다양한 보안솔루션 개념 쉽게 이해하기 – 2부 (시큐어코딩 외)

다양한 보안솔루션 개념 쉽게 이해하기 – 2부

 

지난번에는 DB암호화, DB접근제어, NAC 등에 대해서 간략히 알아보았습니다.

금번에는 예정대로 시큐어코딩, 망분리, 엔드포인트보안에 대해서 알아보겠습니다.

 

1. 시큐어코딩
최근 관공에서 진행되는 거의 대부분의 유지보수 관련 사업, 신규사업 등의 RFP를 보면 웹취약점 점검이란 부분을 확인할 수 있습니다. 이는 이미 개발되어져 있는 또는 신규 개발된 웹사이트의 해킹에 대한 취약점을 분석하여 대처 방안을 제시하고 수정하도록 하는 점검입니다.
그러나 시큐어코딩은 이보다는 보다 넓고 근본적인 부분입니다.

즉, 개발/설계 단계에서부터 보안을 고려하여 코드를 작성/제작하는 것을 말합니다. 실제로 해킹의 75%가 소프트웨어의 자체 취약점을 악용해 이루어지고 있으며, 시큐어코딩을 하게 되면 이러한 취약점이 대폭 줄어들어 보안성이 향상됩니다.
“소프트웨어 취약점 공격은 전 세계적으로도 심각한 사이버 보안 이슈로 꼽힌다. 가트너는 전 세계에서 발생한 공격과 해킹의 75%가 애플리케이션을 공격한 것이었다고 분석한 바 있으며, 미국국립표준기술연구소는 보고된 취약점 중 70%가 애플리케이션 취약점을 노렸다고 발표했고, HP는 84%의 공격이 애플리케이션 레이어에서 발생하고 있다고 밝혔다.”(2014 기업 정보보안 가이드 v.9 발췌)

– 시큐어코딩과 관련하여 ‘시큐어코딩 필수 43개 보안취약점 제거 항목’ 등이 발표되어 있고 이를 적용하여 개발을 고려하면 되지만사람의 의해 개발되는 한 이를 완벽히 준수하여 개발하기란 매우 어렵습니다.

– 그래서 시중에는 이를 점검할 수 있는 솔루션들이 나와 있고 이를 통해 취약한 부분을 찾아내어 코드를 수정할 수 있습니다

– 그러나, 중소규모 사업자들이 이 솔루션들을 활용하여 적용하기란 높은 금액이라는 장벽에 막혀 있습니다.

– 나일소프트의 WSE라는 웹취약점 점검 솔루션으로 웹취약점점검을 수행하는 경우는 100만원대의 낮은 금액으로 취약점을 찾고 수행할 수 있으나, 이보다 범위가 넓고 웹취약점 점검을 총 점검의 일환으로 삼고 있는 시큐어코딩 점검은 최소 600만원 이상의 금액으로 수행가능하고 이도 작업범위에 따라 1천만원을 호가하기도 합니다.

– 그럼에도 공공사업 시큐어코딩 의무화로 관련법이 만들어지고 시장성이 열려 있어 좀 더 낮은 금액으로 활성화되기를 기대해보기도 합니다.

– 용어 그대로 개념을 받아 들일 수 있기에 개념 설명 보다는 업계 현실을 좀 더 부각하였습니다.

관련정보
– 시큐어코딩이란 : http://blog.naver.com/kaonigovt?Redirect=Log&logNo=140169124603
– 시큐어코딩 필수 43개 보안취약점 제거 항목 : http://nologout.blog.me/163790117

관련 업체
– 이븐스타(빅룩와스, 정보라인이 공급), 파수닷컴(스패로우), 트리니티소프트(웹스레이, 코드레이, 스캔레이),  나일소프트(웹취약점점검만 특화, WSE, 에이원네트웍스가 공급)

 

2. 망분리
– 쉽게 얘기해서 외부의 침입으로부터 내부 전산자원을 보호하기 위해 ‘네트워크 망을 업무망과 인터넷망을 분리 구축하는 것’입니다. IT보안을 가장 완벽하게 보장하는 환경은 네트워크를 끊는 것이지만 현실적으로 네트워크 연결 없이 업무 수행은 불가능합니다.

– 그래서 망분리 환경에서 모든 업무는 ‘폐쇄적인 업무망’에서 보안을 극대화하여 진행하고, 외부와의 소통을 위해 인터넷 연결이 필요할 때는 ‘인터넷 연결만 허용되는 분리된 네트워크’를 통해 가능합니다.(2014 기업 정보보안 가이드 v.9 발췌)

– 현재 공공기관의 행정망은 모두 분리해 폐쇄망을 통해 운영되도록 의무화되어 있으나, 일반 기업이 이를 쉽게 도입하기란 어렵습니다. 또한 스마트 워크가 활성화되고 있는 시점에 이 부분까지 분리하기란 더더욱 어렵고 보안적 약점이 노출될 수 밖에 없습니다.

– 그래서 업계에서는 이 부분을 고려하여 저렴한 비용으로, 손쉽게 분리할 수 있는 솔루션들이 나오고 있고 물리적/논리적 망분리 이론에 각각 맞게 공급되고 있습니다. 또한, 스마트 워크에 맞게끔 모바일 기기까지 통제할 수 있는 솔루션들도 공급되고 있습니다.

– 망분리에 대해서는 여기까지만 간략히 얘기하도록 하겠습니다. 워낙 깊은 얘기가 별도의 요청이 있으면 따로 주제로 삼아 다루도록 하겠습니다.

관련업체
– 관련업체…는 기술하기에 너무 많네요. 그만큼 망분리 적용 방식 등에 따라 다양한 솔루션이 나와 있기 때문입니다. ^^;;;;;

 

3. 엔드포인트 보안

1)  서버/PC보안

– 지능형 지속위협(APT) 공격은 이미 알려진 전통적인 방식으로 80%이상 공격하므로 이는 ‘안티바이러스’로도 충분히 대처가 가능합니다. 나머지 20%도 샌드박스나 애플리케이션 인지제어 기술 등으로 대처가 가능해지고 또 가능해졌습니다.

– 즉, 엔드포인트 보안이란 서버나 pc에서 해킹에 대비할 수 있는 가장 기본적인 보안을 말하고 가장 대표적인 것이 바로 우리가 흔히 pc에 설치하여 쓰고 있는 ‘안티바이러스(백신)’ 입니다.

– 특히, 백신은 보안의 시작으로 백신으로 기본적인 방어막을 만든 후 백신을 통과한 지능형 공격을 막는 것이 APT 방어를 위해 가장 이상적인 다계층 보안입니다.

2) 모바일 보안

– 스마트 워크 환경을 위해 다양한 모바일 기기들이 업무에 활용되고 있으나 이로 인해 최악의 보안홀로 전락한 것이 사실입니다.

– 모바일 기기 자체의 해킹으로 인해 정보 등이 노출될 수도 있으나 모바일 기기가 업무망과 연결되어 있는 경우 이에 대한 통제가 강력히 되어 있지 않는 이상 모든 전산환경이 쉽게 해킹이 가능합니다.

– 이로 인해 앞서 얘기한 바와 같이 모바일 기기를 고려한 NAC나 망분리 솔루션들이 나오고 있고 이 또한 보안 관련한 비용을 증가시키는 요인이 되고 있습니다.

– 현실적으로는 이슈가 부각되고 업계가 발빠르게 움직이고 있어 보안 대처는 쉽게 가능합니다. 모든 통신사에서 자체 보안앱 등을 제공하고 있고 이 보안앱만으로도 상당수 침입을 대비할 수 있습니다.

– 서버/pc/모바일 등 엔드포인트 보안은 유저의 가장 기본적인 대처로부터 시작됨을 명심해야 하며 이는 흔히 하찮게 여기는 백신이나 보안어플리케이션이 가장 강력한 대처 수단임입니다.

관련정보
– 엔드포인트 보안은 ‘2014 기업 정보보안 가이드 v.9’에서 일부 발췌하고 대부분 사견을 넣었습니다. 가장 쉽게 풀어쓰고자 함입니다.

관련업체
– 안랩 ‘V3 엔드포인트 시큐리티 9.0 등’, 시만텍 ‘엔드포인트 프로텍션 제품군’, 이스트소프트 ‘알약’, SGA ‘바이러스 체이서’, 잉카인터넷 ‘엔프로텍트 제품군’

마치며
– 금번 내용은 매우 쉽게 풀어쓰거나 사견 등이 많이 들어갔네요. 보다 명확한 개념이 필요했던 이전 부분과는 다르게 용어 자체로 충분히 이해할 수 있기 때문에 개념, 기술 정보보다 현실 정보를 좀 더 넣어 봤습니다.

 

출처 및 작성자

에이원네트웍스1
에이원네트웍스는 호스팅기반의 서버관리 및 시스템컨설팅 전문 기업입니다.
회사 홈페이지 : http://www.nidc.kr/
네이버까페 : http://cafe.naver.com/aonenetworks
고객센터: (영업문의) 02-853-8700 , (기술문의)1544-6191

정보, 문의, 자료요청 등 : (주)에이원네트웍스 영업부 과장 이규식 / 010-3221-2946 / [email protected]

About SharedIT

SharedIT

Leave a Reply

2 개의 댓글이 있습니다 - "다양한 보안솔루션 개념 쉽게 이해하기 – 2부 (시큐어코딩 외)"

메일 알림 설정
정렬:   최신 | 오래된 | 추천
werther20

감사합니다~~^^

wansoo

참고 하겠습니다~
다음편 또 기대 합니다.

wpDiscuz