데스크톱 보안: ‘심층 방어’ 접근 방식 도입
“심층 방어” 접근 방식은 수많은 공격 벡터로부터 컴퓨팅 환경을 보호하기 위한 일체의 보안 원리를 나타냅니다.
Joshua Hoffman
데스크톱 컴퓨팅에서 극소수의 불변하는 것 중 하나는 영원히 불변하는 것은 없다는 사실입니다. 대부분의 경우 이것은 좋은 현상입니다. 끊임없이 변화하는 컴퓨팅 환경은 혁신과 창의성의 산물이기 때문입니다. 이러한 변화는 우리에게 새로운 상호 작용, 공동 작업, 그리고 주변 세계와의 연결 방법을 제공합니다.
그러나 데스크톱 컴퓨팅 환경이 변화하면 데스크톱 보안 환경도 변화합니다. 플랫폼과 데이터의 특성이 바뀌면 새로운 위협이 등장합니다. IT 전문가는 경계를 늦추지 말아야 하며 이러한 위협에 대처하는 데 도움이 되는 방법과 도구를 파악해야 합니다.
데스크톱 보안에서 “심층 방어”는 보안 원리를 나타냅니다. 이는 다양한 잠재적 공격 벡터로부터 최대한 컴퓨팅 환경을 보호하는 데 도움이 되는 접근 방식입니다. 여기서는 원치 않는 소프트웨어와 악성 소프트웨어로부터 사용자의 데스크톱 환경을 보호하기 위한 방법, 이동 중인 사용자와 데이터를 보호하기 위한 새로운 기술, IT 관리자가 다양한 컴퓨팅 환경을 관리하는 데 도움이 되는 도구를 살펴볼 것입니다.
악성 소프트웨어
기술적으로 숙련된 범죄자들은 쉴 새 없이 데스크톱 컴퓨터를 공격합니다. 이는 최종 사용자가 컴퓨터에 악성 소프트웨어를 설치하도록 속이고 강압하는 방법이 날로 교묘해지고 있음을 의미합니다. 다행히 사용자와 사용자가 연결된 인프라를 보호하는 데 도움이 되는 여러 도구들이 있습니다.
UAC(사용자 계정 컨트롤)는 Windows Vista에 처음 도입된 기능입니다. 이 컨트롤은 사용자와 관리자가 데스크톱 컴퓨팅 환경 내에서 관리 권한에 대한 액세스를 보호하는 데 도움이 됩니다. 사용자는 표준 사용자 권한으로 손쉽게 작업이 가능하므로 데이터에 액세스하거나 사용자 모르게 작업을 수행하려 시도하는 악성 소프트웨어로부터 시스템의 관리 기능이 격리됩니다.
Windows 7에서 UAC는 몇 가지 부분이 크게 강화되었습니다. 권한 상승이 필요한 관리 기능의 수가 줄었으므로 최종 사용자 환경이 개선되었습니다. Windows 7에는 디지털 서명된 Windows 실행 파일에 대한 자동 권한 상승, 그리고 명시적인 권한 상승이 필요한 이벤트를 더 세부적으로 제어하기 위한 작동 모드도 도입되었습니다. 데스크톱 컴퓨팅 환경을 보호하기 위한 UAC의 작동 방식에 대한 자세한 내용은 Mark Russinovich의 2009년 7월 기사 “Windows 7 사용자 계정 컨트롤 들여다보기”를 참조하십시오.
AppLocker는 Windows 7의 새로운 기능 중 하나로, 이를 통해 관리자는 자신의 환경에서 실행 가능한 프로그램을 명시적으로 지정할 수 있습니다. AppLocker의 기반은 Windows XP와 Windows Vista의 SRP(소프트웨어 제한 정책)입니다. 관리자는 특정 응용 프로그램의 데스크톱 설치를 허용하거나 거부할 수 있습니다.
AppLocker는 응용 프로그램 디지털 서명을 기반으로 하는 규칙을 도입하여 SRP 이상으로 환경을 더욱 강화합니다. 이를 통해 관리자는 해당 프로그램의 특성(날짜 스탬프 또는 버전 번호)이 변경될 때마다 매번 규칙을 업데이트하지 않아도 조직 내에서 금지할 응용 프로그램을 식별할 수 있습니다. AppLocker 내의 규칙 엔진은 상당한 세분성도 제공합니다(그림 1 참조). 관리자는 폭넓은 규칙을 구성하고 필요에 따라 예외를 허용할 수 있습니다.
.png)
그림 1 Windows 7에서 AppLocker 구성
또한 AppLocker 규칙을 조직 내의 특정 사용자나 그룹과 연결할 수도 있습니다. 이렇게 하면 명확한 제어를 통해 어느 사용자가 특정 응용 프로그램을 실행할 수 있는지 확인하고 시행함으로써 규정 준수 및 보안 요구 사항을 지원할 수 있습니다.
UAC와 AppLocker는 컴퓨터에 설치해서 사용할 수 있는 응용 프로그램을 제어하기 위한 견고한 메커니즘을 제공합니다. 여기에 Forefront Client Security를 추가하면 실시간 파일 보호와 함께 강력한 바이러스 백신과 스파이웨어 방지 엔진을 제공하여 한층 더 보안을 강화할 수 있습니다. 악성 요소가 데스크톱 컴퓨팅 환경에 침투하더라도 Forefront Client Security에 포함된 지속적으로 업데이트되는 필터를 통해 이러한 위협 요소를 탐지하고 무력화할 수 있습니다.
이동 중인 데이터
지난 10년 동안 가장 크게 변화한 것 중 하나는 실제 데스크톱에서 수행되는 컴퓨팅 작업은 이제 소수에 불과하다는 점입니다. 랩톱, 넷북, 그리고 다양한 모바일 장치들이 컴퓨팅 플랫폼의 다수를 차지하고 있습니다. 사용자의 이동성은 훨씬 더 높아졌고 데이터도 마찬가지입니다. 그에 따른 이점도 확실히 있지만 위험도 함께 증가했습니다. 랩톱과 기타 휴대용 장치들은 분실 또는 도난되어 권한이 없는 사람의 손에 잠재적인 기밀 정보가 들어갈 위험이 더 큽니다.
데이터 손실 또는 도난으로부터 여러분과 여러분의 사용자를 보호하는 데 도움이 되는 몇 가지 옵션이 있습니다. BitLocker 드라이브 암호화(줄여서 BitLocker)는 랩톱 또는 넷북에 대한 무단 액세스를 방지합니다. 암호화된 드라이브에 저장된 파일(그림 2 참조)은 보호되며 무단 사용자가 액세스할 수 없습니다. 전체 볼륨 데이터 암호화, 초기 부팅 구성 요소의 무결성 확인, 그리고 부팅 시 PIN 또는 키 자료가 포함된 USB 플래시 장치를 요구할 수 있는 옵션을 제공함으로써 사용자와 관리자는 모바일 장치가 분실 또는 도난되더라도 데이터의 무결성에 대해 더 안심할 수 있습니다.
.png)
그림 2 BitLocker 드라이브 암호화는 드라이브 수준에서 데이터를 잠금
분실된 랩톱 및 넷북은 문제의 일부분일 뿐입니다. USB 플래시 드라이브와 같은 휴대용 저장 장치를 잘못된 장소에 두는 경우도 흔히 발생합니다. USB 플래시 드라이브는 매우 저렴한 비용으로 많은 양의 데이터를 저장할 수 있다는 측면에서 매력적인 저장 옵션입니다. 이는 중요한 정보를 저장하는 데 사용할 경우 위험해진다는 의미이기도 합니다. BitLocker To Go는 BitLocker 기능을 이동식 저장 장치로 확장하여 이러한 우려를 덜어 줍니다.
사용자 이동성이 이렇게 증가한 상황에서는 실제 장치에 저장된 상태의 데이터뿐만 아니라 공용 네트워크를 통해 전송 중인 데이터를 보호하는 것도 중요합니다. DirectAccess는 Windows 7에 도입된 새로운 기능으로, 이동 중에 회사 네트워크에 연결할 때 보안을 강화해 줍니다.
DirectAccess는 IPsec(인터넷 프로토콜 보안), IPv6(인터넷 프로토콜 버전 6)과 같은 표준 기반 기술을 활용함으로써 사용자가 별도의 VPN 연결 없이 원격 위치에서 매끄럽게 회사 네트워크에 연결할 수 있도록 합니다. 또한 DirectAccess는 3DES(Triple Data Encryption Standard), AES(Advanced Encryption Standard)와 같은 IPSec 암호화 방법을 사용하여 전송 중인 데이터의 보호를 강화합니다. DirectAccess, 그리고 네트워크 액세스 보호로 DirectAccess의 활용을 강화하는 방법에 대한 자세한 내용은 Joseph Davies의 The Cable Guy 2010년 6월 칼럼을 참조하십시오.
마지막으로, 클라우드로 전환되는 응용 프로그램과 LOB(기간 업무) 작업이 증가함에 따라 웹 브라우저에서 온라인 컴퓨팅을 위한 최대한 안전한 환경을 제공하는 것이 더욱 중요해졌습니다. 앞으로 나올 Internet Explorer 9는 인터넷 보안 기능의 강력한 토대를 세우고 여러 향상된 기능을 제공할 것입니다.
예를 들어 Internet Explorer 9에는 점차 증가하는 공격 유형인 XSS(사이트 간 스크립팅)를 탐지하기 위한 XSS 필터가 포함됩니다. XSS 공격은 악성 코드로 합법적인 웹 사이트를 손상시키기 위한 공격입니다.
Internet Explorer 9의 XSS 필터는 취약점을 발견할 경우 유해한 스크립트를 비활성화합니다. Internet Explorer 9는 사용자가 피싱 공격, 맬웨어 등이 포함될 수 있는 악성 웹 사이트를 식별하고 피하는 데 도움이 되는 향상된 SmartScreen 필터도 제공합니다. Internet Explorer 9에 대해 더 자세히 알아보고 베타 버전을 다운로드하십시오.
관리 능률화
IT 전문가에게는 보안 기술 및 정책을 배포, 관리 및 유지하는 일을 최대한 쉽고 간단하게 유지하는 것이 중요합니다. Windows 7은 데스크톱 보안 인프라 관리를 능률화하는 데 도움이 되는 몇 가지 도구를 제공합니다.
예를 들어 이제 그룹 정책에 Windows PowerShell cmdlet을 사용할 수 있습니다. 이 강력한 명령줄 셸 및 스크립팅 언어를 사용하면 많은 그룹 정책 작업을 더 쉽게 자동화하고 관리할 수 있습니다. 그룹 정책 개체를 만들고 Active Directory 컨테이너와의 연결을 정의하고 레지스트리 기반 정책 설정을 구성하는 등의 다양한 작업을 할 수 있습니다. 이는 환경의 모든 데스크톱이 관리자가 설정한 보안 구성을 충족하도록 하는 데 도움이 됩니다.
조직 내에서 소프트웨어가 배포되는 방식을 제어하여 잠재적인 악성 소프트웨어의 유입을 차단하는 것이 중요합니다. ActiveX Installer 서비스는 그룹 정책을 사용하여 ActiveX 컨트롤 배포를 관리하는 데 유용합니다. 이렇게 하면 UAC와 같은 데스크톱 보안 컨트롤의 무결성에 대한 손상 없이 최종 사용자의 웹 환경을 향상시켜 주는 풍부한 컨트롤을 설치하고 관리할 수 있습니다.
악성 공격은 데스크톱 컴퓨팅의 혁신에 계속해서 적응해 나갈 것입니다. 그러나 보안에 대한 포괄적인 심층 방어 접근 방식은 사용자와 핵심 비즈니스 데이터를 계속 보호하는 데 도움이 될 것입니다.
.jpg)
Joshua Hoffman은 TechNet Magazine의 전 편집장입니다. 현재 독립적인 저자이자 컨설턴트로 활동하면서 고객에게 기술과 청중 지향 마케팅에 대해 조언하고 있습니다. Hoffman은 시장 조사 커뮤니티의 성장 및 향상을 위한 사이트인 ResearchAccess.com의 편집장으로도 활동 중입니다. Hoffman은 뉴욕 시에 거주하고 있습니다.