보안관리자 가이드라인

보안관리자 가이드라인

출처: 안철수연구소->보안정보

작성자 : 김기태

김기태 씨는 썬마이크로시스템 교육센터에서 보안관련 강의와 CISA, CISSP 등을 강의하고 있는 보안 전문가로 각 기업에 보안 관련 교육을

진행하고 있고, 현재 이투의 컨설팅 팀장으로 활동하고 있다.

물리적 보안을 위한 6가지 체크리스트

기업에서의 보안은 보안 관리자 만의 몫은 아니다. 그러나 보안 관리자가 아주 중요한 역할을 한다. 그러나 우리의 기업 환경을 보면 아주 열악하다. 기본적으로 보안을 전담하는 관리자는 아주 큰 기업이나 은행 등의 금융권에서나 존재하고 대부분의 중ᆞ소기업의 보안 관리자는 네트워크 관리자나 시스템 관리자를 겸임하고 있는 것이 현실이다. 이번 글에서는 이런 환경에서 필요한 여러 부분들 중에 몇 가지를 알아보자

보안은 일반적으로 물리적 보안, 기술적 보안, 관리적 보안으로 구분한다. 어떤 것이 더 중요하고 어떤 것이 덜 중요하다고 말하기는 힘들지만 디지털 보안의 비밀과 거짓말을 보면 그 저자인 브루스 슈나이어는 DOS공격 중에서 가장 확실한 DOS공격은 CPU 위에서 수류탄을 터트리는 것이라고 말하고 있다. 그만큼 물리적 보안이 중요하다는 것일 것이다. 이번 회에서는 이 물리적 보안에 대해 한 번 이야기 해 볼까 한다.

어떤 환경의 기업이건 모두 보안 사고는 일어난다. 기본적으로 완벽한 보안이란 것은 존재할 수 없는 것이다. 하지만 그렇다고 포기할 수도 없는 것이 보안이며 때에 따라서는 적은 비용으로 만족할 만한 효과를 가져 올 수 있는 것도 보안의 한 부분들이다. 특히 물리적 보안은 아주 조그만 관심으로 큰 효과를 얻을 수 있다. 예를 들어 노트북을 도난 당한 경우를 생각해 보자. (실제로 전 세계 적으로 일어나는 노트북 도난의 15%는 노트북 자체가 아니라 그 안의 데이터를 훔치기 위한 것이라는 통계도 있다.) 특정 물리적 환경이 잘못되어서 노트북을 사용할 수 없는 것은 가용성의 침해이다. 물리적으로 노트북이 고장 난 것도 가용성의 침해이며 노트북이 웜이나 바이러스에 감염되어 특정 데이터가 삭제되었다면 이건 무결성을 침해한 경우라고 볼 수 있을 것이다. 그리고 노트북의 특정 데이터를 허가 받지 않은 사람이 USB메모리를 이용해서 복사해 갔다면 이건 기밀성의 침해가 된다. 그러나 노트북 자체를 도난 당하는 것은 기밀성, 무결성, 가용성을 모두 침해 당하는 경우가 될 것이다. 노트북을 도난 당하지 않기 위해 사용하는 케이블 락이 이 세가지 요소를 모두 지켜 줄 수 있는 것이다.

1. 보호되어야 할 부분의 분류

회사에는 많은 영역들이 존재한다. 프로그래머가 근무하는 사무실, 서버가 있는 서버룸, 메인 전원을 담당하는 전기실, 네트워크 장비가 있는 곳, 일반 사무직 직원들이 근무하는 사무실 등, 이런 여러 영역을 모두 같은 정도의 보안을 적용해 보호한다는 것은 매우 비 능률적이며 비용이 많이 드는 일이 될 것이다. 물리적 보안에 있어서 가장 먼저 선행되어야 할 일은 보호되어야 할 것과 그렇지 않은 것을 분류하는 일이다. 모든 분류는 기업의 비즈니스 관점에서 파악되어야 하며 위험기반의 분석을 해야 한다.

2. 물리적 접근 통제

가능하다면 출입문에 스마트 카드를 이용한 잠금 장치나 생체 인식 장치를 사용하는 것이 좋을 것이다. 그러나 이런 것들은 중ᆞ소규모 기업에서 사용하기에는 비용이 많이 발생한다. 꼭 이런 솔루션이 아니더라도 조금만 생각하면 보안을 강화할 수 있는 부분은 많이 있다. 우선 번호키를 사용하는 사무실의 경우 번호를 그 번호키가 허용하는 한도에서 가능하면 큰 숫자를 선택한다. 만약 두자리로 한다면 100번만 눌러보면 번호가 무엇인지 알아낼 수 있을 것이다. 10자리로 한다면 아마 손가락이 아파서 누르고 있지 못할 것이다. 또한 가능하면 번호의 중복을 사용한다. 예를 들어 10042004라고 비밀번호를 준다면 누른 흔적은 1,2,4,0에만 남게 된다. 그러나 실제로는 중복 사용된 번호 때문에 실제 번호를 알아 내는 것은 매우 힘든 일이 될 것이다. 그리고 이보다 중요한 것은 퇴사자가 생기면 퇴사자가 회사를 떠나는 순간 그 번호를 변경해야 한다. 퇴사자가 번호를 알든지 모르든지 상관없다. 그 퇴사자가 번호를 알고 있지만 사용하지 않았을 수도 있다. 그러므로 꼭 변경해야 한다.

3. ID카드를 이용한 보안의 강화

대부분의 기업은 직원을 구분하기 위해서 스마트카드를 이용한 사원증을 이용하게 된다. 이 사원증에는 대부분 사진이 붙어 있고 이름과 소속이 명시되어 있다. 또한 자기 띠 또는 RFID를 이용한 신원의 확인 출입 통제 등에서도 사용하고 있다. 이 사원증에 색을 이용해서 보안을 강화하는 것은 어떨까? 실제 필자가 알고 있는 모 회사는 이 ID카드가 색으로 구분된다. 그리고 회사의 영역도 색으로 구분되어 있다. 예를 들면 전산실을 ID카드가 빨간색인 사람과 노란 색인 사람이 들어 올 수 있고 백업자료실에는 빨간색인 사람만 들어 올 수 있다. 일반 사무실은 빨간색과 노란색, 파란색인 사람이 모두 들어 올 수 있다. 이렇게 구분을 하면 그 ID카드를 패용하고 있는 사람이 이 구역에 적합한 사람인지 그렇지 않은지 한눈에 알아 볼 수 있을 것이다.

4. 민감한 정보 보관

대부분의 대기업에서는 퇴근 후 책상을 보안 관리자가 순찰하여 책상 위에 중요한 자료를 방치한 채 퇴근한 직원이 있는지, 서랍은 잠겨 있는지, 의자 및 방석에 서랍 열쇠가 있는지 확인해 보고 있는 경우 시말서를 쓰게 한다. 아주 보안이 강화되어 있는 모 그룹사에서는 처음 이렇게 적발될 경우 시말서, 두 번째는 부서장의 사유서, 세 번째는 부사장의 사유서를 쓰게 한다. 그런데 의외로 중ᆞ소규모의 회사에서는 이런 것이 잘 지켜지지 않고 있다. 청소를 직원들 스스로가 하지 않는 경우, 대부분의 회사에서는 청소부 아주머니가 청소를 할 것이다. 그리고 이 분들은 주로 야간에 청소를 한다. 그리고 청소를 위한 마스터 키를 가지고 있다. 자 어떤 정보가 필요한 사회공학자가 있다고 생각해보자 그 사회공학자는 아마 그 정보를 얻기 위해 일정 기간 청소부로 일하는 것을 마다하지 않을 것이다.

5. 네트워크 장비의 보관

아주 작은 회사가 아니라 사무실을 2개 이상 쓰는 회사가 있다면 아마도 두 사무실의 네트워크 장비를 한 곳에서 관리하게 될 것이다. 이 네트워크 장비는 꼭 잠금 장치가 있는 곳에 보관해야 한다. 네트워크 장비 특히 스위치를 아무데나 두는 것은 아무나 흘러다니는 패킷을 보고 중요한 정보를 가로챌 수 있게 하는 것과 마찬가지이다.

6. 회사 비품의 개인적 사용

가끔 중ᆞ소규모의 회사에 보안 점검을 실시하다 보면 개인에게 지급된 PC를 이용해서 FTP 서버나 웹 서버를 돌리고 있는 것을 볼 수 있다. 회사의 비품은 철저히 회사 업무를 위해서 사용되어야 한다. 이렇게 내부에 FTP 서버가 돌고 있다는 것은 공격자에게 공격할 꺼리를 하나 더 만들어 주는 것이 될 것이다.

이외에도 물리적 보안 관점에서 보아야 할 부분들은 아주 많이 있다. 물리적 보안은 모든 보안의 기본적 베이스가 된다. 위의 몇가지 예만 현실에 적용한다면 기업의 보안은 좀 더 강화될 수 있을 것이다. 다음 회에서는 보안 관리자가 알아야 할 기술들에 대해 이야기해 보겠다.@

보안 관리자에게 필요한 지식1

보안이라는 부분은 아주 많은 기술들의 집합체이다. 일반적으로 기업에서 보안이라고 하면 IT 보안과 비 IT 보안 그리고 관리적 보안을 들 수 있을 것이며 이 중에서 특히 IT 보안은 각종 IT 기술에 대한 기본적인 이해를 필요로 하게 될 것이다. 그렇다고 기업의 보안 관리자가 백과사전 식의 내용을 알아야 한다는 것은 아니다. 이 세상의 어떤 사람도 백과사전에 나오는 모든 내용을 알고 있을 수는 없을 것이다. 그렇다면 보안 관리자가 꼭 알아야 할 기술이나 지식은 어떤 것이며 그런 것들을 어떤 경로를 통해서 알 수 있을까? 이번 원고에서는 보안 관리자가 알아야 할 지식과 그 지식을 습득할 수 있는 경로에 대해서 IT 보안 기술부분을 제외하고 나머지 부분에 대해 알아보자. IT보안 기술에 대한 부분은 다음 회에서 알아보게 될 것이다.

우선 보안 관리자에게 필요한 지식이 어떤 것이 있을까? 보안에 있어서 가장 중요한 부분은 보안 프로세스를 잘 갖추는 것이다. 기본적으로 보안은 기업의 프로세스가 얼마나 보안이라는 관점을 가지고 만들었는지에 따라 적은 노력으로도 완벽에 가까운 보안이 될 수 있고, 반면 많은 노력을 했음에도 불구하고 보안에 많은 허점이 생길 수도 있다. 필자가 보기에 기업에서 보안이 제대로 잘 이루어지기 위해서 가장 필요한 것은 회사에 보안에 관한 프로세스의 존재 여부이다. 또한 이 프로세스가 제대로 관리되고 있는지에 대한 부분들이다. 기본적으로 보안에서 기술이 차지하는 비중이 10%라면, 물리적인 보안이 차지하는 비중이 약 30% 정도. 그리고 보안 관리가 차지하는 비중이 나머지 60% 정도라고 생각된다. 이러한 프로세스에 보안이라는 관점을 입히는 것은 기본적으로 관리적인 관점에서의 보안이며, 이런 보안 관리와 관련된 지식은 아주 중요한 지식이 될 것이다.

두 번째로 필요한 지식은 기술에 관한 지식이다. 비록 보안이라는 큰 그림에서 볼 때 기술이 그다지 크지 않은 비중을 차지하고 있지만 IT 보안에 있어서는 기술이 중요한 편이다. 보안은 아주 다양한 기술들에 대한 이해를 가지고 있는 것이 좋으며 이러한 기술들에 대해서 알아두는 것은 보안 관리자에게 아주 중요한 일이 될 것이다.

세 번째로 필요한 것은 사람에 관한 지식이다. 대부분의 보안 허점은 사람 관리에서 발생한다고 해도 과언이 아니다. 기술은 거짓을 말하지 않으며, 분명한 한계도 있다는 점을 알려준다. 그러나 사람은 그렇지 않기에 많은 문제가 일어나는 것이다. 사람에 대한 깊은 지식은 보안에 있어서 아주 중요한 일이며 지식으로 얻기 매우 어려운 부분이기도 하다. 그러나 깊이 생각해 보면 이러한 사람에 대한 지식도 얻을 수 있다.

마지막으로 새로운 이슈에 관한 지식이다. IT 기술은 아주 빨리 발전하고 있다. 지난 해에 나온 지식은 지금 환경에서 보면 거의 사용되지 않는 기술이 될 수도 있고 매일 새로운 기술이 쏟아져 나오고 있는 것이 IT 기술의 현실이다. 특히 보안은 더욱 새로운 이슈들이 중요하다. 새로운 공격 기법이 나오면 바로 대처할 수 있어야 기업의 보안을 적절히 잘 유지할 수 있기 때문이다. 그렇다면 이런 지식을 얻을 수 있는 방법들에 대해 알아보자

관리에 관한 지식

대부분 보안이 잘 되어 있는 기업을 보면 잘 만들어진 보안 프로세스가 존재한다는 것을 알 수 있다. 그러나 이런 보안 프로세스는 대부분 기업에서 중요한 기밀로 분류되며 그 기업에서 보안을 담당하지 않는 사람으로서 이런 부분들에 대해 정보를 얻는 것은 결코 쉬운 일이 아니다. 그렇다면 이 보안 프로세스에 대한 지식은 어디서 얻을 수 있을까?

가장 좋은 방법은 각종 포털에서 운영하는 커뮤니티를 이용하는 것이다. 필자가 가입되어 있는 모 포털의 보안 커뮤니티 다양한 보안에 대한 지식과 각종 보안 프로세스에 대한 지식들을 얻을 수 있어서 필자가 자주 들르는 공간이다. 또한 이런 지식뿐만이 아니라 보안과 관련된 각종 일에 종사하고 있는 다양한 사람들을 만날 수 있다. 그리고, 일부 특정 커뮤니티에서는 보안과 관련된 지식을 높이기 위한 스터디도 운영하고 있다. 이런 커뮤니티를 잘 활용하면 관리에 관한 지식뿐만 아니라 다음에 말할 기술에 대한 지식과 새로운 이슈에 관한 지식도 빠른 시간 내에 얻을 수 있다. 두 번째로는 주변에서 보안과 관련된 일을 하는 사람을 찾아보는 것이다. IT분야 중에서 특히 보안 분야는 아주 좁은 시장을 가지고 있다. 한 두 단계만 건너 뛰면 다 아는 사람이 모여 있는 곳이다. 주변에서 조금만 알아보면 보안과 관련된 일을 하고 있는 사람이 아주 많다는 것을 알 수 있을 것이고 그런 사람들을 통해서 필요한 관리에 관한 지식들을 얻을 수 있을 것이다.

사람에 관한 지식

사람에 관한 지식은 가장 좋은 방법이 많은 사람을 만나는 것이다. 앞에서 말한 보안 커뮤니티 등을 통해 소모임을 만들고 그 소모임을 통해 여러 사람을 만나서 다양한 경험에 대한 이야기를 나눠볼 수 있다면 다양한 유형의 사람에 대해서 알 수 있게 될 것이다.

두 번째로는 선배들에게 많은 조언을 구하는 것이다. 예전에 비해 우리는 우리보다 앞선 세대에 대한 존경과 감사가 갈수록 적어 지고 있는 것을 알 수 있다. 특히 IT 분야에서는 선배나 상사에 대해 존경을 찾아보기 힘든 것이 사실이다. 물론 기술적인 부분에서는 나이가 들면 아무래도 학습능력이 젊은 사람에 비해 떨어지는 것이 정상이고 이로 인해 기술적으로 좀 뒤져 있을 수도 있다. 그러나 경험이라는 재산은 그 어떤 기술보다 중요한 재산이며 특히 사람에 대한 경험은 돈을 주고도 살 수 없는 중요한 재산이다. 이러한 것은 직접 경험해 보거나 선배에게 듣는 것이 거의 유일한 방법이다. 나이는 절대로 그냥 드는 것이 아니라 신이 먼저 산 사람에게 주는 축복이나 마찬가지이다. 마지막으로는 사회공학과 관련된 책을 보는 것도 좋은 일이라고 생각이 된다. 특히 케빈 미트닉이 쓴 사회공학에 관한 책은 사람을 이용해서 공격을 하는 여러 경로와 방법들에 대해서 알 수 있고 사람에 대해 한 번 더 생각해 볼 수 있는 좋은 기회가 될 수 있을 것이다.

새로운 이슈에 관한 지식

새로운 이슈를 얻기 위해서는 먼저 보안에 관련된 인터넷 사이트를 즐겨찾기에 등록해 두는 것이 좋다. 보안에 관련된 사이트는 매우 많으며 이런 사이트들은 각 주제에 대해 새로운 정보를 가장 빨리 얻을 수 있는 길이 될 수 있다. 예를 들어 바이러스에 관한 정보는 안철수연구소의 사이트가 아주 빠른 정보를 줄 것이며 웹 애플리케이션 보안에 관해서는 OWASP사이트가 가장 빠른 정보를 줄 수 있을 것이다. 또한 SANS는 각종 새로운 공격에 대해 우리에게 빠른 정보를 줄 것이며 KISA의 인터넷 침해대응 센터는 우리 나라에서 일어나고 있는 각종 보안 사고와 문제점들에 대해 빠른 정보를 줄 수 있을 것이다. 특히 특정 분야에 치우치지 않는 보안 사이트는 새로운 이슈들에 대해 많은 지식을 줄 것이다. 그 다음 방법으로는 잡지를 정기구독 할 것을 권장하고 싶다. 필자는 필자가 하는 강의에서 항상 보안과 관련된 잡지에 대한 정기구독을 권장한다. 지금 현재 보안이나 네트워크에 관해서는 여러 잡지가 나오고 있으며 필자의 경우 새로운 이슈와 예전의 기술들에 대해 가장 많은 정보를 얻는 곳이 잡지이다. 물론 특정 기술을 깊이 이해하는 데는 앞의 기술에 관한 지식에서 이야기 한 것처럼 책이나 강의를 듣는 것이 더 좋은 방법이 될 수 있지만 넓게 여러 분야에 대해 보는 것에는 잡지가 가장 좋다고 생각한다. 이밖에 각종 사이트에서 운영하는 메일링 리스트를 들 수 있다. 특히 보안과 관련된 메일링 리스트들은 새로운 이슈에 관한 지식을 얻는 아주 좋은 방법이 될 것이다. 마지막으로 각종 보안 세미나를 권장하고 싶다. 모 잡지에서 매년 개최하는 보안 컨퍼런스는 필자에게 새로운 보안 솔루션에 대해 이해할 수 있는 기회를 주고 있으며 각 보안관련 솔루션 업체에서 제공하는 보안 세미나는 특정 보안 솔루션에 대해 잘 이해할 수 있는 좋은 시간이 되고 있다.

서두에 말한 것처럼 기술에 관한 부분에 대해서는 다음 회에서 자세히 알아보도록 하겠다.

보안 관리자에게 필요한 지식2

지난 호까지 우리는 보안 관리자에게 필요한 것들에 대해 알아보았다. 특히 물리적인 보안에 대한 이해와 IT 기술뿐만이 아니라 다양한 것들에 대한 이해가 보안 관리자에게는 필요하며 그 중에서 사람에 대한 이해가 아주 중요하다.

이번 호에서는 보안 관리자가 알아야 할 지식 중에 IT 기술과 연관된 지식에 대해서 알아본다. 일반적으로 IT보안 관리자는 외국의 기업들처럼 보안 관리자로서의 업무만을 하는 것이 아니라 시스템 관리자나 네트워크 관리자를 겸임하는 경우가 대부분일 것이다. 시스템 관리자를 겸임하는 보안 관리자라면 시스템에 대한 깊은 이해가 있을 것이며 네트워크 관리자를 겸임하는 보안 관리자라면 네트워크에 대한 깊은 이해가 있을 것이다. 그러나 아쉽게도 보안 관리자가 알아야 할 IT 관련 기술은 깊이를 요구하는 것이 아니라 폭을 요구하는 경우가 더 많다. 네트워크와 시스템, 그리고 애플리케이션에 대한 폭넓은 이해가 있을 때 보안 관리자는 보안 관리자로서의 역할을 더욱 잘 할 수 있을 것이다. 그러나 그렇다고 해서 보안 관리자가 현재 존재하는 모든 IT기술에 대해 이해할 수는 없을 것이다. 그럼 보안 관리자가 알아야 할 IT와 관련된 지식은 어떤 것들이 필요한 것일까? 이번 호에서는 보안 관리자가 알아야 할 IT 관련 지식에 대해서 네트워크, 시스템, 애플리케이션, 그리고 기타 부분으로 나누어서 알아보려 한다.

네트워크

보안 관리자가 알아야 할 첫 번째 네트워크 관련 지식은 TCP/IP에 대한 이해이다. TCP/IP는 결코 성능이 뛰어난 프로토콜도 아니며 편의성이 뛰어난 프로토콜도 아니다. 그러나 현재의 대부분의 네트워크는 이 TCP/IP를 주 프로토콜로 사용하고 있으며 그로 인해 TCP/IP에 대한 이해는 그 어떤 네트워크 기술에 대한 이해에 앞서 알고 있어야 할 부분이 될 것이다. 물론 지금 현재 사용하고 있는 IPv4는 이제 앞으로 없어질 기술이며 IPv6를 사용하는 세상이 완전하게 만들어 진다면 IPv4가 가지고 있는 많은 취약점들은 해결될 것이다. 그러나 IPv6를 이해하기 위해서는 IPv4에 대한 이해가 필요하며 IPv6로 완전히 이행되기까지는 아직도 적지 않은 시간이 필요할 것이다. 그러므로 TCP/IP에 대한 이해는 현재의 네트워크의 취약성에 대한 이해가 되며 보안 관리자가 가장 먼저 알고 있어야 할 네트워크 관련 지식이 된다.

두 번째 지식은 이더넷에 대한 이해이다. 현재 구성되어 있는 대부분의 LAN은 이더넷을 기반으로 하고 있으며 이로 인해 역시 많은 취약점이 존재하는 것이 사실이다. 특히 이더넷은 모든 통신을 브로드캐스트(Boradcast) 형식으로 전달하기 때문에 스니핑(Sniffing)에 취약하며 이 점은 스위치(Switch)를 이용한 네트워크에서도 역시 공격을 가능하게 한다. 즉 대부분의 LAN을 구성하는 이더넷의 취약점을 알고 그에 대한 대비를 할 수 있다면 모든 기업의 보안을 한층 높일 수 있을 것이다.

세 번째 지식은 각종 네트워크 장비에 대한 이해이다. 특별히 네트워크 장비의 모든 커맨드를 알아야 한다는 것은 아니다. 스위치의 특징, 라우터의 특징에 대해 알고 그것들이 가진 취약점에 대해 이해할 수 있다면 네트워크 장비의 보안을 강화하는 방법들에 대해서도 잘 알 수 있을 것이다.

마지막으로 네트워크에 대해 알아야 할 지식은 네트워크 설계에 관한 지식이 될 것이다. 단순히 장비의 특징이나 취약점이 아니라 그 네트워크를 구성하는 형태에 의한 특징과 취약점을 이해할 수 있다면 네트워크의 보안은 더한층 높은 수준을 유지할 수 있을 것이다. 물론 이 네 가지의 지식만 해도 아주 방대한 분량이며 이에 대한 깊은 이해를 하려고 한다면 아주 많은 시간이 필요할 것이다. 너무 깊이 이해하지 말고 넓게 이해하도록 노력하는 것이 중요하다 하겠다.

시스템

시스템에 대한 지식 중 보안 관리자가 알아야 할 첫 번째 지식은 각종 운영체제의 기본에 대한 이해이다. 윈도우건 유닉스건 리눅스건 각 운영체제는 각 운영체제별 사용방법과 관리 방법이 조금씩 다르며 보안과 관련된 부분에 있어서도 각각 다른 특징을 나타내게 된다. 그러므로 운영체제의 기본에 대한 이해는 매우 중요하며 각 운영체제의 기본에 대한 이해가 있어야만 다른 지식들을 파악할 수 있을 것이다.

두 번째 시스템에 대한 지식은 시스템에서 운영되고 있는 각종 서비스에 대한 지식이다. 서비스건 데몬이건 실질적인 프로세스를 가지고 실행이 되는 경우에 그 취약점이 발현되게 되며 이때서야 공격자는 공격을 할 수 있게 될 것이다. 그러므로 운영하고 있는 각종 서비스에 대한 이해는 시스템의 보안에 있어서 아주 중요한 부분이라 할 수 있을 것이다.

세 번째 시스템에 대한 지식은 각 운영체제 별 로그에 대한 이해이다. 유닉스나 리눅스, 그리고 윈도우 2000 계열의 운영체제들은 처음부터 멀티유저(MultiUser) 개념을 가지고 만들어 졌으며 이를 감시하기 위한 각종 로그를 제공한다. 특히 유닉스와 리눅스는 아주 많고 다양한 로그를 제공한다. 특정 시스템이 공격을 당한 경우 아주 뛰어난 공격자라 할 지라도 유닉스나 리눅스의 다양한 형태의 로그를 모두 이해하고 있지 못하다면 어느 정도 흔적을 남기게 될 것이다. 이를 찾아내는 것은 보안 관리자가 해야 할 중요한 일 중에 하나일 것이다.

네 번째 시스템에 대한 지식은 각종 보안 툴에 대한 지식이다. 대부분의 공격은 툴을 이용해서 이루어지고 있는 것이 현실이며 이러한 공격과 관련된 툴에 대한 지식은 자신의 사이트에 대한 침투 TEST로 인해 취약점을 발견하게 되고 이러한 취약점들을 해결하기 위한 방법을 알아보게 될 것이며 적용하게 될 것이다.

마지막으로 알아야 할 시스템에 대한 지식은 각종 패치와 업데이트에 대한 지식이다. 시스템의 취약점을 가장 빨리 해결하기 위한 방법은 그 취약점에 대한 패치를 설치하고 각종 필수 업데이트를 잘 적용시키는 것이다. 그러므로 각종 패치와 업데이트에 대한 최신의 지식은 보안 관리자가 꼭 알고 있어야 할 지식이 될 것이다.

애플리케이션

애플리케이션에 대한 지식 중 시스템 관리자가 알아야 할 첫 번째 지식은 웹에 대한 이해가 될 것이다. 실제 지금의 해킹은 대부분이 웹 해킹의 형태를 띄고 있으며 이를 이해하고 보안을 강화하기 위해서는 웹에 대한 이해가 무엇보다도 필수적이라 할 수 있을 것이다.

두 번째로 필요한 애플리케이션에 대한 이해는 C언어에 대한 이해이다. 꼭 C언어에 대해 잘 아는 사람 만이 보안 전문가로 뛰어난 역량을 가지는 것은 아닐 수 있다. 그러나 어느 정도 이상의 실력을 가진 보안 전문가가 되기 위해서는 C언어에 대한 이해를 가지고 있는 것이 좋을 것이다. 대부분의 공격 툴이나 보안 툴들은 모두 소스코드 형태로 배포가 되여 이러한 코드에 대한 이해가 있다면 공격 툴이나 보안 툴의 원리에 대해 쉽게 이해할 수 있고 그를 이용한 보안의 강화도 쉬울 것이다.

기타 부분

기타 부분에서 첫 번째는 암호학에 대한 이해이다. 현재 대부분의 보안 솔루션은 암호를 이용해서 보안을 강화하고 있으며 암호에 대한 기본적인 이해가 뒷받침 된다면 아무래도 보안을 적용하고 솔루션을 도입하는데 있어서 좀 더 유리한 고지에 서게 될 것이다. 마지막으로는 영어이다. 현재 대부분의 보안과 관련된 서적은 대부분 원서로 먼저 출간되며 이러한 문서가 한글로 번역이 될 때쯤이면 이미 그 기술은 낡은 기술이 되어 있을 가능성이 높다. 또한 대부분의 보안과 관련된 사이트는 영문 사이트가 한글 사이트보다 압도적으로 많다. 그러므로 영어에 대한 이해가 있다면 새로운 기술과 지식에 대해 좀더 빨리 접하고 자신의 것으로 소화할 수 있게 될 것이다.

그리고도 여유가 있다면 중국어도 좀 알아 두는 것이 좋을 것이다. 현재 주로 많이 사용되고 있는 해킹 툴들은 중국에서 아주 많이 만들어 지고 있으며 중국어를 어느 정도 안다면 이러한 해킹 툴에 대해 남보다 먼저 접하게 되고 이를 이용하는 공격 기법들에 대해서도 좀 더 빨리 알아볼 수가 있게 되며 이를 회피하거나 막는 방법에 대해서도 역시 좀더 빠른 대처가 가능하게 될 것이다.

이 글을 읽다 보면 결국 보안 관리자가 알아야 할 지식은 IT 전반에 대한 지식이 필요하다는 것을 알 수 있을 것이다. 좀 더 나은 보안 관리자가 되기 위해서는 IT 전반에 대한 이해가 필요하다. 하지만 역으로 말하면 그 어떤 보안 전문가도 이러한 부분들에 대해서 모두 알고 있을 수는 없을 것이다. 얼마나 노력하고 얼마나 열심히 공부하느냐가 결국 좀더 나은 보안 관리자가 되느냐 그렇지 않으면 실력이 남보다 떨어지는 보안 관리자가 되느냐를 결정하게 된다. 보안 관리자는 항상 깨어 있고 항상 노력해야 하는 일이며 힘든 일이지만 하나씩 알아가면서 보안에 대해 좀더 깊은 이해를 하게 되며 그로 인한 기쁨도 결코 적지 않은 기쁨이 될 수 있을 것이다.

다음 호는 보안 관리자가 알아야 할 지식의 마지막 호로 보안 관리에 대해 알아야 할 부분들에 대해 알아보겠다.

보안 관리자를 위한 관리적 보안 체크리스트

보안 가이드라인 마지막 회는 관리적인 부분에서의 보안에 대해 생각해보려 한다.

보안의 관리적인 부분은 아주 폭넓은 부분들이다. 크게 보면 조직의 보안 정책, 직원의 입사 절차와 정책, 퇴사 절차와 정책, 기업의 비즈니스를 특정 문제가 있을 때에 계속 유지할 수 있는 BCP(Business Continuity planning), 조직이 재난을 당했을 때 빠른 해결을 위한 DRP(disaster recovery planning) 등의 내용을 다루어야 하고 좁게 생각하면 서랍의 시건장치에 관한 규칙, 메일에 첨부로 보낼 수 있는 파일의 크기 제한 등 아주 다양하고 많은 부분들이 관리적인 부분에서의 보안과 관련이 있다. 이 모든 부분을 다 이 글에서 다루기는 현실적으로 불가능하고 아주 많은 관리적인 부분들 중에 필자가 특히 중요하다고 생각하는 네 가지 내용에 대해서만 한번 생각해 보자.

보안 정책의 수립

보안은 결코 보안 관리자가 할 수 있는 부분은 아니다. 물리적인 보안도 그러하고 기술적인 부분들도 마찬가지다. 보안 관리자가 그 많은 보안과 관련된 기술을 모두 이해할 수 없고 물리적인 부분을 모두 관리할 수도 없다. 그렇다면 보안은 누가 하는 것일까?

보안은 한 조직의 특정인이 하는 것이 아니다. 전 조직원이 함께 할 때 진정한 보안에 가까운 형태의 보안을 이룰 수 있다. 하지만 모든 조직원들이 보안과 관련된 모든 부분을 알아야 하고 지켜야 한다면 현실적으로 어떤 조직에서도 보안을 구축될 수 없을 것이다. 조직의 구성원은 서로 다른 업무를 담당하게 된다. 업무가 달라진다는 것은 보안에 있어서 담당해야 할 부분이 다르다는 말이 될 것이다. 즉 일반 사무원이 알고 지켜야 할 보안과 관련된 규칙이 다르고 시스템 관리자가 알고 지켜야 할 보안과 관련된 규칙이 다르다. 보안 관리자는 이런 부분들을 규정하고 정해야 한다. 대부분의 대기업, 특히 IT와 연관 있는 기업들에는 보안 정책이 매우 상세하게 수립되어 있다. 그러나 중소기업에서는 실질적으로 이러한 정책이 없는 경우가 대부분일 것이다. 물론 적은 인력으로 보안을 책임지고 있는 조그만 조직에서 대기업처럼 세세한 보안 정책을 만든다는 것은 현실적으로 매우 어려운 일일 것이다. 그러나 보안 정책은 어떤 규모의 조직이든 꼭 있어야 하는 것이다. 그렇다고 적은 규모의 기업에서 대기업에서처럼 아주 상세하고 각각의 업무에 맞게 구성되어 있는 세부적인 정책을 구성하라는 것은 아니다. 적은 규모의 기업에서 대기업과 동일한 보안 정책을 적용하는 것은 불가능하다. 하지만 기본적인 몇 가지 보안 정책은 존재해야 하고 그 보안 정책을 꼭 회사의 책임 있는 경영진의 승인을 얻는 것은 보안 관리의 첫발을 내디디는 것이며 그 기업의 보안을 한 단계 상승시킬 수 있는 좋은 길이라는 것을 알게 될 수 있을 것이다.

정책의 알림과 확실한 상벌규정

보안 강의나 컨설팅을 나가보면 대부분의 대기업들에는 상당히 잘 만들어진 보안 정책들이 존재한다. 하지만 직원들이 그 보안 정책에 대해 제대로 숙지하고 있는 경우는 쉽게 찾아보기 힘들다. 아무리 잘 만들어진 보안 정책이 있다고 하더라도 그 보안 정책이 직원들에게 잘 알려지지 않고 숙지되지 않는다면 당연히 제대로 실행되지도 않을 것이다. 그렇다면 어떻게 보안 정책을 알릴 것인가? 문서의 회람이나 규정집의 배포가 알리는 것의 전부라고 생각하기 쉽다. 조금만 다른 관점에서 생각해 보자. 여러분들의 조직에는 아마 대부분 사규가 있을 것이다. 지금 이 글을 읽으면서 여러분 회사의 사규 내용을 생각해보자. 어떤 조항이 있고 어떤 규칙이 있는지 생각나는 게 있는가? 아마 거의 없을 것이다. 단순히 배포와 회람으로는 보안 정책도 이렇게 되기 쉽다. 그렇다면 어떻게 알릴 것인가? 가장 좋은 방법은 주기적인 보안 인식 교육이다. 보안 인식 교육은 일반 강의나 트레이닝 같은 형태의 교육이 아니라 2-4시간 정도의 짧은 교육이 더 높은 효과를 낼 수 있다. 특정 주제에 대해서 또는 특정 정책에 대해서 사례 중심의 보안 인식 교육은 보안 정책을 쉽게 이해시키는데 큰 도움이 될 수 있을 것이다. 보안 인식교육은 보안에 있어서 매우 중요한 교육이다. 보안 정책을 모든 직원들에게 알리는 것과 동시에 상벌 규정에 대해서도 확실히 인식시켜야 한다. 가끔 강의에서 드는 좀 황당한 예를 들어보겠다. 대부분의 기업에서는 연초에 시무식이라는 것을 한다. 이 시무식에서 CEO가 이런 발표를 한다고 생각해보자 “올해부터 우리 회사에서는 새로운 보안 정책을 시행합니다. 모든 직원에게 30점을 부여하고 보안 정책을 위반할 때마다 1점씩 감점, 그리고 주변 사람의 위반을 신고할 때마다 2점씩 가점을 줍니다. 그리고 연말에 점수를 합산하여 최고 높은 점수를 기록한 사람은 상여금 300%, 5박 6일의 해외여행, 2위는 상여금 300%, 3위에서 10위는 상여금 200%를 지급합니다. 그리고 꼴찌에서 10명은 6개월간 20% 감봉, 그 앞의 10명에게는 3개월간 20% 감봉을 하겠습니다.” 물론 이렇게 극단적인 정책을 시행할 조직은 거의 없을 것이다. 하지만 이렇게 뚜렷한 상벌 규정이 있다면 이는 직원이 보안을 실천하는데 있어서 아주 좋은 계기가 될 수 있을 것이다. 물론 이 상벌은 실제 시행될 때 아주 엄격한 공정성이 있어야 한다. 보안은 정책의 수립만큼 그 실천이 중요하고 그 실천을 잘 할 수 있는 방법으로 가장 좋은 것은 그에 따른 보상이 주어지는 것일 것이다.

사회공학에 대한 대비

다양한 공격에 맞추어서 다양한 보안 솔루션이 존재하고 있다. 방화벽, IDS, IPS, UTM, NAC, Virus Wall, DRM, SSO등 하지만 이런 보안 솔루션보다 더 중요한 것은 사람을 이용한 공격이고 이 사람을 이용한 공격은 실제 해킹에 있어서도 아주 중요한 부분을 차지하게 된다. 예전에 있었던 웜 중 하나를 소개한다. 두마루라는 웜이다. 이 두마루 웜은 다음과 같은 내용을 가지고 있었다.

보낸 사람 : "Microsoft"

제목 : Use this patch immediately !

본문 :

Dear friend , use this Internet Explorer patch now!

There are dangerous virus in the Internet now!

More than 500.000 already infected!

첨부파일 : patch.exe ( 9,234 바이트 ) (참조 : 안철수 바이러스 연구소 바이러스 검색)

이 웜은 2003년부터 2004년 3월까지 우리나라의 신고된 웜 중 1위를 차지하는 웜이다. (기준, KISA 통계) 기술과 사회공학이 결합된 경우의 예로 충분한 예라고 할 수 있다.

사회공학은 그 하나만으로도 기업의 중요한 기밀을 유출하거나 기업에 중요한 위험을 끼칠 수 있다. 사회공학의 무서운 점은 기술과 결합된 경우 그 파괴력이 엄청나다는데 있다. 이런 사회공학을 이용한 공격은 대부분 공격을 당한 사람이 그 사실을 인지하지 못한다는데 더 큰 문제가 있다. 보안은 기술과 장비 그리고 사람이 함께 이루어 나가는 것이며 그 중에서 사람을 대상으로 한 사회공학 공격은 장비로 막을 수 없다는 것이 아주 위험한 일이라 하겠다. 이렇게 위험한 사회공학에 대해서 아직 우리의 기업들은 크게 인식을 하지 못하고 있는 것 같다. 보안은 결코 솔루션을 이용해서 이루어 질 수 없다. 솔루션은 다만 쉽게 이루기 위한 방법을 제공할 뿐이다. 실제로 기업의 Security Hole는 대부분 사회공학을 이용한 공격에 의해 쉽게 나타나게 된다.

보안을 제대로 구축하고 실천한다는 것은 매우 어려운 일이다. 하지만 진정한 보안관리자라면 꼭 해야 할 일 중의 하나일 것이다. 처음부터 모두 이루려고 할 필요는 없다. 필자가 이 원고를 포함해 이야기한 4가지의 보안 관리자가 알아야 할 부분들에 대해 한가지씩 한가지씩 만들어나가다 보면 어느새 완벽에 가까운 보안이 이루어져 있고 좀더 나은 보안 관리자가 되어 있는 자신을 볼 수 있을 것이다. 하지만 일말의 방심은 기업에 큰 문제를 일으킬 수 있다는 것을 꼭 잊지 않고 기억하길 바란다. 완벽한 보안이란 존재할 수 없다!!!!!