2020.07.09

보안팀이 놓치기 쉬운 IPv6의 진실 7가지

Scott Hogg | CSO
아직 IPv6를 도입하지 않았다고 해서 보안팀이 IPv6에 대해 알 필요가 없다고 생각한다면 오산이다. 도입 여부와 상관없이 직원과 네트워크는 이미 최신 통신 프로토콜인 IPv6에 의존하고 있다. 따라서 IPv6와 이 프로토콜과 관련된 네트워크의 작동 방식을 이해하지 못하면 네트워크가 취약해지고 위험해질 수 있다. 모든 보안 관리자는 IPv6에 대한 다음과 같은 7가지 요점을 이해해야 한다.
 
© Getty Images Bank
 

1. IPv6는 알려진 것보다 더 많이 사용된다

보안 관리자와 IT 직원 대부분은 인터넷에서 IPv6가 어느 정도로 사용되는지 정확히 인식하지 못하고, 결과적으로 많은 보안 관리자가 IPv6 보안 문제에 대처할 필요가 없다고 생각한다. 자신이 속한 기업에서 IPv6를 활성화하지 않았으므로 이를 보호하는 조치도 필요 없다고 여기는 것이다.

그러나 IPv6는 모든 현대 운영체제에 기본적으로 포함되고 활성화된다. 여기에는 보안 규정을 준수해야 하는 기업 데이터센터와 클라우드 시스템도 포함된다. IPv6를 지원하는 기기는 IPv6가 활성화된 네트워크에 연결되면 IPv6를 사용해서 연결한다.

결과적으로 인터넷 코어에는 이미 IPv6가 활성화돼 있고 모바일 무선 통신 네트워크는 IPv6를 광범위하게 사용한다. 우리가 사용하는 휴대폰도 우리가 모르는 사이 IPv6를 사용할 가능성이 크다. 많은 가정용 인터넷 서비스 역시 IPv6를 사용하고 비교적 새로운 모뎀과 라우터를 사용한다면 홈 LAN 내부에도 IPv6가 쓰인다. 주요 웹사이트의 30% 이상이 IPv6를 사용하며, 구글에 따르면 전 세계 사용자의 30% 이상이 IPv6를 사용 중이다(인도, 미국 등에서는 이 수치가 더 높다). 인터넷의 많은 곳에서는 이미 IPv6 사용량이 50%를 초과해 IPv4가 '소수' 프로토콜이 됐다.
 

2. 직원이 이미 IPv6를 쓰고 있다

보안 관리자는 인터넷에 연결된 사용자에 대한 IPv6 보안에 대해 지금까지 충분히 대처하지 않았다. 그러나 원격으로 업무를 처리하는 직원은 IPv6를 사용한다. 최종 사용자의 모바일 기기에서 실행되는 운영체제에는 기본적으로 IPv6가 활성화돼 있고 IPv6를 사용해 인터넷에 연결한다. 코로나19 대유행으로 재택근무가 확산한 지금은 이와 같은 형태가 더 일반적이다.

그러나 기업 VPN에는 여전히 IPv6가 구성되지 않은 경우가 많다. 결국 최종 사용자의 IPv6 트래픽은 기기에서 기업 보안 통제를 건너뛰고 바로 인터넷으로 들어간다. 이것을 ‘IPv6 VPN 탈옥’이라고 하는데, 몇 년 전부터 알려진 문제점이지만 많은 방화벽 관리자가 무관심하다.

일부 기업은 클라우드로의 전환 트렌드에 따라 클라우드 액세스 보안 브로커(CASB) 서비스를 통해 기업 보안 정책을 시행하는 경우도 있다. 그러나 CASB 업체 중에서도 IPv6를 지원하지 않는 경우가 있다. 이로 인해 IPv6에 연결된 최종 사용자가 IPv6를 사용해 인기 있는 사이트에 연결하는 과정에서 CASB 보안 통제를 건너뛰는 상황이 발생하기도 한다.
 

3. IPv6는 이미 기업 내에 존재한다

대부분의 보안 담당자는 IPv6에 대해 제대로 배우지 않았다. 그래서 IPv6 구축이 네트워크 관리자의 책임이라고 생각할 수 있다. 또한, IPv6를 기업이 도입하기 전까지는 배우거나 보호할 필요가 없다고 여긴다.

또한 많은 보안 관리자가 IPv6 프로토콜이 인터넷, 기업 WAN 또는 LAN에서 어떻게 작동하는지 제대로 이해하지 못한다. 예를 들어 IPv6가 활성화된 운영체제는 기업 유무선 액세스 네트워크에 연결돼 IPv6 패킷을 전송하고 링크-로컬(Link-Local) IPv6 유니캐스트 및 멀티캐스트 통신을 사용해 상호 연결할 수 있다. 결국 IPv6는 이미 기업 내부에 존재하는 것이다.

따라서 보안 관리자는 IPv6 프로토콜에 대해 배우고 공격자 행동을 예상해야 한다. 그러나 이를 알려줄 IPv6 교육 프로그램은 많지 않다. IPv6 관련 책은 많지만 IPv6 보안에 관한 책은 한 권뿐이다. 하지만 온라인 학습 자료가 있고, IPv6 실습 교육을 제공하는 업체도 소수지만 있다. IPv6를 따라잡는 최선의 방법은 IPv6 테스트 환경을 활용해 IPv6 전문가로부터 교육을 받으면서 IPv6 공격을 시뮬레이션하고 방어하는 방법을 익히는 것이다.
 

4. IPv6의 보안은 IPv4보다 낮지도, 높지도 않다

IPv6의 이점은 방대한 주소 공간에 있다. IPv4와 같은 네트워크 주소 변환(NAT)이 필요 없고,  IPv4에 비해 네트워크 확장성도 좋다. IPv6에 NAT가 없다는 이유로 네트워크가 더 약해지는 것은 아니다(RFC 4864). 오히려 패킷 헤더의 소스 주소를 수정하는 데서 비롯되는 익명성을 줄여 보안성은 더 높아진다. 종단 간 라우팅되는 네이티브 프로토콜은 포렌식에 유리하고 연결의 진실성을 높여준다.

그러나 IPv4에 보안 기능이 내장되지 않은 것과 마찬가지로 IPv6 프로토콜에도 내재적인 보안이 없다. 두 프로토콜 모두 IPsec을 사용할 수 있지만 선택사항일 뿐 모든 통신에 의무적인 것은 아니다. IPv4와 IPv6 모두 전송 계층 보안(TLS), 보안 셸(SSH)과 같은 안전한 애플리케이션 수준 프로토콜을 위한 라우팅된 프로토콜 기반을 제공한다.
 

5. 상용 제품의 IPv6 보안 기능이 부족할 수 있다

IPv6를 도입하기 전에 미리 보호하는 것이 적절한 접근 방법이라는 데는 이론의 여지가 없다. 문제는 기업이 IPv6를 도입한 후 뒤늦게 보안 솔루션이 IPv4 기능만 제공한다는 사실을 알게 됐을 경우다. 도입을 중단하고 업체의 제품 개발 일정을 기다리면서 IPv6를 지원하는 제품으로 신속하게 교체하든지, 최악의 경우 IPv6를 보호되지 않은 상태로 운영해야 한다.

이런 사태를 방지하려면 현재 사용 중인 보호 조치를 검토해 해당 제품의 IPv6 기능 수준을 파악해야 한다. 처음에는 방화벽, 침입 차단 시스템(IPS), 악성코드 보호, 보안 웹 게이트웨이(SWG), 프락시 서버, 평판 필터링, 위협 인텔리전트 피드와 같은 인터넷 경계 보안 시스템에 초점을 둔다. 일부 업체는 제품 사양표에 간단히 'IPv6'라고만 써 놓는데, 이때는 더 구체적으로 조사해 IPv4와 IPv6 기능 간의 실질적인 동일성 수준을 확인해야 한다.

예를 들어 웹 서버가 듀얼 프로토콜인 오픈 웹 애플리케이션 보안 프로젝트(OWASP) 상위 10개 위험 요소에 대한 방어에 IPv4만 지원하는 웹 애플리케이션 방화벽(WAF)을 사용하는 것은 위험하다. PCI-DSS 보안 규정 준수를 위해 WAF가 필수인 경우 규정 준수 위반이 될 수도 있다. 이때는 웹 서버에서 IPv6를 활성화하기 전에 WAF의 IPv6 결함을 파악해 업그레이드하거나 완전한 듀얼 프로토콜로 교체하는 편이 더 낫다.

결과적으로 IPv6와 IPv4에 대해 같은 수준의 보호를 추진해야 한다. 현재 상황을 알고 안전하게 IPv6를 도입할 수 있도록 제품과 서비스의 IPv6 기능을 세부적으로 확인해야 한다.
 

6. 준비되지 않은 보안팀은 IPv6 도입에 장애가 된다

보안팀이 IPv6에 대해 준비되지 않으면 기업 IPv6 도입 과정이 지연되거나 아예 중단될 수 있다. 보안 팀이 최종적인 IPv6 구축에 관여하지 않을 경우 기업은 위험에 노출된다. 중역 회의실에서 CIO가 비용 절약을 위해 처음부터 보안이 필요한 IPv6 IoT 시스템을 구축해야 할 긴급한 비즈니스 필요성을 역설하는 상황을 상상해 보자. 보안팀이 IPv6에 대해 준비되지 않은 것은 CIO가 CISO를 돌아보며 “IPv6 보안과 관련해서는 무엇을 하고 있습니까?”라고 묻는데, CISO가 “아무것도 안 합니다!” 또는 “알아보고 알려드리겠습니다”라고 말하는 것과 같다.

이 예는 최근 미국 국방성(DoD) IPv6 구현 진행에 관한 회계감사원(GAO) 보고서에 수록된 것이다. 보고서는 “국방부는 보안 위험과 IPv6 분야의 훈련된 담당자 부족으로 인해 이 프로젝트를 종료했다”고 지적했다. IPv6 구축에 방해가 되는 보안팀을 원하는 기업은 없다. 오히려 보안팀은 성공적인 IPv6 구축에서 핵심적인 역할을 해야 한다. 이를 위해서는 IPv6 도입에 관여하는 여러 팀과 접촉해 보안을 IPv6 구현의 중요 요소로 설정하는 것이 필수적이다.
 

7. IPv6는 나중이 아닌 처음부터 보호해야 한다

IPv6로의 이행은 필연적이므로 기업 보안 관리자는 가급적 빨리 IPv6를 수용해야 한다. 인터넷의 IPv6 사용률이 75%에 이를 때까지 기다렸다가 IPv6에 대해 배우고 보호하기 시작할 것인가? 이미 IPv6는 주류인데 대부분의 기업 보안 팀은 뒤처진 상태다.

보안팀이 IPv6에 대응해 선제적으로 움직이면, 이해하지 못해 두려워하는 대신 IPv6를 완벽하게 통제하며 활성화할 수 있다. 따라서 모든 곳에서 IPv6를 비활성화하려고 노력하지 말고(실제로 소용도 없다), IPv6를 활성화하고 IPv6에 대한 시야를 확보하고 기업 보안 정책에 따라 통제하는 것이 더 낫다. 보안팀은 나중에 보안을 덧붙일 것이 아니라 처음부터 IPv6를 안전하게 계획하고 구축해야 한다. editor@itworld.co.kr


2020.07.09

보안팀이 놓치기 쉬운 IPv6의 진실 7가지

Scott Hogg | CSO
아직 IPv6를 도입하지 않았다고 해서 보안팀이 IPv6에 대해 알 필요가 없다고 생각한다면 오산이다. 도입 여부와 상관없이 직원과 네트워크는 이미 최신 통신 프로토콜인 IPv6에 의존하고 있다. 따라서 IPv6와 이 프로토콜과 관련된 네트워크의 작동 방식을 이해하지 못하면 네트워크가 취약해지고 위험해질 수 있다. 모든 보안 관리자는 IPv6에 대한 다음과 같은 7가지 요점을 이해해야 한다.
 
© Getty Images Bank
 

1. IPv6는 알려진 것보다 더 많이 사용된다

보안 관리자와 IT 직원 대부분은 인터넷에서 IPv6가 어느 정도로 사용되는지 정확히 인식하지 못하고, 결과적으로 많은 보안 관리자가 IPv6 보안 문제에 대처할 필요가 없다고 생각한다. 자신이 속한 기업에서 IPv6를 활성화하지 않았으므로 이를 보호하는 조치도 필요 없다고 여기는 것이다.

그러나 IPv6는 모든 현대 운영체제에 기본적으로 포함되고 활성화된다. 여기에는 보안 규정을 준수해야 하는 기업 데이터센터와 클라우드 시스템도 포함된다. IPv6를 지원하는 기기는 IPv6가 활성화된 네트워크에 연결되면 IPv6를 사용해서 연결한다.

결과적으로 인터넷 코어에는 이미 IPv6가 활성화돼 있고 모바일 무선 통신 네트워크는 IPv6를 광범위하게 사용한다. 우리가 사용하는 휴대폰도 우리가 모르는 사이 IPv6를 사용할 가능성이 크다. 많은 가정용 인터넷 서비스 역시 IPv6를 사용하고 비교적 새로운 모뎀과 라우터를 사용한다면 홈 LAN 내부에도 IPv6가 쓰인다. 주요 웹사이트의 30% 이상이 IPv6를 사용하며, 구글에 따르면 전 세계 사용자의 30% 이상이 IPv6를 사용 중이다(인도, 미국 등에서는 이 수치가 더 높다). 인터넷의 많은 곳에서는 이미 IPv6 사용량이 50%를 초과해 IPv4가 '소수' 프로토콜이 됐다.
 

2. 직원이 이미 IPv6를 쓰고 있다

보안 관리자는 인터넷에 연결된 사용자에 대한 IPv6 보안에 대해 지금까지 충분히 대처하지 않았다. 그러나 원격으로 업무를 처리하는 직원은 IPv6를 사용한다. 최종 사용자의 모바일 기기에서 실행되는 운영체제에는 기본적으로 IPv6가 활성화돼 있고 IPv6를 사용해 인터넷에 연결한다. 코로나19 대유행으로 재택근무가 확산한 지금은 이와 같은 형태가 더 일반적이다.

그러나 기업 VPN에는 여전히 IPv6가 구성되지 않은 경우가 많다. 결국 최종 사용자의 IPv6 트래픽은 기기에서 기업 보안 통제를 건너뛰고 바로 인터넷으로 들어간다. 이것을 ‘IPv6 VPN 탈옥’이라고 하는데, 몇 년 전부터 알려진 문제점이지만 많은 방화벽 관리자가 무관심하다.

일부 기업은 클라우드로의 전환 트렌드에 따라 클라우드 액세스 보안 브로커(CASB) 서비스를 통해 기업 보안 정책을 시행하는 경우도 있다. 그러나 CASB 업체 중에서도 IPv6를 지원하지 않는 경우가 있다. 이로 인해 IPv6에 연결된 최종 사용자가 IPv6를 사용해 인기 있는 사이트에 연결하는 과정에서 CASB 보안 통제를 건너뛰는 상황이 발생하기도 한다.
 

3. IPv6는 이미 기업 내에 존재한다

대부분의 보안 담당자는 IPv6에 대해 제대로 배우지 않았다. 그래서 IPv6 구축이 네트워크 관리자의 책임이라고 생각할 수 있다. 또한, IPv6를 기업이 도입하기 전까지는 배우거나 보호할 필요가 없다고 여긴다.

또한 많은 보안 관리자가 IPv6 프로토콜이 인터넷, 기업 WAN 또는 LAN에서 어떻게 작동하는지 제대로 이해하지 못한다. 예를 들어 IPv6가 활성화된 운영체제는 기업 유무선 액세스 네트워크에 연결돼 IPv6 패킷을 전송하고 링크-로컬(Link-Local) IPv6 유니캐스트 및 멀티캐스트 통신을 사용해 상호 연결할 수 있다. 결국 IPv6는 이미 기업 내부에 존재하는 것이다.

따라서 보안 관리자는 IPv6 프로토콜에 대해 배우고 공격자 행동을 예상해야 한다. 그러나 이를 알려줄 IPv6 교육 프로그램은 많지 않다. IPv6 관련 책은 많지만 IPv6 보안에 관한 책은 한 권뿐이다. 하지만 온라인 학습 자료가 있고, IPv6 실습 교육을 제공하는 업체도 소수지만 있다. IPv6를 따라잡는 최선의 방법은 IPv6 테스트 환경을 활용해 IPv6 전문가로부터 교육을 받으면서 IPv6 공격을 시뮬레이션하고 방어하는 방법을 익히는 것이다.
 

4. IPv6의 보안은 IPv4보다 낮지도, 높지도 않다

IPv6의 이점은 방대한 주소 공간에 있다. IPv4와 같은 네트워크 주소 변환(NAT)이 필요 없고,  IPv4에 비해 네트워크 확장성도 좋다. IPv6에 NAT가 없다는 이유로 네트워크가 더 약해지는 것은 아니다(RFC 4864). 오히려 패킷 헤더의 소스 주소를 수정하는 데서 비롯되는 익명성을 줄여 보안성은 더 높아진다. 종단 간 라우팅되는 네이티브 프로토콜은 포렌식에 유리하고 연결의 진실성을 높여준다.

그러나 IPv4에 보안 기능이 내장되지 않은 것과 마찬가지로 IPv6 프로토콜에도 내재적인 보안이 없다. 두 프로토콜 모두 IPsec을 사용할 수 있지만 선택사항일 뿐 모든 통신에 의무적인 것은 아니다. IPv4와 IPv6 모두 전송 계층 보안(TLS), 보안 셸(SSH)과 같은 안전한 애플리케이션 수준 프로토콜을 위한 라우팅된 프로토콜 기반을 제공한다.
 

5. 상용 제품의 IPv6 보안 기능이 부족할 수 있다

IPv6를 도입하기 전에 미리 보호하는 것이 적절한 접근 방법이라는 데는 이론의 여지가 없다. 문제는 기업이 IPv6를 도입한 후 뒤늦게 보안 솔루션이 IPv4 기능만 제공한다는 사실을 알게 됐을 경우다. 도입을 중단하고 업체의 제품 개발 일정을 기다리면서 IPv6를 지원하는 제품으로 신속하게 교체하든지, 최악의 경우 IPv6를 보호되지 않은 상태로 운영해야 한다.

이런 사태를 방지하려면 현재 사용 중인 보호 조치를 검토해 해당 제품의 IPv6 기능 수준을 파악해야 한다. 처음에는 방화벽, 침입 차단 시스템(IPS), 악성코드 보호, 보안 웹 게이트웨이(SWG), 프락시 서버, 평판 필터링, 위협 인텔리전트 피드와 같은 인터넷 경계 보안 시스템에 초점을 둔다. 일부 업체는 제품 사양표에 간단히 'IPv6'라고만 써 놓는데, 이때는 더 구체적으로 조사해 IPv4와 IPv6 기능 간의 실질적인 동일성 수준을 확인해야 한다.

예를 들어 웹 서버가 듀얼 프로토콜인 오픈 웹 애플리케이션 보안 프로젝트(OWASP) 상위 10개 위험 요소에 대한 방어에 IPv4만 지원하는 웹 애플리케이션 방화벽(WAF)을 사용하는 것은 위험하다. PCI-DSS 보안 규정 준수를 위해 WAF가 필수인 경우 규정 준수 위반이 될 수도 있다. 이때는 웹 서버에서 IPv6를 활성화하기 전에 WAF의 IPv6 결함을 파악해 업그레이드하거나 완전한 듀얼 프로토콜로 교체하는 편이 더 낫다.

결과적으로 IPv6와 IPv4에 대해 같은 수준의 보호를 추진해야 한다. 현재 상황을 알고 안전하게 IPv6를 도입할 수 있도록 제품과 서비스의 IPv6 기능을 세부적으로 확인해야 한다.
 

6. 준비되지 않은 보안팀은 IPv6 도입에 장애가 된다

보안팀이 IPv6에 대해 준비되지 않으면 기업 IPv6 도입 과정이 지연되거나 아예 중단될 수 있다. 보안 팀이 최종적인 IPv6 구축에 관여하지 않을 경우 기업은 위험에 노출된다. 중역 회의실에서 CIO가 비용 절약을 위해 처음부터 보안이 필요한 IPv6 IoT 시스템을 구축해야 할 긴급한 비즈니스 필요성을 역설하는 상황을 상상해 보자. 보안팀이 IPv6에 대해 준비되지 않은 것은 CIO가 CISO를 돌아보며 “IPv6 보안과 관련해서는 무엇을 하고 있습니까?”라고 묻는데, CISO가 “아무것도 안 합니다!” 또는 “알아보고 알려드리겠습니다”라고 말하는 것과 같다.

이 예는 최근 미국 국방성(DoD) IPv6 구현 진행에 관한 회계감사원(GAO) 보고서에 수록된 것이다. 보고서는 “국방부는 보안 위험과 IPv6 분야의 훈련된 담당자 부족으로 인해 이 프로젝트를 종료했다”고 지적했다. IPv6 구축에 방해가 되는 보안팀을 원하는 기업은 없다. 오히려 보안팀은 성공적인 IPv6 구축에서 핵심적인 역할을 해야 한다. 이를 위해서는 IPv6 도입에 관여하는 여러 팀과 접촉해 보안을 IPv6 구현의 중요 요소로 설정하는 것이 필수적이다.
 

7. IPv6는 나중이 아닌 처음부터 보호해야 한다

IPv6로의 이행은 필연적이므로 기업 보안 관리자는 가급적 빨리 IPv6를 수용해야 한다. 인터넷의 IPv6 사용률이 75%에 이를 때까지 기다렸다가 IPv6에 대해 배우고 보호하기 시작할 것인가? 이미 IPv6는 주류인데 대부분의 기업 보안 팀은 뒤처진 상태다.

보안팀이 IPv6에 대응해 선제적으로 움직이면, 이해하지 못해 두려워하는 대신 IPv6를 완벽하게 통제하며 활성화할 수 있다. 따라서 모든 곳에서 IPv6를 비활성화하려고 노력하지 말고(실제로 소용도 없다), IPv6를 활성화하고 IPv6에 대한 시야를 확보하고 기업 보안 정책에 따라 통제하는 것이 더 낫다. 보안팀은 나중에 보안을 덧붙일 것이 아니라 처음부터 IPv6를 안전하게 계획하고 구축해야 한다. editor@itworld.co.kr


X