본문 바로가기

서버보안

APT 공격 방어를 위해 공인인증을 연동한 서버 접근제어 구현

보안 강화의 어려움

보안 업계에서 일하면서 느끼는 것 중 하나가 유독 보안업계에는 서버나 네트워크 혹은 업무 시스템의 개발과 구축 경험을 가지지 않은 "보안 전문가"가 많다는 것이다. 그러다 보니 "보안"을 문서나 말로만 하는 사람들이 많고 실제 서비스 운영이나 업무 영역의 소프트웨어를 개발하는 실무자들과 트러블이 많아진다. 우리나라 IT 분야의 특성 상 보안 업무는 개발이나 운영 그리고 IT 시스템을 사용하는 비지니스 업무 담당자들로부터 "방해꾼"의 오명을 뒤집어 쓰는 경우가 많다. 당연히 보안 실무자들의 업무 수행은 어려워질 수 밖에 없다.

가뜩이나 "보안을 강화하면 현업 업무가 불편하고 어려워진다" 는 인식이 강한데다 현업 업무 담당자들이나 업무 시스템 개발자, 운영자들이 볼 때는 현업 업무도 모르면서 입으로만 "보안강화"를 외친다는 인식을 갖게 될 수 밖에 없다.

이러한 인식을 불식시키기 위해서는 보안 정책을 강화하고 실 업무에 적용할 때 현업 업무 담당자들의 애로와 고충을 귀기울여 듣고 어려움을 해소시켜주려는 노력을 해야하며 보안을 강화하는 것이 업무를 불편하게 하는 것이 아니라 업무 프로세스를 정립하는 과정의 일부분임을 이해시키는 설득의 과정이 필요하다. 또한 보안 컨설턴트들은 개인의 간판을 중요시 할 것이 아니라 서버나 네트워크 장비의 특성과 업무단의 어플리케이션 개발에 대한 경험은 물론 웹서버, 미들웨어, 클러스터, 데이터베이스, 백업S/W, 시스템 관리 S/W 등의 다양한 솔루션들에 대한 이해와 운영 경험을 갖는 것을 더 중요시해야 할 것이다.

APT 공격 방어를 위한 공인인증 서버 접근제어 기법

아래의 동영상에서는 APT 공격을 방어하기 위한 일환의 하나로 공인인증서를 소유하고 공인인증을 받아야만 서버에 Telnet, FTP를 통해 접속할 수 있도록 하는 서버 접근제어 기법을 보여준다.

최근 APT 공격의 과정 중 하나로 내부 사용자의 노트북이나 PC를 장악하고 서버에 침투하는 경우가 많다. 만약 USB등의 매체에 공인인증서를 갖고 있으며 서버에 접근할 때 해당 공인인증서를 통해 인증을 받아야만 서버에 Telnet, FTP 접속을 가능하게 한다면 상당부분 APT 공격을 통해 서버에 접근할 수 있는 권한을 얻는 것을 차단할 수 있다.

또한 공인인증을 받기 위해 내부에 인증서버를 둔다면 인증서버의 감사로그를 통해 자연인 누가 어느 서버에 접속을 시도하고 성공했는지를 검증할 수 있을 뿐만 아니라 서버에 접근한 뒤 파일 접근 감사로그에서도 서버 계정 뿐만아니라 해당 계정을 사용한 자연인 누가~ 어느 파일에 접근 위반을 발생하였는지도 실시간으로 확인할 수 있다.