관리, 보안-기능성「중도를 찾아라」

      관리, 보안-기능성「중도를 찾아라」에 댓글 1개

이 글은 zdnet에서 가져온 글입니다.
Mike Mullins 이란 사람이 쓴 것이구요…
서버,네트웍에 있어서의 보안에 대해선 항상 많은 관심을 가질수밖에 없기때매
[열심히 긁어오기 정책]에 입각하여 제 블로그에도 올려보았습니다.
보안수준을 올리면 사용자는 불편해지고 네트웍속도는 느려지는 경향이 있죠..
“네트워크 보안은 보안, 사용자 기능성, 전송 속도 사이에서 균형을 맞추는 작업”이라네요
어떤 가치에 의해서 어느 선에서 조율할것이냐는 정말이지 고민거리입니다.
이글이 좋은 가이드라인이 되지않을까 싶네요..


위험요소(리스크) 관리 절차는 네트워크를 안전하게 만들기 위한 설계, 실행 과정에서 중요한 위치를 차지하고 있다. 만약 위험요소에 대해 사정 과정을 밟는다면 기업의 네트워크가 제대로 보호받지 못하고 있으며 이를 개선하려면 별도 하드웨어, 소프트웨어를 구매하거나 관리자를 충원하고 사용자 훈련 과정을 밟아야 한다는 점을 발견하게 될지도 모른다.

네트워크 보안은 보안, 사용자 기능성, 그리고 전송 속도 사이에서 균형을 맞추는 작업이다. 액티브X를 끄는 것과 같은 운영기능의 축소를 정당화하려면 반드시 기업 자산과 사용자들에게 보다 안전한 환경을 제공한다는 별도의 절차를 정의해 놓아야 한다.

규모에 상관없이 모든 기업들은 위험요소 관리 원칙에 따라 위험요소를 정의하고 취약한 부분을 집어내야 하며 이에 따라 행동 과정을 실행에 옮겨야 한다. 대다수 기업들은 조직에 배분된 IT 예산을 줄이고 있는 추세다. 그러나 관리자들은 고용주들에게 IT 예산 확장을 독촉해야 한다. 보안 위험요소를 정의하고 감소, 완화시키는 것이 기업 의사결정에 왜 긍정적인지 논증하는 것과 같은 행동을 취함으로써 말이다.

위험요소 관리의 초석은 바로 보안 위험요소 사정이다. 위험요소 사정은 네트워크의 가치를 결정하고 위협 요소를 정의하며 취약요소를 결정하는 3단계 과정으로 진행된다.

1. 네트워크 가치 결정
기업 네트워크 자산의 가치를 사정할 때 유·무형의 가치를 모두 고려해야 한다는 점을 잊지 말라. 검토해야 할 질문들은 다음과 같다.

시스템 오류는 기업의 수익에 얼마나 영향을 미치는가?
네트워크 회복에 관련된 인건비는 얼마인가?
네트워크에 저장된 정보를 재구성하는 데 소요되는 비용은 얼마인가?
네트워크에 있는 정보가 손상된다면 재정적인 책임은 누가 지는가?

2. 위협 요소 결정
기업의 네트워크와 데이터는 환경적인 요소와 내/외부로부터의 위협에 취약하다. 각 위협요소 유형들을 처리해 나가야 하며 가능한 한 많은 잠재 위험요소들을 식별해야 한다.

대다수 관리자들은 환경적인 위협요소에 대해서는 매우 잘 인식하고 있다. 이들은 데이터 센터를 침수 지역에 위치시키거나 스프링쿨러 밑에 서버를 두거나 하진 않는다. 또한 내부 위협요소도 대체로 잘 정의되는 편이다.

위 두 가지를 제외하고 외부 위협요소를 정의할 때, 합당한 권한이 없음에도 불구하고 네트워크에 접속한 사용자에 의해 환자 기록이나 신용카드 번호와 같은 데이터의 기밀 요소가 파괴될 때 누가 이득을 보는지 명확하게 정의하라. 고객 정보를 몰래 빼가려는 경쟁업체나 목표물을 찾는 해커가 데이터를 수정, 변경하거나 통합성, 유용성을 파괴하려 결심할지도 모른다.

3. 취약 요소 결정
취약 요소는 식별해놓은 위협요소가 일어날 가능성을 추산해준다. 식별된 각 위협요소에 대해 취약 수준이 어떠한지 분류해놓도록 하자.

– 위협은 어떻게 전개될 것으로 보이는가? 관리자는 자신이 속한 업계 내에서 얼마나 높은 지명도를 확보하고 있는가? 지명도가 높으면 높을수록 해커의 공격 대상이 될 가능성도 높다.
– 위협요소의 실행 가능성은 어느 정도인가?
사실 대다수 사람들은 취약요소 사정을 가장 어려워한다. 본인이 할 수 있는 충고는 현실적인 측면에서 고려해 보라는 것뿐이다.
– 위험 관리 과정의 마지막 단계는 보안 솔루션을 실행하는 것이다. 여기에는 사용자나 관리자의 훈련, 네트워크 재설계나 보안 하드웨어 투자 등이 수반할 수도 있다. 반면 취약한 자산을 유지한 상태에서 불필요한 서비스를 꺼버리거나 서비스 패치를 점검·실행하는 것처럼 간단한 것일 수도 있다.

네트워크의 위험요소를 사정하려 할 때 위험 사정 작업이 네트워크 보안 프레임워크 내에서 어떻게 운영되는지 직접 확인할 수 있는 샘플을 발견할 수도 있다. 전국에 걸친 지점망을 보유한 자동차 정비 업체의 보안 관리자가 네트워크 위험 사정을 하는 것을 예로 들어보자.

정비 업체의 네트워크는 우선 종업원의 업무 시간, 출석 기록 그리고 자동차 수리 정보 등을 유지한다. 인터넷 접속은 이메일이나 인터넷 트래픽 처리 등의 목적으로만 활용된다. 분석이 완료된 사정 평가서는 이와 같은 내용을 담고 있을 것이다.

이제 네트워크의 가치를 결정해보자. 네트워크가 제거된다 해도 정비공은 여전히 자동차를 수리할 수 있으며 고객들도 자동차 타이어의 정기 검사를 받지 않았다는 사실을 해커가 알아낸다고 고심하진 않을 것이다. 그러나 네트워크가 없다면 시간, 출석 등을 계산하는 데 있어 임금 지불 시기와 지역에 따라 평균 4시간 정도가 더 소요될 것이다.

다음으로 위협요소를 정의해보자. 환경, 내부 위협요소 이외에 가장 발생하기 쉬운 외부 위협요소는 바로 부당 이득이나 초보적인 대처로 인한 것들이다.

마지막 단계인 취약요소의 결정에서 네트워크는 적대적인 인터넷 트래픽과 이메일에 첨부된 바이러스 등에 취약한 것으로 평가될 것이다.

자, 이제 해결책을 모색해보자. 간편하고 저비용인 해결 방법은 워크스테이션에 안티바이러스 솔루션을 탑재, 실행시키고 액티브X와 자바, 그리고 워크스테이션에서의 스크립트 작업 등을 제한하는 것이다. 또한 네트워크 영역 내에서 http, https, DNS 요청, SMPT 등을 통한 트래픽 발송을 제한하라. 내부로 유입되는 트래픽은 반드시 규정된 트래픽과 DNS 쿼리 반환, SMTP 등으로만 구성돼 있어야 할 것이다.

결론
만약 직무 책임 범위 내에서 솔루션을 찾을 수 있다면 즉시 행동을 취하라. 그리고 비용이 수반된다면 네트워크에 대한 재정적인 책임을 지는 직원에게 이전하라. 관리자가 5만달러의 가치가 있는 데이터와 하드웨어를 보호하기 위해 백만달러짜리 솔루션의 구입을 승인할 것이라고 기대하진 마라.

위험요소 관리 절차는 네트워크를 안전하게 만들기 위한 설계, 실행 과정에서 중요한 위치를 차지하고 있다. 만약 위험요소에 대해 사정 과정을 밟는다면 기업의 네트워크가 제대로 보호받지 못하고 있으며 이를 개선하려면 별도 하드웨어, 소프트웨어를 구매하거나 관리자를 충원하고 사용자 훈련 과정을 밟아야 한다는 점을 발견하게 될지도 모른다.

오히려 분석 결과로 네트워크에 쏟아야 하는 관심을 그대로 유지하면서도 잘 보호하고 있다는 것이 입증되는 경우가 더 드물 것이다. @

필자 소개
마이크 멀린스는 미 연방 보안국의 데이터베이스, 네트워크 관리자와 네트워크 관리자로 일해왔으며 현재 미 국방부 정보 시스템 기구의 네트워크 보안 관리자로 일하고 있다.

One thought on “관리, 보안-기능성「중도를 찾아라」

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.