거나 거부하도록 정의한 규칙에 따라 이루어졌다. 신뢰할 수 있는 영역과 거친 외부 영역 사이에 장벽을 구축한 것이다. 방화벽이 종심 방어의 필요성을 배제하지는 않지만, 여전히 필수적인 툴이다.
- 침입 탐지 및 방지 : 이들 시스템은 네트워크 트래픽을 조사해 공격을 파악하고 차단한다. 주로 네트워크 활동 시그니처를 잘 알려진 공격 기법 데이터베이스와 연계하는 방법을 사용한다.
- 모바일 디바이스 및 무선 보안 : 무선 디바이스 역시 다른 네트워크에 연결된 기기와 마찬가지로 보안 결함의 가능성이 있다. 하지만 다른 곳에서 다른 무선 네트워크에서도 접속할 수 있기 때문에 추가적인 조사가 필요하다.
- 네트워크 세그먼테이션(망 분리) : 소프트웨어 정의 세그먼테이션은 네트워크 트래픽을 서로 다른 분류로 보내 보안 정책을 좀 더 쉽게 적용할 수 있다.
- SIEM(Security Information and Event Management) : SIEM은 다양한 네트워크의 정보를 자동으로 취합해 위협을 파악하고 대응하는 데 필요한 데이터를 제공한다.
- VPN : 보통 IPSec이나 SSL을 기반으로 하는 툴로, 디바이스와 안전한 네트워크 간의 커뮤니케이션을 인증하고 개방된 인터넷을 가로질러 안전하고 암호화된 일종의 터널을 생성한다.
- 웹 보안 : 웹 기반 위협이 브라우저를 네트워크 감염 요소로 악용하는 것을 막기 위해 내부 직원의 웹 사용을 통제할 수 있어야 한다.

네트워크 보안과 클라우드
점점 더 많은 기업이 자사 컴퓨팅 수요의 일정 부분을 클라우드 서비스 업체로 덜어내고 하이브리드 인프라를 구현해 내부 네트워크를 서드파티가 호스핑하는 서버들과 안전하고 이음매없이 상호운영하고 있다. 때로 이런 인프라가 자체적으로 네트워크를 포함하고 있다. 여러 대의 클라우드 서버가 함께 동작하는 물리적인 환경일 수도 있고, 아니면 여러 가상머신 인스턴스가 함께 동작하고 한 대의 물리 서버 상에서 각각을 서로 네트워킹하는 가상 환경일 수도 있다.

보안의 이런 측면을 다루기 위해서 많은 클라우드 솔루션 업체가 중앙집중화된 보안 제어 정책을 자사 플랫폼 상에 구축했다. 하지만 여기에는 비밀이 하나 있는데, 이들 보안 시스템이 기업의 내부 네트워크용 정책이나 절차와 항상 맞는 것은 아니라는 사실이다. 그리고 이런 불합치 때문에 네트워크 보안 전문가의 업무 부하가 증가하기도 한다. 물론 이런 우려를 해소하기 위해 사용할 수 있는 툴이 다양하게 있지만, 이 영역은 여전히 불안정한 상태라는 것이 진실에 가깝다. 결국 클라우드의 편리함은 네트워크 보안 측면에서는 골칫거리를 안겨줄 수도 있다.



X