네트워크 보안: 끝점 보안의 네 가지 기본 요소

아티클
08/24/2016

여기 나온 네트워크 보안의 기본적인 측면에 집중하면 악의적인 사용자를 차단하고 정상 데이터만 허용할 수 있습니다.

Dan Griffin

기업 네트워크와 그 자산은 끊임없이 침입자의 공격 대상이 됩니다. 게다가 기업 네트워크 경계는 완전한 투과성을 가지므로 문제는 더 복잡해집니다. 보안 IT 인프라 작업을 할 때 대부분의 기업이 가지는 주요 목표는 끊김 없는 비즈니스 연속성을 유지하는 것입니다. 그러나 공격자가 사용자의 컴퓨터, 모바일 장치, 서버 또는 응용 프로그램을 손상시킬 수 있기 때문에 기업 환경에서는 빈번하게 가동 중지 시간이 발생합니다.

DDoS(분산 서비스 거부)는 대역폭 고갈을 유발할 수 있는 공격 유형 중 하나입니다. 이것 말고도 과도한 네트워크 부하를 일으킬 수 있는 다른 조건들이 많습니다. 예를 들어 피어 투 피어 파일 공유, 과도한 스트리밍 비디오 사용, 내부 또는 외부 서버의 과도한 사용률(예: 소매 업계의 쇼핑 대목)은 모두 내부 사용자와 외부 고객이 사용하는 네트워크를 느리게 만들 수 있습니다.

스트리밍 비디오는 대역폭 소모량이 큰 응용 프로그램의 좋은 예인데, 현재 많은 유형의 기업들이 핵심 비즈니스 업무에 스트리밍 비디오를 사용하고 있습니다. 지리적으로 분산된 기업은 지사 간 통신에, 브랜드 관리 기업은 미디어 캠페인에, 군대는 지휘 통제에 스트리밍 비디오를 사용합니다.

이러한 조건들은 불확실한 상황으로 이어집니다. DDoS는 쉽게 개시할 수 있는 공격이고 스트리밍 비디오는 대역폭 가용성에 대단히 민감합니다. 최적의 상황에도 이미 네트워크 부하는 높은 상태인데다 기업들은 이러한 기술에 대한 의존도를 점점 더 높이고 있습니다.

IT 관리자는 준비해야 합니다. IT 관리자는 리소스 사용, 네트워크 장치 보호, 그리고 중요한 네트워크 대역폭 보호에 대한 장기적인 생각과 계획을 바꾸어야 합니다. 여기 나온 끝점 보안 모델은 이러한 생각을 지금의 현실에 맞추는 데 도움이 될 것입니다.

네 가지 기본 요소

네 가지 기본 요소의 기본적인 전제는 공격을 받는 중에도 네트워크가 동작하도록 해야 한다는 것입니다. 첫 번째 단계는 끝점을 식별하는 것입니다. 끝점이란 무엇일까요? 이 모델에서 끝점은 데스크톱, 서버 및 모바일 장치 중 하나로, 작업이 실제로 수행되는 지점입니다..

이러한 끝점을 염두에 두고 이를 보호하기 위한 전략을 반드시 마련해야 합니다. 이 전략(끝점 보안의 네 가지 기본 요소)의 목표는 다음과 같습니다.

공격에 대해 끝점 보호
끝점 자동 치료 구현
네트워크 대역폭 감시
네트워크 자동 치료 구현

그리고 효과적인 끝점 보안의 네 가지 기본 요소는 다음과 같습니다.

끝점 보안 강화
끝점 복원 기능
네트워크 우선 순위 지정
네트워크 복원 기능

각 기본 요소에는 고려해야 할 몇 가지 추가 목표가 있습니다. 첫째, 프로세스를 최대한 자동화하는 것이 좋습니다. 시간은 한정되어 있고 IT 관리자의 일정은 이미 꽉 차 있기 때문입니다.

둘째, 실시간으로 상황을 파악할 수 있도록 중앙에서 네트워크를 모니터링해야 합니다. 두 복원 기능 기본 요소의 한 가지 목적은 이러한 모니터링 부담을 최대한 낮추는 것이지만 수동 방어책 및 대응책을 구현해야 하는 경우가 종종 있습니다. 또한 정상적인 조건에서도 가끔 장비가 오류를 일으키기도 합니다.

셋째, 피드백 루프를 설정합니다. 공격이 갈수록 정교해지고 있기 때문에 방어를 유지하기 위한 적절한 투자를 지속적으로 하지 않을 경우 방어가 공격을 따라갈 수 없음을 직시해야 합니다. 또한 전통적으로 네트워크 보안에 대한 투자는 중요한 비즈니스 지출로 정당화하기가 어렵다는 점을 인식해야 합니다.

지속적인 모니터링과 피드백이 필수적인 이유가 여기에 있습니다. 경계 영역과 네트워크 내에서 발생하는 실제 위협과 공격을 더 잘 파악하고 더 잘 시연할수록 이러한 비즈니스 자산에 대한 관심과 이를 보호하기 위한 지출을 효과적으로 정당화할 수 있기 때문입니다.

끝점 보안 강화

첫 번째 기본 요소인 끝점 보안 강화의 목표는 네트워크 자산이 최신 기술을 사용하여 위협에 대해 방어하도록 하는 것입니다. 일반적인 위협에는 안전하지 않은 전자 메일 첨부 파일, 네트워크를 통해 전파되는 웜과 유사한 바이러스, 그리고 웹 브라우저에 위협이 되는 관련 요소 등이 포함됩니다.

공격 대응책의 한 가지 예는 바이러스 백신/맬웨어 방지 소프트웨어입니다. 또 다른 예는 OS에 의해 강제되는 무결성 수준으로 컴퓨터 응용 프로그램 프로세스를 잠재적인 맬웨어로부터 격리 또는 샌드박싱하는 것입니다. 이 유형의 보호는 Windows Vista 및 Window 7의 Internet Explorer 버전 7과 8에 적용됩니다.

도움이 되는 한 가지 개선 사항은 전체 호스트에 대한 격리 설정을 중앙에서 배포하고 관리할 수 있는 기능입니다. 이 기능을 유용하게 사용하려면 타사 응용 프로그램이 매끄럽게 작동하고 보호되도록 해야 합니다.

이 기본 요소에 모니터링이 어떻게 적용될까요? 실제 사용 환경의 네트워크 자산에서 확장 가능한 방식으로 침입을 모니터링해야 합니다. 또한 예기치 않은 동작 패턴도 살펴야 합니다.

끝점 복원 기능

끝점 복원 기능의 목표는 장치와 응용 프로그램의 상태 정보가 지속적으로 수집 및 모니터링되도록 하는 것입니다. 이를 통해 오류가 발생한 장치 또는 응용 프로그램은 자동으로 복구되어 작업을 지속할 수 있게 됩니다.

끝점의 복원력을 높여 줄 수 있는 기술의 예로는 네트워크 액세스 보호, 구성 “기준 설정” 및 관리 도구(예: Microsoft System Center)가 있습니다. 이 영역의 한 가지 개선 사항은 이러한 기술들을 결합하여 표준화된, 손쉽게 확장 가능한 기준을 기반으로 자동 치료 동작을 생성하는 것입니다.

이 기본 요소에 모니터링이 어떻게 적용될까요? 다음과 같은 항목의 경향을 생각해 보십시오. 어느 컴퓨터가 규정을 준수하지 않는가? 어떤 방식으로 규정을 준수하지 않는가? 이러한 규정 비준수 상태가 언제 발생하는가? 이러한 모든 경향의 결론은 잠재적인 위협으로 이어질 수 있습니다. 내부 위협이든 외부 위협이든 구성 오류든 사용자 오류 등 그 형태는 다양합니다. 또한 이 방식으로 위협을 식별하면 점차 정교해지고 분산되는 공격에 직면하여 끝점을 지속적으로 더 견고하게 만들 수 있습니다.

네트워크 우선 순위 지정

네트워크 우선 순위 지정의 목표는 인프라가 항상 응용 프로그램 대역폭 요구를 충족할 수 있도록 하는 것입니다. 이는 잘 알려진 사용량이 높은 시간뿐만 아니라 갑작스러운 네트워크 부하 급증, 분산된 외부 및 내부 공격에 대해서도 적용됩니다.

응용 프로그램 대역폭을 관리할 수 있는 기술로는 DiffServ와 QoS가 있습니다. 단, 이 기본 요소는 현재 필요한 것과 상용으로 제공되는 것 사이의 기술적인 격차가 가장 큰 부분입니다. 앞으로는 사용자 ID, 응용 프로그램 ID 및 비즈니스 우선 순위를 통합하는 솔루션이 유용할 것입니다. 그러면 네트워크 라우터는 이 정보를 기반으로 자동으로 대역폭을 분할할 수 있습니다.

이 기본 요소에 모니터링이 어떻게 적용될까요? 네트워크 라우터는 추세 분석을 위한 흐름 로깅을 수행해야 합니다. 오늘 흐름이 어제 흐름과 다른 점은 무엇인가? 부하가 증가되었는가? 어떤 주소가 새로 들어왔는가? 해외의 주소인가? 효과적이고 포괄적인 모니터링은 이러한 질문에 대한 답을 찾는 데 도움이 됩니다.

네트워크 복원 기능

네트워크 복원 기능의 목표는 매끄러운 자산 장애 조치입니다. 이론적으로 이 분야의 기술은 성능이 저하될 때 실시간으로 네트워크 재구성을 가능하게 합니다. 이 기본 요소는 관리 부담을 최소화하기 위한 네트워크 자동 치료 촉진이라는 목표 측면에서 끝점 복원 기능과 비슷합니다.

그러나 이 기본 요소에서는 장애 조치와 이중화를 소규모는 물론 대규모로도 고려해야 한다는 사실에 주의를 기울여야 합니다. 예를 들어 클러스터링 기술을 사용하여 데이터 센터 내의 단일 노드에 대한 장애 조치를 제공할 수 있지만 데이터 센터 전체 또는 지역 전체에 대한 장애 조치는 어떻게 수행해야 할까요? 재해 복구 계획과 관련되어 풀어야 할 과제는 아직 많습니다. 사무실 공간, 기본적인 서비스, 그리고 무엇보다 인력 문제도 고려해야 하기 때문입니다.

클러스터링 외에 이 기본 요소의 관련 기술에는 복제와 가상화가 포함됩니다. 이 기본 요소에 모니터링이 어떻게 적용될까요? 장애 조치 기술은 일반적으로 모니터링에 의존합니다. 또한 비즈니스가 진화함에 따라 리소스 및 조달 계획에 부하 데이터를 사용할 수 있습니다.

각 기본 요소 이행

이러한 끝점 보안의 네 가지 기본 요소 각각에는 일반적으로 대부분의 조직에서 제대로 활용되지 않거나 아직 배포되지 않은 상용 보안, 네트워크 및 비즈니스 연속성 기술들이 있습니다. 따라서 IT 관리자에게는 다음과 같은 기회가 있습니다.

네 가지 기본 요소 또는 다른 프레임워크를 사용하여 네트워크 방어의 위협과 빈틈을 식별
자동화와 모니터링에 추가로 투자
이러한 작업의 비용과 혜택에 대해 비즈니스 의사 결정자와 더 긴밀하게 대화

어떤 기업은 하나 이상의 기본 요소 영역에서 현재 사용 가능한 최신 기술을 이미 보유했을 수 있습니다. 따라서 기업가에게도 기회는 많습니다. 중요한 것은 생각을 재구성해서 이러한 필수적인 네 가지 기본 요소 각각을 수용하는 것입니다.

Dan Griffin은 시애틀의 소프트웨어 보안 컨설턴트입니다. www.jwsecure.com을 통해 연락할 수 있습니다.