다양한 보안 개념 쉽게 이해하기 - 2부

지난번에는 DB암호화, DB접근제어, NAC 등에 대해서 간략히 알아보았습니다.

금번에는 예정대로 시큐어코딩, 망분리, 엔드포인트보안에 대해서 알아보겠습니다.

1. 시큐어코딩

- 최근 관공에서 진행되는 거의 대부분의 유지보수 관련 사업, 신규사업 등의 RFP를 보면 웹취약점 점검이란 부분을 확인할 수 있습니다. 이는 이미 개발되어져 있는 또는 신규 개발된 웹사이트의 해킹에 대한 취약점을 분석하여 대처 방안을 제시하고 수정하도록 하는 점검입니다.

- 그러나 시큐어코딩은 이보다는 보다 넓고 근본적인 부분입니다. 즉, 개발/설계 단계에서부터 보안을 고려하여 코드를 작성/제작하는 것을 말합니다. 실제로 해킹의 75%가 소프트웨어의 자체 취약점을 악용해 이루어지고 있으며, 시큐어코딩을 하게 되면 이러한 취약점이 대폭 줄어들어 보안성이 향상됩니다.

- "소프트웨어 취약점 공격은 전 세계적으로도 심각한 사이버 보안 이슈로 꼽힌다. 가트너는 전 세계에서 발생한 공격과 해킹의 75%가 애플리케이션을 공격한 것이었다고 분석한 바 있으며, 미국국립표준기술연구소는 보고된 취약점 중 70%가 애플리케이션 취약점을 노렸다고 발표했고, HP는 84%의 공격이 애플리케이션 레이어에서 발생하고 있다고 밝혔다."(2014 기업 정보보안 가이드 v.9 발췌)

- 시큐어코딩과 관련하여 '시큐어코딩 필수 43개 보안취약점 제거 항목' 등이 발표되어 있고 이를 적용하여 개발을 고려하면 되지만사람의 의해 개발되는 한 이를 완벽히 준수하여 개발하기란 매우 어렵습니다.

- 그래서 시중에는 이를 점검할 수 있는 솔루션들이 나와 있고 이를 통해 취약한 부분을 찾아내어 코드를 수정할 수 있습니다.

- 그러나, 중소규모 사업자들이 이 솔루션들을 활용하여 적용하기란 높은 금액이라는 장벽에 막혀 있습니다.

- 나일소프트의 WSE라는 웹취약점 점검 솔루션으로 웹취약점점검을 수행하는 경우는 100만원대의 낮은 금액으로 취약점을 찾고 수행할 수 있으나, 이보다 범위가 넓고 웹취약점 점검을 총 점검의 일환으로 삼고 있는 시큐어코딩 점검은 최소 600만원 이상의 금액으로 수행가능하고 이도 작업범위에 따라 1천만원을 호가하기도 합니다.

- 그럼에도 공공사업 시큐어코딩 의무화로 관련법이 만들어지고 시장성이 열려 있어 좀 더 낮은 금액으로 활성화되기를 기대해보기도 합니다.

- 용어 그대로 개념을 받아 들일 수 있기에 개념 설명 보다는 업계 현실을 좀 더 부각하였습니다.

관련정보

- 시큐어코딩이란 : http://blog.naver.com/kaonigovt?Redirect=Log&logNo=140169124603

- 시큐어코딩 필수 43개 보안취약점 제거 항목 : http://nologout.blog.me/163790117

관련 업체

- 이븐스타(빅룩와스, 정보라인이 공급), 파수닷컴(스패로우), 트리니티소프트(웹스레이, 코드레이, 스캔레이), 

- 나일소프트(웹취약점점검만 특화, WSE, 에이원네트웍스가 공급)

2. 망분리

- 쉽게 얘기해서 외부의 침입으로부터 내부 전산자원을 보호하기 위해 '네트워크 망을 업무망과 인터넷망을 분리 구축하는 것'입니다. IT보안을 가장 완벽하게 보장하는 환경은 네트워크를 끊는 것이지만 현실적으로 네트워크 연결 없이 업무 수행은 불가능합니다.

- 그래서 망분리 환경에서 모든 업무는 '폐쇄적인 업무망'에서 보안을 극대화하여 진행하고, 외부와의 소통을 위해 인터넷 연결이 필요할 때는 '인터넷 연결만 허용되는 분리된 네트워크'를 통해 가능합니다.(2014 기업 정보보안 가이드 v.9 발췌)
- 현재 공공기관의 행정망은 모두 분리해 폐쇄망을 통해 운영되도록 의무화되어 있으나, 일반 기업이 이를 쉽게 도입하기란 어렵습니다. 또한 스마트 워크가 활성화되고 있는 시점에 이 부분까지 분리하기란 더더욱 어렵고 보안적 약점이 노출될 수 밖에 없습니다. 

- 그래서 업계에서는 이 부분을 고려하여 저렴한 비용으로, 손쉽게 분리할 수 있는 솔루션들이 나오고 있고 물리적/논리적 망분리 이론에 각각 맞게 공급되고 있습니다. 또한, 스마트 워크에 맞게끔 모바일 기기까지 통제할 수 있는 솔루션들도 공급되고 있습니다.

- 망분리에 대해서는 여기까지만 간략히 얘기하도록 하겠습니다. 워낙 깊은 얘기가 별도의 요청이 있으면 따로 주제로 삼아 다루도록 하겠습니다. 

관련업체

- 관련업체...는 기술하기에 너무 많네요. 그만큼 망분리 적용 방식 등에 따라 다양한 솔루션이 나와 있기 때문입니다. ^^;;;;;

3. 엔드포인트 보안

<서버/PC보안>

- 지능형 지속위협(APT) 공격은 이미 알려진 전통적인 방식으로 80%이상 공격하므로 이는 '안티바이러스'로도 충분히 대처가 가능합니다. 나머지 20%도 샌드박스나 애플리케이션 인지제어 기술 등으로 대처가 가능해지고 또 가능해졌습니다.

- 즉, 엔드포인트 보안이란 서버나 pc에서 해킹에 대비할 수 있는 가장 기본적인 보안을 말하고 가장 대표적인 것이 바로 우리가 흔히 pc에 설치하여 쓰고 있는 '안티바이러스(백신)' 입니다.

- 특히, 백신은 보안의 시작으로 백신으로 기본적인 방어막을 만든 후 백신을 통과한 지능형 공격을 막는 것이 APT 방어를 위해 가장 이상적인 다계층 보안입니다.

<모바일 보안>

- 스마트 워크 환경을 위해 다양한 모바일 기기들이 업무에 활용되고 있으나 이로 인해 최악의 보안홀로 전락한 것이 사실입니다.

- 모바일 기기 자체의 해킹으로 인해 정보 등이 노출될 수도 있으나 모바일 기기가 업무망과 연결되어 있는 경우 이에 대한 통제가 강력히 되어 있지 않는 이상 모든 전산환경이 쉽게 해킹이 가능합니다.

- 이로 인해 앞서 얘기한 바와 같이 모바일 기기를 고려한 NAC나 망분리 솔루션들이 나오고 있고 이 또한 보안 관련한 비용을 증가시키는 요인이 되고 있습니다.

- 현실적으로는 이슈가 부각되고 업계가 발빠르게 움직이고 있어 보안 대처는 쉽게 가능합니다. 모든 통신사에서 자체 보안앱 등을 제공하고 있고 이 보안앱만으로도 상당수 침입을 대비할 수 있습니다.

- 서버/pc/모바일 등 엔드포인트 보안은 유저의 가장 기본적인 대처로부터 시작됨을 명심해야 하며 이는 흔히 하찮게 여기는 백신이나 보안어플리케이션이 가장 강력한 대처 수단임입니다.

관련정보

- 엔드포인트 보안은 '2014 기업 정보보안 가이드 v.9'에서 일부 발췌하고 대부분 사견을 넣었습니다. 가장 쉽게 풀어쓰고자 함입니다. 

관련업체

- 안랩 'V3 엔드포인트 시큐리티 9.0 등', 시만텍 '엔드포인트 프로텍션 제품군', 이스트소프트 '알약', SGA '바이러스 체이서', 잉카인터넷 '엔프로텍트 제품군'

마치며

- 금번 내용은 매우 쉽게 풀어쓰거나 사견 등이 많이 들어갔네요. 보다 명확한 개념이 필요했던 이전 부분과는 다르게 용어 자체로 충분히 이해할 수 있기 때문에 개념, 기술 정보보다 현실 정보를 좀 더 넣어 봤습니다.