[전망대] 지능형 정보보호체계

홍기융 시큐브 사장

1.25 인터넷 대란의 주범이 MS 윈도 기반의 BoF(Buffer Over Flow) 공격을 이용한 슬래머 웜 바이러스로 밝혀졌다. 이에 따라 전통적으로 BoF 공격에 취약한 유닉스 시스템도 이번 사태와 유사한 인터넷 대란의 근원지가 될 수 있다는 점에서 대책 마련이 시급하다고 생각한다.

금융ㆍ공공ㆍ국방ㆍ교육 등 주요한 국가 정보통신기반 구조의 핵심이 유닉스 시스템으로 설계된 현실을 감안할 때, 기존 정보보호 체계의 한계를 극복할 수 있는 보다 근원적인 지능형 정보보호 체계 구축이 절실히 요구된다.

실제로 MS-SQL 서버의 BoF 취약성을 이용해 DDoS(분산서비스거부) 공격을 유발한 이번 슬래머 웜의 사례에서 알 수 있듯이 유닉스 시스템에서도 BoF 공격을 감행해 악성코드를 삽입하면 패킷을 대량으로 유포해 네트워크를 마비시킬 뿐만 아니라 실시간 금융데이터 및 각종 중요 데이터베이스를 파괴시킬 수도 있다.

물론 BoF 공격에 대해 MS와 마찬가지로 HP, SUN, IBM 등 유닉스 시스템 벤더들도 지속적인 패치를 제공하고 있다. 하지만 운영체제 플랫폼 및 버전이 각기 다른 수십 대의 유닉스 시스템을 관리하는 소수의 관리자가 각 벤더의 사이트에서 패치를 다운로드받아 설치하고 시스템을 재부팅해야 하는 등 패치 적용이 현실적인 어려움이 있다는 사실도 인정해야 한다.

이와 함께 1ㆍ25 인터넷 대란과 같은 대형 보안사고에 대한 대응책을 미리 마련하는 일도 중요하다. 현재 대부분의 대응책은 안티 바이러스 백신을 통한 치료 작업으로 이뤄지고 있는데, 향후 이와 유사한 제 2, 제 3의 보안사고에 대한 방어책으로는 적절한 대응조치로 볼 수 없다. 모든 보안사고가 예고 없는 현실을 감안할 때 시큐어OS 근간의 3단계 보안체계를 구축하는 것이 최선의 예방책이라고 할 수 있다.

시큐어OS 기반의 다단계 지능형 정보보호 체계를 구축하기 위해서는 보호체계 내의 보안솔루션 상호간에 침입관련 정보를 주고받는 등 지능형 보안관리수단이 유기적으로 구성돼야 하며, 보안침해에 대해 적극적이고 능동적인 보안대책이 강구돼야 한다.

시큐어OS, 침입탐지스템(IDS), 취약점분석도구(Scanner), 방화벽(firewall)을 이용한 다단계 지능형 정보보호 체계를 구축하고 개별솔루션의 연동ㆍ대응하는 방법을 설명하면 다음과 같다.

첫째 시큐어OS와 방화벽 연동을 이용한 다단계 대응체계 구축이 가능하다. 웜 바이러스가 방화벽을 통과해 서버 시스템에 유입되면 시큐어OS가 서버 수준에서 BoF 공격을 탐지하고 차단해 웜 바이러스가 더 이상 악의적인 행위를 하지 못하도록 원천적으로 차단함과 동시에, 이 사실을 관리자에게 통보하고 방화벽에 해당 IP와 포트를 알려서 웜 바이러스의 네트워크 유입을 방지할 수 있다.

둘째 시큐어OS를 IDS 및 방화벽과 연동할 수도 있다. 웜 바이러스가 네트워크로 유입되면 IDS가 이를 탐지해 이 사실을 관리자에게 통보하고 방화벽과 시큐어OS에 해당 IP와 포트를 알리면, 이후 악성 패킷의 네트워크 및 서버 시스템에 대한 접근을 동시에 차단할 수 있다.

셋째 시큐어OS를 스캐너 및 방화벽과 연동해도 된다. 스캐너가 주기적인 취약성 점검을 통해 웜 바이러스 취약성을 발견하게 되면 이 사실을 관리자에게 통보함과 동시에 방화벽과 시큐어OS에 해당 IP와 포트를 알리고 악성 패킷의 네트워크 및 서버 시스템에 대한 접근을 동시에 차단할 수 있다.

이러한 다단계 지능형 정보보호 체계 구축한다면 기업이나 조직은 향후 고도화된 해킹 및 바이러스에 대한 대응을 보다 용이하게 할수 있게 될 것이다.