데이터센터 / 보안

완벽하게 안전한 망 분리를 구축해야 한다면

Roger A. Grimes | InfoWorld 2013.08.02

APT(Advanced Persistent Threat). 적들에게 완패한 기업들은 미래의 위협에 대응하기 위한 방책을 찾고 있다.

필자는 패치 강화와 화이트리스트(Whitelist) 사용을 권장한다. 필자가 지겹도록 반복했듯이 이 두 개의 대책으로 대부분의 경우에 악성코드 공격의 성공 가능성을 99% 낮출 수 있다.

하지만 그 누구도 필자의 주장에 귀를 기울이지 않는다. 대부분의 기업들은 다른 것들에 집중하고 있다. 때로는 보안성이 높은 '크라운 주얼(Crown Jewel)' 네트워크 구축이 보안계획에 포함되기도 한다.

망 분리 네트워크 효과는 다음과 같다. 해당 기업은 모든 서비스의 목록을 작성하고 가장 중요성이 높은 것을 파악한 후, 최선을 다해 해당 자산을 보호한다.

보호하고자 하는 자산에는 임무 수행에 필수적인 애플리케이션 또는 서비스, 이를 지원하는 서버와 인프라(액티브 디렉토리(Active Directory), DNS, 사용자 계정, 서비스 계정, 네트워크 장비 등), 애플리케이션 또는 서비스에 연결되는 모든 워크스테이션 등이 포함된다.

참으로 많은 것을 고려하고 신경 써야 한다.
기본적으로 기업내에 가장 가치있는 자산을 일컫는 크라운 주얼(Crown Jewel) 자산은 훨씬 높은 수준으로 보호해야 한다는 생각이 깔려있다. 문제는 보호 방법과 몇 개의 크라운 주얼 네트워크가 필요하냐는 것이다.

대부분의 APT 공격에서 악당은 결국 액티브 디렉토리 도메인 컨트롤러에 침입해 모든 암호 해시(Hash)를 가져가고, 해시통과 툴을 사용해 네트워크를 완전히 장악한다.

대부분의 기업들은 하나 이상의 개별적인 추가 네트워크를 구축해 하나의 도메인 컨트롤러에 침입했을 때 다른 기업 자산을 보호하고 싶어한다.

이제 향상된 보안영역으로 진입하자
크라운 주얼 네트워크의 아이디어가 이상한 것은 아니다. 많은 기업들이 최소한 하나를 소유하고 있으며, 모든 미군 부대에서는 복수의 보안 네트워크를 수십 년 동안 사용하고 있다.

하지만 이와 동시에 지난 20년 동안 대부분 네트워크를 통합해 네트워크 수를 감소시킴으로써 비용과 관리 간접비를 낮출 수 있는 방법을 찾고 있다.

최근 APT에 대한 인식이 바뀌면서 기업 책임자들이 이전의 통합 트렌드를 다시 고려하고 있다. 이는 상당히 긍정적인 현상이다. 해시 통과 공격의 전제조건인 도메인 관리자 그룹의 영구 구성원을 없애는 것도 좋은 방법이다. 하지만 이것이 불가능하다면 복수의 보안 도메인을 생성해 위험을 줄일 수 있다.

더 많은 네트워크의 추가를 고려하고 있다면, 반드시 몇 개의 보안 도메인이 필요할 지를 먼저 생각해 봐야 한다. 많은 기업들이 새롭고 안전한 단일 크라운 주얼 네트워크를 구성하기도 결정하고 있으며, 거기에 임무 수행에 필요한 모든 서비스를 위치시키고 있다.

필자는 보안을 강화하면서 관리할 네트워크가 너무 많아 발생하는 간접비를 줄일 수 있기 때문에 이 모델을 좋아한다. 즉, 임무 수행에 필요한 모든 서비스는 실제로 모두 중요하며, 이것들은 같은 보안 정책 하의 같은 보안 도메인 내에서 관리하는 것이 좋다.

하지만 오직 하나의 완벽히 안전한 새로운 네트워크를 보유하기로 결정했다 하더라도 반드시 계획을 세우고 노력해 악당들이 침입을 위해 사용하는 기존의 방식이 네트워크에서 먹히지 않도록 해야 한다.

 Tags 망 분리

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.