2021.10.05

자동화가 네트워크 기기 보안을 개선하는 이유와 방법

Terry Slattery | Network World
최근 T 모바일 데이터 침해 사건은 공격자가 보안이 취약한 라우터에 접속한 후 네트워크에 침투한 것으로 알려졌다. 네트워크 자동화를 사용했다면 방지할 수 있었던 공격이다. 자동화는 IDS, IPS, SASE 등 신기술보다 주목도가 떨어지지만 현대 네트워크 보안에서 매우 중요하다. 자동화를 사용해 네트워크 보안을 강화하는 방법을 알아보자.
 
ⓒ Getty Images Bank
 

견고한 네트워크 기기 보안 방법

효과적인 네트워크 운영은 사람, 프로세스, 기술 등 3요소에 의존한다. 즉, 효과적인 작업을 수행할 기술과 역량을 갖춘 적절한 인력, 올바른 정책과 프로세스, 그리고 이를 실현할 적절한 기술이다. 자동화는 반복 가능한 프로세스를 구축해 네트워크 정책을 검증하고 실행할 수 있게 해주는 기술이다.

기기 검색과 구성 검증 프로세스를 자동화하면 기기와 구성에서 우발적인 보안 틈새가 발생하지 않도록 해 네트워크 보안을 강화한다. 달리 말하면 자동화의 목표는 네트워크 정책이 네트워크 전반에 일관되게 적용되도록 하는 데 있다. 보호되지 않은 채 방치된 라우터는 공격자의 침투에 악용될 수 있다.

네트워크의 각 기기를 검색하면 자동화 시스템은 해당 구성을 다운로드해 네트워크 정책을 이행하는 구성 규칙에 부합하는지 확인한다. 정책의 종류는 기기 명명 표준과 같은 보안과 관련되지 않은 간단한 항목부터 인증 제어 및 액세스 제어 목록과 같은 필수 보안 정책에 이르기까지 다양하다. 자동화 시스템은 정책을 반영하는 구성을 배포하고 유지하는 데 도움이 된다.

기기 구성에 반영되지 않는 한 가지 정책은 네트워크 설계의 변동 최소화다. 예를 들어 기기 하드웨어, 운영체제, 각 네트워크 링크에 사용되는 인터페이스와 같은 세부 정보가 포함된 단일 네트워크 설계를 지사 사무실 네트워크 구축에 적용할 수 있다. 이 접근 방법은 자동화를 대폭 간소화해 효과적인 네트워크 보안을 구현한다.
 

자동화를 적용하는 방법

이를 위해서는 네트워크의 모든 기기를 알아야 한다. 존재 자체를 모르면 관리할 수도 없다. 보안팀은 유발되는 트래픽 탓에 네트워크 스캔을 반기지 않을 수 있지만, 네트워크의 모든 요소를 식별하기 위해서는 스캔이 거의 유일한 방법이다.

스캔 시스템은 쉽게 추정이 가능한 또는 기본 그대로의 인증 정보가 있는지 확인한다. 네트워크 스캔은 무차별 대입(brute force) 핑 스윕을 사용할 수 있지만 그보다는 많은 프로토콜이 생성하는 이웃 테이블(neighbor table)을 사용하는 것이 더 좋다.

라우팅 이웃은 다른 서브넷을 찾는 데 사용되고 ARP 테이블과 스위치 MAC 주소 테이블은 레이어 2 데이터 링크 이웃을 알려준다. nmap과 같은 오픈소스 툴 또는 다양한 상용 툴을 사용해 네트워크 검색을 자동화할 수 있다. 참고로 완전한 네트워크 검색을 마친 후에만 자동화의 다른 단계를 시작할 수 있는 것은 아니다.

네트워크 변경 및 구성 관리(NCCM) 시스템은 네트워크 인벤토리를 사용해 네트워크 기기 구성을 중앙 리포지토리에 백업하는 과정을 자동화한다. NCCM 시스템에는 구성 변경(구성 드리프트라고도 함)을 확인하는 자동화된 메커니즘이 포함돼야 한다.

그런 다음 각 기기 유형에 대해 네트워크 정책이 적용되도록 기준 구성을 만든다. 정해진 정책에 부합하지 않는 구성을 찾는 자동화된 구성 감사 시스템이 필요하다.

물론 정의된 정책을 준수하지 않는 구성은 수정해야 하는데, 최신 제품이 빛을 발하는 부분이 바로 여기다. 지능적으로 구성문을 삭제하고 새 구성 요소를 추가한다. 반면 기존 일부 제품에서 액세스 제어 목록을 변경하려면 원하는 결과에 이르기 위해 정해진 단계를 따라야 한다.

또한 전체 구성 관리를 고집하지 않는 제품이 좋다. 관리하고자 하는 구성 섹션만 관리하고 나머지 부분은 건드리지 않는 제품이 바람직하다. 이는 자동화를 단계별 프로세스로 도입할 때 중요한 기능이다. 자동화 도입이 진전되면 수동 구성 변경을 완전히 없애고 모든 기기 구성을 자동화 시스템을 통하는 것이 최적인 시점이 오는데, 이 단계에 빨리 다다르는 것이 좋다. 네트워크 인프라 보안이 크게 개선된다.
 

네트워크 보안의 완성, '검증'

자동화를 도입했다고 네트워크 보안이 완성된 것은 아니다. 그렇다면 원하는 결과를 달성했는지 어떻게 알 수 있을까. 이때 필요한 것이 검증 테스트다. 글로벌 인터넷에서 네트워크를 스캔해 네트워크와 IT 시스템의 보안 결함을 찾는 제품을 사용하면 된다. 이러한 제품은 일종의 아웃소싱된 자동화와 같다.

네트워크 내에서 자동화를 사용해 네트워크 상태를 검증한다. 배포된 구성이 애초에 배포하고자 한 구성인지 여부만 확인하는 구성 감사와는 다르다. 예를 들어 BGP 이웃이 올바르며 정해진 상태에 있는지, 스패닝 트리의 루트 브리지가 토폴로지의 적절한 위치에 있는지, 네트워크 시간 프로토콜이 적절한 피어 집합과 함께 올바르게 작동 중인지, 격리돼야 할 내부 시스템이 인터넷에 연결할 수 있는지(일종의 반전 테스트) 등 정기적으로 네트워크 상태를 확인하는 것이 좋다.
 

네트워크 자동화 도입을 설득하는 근거

네트워크 자동화 시스템의 비용은 만만치 않고, 네트워크 크기와 네트워크 복잡성, 담당자의 기술, 배포하는 제품의 종류 등 여러 요소에 따라 달라진다.

기업 경영자에게 매년 수십만 달러의 비용이 드는 제품을 구매 혹은 구독하라고 설득하기는 쉽지 않다. 이때는 직원의 업무 시간이 줄어든다는 점과 랜섬웨어나 데이터 도난에 대처할 필요가 없다는 점을 강조하면 도움이 된다. 또한, 자동화를 통해 가동 중단 횟수를 줄여 비즈니스 안정성을 높이고 변화하는 비즈니스 환경에 적응해 민첩성을 높일 수 있는 장점도 있다.

또 하나 유용한 방법은 비즈니스 위험 관리 맥락에서 자동화를 논의하는 것이다. 외부 보안 스캐너를 사용해 보안 결함을 찾거나 네트워크 검색 툴을 이용해 비즈니스 위험을 야기하는 '관리되지 않는' 기기를 쉽게 찾을 수 있다. 이를 통해 자동화는 투자 가치가 있는 경쟁 우위로 이어질 수 있다. editor@itworld.co.kr


2021.10.05

자동화가 네트워크 기기 보안을 개선하는 이유와 방법

Terry Slattery | Network World
최근 T 모바일 데이터 침해 사건은 공격자가 보안이 취약한 라우터에 접속한 후 네트워크에 침투한 것으로 알려졌다. 네트워크 자동화를 사용했다면 방지할 수 있었던 공격이다. 자동화는 IDS, IPS, SASE 등 신기술보다 주목도가 떨어지지만 현대 네트워크 보안에서 매우 중요하다. 자동화를 사용해 네트워크 보안을 강화하는 방법을 알아보자.
 
ⓒ Getty Images Bank
 

견고한 네트워크 기기 보안 방법

효과적인 네트워크 운영은 사람, 프로세스, 기술 등 3요소에 의존한다. 즉, 효과적인 작업을 수행할 기술과 역량을 갖춘 적절한 인력, 올바른 정책과 프로세스, 그리고 이를 실현할 적절한 기술이다. 자동화는 반복 가능한 프로세스를 구축해 네트워크 정책을 검증하고 실행할 수 있게 해주는 기술이다.

기기 검색과 구성 검증 프로세스를 자동화하면 기기와 구성에서 우발적인 보안 틈새가 발생하지 않도록 해 네트워크 보안을 강화한다. 달리 말하면 자동화의 목표는 네트워크 정책이 네트워크 전반에 일관되게 적용되도록 하는 데 있다. 보호되지 않은 채 방치된 라우터는 공격자의 침투에 악용될 수 있다.

네트워크의 각 기기를 검색하면 자동화 시스템은 해당 구성을 다운로드해 네트워크 정책을 이행하는 구성 규칙에 부합하는지 확인한다. 정책의 종류는 기기 명명 표준과 같은 보안과 관련되지 않은 간단한 항목부터 인증 제어 및 액세스 제어 목록과 같은 필수 보안 정책에 이르기까지 다양하다. 자동화 시스템은 정책을 반영하는 구성을 배포하고 유지하는 데 도움이 된다.

기기 구성에 반영되지 않는 한 가지 정책은 네트워크 설계의 변동 최소화다. 예를 들어 기기 하드웨어, 운영체제, 각 네트워크 링크에 사용되는 인터페이스와 같은 세부 정보가 포함된 단일 네트워크 설계를 지사 사무실 네트워크 구축에 적용할 수 있다. 이 접근 방법은 자동화를 대폭 간소화해 효과적인 네트워크 보안을 구현한다.
 

자동화를 적용하는 방법

이를 위해서는 네트워크의 모든 기기를 알아야 한다. 존재 자체를 모르면 관리할 수도 없다. 보안팀은 유발되는 트래픽 탓에 네트워크 스캔을 반기지 않을 수 있지만, 네트워크의 모든 요소를 식별하기 위해서는 스캔이 거의 유일한 방법이다.

스캔 시스템은 쉽게 추정이 가능한 또는 기본 그대로의 인증 정보가 있는지 확인한다. 네트워크 스캔은 무차별 대입(brute force) 핑 스윕을 사용할 수 있지만 그보다는 많은 프로토콜이 생성하는 이웃 테이블(neighbor table)을 사용하는 것이 더 좋다.

라우팅 이웃은 다른 서브넷을 찾는 데 사용되고 ARP 테이블과 스위치 MAC 주소 테이블은 레이어 2 데이터 링크 이웃을 알려준다. nmap과 같은 오픈소스 툴 또는 다양한 상용 툴을 사용해 네트워크 검색을 자동화할 수 있다. 참고로 완전한 네트워크 검색을 마친 후에만 자동화의 다른 단계를 시작할 수 있는 것은 아니다.

네트워크 변경 및 구성 관리(NCCM) 시스템은 네트워크 인벤토리를 사용해 네트워크 기기 구성을 중앙 리포지토리에 백업하는 과정을 자동화한다. NCCM 시스템에는 구성 변경(구성 드리프트라고도 함)을 확인하는 자동화된 메커니즘이 포함돼야 한다.

그런 다음 각 기기 유형에 대해 네트워크 정책이 적용되도록 기준 구성을 만든다. 정해진 정책에 부합하지 않는 구성을 찾는 자동화된 구성 감사 시스템이 필요하다.

물론 정의된 정책을 준수하지 않는 구성은 수정해야 하는데, 최신 제품이 빛을 발하는 부분이 바로 여기다. 지능적으로 구성문을 삭제하고 새 구성 요소를 추가한다. 반면 기존 일부 제품에서 액세스 제어 목록을 변경하려면 원하는 결과에 이르기 위해 정해진 단계를 따라야 한다.

또한 전체 구성 관리를 고집하지 않는 제품이 좋다. 관리하고자 하는 구성 섹션만 관리하고 나머지 부분은 건드리지 않는 제품이 바람직하다. 이는 자동화를 단계별 프로세스로 도입할 때 중요한 기능이다. 자동화 도입이 진전되면 수동 구성 변경을 완전히 없애고 모든 기기 구성을 자동화 시스템을 통하는 것이 최적인 시점이 오는데, 이 단계에 빨리 다다르는 것이 좋다. 네트워크 인프라 보안이 크게 개선된다.
 

네트워크 보안의 완성, '검증'

자동화를 도입했다고 네트워크 보안이 완성된 것은 아니다. 그렇다면 원하는 결과를 달성했는지 어떻게 알 수 있을까. 이때 필요한 것이 검증 테스트다. 글로벌 인터넷에서 네트워크를 스캔해 네트워크와 IT 시스템의 보안 결함을 찾는 제품을 사용하면 된다. 이러한 제품은 일종의 아웃소싱된 자동화와 같다.

네트워크 내에서 자동화를 사용해 네트워크 상태를 검증한다. 배포된 구성이 애초에 배포하고자 한 구성인지 여부만 확인하는 구성 감사와는 다르다. 예를 들어 BGP 이웃이 올바르며 정해진 상태에 있는지, 스패닝 트리의 루트 브리지가 토폴로지의 적절한 위치에 있는지, 네트워크 시간 프로토콜이 적절한 피어 집합과 함께 올바르게 작동 중인지, 격리돼야 할 내부 시스템이 인터넷에 연결할 수 있는지(일종의 반전 테스트) 등 정기적으로 네트워크 상태를 확인하는 것이 좋다.
 

네트워크 자동화 도입을 설득하는 근거

네트워크 자동화 시스템의 비용은 만만치 않고, 네트워크 크기와 네트워크 복잡성, 담당자의 기술, 배포하는 제품의 종류 등 여러 요소에 따라 달라진다.

기업 경영자에게 매년 수십만 달러의 비용이 드는 제품을 구매 혹은 구독하라고 설득하기는 쉽지 않다. 이때는 직원의 업무 시간이 줄어든다는 점과 랜섬웨어나 데이터 도난에 대처할 필요가 없다는 점을 강조하면 도움이 된다. 또한, 자동화를 통해 가동 중단 횟수를 줄여 비즈니스 안정성을 높이고 변화하는 비즈니스 환경에 적응해 민첩성을 높일 수 있는 장점도 있다.

또 하나 유용한 방법은 비즈니스 위험 관리 맥락에서 자동화를 논의하는 것이다. 외부 보안 스캐너를 사용해 보안 결함을 찾거나 네트워크 검색 툴을 이용해 비즈니스 위험을 야기하는 '관리되지 않는' 기기를 쉽게 찾을 수 있다. 이를 통해 자동화는 투자 가치가 있는 경쟁 우위로 이어질 수 있다. editor@itworld.co.kr


X