1990년대 들어서면서 집집마다 퍼스널컴퓨터(PC)가 보급되고 서로 연결되는 모뎀(Modem)이 보급되면서 네트워크는 활성화 되기 시작했다. 하이텔…천리안…나우누리 등 빨라야 56Kbps Modem으로 연결되었던 답답하고 느려터진 그 네트워크는 1990년대 후반 하나로 통신의 ADSL이 아파트마다 보급되기 시작하면서 인터넷이라는 범 세계적인 거대한 네트워크 인프라에 연결되면서 사람들의 생활에 일대 변혁을 불러 일으키기 시작했다.
손으로 써서 보내던 편지는 이메일에게 자리를 빼앗겼고 TV와 신문이라는 거대 기업에 의해 가공되고 왜곡되어 전달되던 뉴스는 인터넷 1인 미디어인 블로그와 작은 중소 인터넷 언론매체에게 위협받는 혁명적인 사건이 일어났다.
하지만 밝은 곳이 있으면 어두운 곳도 있게 마련이듯 수많은 PC와 서버들이 서로 연결이 가능한 거대한 네트워크(인터넷)로 연결되면서 서버해킹, PC 해킹, 개인정보 유출, 기업의 다양한 기밀자료의 유출 등 수많은 다양한 형태의 해킹 사고가 발생하고 있다. 이러한 보안사고(해킹 및 정보 유출)는 지금도 어디에선가 해커에 의해 자행되고 있고 또한 그 해킹을 막기 위해 많은 전산인들이 분주하게 움직이고 있다.
그렇다면 과연 해킹을 막기 위해 투자되는 엄청난 비용과 인력은 효율적으로 이용되고 있는지를 한번 살펴봐야할 필요가 있다.
네트워크 보안의 함정에 빠지다.
많은 보안 전문가들은 네트워크 보안의 중요성을 강조하고 해킹의 방어는 네트워크에 흘러다니는 패킷(인터넷 통신의 데이터 전송 단위)을 분해하고 그 안의 내용을 검사하거나 암호화 하는 것이 최선인 것 처럼 이야기 한다. 물론 틀린 이야기는 아니다. 맞는 말이다. 하지만 거기에는 많은 사람들이 또한 알고 있지만 이야기하지 못하는 함정이 있다.
기업에서 관리하는 대부분의 데이터 유출 보안 사고는 네트워크에 흘러다니는 데이터를 가로채는 방식의 공격으로 일어나지 않는 다는 것이다. 이미 많은 부분 통신 데이터의 암호화가 이루어지거나 외부로부터 접근이 어렵도록 네트워크의 분리 등 네트워크 관점에서의 보안은 상당부분 이루어져 있고 방법론 또한 다양하게 준비되어 있어 보안 인프라에 투자할 자금만 있다면 얼마든지 네트워크의 보안을 강화할 수 있다.
그렇다면 최근 발생하는 수많은 해킹과 그로 인한 중요 데이터의 유출은 어떻게 발생하고 또 해킹을 방어하기 위한 보안의 주요 대상은 무엇이 되어야 하는가?
그것은 바로 서버다. 인터넷과 기업에는 수 많은 서버들이 있다. 네트워크는 이 서버들끼리…혹은 서버와 PC를 연결해주는 통로에 불과하다.그리고 이미 그 통로에는 해커의 침입을 막기 위해 방화벽, IPS, PKI, NAC 등 다양한 함정과 방어막을 설치해 놓았다. 하지만 그럼에도 불구하고 해킹 및 보안사고는 끊임없이 발생한다. 그 이유는 바로 네트워크 기반의 보안 솔루션으로 막을 수 없는 위협과 취약성이 너무도 많기 때문이다. 최근 발생한 GS칼텍스 개인정보 DB 유출사고, 신세계의 개인정보 유출, 옥션의 해킹사고 등은 그 대표적인 사례이다.
이제 보안의 대상은 중요 데이터가 저장되어 있는 서버 그 자체로 이동되어야 한다. 제 아무리 서버의 앞에 패킷을 분해하고 검사하는 종류의 솔루션을 설치해도 그것을 우회하거나 내부 네트워크에서 접근해오는 해킹 시도를 차단하는 것은 불가능하고 지속적으로 발견되는 네트워크 서비스 서버의 취약성에 대한 차단은 네트워크 기반의 보안 솔루션으로는 통제가 불가능하다.
많은 보안컨설팅 전문가들과 보안 전문가들은 어렴풋이나마 이러한 사실을 알고 있지만 서버 운영체제와 서버 내의 복잡 다양한 애플리케이션에 대한 지식 부족과 경험 부족 그리고 서버보안 강화에 대한 방법론의 부재와 솔루션에 대한 지식 부족 등 여러 이유로 인해 적절하게 대응하고 있지 못한 것이 현실이다.
서버를 건드리지 않고도 가능한 네트워크 보안에 너무도 치중한 나머지 정작 중요한 서버 자체의 보안에 너무도 무관심한 것이 현실이다.
서버보안 강화 방법론
용어는 참 거창하다. 똑똑하신 양반들께서 잘 쓰는 용어… 방법론… 영어로는 methodology… 하지만 방법론이라는 이 단어에 집착한 나머지 시작조차도 하지 못하는 경우가 많다. 서버보안이라고 하면 대부분 서버 운영체제의 설정을 검사하고 파일의 퍼미션을 체크하여 이렇게~저렇게~ 수정하라고 권고하는 수준을 생각한다. 유명 보안컨설팅 업체에 큰돈을 주고 보안 컨설팅을 받아도 서버의 보안 점검과 조치는 그 수준에 그치는 경우가 태반이다.
서버 운영체제와 시스템소프트웨어 그리고 애플리케이션과 데이터파일에 대한 보안을 강화하기 위해 아직까지 정립된 방법론은 없다. (사실….본적이 없다.)
10여년 가까운 보안OS의 기술지원과 프로젝트를 수행한 본인도 뚜렷한 방법론을 지금까지는 정립하지 못했다. 그도 그럴것이 보안OS의 안정성과 정책수립을 위한 기능이 어느정도 안정적인 궤도에 오른것이 몇년되지 않았다. 때문에 설치 및 운영 중 발생하는 장애에 대처하기에도 벅찼던 것이 현실이다.
하지만 그 와중에도 서버 내의 보안을 강화하기 위한 접근제어 정책 및 서버보안정책 수립을 위한 나름대로의 절차와 기준 그리고 노우하우는 갖고 있다. 그중에서 가장 힘들고 어려운 부분은 바로 서버보안에 대한 고객의 이해와 참여를 유도하는 것이다.
적게는 서너대, 많게는 수백대의 서버를 운영하는 고객사에서 각 서버별로 최적화된 보안정책을 수립하는 것은 현실적으로 불가능하다. 때로는 강력한 정책을 요구하기도 하고 때로는 수십, 수백대에 공통으로 적용할 수 있는 표준 정책을 요구하기도 한다. 그때마다 적절한 수준의 보안정책을 수립하고 적용하는 것은 IT경력 10년이 넘는 본인에게도 신경쓰이는 일이다.
서버의 보안정책 수립에서 가장 중요한 것이 고객의 이해와 참여라고 했다.
최근 100여대의 서버에 보안정책을 수립하는 프로젝트를 진행한 적이 있다. 우리팀의 엔지니어 혼자 진행하던 중 도움이 필요한 상황이 발생하여 정책 수립과정을 지원했는데 참으로 난감한 것이 고객의 보안담당자와 그팀의 팀장님은 그 업무를 무척이나 간단하게 생각하고 있었다. 결국 한참의 난상토론과 업무협의 끝에 프로젝트 비용의 결제를 늦게 해주어도 좋으니 시간을 충분하게 갖고 진행하자는 쪽으로 유도했다.
그리고 20여명의 시스템관리자와 개발자 대표들이 모두 참여하는 관련 업무협의를 진행하여 이해와 참여를 요청하였고 보안정책 수립과정에 참여하여 보안을 위해 개발자와 시스템관리자가 양보해야할 부분은 양보하고 편의상 허용해야할 것은 철저하게 감사로그를 기록하여 사후 분석이 가능하도록 유도하였다.
이러한 과정에서 개발자와 시스템관리자의 잘못된 업무관행을 찾아내고 가능하다면 올바른 시스템 운영절차와 규칙을 수립하여 권고하는 것도 서버보안엔지니어와 컨설턴트의 임무라고 할 수 있을 것이다.
애플리케이션 보안정책의 수립
수립된 표준 보안정책은 전 서버에 일괄적으로 적용되고 서버별로 추가적인 보안정책은 해당 서버의 시스템관리자와 개발자와의 심층적인 분석과 협의를 통해 적용한다.
현재까지는 대부분 인터넷에 공개되어 있는 서버의 해킹차단을 위해 웹 애플리케이션에 대한 보안을 강화하기 위해 적용되는 경우가 많다. 예를 들면 웹소스의 위변조 차단과 웹쉘의 차단이 대표적인 경우다.
웹서버를 예로 들었지만 서버마다 실행되는 애플리케이션은 다른경우가 대부분이기 때문에 애플리케이션에 대한 보안강화는 서버 개별적으로 진행되어야 한다. 이 과정에서도 시스템관리자와 개발자의 이해와 참여는 필수적이다.
웹서버의 통제를 위해 적용된 응용프로그램 관련 접근통제 정책의 예
서버보안S/W(보안OS)의 활용도
많은공공기관과 금융기관에 서버보안S/W가 도입되어 있다. 하지만 그 활용도는 미미한 경우가 많다. 그 이유는 무엇일까? 많은 전문가들이 동의하듯 아직도 우리나라는 보안에 대한 인식이 부족하다. 사실 IT보안이 물리적보안 보다 더 중요함에도 불구하고 현실은 그 반대다. 건물경비와 출입통제 장치등에는 많은 비용을 지출하는 것을 아끼지 않지만 IT보안에 비용을 지출하는 것에는 무척이나 인색하다. 또한 인력의 투입도 부족하다. 시스템관리자와 개발자가 IT보안업무를 병행하면 되지 않느냐는 인식을 갖고 있다.
때문에 많은 IT보안솔루션을 도입해 놓고도 제대로 활용하지 못한다.
특히 서버보안S/W의 경우에는 운영체제, 시스템소프트웨어, 응용프로그램에 대한 깊이 있는 이해가 필요한 경우가 많다. (대신 그 보안 효과는 탁월하다.) 제대로만 활용한다면 그 어떤 보안솔루션 보다 해킹차단에 효과적이다.