네트워크 보안은 가용성, 기밀성, 무결성에 대한 공격 및 장애로부터 모든 컴퓨팅 리소스를 보호하는 것을 설명하는 용어입니다. 여기에는 멀웨어 방지, 방화벽, 침입 탐지, 데이터 손실 방지 기술 및 기타 보호 기능이 포함됩니다.
네트워크 보안에는 네트워크에 추가되는 특정 보호 제어가 포함됩니다. 수년에 걸쳐 발전해 온 이러한 제어 기능은 네트워크를 보호하는 방법이 좀 더 다양해지고 해커의 새로운 공격 방법이 등장함에 따라 계속해서 발전하고 있습니다.
보호를 위해 올바른 제어 기능이 추가되어 있는지 확인하려면 먼저 위협 요소와 네트워크 취약점을 파악해야 합니다. 또한 올바른 공급업체, 솔루션 구성을 네트워크에 적용할 수 있도록 제어 유형을 이해하는 것도 중요합니다.
위협은 리소스 기밀성, 가용성 또는 무결성에 영향을 미치는 잠재적 요소입니다. 위협 요소에는 중요한 데이터 공개, 데이터 변경 또는 서비스 액세스 거부 등이 있습니다.
위협 환경은 위협, 위협 행위자 및 공격이 발생하도록 허용하는 위협 벡터와 관련하여 이용 가능한 정보로 구성되어 있습니다. 위협 행위자는 현존하는 위협을 사용하여 해를 가하려는 개인 또는 집단을 말합니다.
예를 들어, 도난당한 노트북의 경우 위협 행위자는 도둑입니다. 위협 벡터는 공격 경로를 의미하며, 잠기지 않은 문이나 테이블에 방치된 노트북 등을 예로 들 수 있습니다.
위협이 실현되려면 악용 가능한 취약점이 있어야 합니다. 취약점은 위협 행위자가 보안 정책을 침해하는 데 사용할 수 있는 약점이나 결함입니다.
노트북을 다시 예로 들자면, 가벼운 디자인, 휴대성 및 편의성은 많은 고객의 관심을 끌 수 있는 특징입니다. 동시에, 이러한 특징들은 도난의 가능성을 증가시키는 약점이기도 합니다. 도어락이나 케이블 잠금 장치와 같은 보안 제어 조치는 위협 요소를 줄여 도난의 가능성을 줄입니다.
기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)(줄여서 CIA)은 모든 정보 보안 프로세스의 목표를 정의하는 주요 속성입니다. 정보 보안 프로세스에는 다양한 전략과 활동이 포함되며 각각은 ‘예방’, ‘탐지’, ‘대응’이라는 세 단계 중 하나에 속합니다.
예방 단계의 주요 요소는 다음과 같으며 문서화된 정책을 통해 실행됩니다.
탐지는 시스템 활동을 모니터링하고 기록하는 것입니다. 침해 또는 악의적인 활동의 가능성이 있는 경우 탐지 시스템은 책임 당사자에게 알려야 합니다. 탐지 프로세스는 적절한 대응 조치로 이어져야만 가치가 있습니다.
대응은 진행 중인 공격을 중단시키거나, 최신 패치로 시스템을 업데이트하거나, 방화벽의 구성을 변경하는 것을 포함하여 문제에 대해 잘 계획된 수정 조치를 취하는 것을 말합니다.
네트워크 보안과 관련된 개념을 이해하는 것이 중요합니다. 취약점과 위협 행위자를 인식하지 못한다면 최상의 보안 제어 수단을 마련할 수 없을 것입니다. 예를 들면, 사용자가 시스템에 접근하려면 신원 확인이 이루어져야 한다는 것을 이해하고 있어야 합니다. 이는 올바른 보안 공급업체 및 솔루션을 파악하는 데 있어 필수적인 지식입니다.
액세스 제어는 거의 모든 사람에게 익숙한 보안 제어의 한 종류입니다. 요즘 대부분의 사람들은 암호를 사용하여 컴퓨터에 로그인합니다. 네트워크, 애플리케이션 또는 파일에 액세스하기 위해 암호를 사용했을 수도 있습니다. 한 사람이 기억해야 할 암호는 평균 10개 이상이라고 합니다.
액세스 제어의 구현은 식별(identification), 인증(authentication), 권한 부여(authorization), 책임추적성(accounting)(줄여서 IAAA)이라는 네 부분으로 나뉩니다. 이 프로세스에서는 사용자 ID, 사용자 이름 또는 계정 번호와 같은 고유 식별자를 통해 사용자의 신원을 확인합니다.
시스템은 사용자 이름 및 비밀번호와 같이 사용자가 알고 있는 자격 증명을 확인하여 사용자의 신원을 인증합니다. 또는 ID 카드나 일회용 비밀번호와 같이 사용자가 자격 증명을 소유하고 있을 수도 있습니다. 시스템이 사용자를 확인한 후 액세스 권한을 부여하는 과정이 권한 부여입니다.
마지막 부분인 계정에는 액세스 권한이 있는 사용자가 시스템에서 수행한 작업에 대해 책임을 지도록 사용자 활동을 추적하는 것이 포함됩니다. 암호는 오늘날 유일한 선택이 아닙니다. 일회용 암호 생성 하드웨어 또는 소프트웨어, 스마트 카드 및 생체 인식을 비롯해 많은 옵션이 있습니다. 네트워크 리소스에 대한 올바른 옵션을 선택하려면 신중하게 고려해야 합니다.
네트워크 세분화는 네트워크를 논리적으로 분할하여 그 사이에 제어를 추가할 수 있습니다. 이렇게 하면 성능과 보안 수준이 모두 향상됩니다. VLAN(가상 근거리 통신망)은 온프레미스 또는 클라우드 인프라를 사용하여 수행되는 일반적인 네트워크 세분화 방법입니다. 클라우드에서 사용되는 경우 이를 가상 사설 클라우드(VPC)라고 합니다.
물리적 데이터센터 내에서 찾아볼 수 있는 기존 네트워킹 방식에서는 경계가 명확하게 정의되어 있습니다. 그 경계가 바로 데이터센터가 외부와 연결되는 지점이었습니다. 오늘날에는 경계를 정의하기가 어렵지만 여전히 동일한 기술을 많이 사용합니다.
여기에는 방화벽(FW), 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)이 포함됩니다. 경계를 정의할 때는 어떤 데이터, 음성 및 비디오를 통과시킬 것인지 결정해야 합니다. 어떤 유형의 트래픽이 흘러가야 하는지 이해하고 있으면 그에 따라 제어 메커니즘을 구성할 수 있습니다.
키를 사용하여 데이터를 암호로 변환하는 암호화는 전송 중이거나 저장 중인 데이터의 기밀성과 무결성을 보장합니다. 기본적인 암호화 유형 두 가지는 대칭 암호화와 비대칭 암호화입니다.
대칭 암호화는 고대 이집트인들이 기밀 유지를 위해 사용한 방법입니다. 오늘날 우리는 같은 개념을 사용하지만 훨씬 더 복잡한 알고리즘을 사용합니다. 예를 들어, 온라인 뱅킹 세션을 기밀로 유지하려면 대칭 암호화를 사용하여 암호화합니다. 은행 웹사이트의 신뢰성을 보장하기 위해 비대칭 암호화를 사용하여 해당 세션의 대칭 암호화에 대한 키를 안전하게 교환합니다.
해싱은 알고리즘을 사용하여 원본 메시지 또는 데이터를 간단한 값으로 변환하여 임의의 문자로 구성된 고정 길이 문자열을 생성합니다. 이는 해당 메시지 또는 데이터의 무결성을 보장하는 키 역할을 합니다.
통신의 무결성을 확인하는 방법인 해싱 알고리즘은 이 문장을 읽는 것만큼이나 간단합니다. 이것이 실제로 입력된 내용인지 어떻게 알 수 있을까요? 실수로 또는 악의적으로 변경되었을까요?
해싱 알고리즘은 문자 또는 비트가 실수로 변경되지 않았음을 증명하는 데 사용됩니다. 암호화로 해시를 보호하면 해커가 악의적으로 텍스트를 변경하지 않았음을 알 수 있습니다. 해싱은 암호를 안전하게 저장하고 파일을 모니터링하며 통신 무결성을 보장하는 데 널리 사용됩니다.
사람, 운영 및 기술은 심층 방어 네트워크 보안에 기여하는 주요 요소입니다. 비즈니스를 위협하는 위험을 식별하고 평가한 후에는 네트워크 보안 요구 사항을 결정할 수 있습니다. 여기에는 경계 보안, 방화벽에서 생성된 경고에 대한 응답, 침입 탐지 및 방지, 로그에 적용해야 하는 기술 유형이 포함됩니다. 그럼 방화벽부터 살펴보겠습니다.
방화벽은 25년 넘게 네트워크와 최종 시스템에 사용된 매우 전통적인 보안 툴입니다. 방화벽의 경우 두 가지 범주로 나뉩니다. 통과시켜야 하는 바람직한 트래픽과 차단해야 하는 트래픽이 바로 그것입니다. 패킷 필터는 원치 않는 트래픽을 필터링한 최초의 방화벽 중 하나였습니다.
공급업체는 방화벽이 트래픽을 분석하고 자동으로 분류할 수 있도록 다양한 방법을 접목함에 따라 방화벽의 버전은 다양해졌습니다. 여기에는 최초의 패킷 필터, 차세대 방화벽, 그리고 이제 클라우드 세대의 방화벽이 포함됩니다.
방화벽과 달리 IDPS(침입 탐지 및 방지 시스템)는 네트워크에 악의적인 활동이 있는지 모니터링하여 네트워크 보안 사고 및 잠재적 위협을 보고하고 이에 대응합니다. 방화벽은 원하는 트래픽을 찾고 나머지는 차단합니다.
침입 탐지 시스템(IDS)은 있으면 안 되는 트래픽을 찾습니다. 해커나 다른 불법적인 행위자의 트래픽을 찾는 데 중점을 둡니다. 기술이 발전함에 따라 누군가는 ‘트래픽이 해커의 로그이면 왜 기록하지?’, ‘트래픽이 식별되는 즉시 폐기하지 않는 이유는 뭘까?’와 같은 질문을 던지기 시작했고, 거기에서 기술은 침입 방지 시스템(IPS)으로 발전했습니다.
IPS는 기본적으로 활성화되어 있습니다. 지나가는 트래픽이 해커로부터 온 것이면 조치를 취하고 해당 트래픽을 파괴합니다. 얼핏 들으면 아주 훌륭한 계획처럼 들립니다. 하지만 현실 세계에서 이러한 시스템을 적절하게 조정하기란 어렵습니다. 올바르게 조정되지 않으면 정상 트래픽을 폐기하고 해커 트래픽을 유입시킬수도 있습니다. 따라서 대부분의 기업은 IDS까지만 마련해 둔 상태에서 로그, SIEM(보안 정보 이벤트 관리자) , 사고 대응 계획 및 팀을 갖추고 있습니다.
VPN(가상 사설망)은 네트워크를 통과하는 데이터의 기밀성을 보호합니다. VPN의 핵심은 암호화이지만 인증도 사용합니다. VPN에는 세 가지 암호화 옵션이 있으며, 특히 사용자가 사무실과 원격으로 연결하기 위해 노트북이나 전화에 사용하는 애플리케이션을 위한 암호화 옵션이 있습니다. IPSec, SSL/TLS, SSH라는 세 가지 옵션이 있는데 이러한 세 가지 암호화 프로토콜은 다른 애플리케이션에도 사용됩니다.
IPSec은 국제 표준 기구(ISO)의 OSI(Open System Interconnect) 모델의 3계층에서도 작동하므로 거의 모든 시나리오에서 사용할 수 있는 암호화 프로토콜입니다. 3계층은 데이터, 음성 또는 비디오를 올바른 네트워크 대상으로 가져오는 네트워크 계층입니다. 따라서 IPSec을 추가하면 데이터가 암호화되고 기밀 형식으로 대상에 전송됩니다. VPN 이외의 일반적인 용도는 사업장 사이에 이루어지는 사이트 간 연결입니다.
TLS(전송 계층 보안)는 SSL의 업그레이드 버전입니다. 1999년에 소유권이 Netscape에서 IETF(International Engineering Task Force)로 이전되지 않았다면 SSL 4.0이라고 불렸을 것입니다. TLS는 VPN뿐만 아니라 모든 웹 기반 연결에 대한 암호화 옵션을 제공합니다. 이러한 연결은 은행, Amazon 또는 브라우저 창 한쪽 구석에 잠금장치 표시가 있는 기타 사이트에 대한 브라우저 기반 연결일 수 있습니다.
SSH(Secure Shell)는 주로 한 컴퓨터에서 다른 컴퓨터로 원격 연결하는 데 사용됩니다. 일반적으로 네트워크 관리자가 관리 목적으로 서버, 라우터 및 스위치에 연결하는 데 사용됩니다. 이러한 연결은 구성 및 모니터링을 위한 것입니다.
회사에서 통제된 방식으로 고객과 공유하고자 하는 콘텐츠, 장부, 설명서 등이 있는 경우 DRM(디지털 권한 관리)이 해결책입니다. DRM 소프트웨어는 오늘날 대부분의 사람들에게 익숙합니다.
Netflix나 Amazon Prime의 영상 콘텐츠를 보거나 Spotify나 iTunes에서 음악을 듣는다면 DRM을 본 적이 있을 것입니다. Kindle에서 책을 읽는 경우 그 책을 아무나 임의로 공유할 수 없습니다. Kindle 애플리케이션의 DRM 소프트웨어는 책 권한에 따라 다르지만 일반적으로 이를 허용하지 않습니다.
회사에서 사용자가 신용 카드 번호와 같은 민감한 정보가 포함된 이메일을 회사 외부의 누군가에게 보낼까 걱정된다면 데이터 유출 방지(DLP)가 해결책입니다.
DLP 도구는 누출되면 안 되는 트래픽을 감시하고 해당 전송을 중지시킵니다. 기본적인 아이디어는 그렇습니다. DLP는 제대로 구성하기가 매우 어렵지만 회사의 데이터 유출을 막기 위해 검토할 가치가 있습니다.
모든 비즈니스에 추가해야 할 가장 중요한 제어는 모니터링입니다. 공격, 위협, 침해, 해커 등을 감시하는 것은 중요합니다. 보안에 있어서는 비즈니스가 해킹당하고 사용자가 실수를 할 것이라고 가정하는 것이 가장 좋습니다. 그런 다음 공격을 예의주시하고 대응할 준비를 해야 합니다. 일반 기업의 가장 큰 문제 중 하나는 공격을 받았다는 사실조차 모르고 있다는 것입니다.
디바이스에서 이벤트를 기록해야 네트워크에서 무슨 일이 일어났고 무슨 일이 일어나고 있는지 파악할 수 있습니다. 이벤트가 기록되면 분석을 위해 중앙 syslog 서버로 보내야 합니다.
분석 도구를 SIEM(Security Information Event Manager)이라고 하는데 이 도구는 이벤트의 상관 관계를 지정하고 침해 지표(IOC)를 찾는 작업을 수행합니다. IOC가 있는 경우 누군가가 이벤트를 검토한 다음 공격을 중지시키거나 공격 후 시스템을 복구 및 복원하기 위해 조치를 취해야 하는지 결정해야 합니다.