보안

어느 보안 전문가의 고백 : “호스트 강화, 적당히 해라”

Roger A. Grimes | InfoWorld 2011.04.22
설정을 변경하는 사람들은 자신이 정확히 무엇을 하는지를 모르는 경우가 많고, 그렇기 때문에 겉으로 보기에는 불필요한 서비스를 비활성화함으로써 가끔 예상치 못한 결과가 나타나기도 한다. 이와 관련해 필자가 자주 언급하는 사례는 윈도우 도메인 컨트롤러 상에서 프린터 스풀러 서비스를 비활성화하는 사용자이다. 그들은 알지 못하지만, 그렇게 함으로써 활성 디렉토리의 프린터 기능이 중단된다.
 
그리고 좀 더 심각한 사안으로 대부분의 보안 강화 가이드에는 끔찍한 조언이 포함되어 있다. 제시한 권장 사항이 문제를 유발할 가능성이 있기도 하고, 실제로는 보안을 약화시키기도 한다. 모든 가이드에서 이런 내용을 발견할 수 있으며, 널리 사용되는 보안 강화 가이드 역시 예외는 아니다.  
 
필자가 언급한 것과 같이, 최신 IPv6 익스플로잇으로 인해 IT 관리자들은 IPv6 서비스를 비활성화해야 하는지의 여부에 대해 궁금해하고 있다. 우선, 그들은 IPv6는 중단시키기가 어렵고, 둘째로 아직까지 세상의 대부분은 IPv6를 사용하고 있지 않다고 주장한다. 필자는 관리자들에게 그러지 말라고 조언하고 있다. IPv6는 IPv4보다 보안성이 훨씬 더 크다.
 
IPv6 비활성화, 실익 없는 조처
기업들은 IPv6를 비활성화해서는 안되고 IPv6를 활성화하여 사용해야 한다. 만약 2계층 DHCP 스푸핑 공격(모든 기업에서 거의 매일 컴퓨터에 영향을 미치는)을 막기 위해 엄청난 커다란 노력을 기울이고 있지 않다면, IPv6가 이런 공격을 낮출 것이라고 걱정하는데 힘을 쓸 필요가 없다. 그렇다, DHCP에서와 마찬가지로 IPv6 공격은 발생할 수 있다. 그렇지만 크게 확산되지는 않고 있다.  
 
필자는 과도한 일반화는 하고 싶지 않다. 비용 이익의 관점에서 불필요한 서비스를 비활성화하는 것은 종종 합리적인 결정이다. 아마도 어떤 업체에서는 IPv6 플레인을 비활성화하는 것이 효과가 있을지도 모른다. 그러나 그렇게 하기 위해 시간과 자원을 낭비하는 대신 IPv6 공격이 널리 확산되는지를 두고 보면 안되겠는가? 만약 IPv6 해킹을 예방하고자 한다면, 클라이언트 측 공격과 같은 좀 더 가능성이 큰 공격에 시간과 에너지를 쏟는 것이 어떨까?
 
필자는 또한 애플리케이션과 작성한 코드뿐만 아니라 데이터 보안 설정을 강화하고자 하는 사람들에게는 찬성이다. 그것은 간단한 일이다. 필자고 말하고자 하는 것은 이미 보안 검증이 이루어졌고 개발자가 지원하고 있는 기반 운영체제 또는 인기 있는 업체의 애플리케이션을 강화하기 위해 노력을 쏟아 붓는 것이다. 만약 보안을 강화할 시간이 있다면 업체들이 아직까지 검토하지 않았거나 보안에 대해 무지한 애플리케이션과 분야에 주력하기를 권한다.
 
이런 결론을 내린 것이 필자가 처음은 아니다. 필자의 동료인 아론 마르고시스는 몇 년 전부터 이에 대한 기사를 작성하고 있다. 몇 년 전 재스퍼 존슨과 스티브 릴리는 저서 “윈도우 네트워크 보호 : 주변에서부터 데이터까지”에서 동일한 주장을 했다. 당시 필자는 그들을 비판하고 그들의 “나쁜” 충고를 듣지 말라는 기사를 작성했었다. 그리고 필자는 그들의 주장에 대해 개인적으로 약간 화가 나기도 했었다.
 
그렇지만 필자가 틀렸다. 가끔 다른 사람들이 나보다 어떤 것을 좀 더 명확하게 그리고 좀 더 일찍 간파할 수 있다는 것을 인정하는 데는 약간의 시간이 걸린다. 그리고 필자의 향후 기사들은 그러한 관점에서 작성되기를 희망한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.