amplengine님의 이글루

네트워크, 특히 인터넷을 중심으로 한 기업 환경의 변화는 네트워크 중심의 보안에 새로운 과제를 안겨주고 있다. 새로운 과제의 핵심은 바로 엔드포인트, 즉 사용자 단의 보안이다. 대부분의 기업 데이터가 생성, 사용, 보관되는 곳이 바로 이곳이고, 네트워크를 통해 기업 내의 모든 기기가 하나로 연결되면서 단일 PC의 허점이 기업 전체를 위험으로 몰아갈 수 있기 때문이다.
더구나 기업 환경은 점점 더 네트워크, 즉 인터넷과 밀접한 관계를 맺고 있으며, 인터넷을 통해 처리되는 업무와 중요도 역시 높아지고 있다. 특히 기업의 주요 애플리케이션이 웹 기반으로 이전되면서 사용자단과 만나는 웹에 대한 위협이 갖는 파급효과는 커질 수밖에 없는 상황이다.
이같은 상황을 반영해, 엔드포인트 보안을 강화하기 위해 다양한 보안 기술이 등장하고 있다. 기존의 데스크톱 보안 솔루션인 안티바이러스, 안티스팸, 안티스파이웨어, 개인용 파이어월, 개인용 IPS 등에서부터, NAC(Network Access Control), DRM, 인증, PMS 등 여러 가지 기술을 통해 엔드포인트 보안을 강화해 나가고 있다.
여기서는 대표적인 엔드포인트 보안 기술로 SSL VPN, 웹 애플리케이션 파이어월, NAC(Network Access Control)에 대해 알아보겠다.

포인트 투 포인트 보안의 지존 VPN
VPN(Virtual Private Network)은 매우 오래 된 보안 기술로, 인증과 데이터 암호화를 통해 공중 네트워크를 사설 네트워크처럼 사용할 수 있는 기술이다. 지금처럼 인터넷이 보편화되지 않았던 시절, 기업들은 지사나 원격지 사무소를 연결하기 위해 전용회선, 즉 본사와 지사를 직접 연결해 독점적으로 사용하는 회선을 이용했다.
이런 전용회선은 다른 사용자의 간섭이 없기 때문에 안정성이나 보안 측면에서는 뛰어났지만, 문제는 비싼 회선 비용이었다. VPN은 ADSL, ISDN, 다이얼업 등의 공중 네트워크를 이용하지만, 마치 전용회선처럼 가상의 폐쇄 네트워크를 구성해 회사 내의 중요한 정보를 주고받는다는 개념이다. 인터넷을 이용해 VPN을 구성하면 인터넷 회선과 사설 회선을 별도로 구성해야 하는 번거로움이 사라질 뿐 아니라 전용회선을 도입하는 비용도 아낄 수 있다.?
공중 네트워크를 사설 네트워크처럼 사용할 수 있게 하는 핵심적인 기술은 터널링(tunneling)이다. 터널링 과정은 연결하고자 하는 두 지점 간에 가상 터널을 형성해, 외부로부터 영향을 받지 않고 정보를 주고 받는 것이다.?
터널링의 핵심은 OSI 7계층 중 어느 계층에서 터널링을 수행하는가와 어느 구간까지 터널을 구성하는가이다. 최종 사용자와 백본까지 엔드 투 엔드로 터널을 뚫을 것인가, 아니면 백본과 가입자 앞단의 VPN 게이트웨이나 라우터까지만 터널을 구성할 것인가 등을 고려해야 한다. 터널링하는 방법에는 크게 2계층과 3계층 터널링이 있는데, OSI 2계층에서 동작하는 방식으로는 PPTP(Point-to-Point Tunneling Protocol), L2TP(Layer 2 Tunneling Protocol)가 있고, OSI 3계층에서 동작하는 방식으로는 IPSec을 들 수 있다.
VPN에서 가장 많이 사용되는 프로토콜은 IPSec(Internet Protocol Security)이다. 이전의 보안 기법들은 보안 프로토콜이 통신 모델의 애플리케이션 계층에 삽입됐다면, IPSec은 본질적으로 데이터 송신자의 인증을 허용하는 인증 헤더 AH(Authentication Header)와 송신자의 인증과 데이터 암호화를 함께 지원하는 ESP(Encapsulating Security Payload), 키 교환을 위한 IKE 등을 이용해 보안 서비스를 제공한다. 즉 터널로 들어가기 전의 IP 패킷은 IP 헤더와 페이로드(payload)로 구성된다. 터널로 들어가면 AH가 추가돼 캘슐화되는 것이다. 다음으로 ESP 헤더가 삽입되면서 IP 패킷을 암호화한다.

엔드포인트로 확장되는 SSL VPN
IPSec VPN은 매우 효율적인 보안 방안이지만, 설치가 복잡하고 각 플랫폼별로 호환이 잘되지 않는다는 단점을 가지고 있다. 또한 이동 사용자가 증가하면서 본지사 외의 장소에서 인터넷을 통해 회사 네트워크에 접속해야 하는 경우는 별도의 클라이언트가 필요한 IPSec VPN은 적용하기 어렵다. 이런 이유 때문에 부상한 것이 바로 SSL(Secure Socket Layer)?VPN이다.
SSL은 원래 넷스케이프(Netscape)에서 암호화된 웹 브라우징을 제공하기 위해 만든 프로토콜로, 웹 브라우저들이 기본적으로 지원하면서 많은 웹사이트에서 SSL을 통한 암호화 기능을 제공하고 있다. SSL은 사용자 영역 프로토콜(5계층)이기 때문에 기존의 커널을 수정하지 않고 단순히 웹 브라우저만 있으면 사용할 수 있다는 장점이 있다.
만약 기존의 VPN으로 하던 일을 SSL로 할 수 있게 된다면 커널을 수정하지 않고도 이미 거의 모든 시스템에 설치돼 있는 웹 브라우저를 이용해 쉽게 VPN 작업을 사용할 수 있을 것이다. 이같은 아이디어에서 출발한 것이 SSL VPN이다.
SSL VPN은 웹 브라우저를 통해 원격지에서 회사 네트워크에 접속할 수 있다. 즉 VPN의 효과를 웹 브라우저 만으로 얻을 수 있다는 것이다. 이것 만으로도 SSL VPN은 기존 VPN 기술과 대비되는 장점을 제공한다.
가장 주목할 만한 것은 SSL VPN은 외부 사용자와 내부 네트워크 자원 간의 안전한 연결을 위해 SSL 프로토콜과 그 뒤를 잇는 TLS(Transport Layer Security)를 사용한다는 점이다. 연결이 성립되기 이전에 미리 사용자 단말에 IPSec 클라이언트 소프트웨어를 설치해야 하는 전통적인 VPN 기술과 달리 SSL VPN은 클라이언트없이 웹을 통해 바로 사용할 수 있다는 것이 특징이다.
SSL VPN의 또 다른 이점은 사용자 편의성이다. IPSec VPN은 공급업체에 따라 다른 구성과 설정을 필요로 하지만, SSL VPN은 웹 브라우저만 있으면 운영체제에 상관없이 다양한 환경에서 안전한 접속을 유지할 수 있다는 것이다.
이외에도 외부로 접속할 때의 보안에 있어서도 장점을 제공한다. 아웃바운드 IPSec VPN 세션을 허용하지 않는 환경에서도 외부로의 HTTP 트래픽에 대해 제한하는 경우는 거의 없다. 따라서 이 같은 네트워크 환경에 따른 제약에 있어서도 유리하다.

80번 포트를 보호하라
지금까지의 보안은 파이어월과 IDS, IPS 등을 중심으로 한 네트워크 보안에 초점을 맞추고 있었지만, 최근에는 웹과 애플리케이션에 대한 보안을 강화해 나가고 있는 추세다. 지금까지의 네트워크 보안은 웹 포트인 80번 포트나 SSL 포트인 443번 포트를 통해 오가는 트래픽에 대해서는 전혀 무방비 상태였지만, 점차 이를 이용한 웜이나 바이러스, 트로이 목마, 백도어 등의 위협 요소가 증가하면서 이 부분에 대한 보안을 강화해야 한다는 것이다.
기업의 IT 환경에서 웹 애플리케이션이 급격한 속도로 보급되기 시작하면서 기업의 내부뿐 아니라 외부에서도 손쉽게 정보에 접근하고 업무를 처리할 수 있게 됐다. 하지만 이 같은 웹 환경은 특정 포트를 항상 열어 놓아야 하기 때문에 구조적인 취약점을 갖고 있다. 바로 이렇게 열려있는 80번이나 443번 포트를 통해 웹 애플리케이션의 취약점을 이용한 홈페이지, 웹 서버 해킹이 시도될 수 있다.
실제로 다양한 보안 솔루션에 의해 기업의 주요 서버나 내부 네트워크로의 침입이 어려워진 해커들에 의해 웹 취약점을 노린 웹 해킹이 빈번하게 일어나고 있는 실정이다. 특히 과거에는 초기화면 변조 등에 머물던 웹 해킹이 컨텐츠 변조나 웹 서버를 경유한 내부 네트워크 침투 등으로 이어지고 있어 위험성 역시 매우 높아졌다.
물론 많은 기업들이 파이어월이나 IDS, IPS 등의 보안 솔루션을 구축하고 있지만, 이같은 네트워크 보안 제품으로는 웹 해킹을 원천적으로 차단하는 것이 불가능하다. 파이어월은 포트 차단을 기반으로 하고 있기 때문에 80번이나 443번 포트가 항상 개방돼 있어야 하는 경우에는 별다른 도움이 되지 못한다. 또한 IDS나 IPS의 경우에는 웹 보안을 위한 기능이 미미한 수준에 불과하다.
이에 따라 웹 서비스 앞단에서 웹 해킹을 방어할 방법으로 등장한 것이 웹 파이어월 또는 웹 애플리케이션 파이어월이다. 웹 파이어월은 기존의 파이어월이나 IDS, IPS 등의 네트워크 보안 솔루션으로는 탐지가 어려운 웹 트래픽을 감시하고, 이를 통한 해킹을 차단하는 솔루션이다.

웹 파이어월은 외부로부터 유입되는 웹 프로토콜을 필터링해 웹 애플리케이션의 취약점을 보완하고 웹 해킹 공격에 대한 대응 프로세스를 수립하며, 기존 보안 솔루션과는 달리 네트워크 계층이 아닌 애플리케이션 레벨에서 분석과 차단 기능을 수행한다. 기존의 웹 보안 솔루션 중 소스코드 감사 툴이나 웹 취약점 스캐너의 경우 사전 점검을 위한 솔루션인 반면, 웹 파이어월은 실제 웹 해킹 공격을 분석하고 이에 대응하는 역할을 수행한다.
웹 파이어월의 주요 기능은 다음과 같다.

· OWASP와 SANS 등에서 정의한 주요 웹 애플리케이션 취약점 대응 가이드라인을 기반으로 침해 모니터링과 탐지/차단 기능 제공
· 현재 알려졌거나 알려지지 않은(Zero-Day Attack) 보안 위협에 대한 방어 기능 수행
· 애플리케이션 레벨에서 발생하는 DoS 공격으로부터 방어 기능 수행
· SSL, PKI 등과 같은 암호화된 전송 데이터 분석과 차단 기능 제공
· 실시간 컨텐츠 모니터링을 통한 컨텐츠 변조 감시과 복구 기능 제공

웹 파이어월 역시 구성 방식에 따라 네트워크 기반 웹 파이어월과 호스트 기반 웹 파이어월로 나눌 수 있다.
네트워크 기반 웹 파이어월은 기존 파이어월이나 IPS처럼 외부에서 웹 서버로 이어지는 네트워크 중간에 설치되는 방식으로, 단일 장비로 여러 대의 웹 서버를 보호할 수 있다는 장점이 있다. 기존 웹 서버와 클라이언트 환경을 수정하지 않고 그대로 사용할 수 있지만, 장비의 성능이 전체 웹 서비스의 성능에 영향을 미칠 수 있다는 단점이 있다.
호스트 기반 웹 파이어월은 각 웹 서버에 보안 에이전트를 설치하고, 마스터 서버를 통해 관리하는 구조로, 웹 서버별로 별도의 보안 정책을 적용하거나 대용량 트래픽 환경에서 성능 저하없이 적용할 수 있다는 장점이 있다.

(그림 4) 네트워크 기반 웹 파이어월과 호스트 기반 웹 파이어월 비교 //2007년 8월호 초보자를 위한 보안강좌 그림 5

엔드포인트 보안의 완성 NAC
파이어월, 바이러스월, IDS, IPS 등의 다양한 보안 솔루션을 통해 외부로부터의 각종 위협을 차단했다고 하더라도, 내부에서 웜이나 바이러스가 존재할 경우 이에 대한 대비책은 각각의 PC나 서버에 설치된 안티바이러스 프로그램이 전부라고 할 수 있다. 하지만 기업의 규모가 커지면 커질수록 각 사용자 PC에 대한 관리는 어려운 문제가 된다. 수백, 수천, 혹은 수만의 사용자들에게 일일이 각종 보안 프로그램 설치를 강요하거나 기업의 보안 정책을 숙지, 교육시키는 등의 작업은 보안 담당자들에게 과중한 업무가 될 수 있으며, 그렇다고 항상 안전한 환경을 유지할 수 있다는 보장도 없다.
이에 대한 해결책으로 제시된 것이 NAC(Network Access Control)이다. NAC는 기업의 보안 정책에 따라 네트워크와 보안 솔루션이 유기적으로 결합해, 엔드포인트에 대한 보안을 강화한다는 점에서 기존의 보안 솔루션과 차별화된다.
특히 엔드포인트 보안을 운영체제나 단위 보안 솔루션에만 맡겨둘 수 없다는 인식이 확산되면서 NAC에 대한 관심이 높아졌다. 사용자 단말이 네트워크에 연결되기 시작하면서 기업에서 발생하는 대부분의 업무는 엔드포인트에서 처리된다. 따라서 이런 엔드포인트에 대한 보안은 단순히 사용자 단말에 국한된 보안이 아니라 기업의 업무 프로세스 전반을 보호하는 개념으로 확대됐다.
NAC는 사용자 PC가 내부 네트워크에 접근하기 전에 기업의 보안 정책을 준수하고 있는지 여부를 확인해, 네트워크 접속을 제어하는 기술이다. 다시 말해 NAC는 사용자를 식별하고 신원을 확인한 다음 무결성을 검사하고, 이 결과에 따라 사용자와 시스템의 네트워크 접근에 대한 권한을 부여한다.
이렇게 단순 명료해 보이는 개념이지만, 실제 NAC의 적용은 그리 쉽지 않은 것이 사실이다. 이는 NAC가 모든 네트워크 레벨에 걸쳐 영향을 미치고, 보안 정책을 네트워크 장비를 통해 구현해야 하기 때문에 네트워크 업체와 보안업체 간의 유기적인 협업이 필요하다.
대부분의 NAC 솔루션은 클라이언트의 강제 집행 영역, 그리고 백엔드 레벨로 구성돼 있다. NAC의 기능을 요약하면 다음과 같다.

- 어떤 경로를 통해 접속했는지에 관계없이 사용자에 대한 인증을 수행한다.
- 사용자의 컴퓨터에 대한 무결성 검사를 수행한다(운영체제 패치와 구성 정보. 특히 안티바이러스 프로그램, 개인 파이어월 유무 등의 검사).
- 인증과 무결성 검사 결과를 정책 관리서버에 설정된 정책과 비교한다.
- 인증과 무결성 검사 결과를 바탕으로 사용자가 액세스하는 대상과 장소에 대한 정책 결정을 수행한다.
- 허용, 거부, 격리할 수 있는 일부 적용 장비 유형에 대한 네트워크 액세스 인증을 수행한다. 이 절차가 없다면 사용자의 트래픽을 조작할 수 있다.

엔드포인트에 대한 포괄적인 보안 관리 구현
NAC는 업체에 따라 NAC(Network Admission Control), NAP(Network Access Protection), UAC(Unified Access Control), 쿼런틴 프로텍션, 쿼런틴 솔루션 등의 다양한 이름으로 불린다. 이렇게 이름이 다양한 만큼 구현이나 동작 방식도 다양하다. 일부에서는 네트워크 기반 NAC과 호스트 기반 NAC으로 구분하기도 한다. 이외에도 IPS 기반 NAC, 소프트웨어 기반 NAC, 다이내믹 NAC 등 NAC 솔루션 업체들이 새로운 방식의 NAC을 선보이고 있다.
대부분의 네트워크 기반 NAC은 사용자 단말에 소프트웨어 에이전트를 설치하고, 네트워크 장비와 NMS를 통해 이를 제어한다. 반면 주로 기존 보안 업체인 시만텍, 트렌드마이크로, 맥아피 등에 제시하는 NAC 솔루션은 엔드포인트 보안에 초점을 맞춰, 기존의 바이러스월 등을 이용해 안티바이러스나 데스크톱 파이어월/IPS 등을 기반으로 NAC을 하나의 솔루션으로 제공하는 방식이다.
하지만 모든 NAC 솔루션은 적절한 권한을 가진 사용자가 보안이 검증된 안전한 단말을 이용해 내부 네트워크에 접속할 수 있게 한다는 기본 목적에 있어서는 대동소이하다. 또한 이런 목적을 위해 사용자 인증과 무결성 검사, 권한 부여와 격리 등의 기본적인 기능들로 이뤄져있다. 따라서 기존 보안 솔루션처럼 단품으로 구성할 수는 없으며, 한 업체의 제품으로 전체 솔루션을 구현한다는 것도 힘든 일이다. 일반적으로 NAC은 사용자 단말에 설치되는 에이전트와 인증/정책 관리 서버, 정책을 집행하기 위한 인포서와 이를 실제로 적용하는 다양한 네트워크 장비와 보안 솔루션으로 구성돼 있다.
하지만 기업 네트워크에 연결되는 단말 중에는 에이전트를 설치하기 힘든 PDA나 IP폰, 리눅스나 유닉스 등의 운영체제를 사용하는 단말 등이 점차 확산됨에 따라 많은 업체들이 에이전트 없이도 NAC을 적용할 수 있는 기능을 제공하는 경우도 있다.
NAC의 효과는 크게 두 가지로 정리할 수 있다.
우선 가장 큰 변화는 관리 포인트의 획기적인 감소다. 수많은 노트북 PC 사용자, 외부 저장장치, PDA, 무선 사용자 등 허가받지 않은 사용자들의 내부 네트워크 접근을 제어할 수 있으며, 각 기업의 보안 정책에 위배되는 각종 장비들의 접근을 제한하거나 차단함으로써 보안 위협 요소를 획기적으로 줄일 수 있다. 또한 이를 통해 엔드포인트에 대한 통합적이고 포괄적인 보안 관리가 가능하게 된다.
또 한 가지는 적극적인 사전 대응이 가능해진다는 것이다. 즉, 엔드포인트 보안과 애플리케이션 레벨의 방어, 그리고 통합 NAC 아키텍처를 통한 보안 정책을 적용함으로써 기업의 모든 네트워크 환경에서 위협 요소에 대한 사전 대응 체계를 갖출 수 있다. NAC는 단순히 네트워크 접근 제어 기능만을 제공하는 것이 아니라 통합 보안 관리라는 중요한 기능을 담당하게 된다.