우리 회사에 적합한 망분리 솔루션 찾기~!

2011.09.07

 

안녕하세요. 안랩인입니다. 오늘날 인터넷을 통한 편리한 업무 환경 조성을 위해 힘써 왔던 우리 기업들은 예상하지 못한 심각한 보안 위협에 직면해 있습니다. 인터넷으로 연결된 내부망은 외부로부터의 악성코드 공격을 받고 있으며, 내부로부터는 중요 기밀 자료 유출과 같은 피해가 발생하고 있습니다. 기존 보안 솔루션의 도입/운영만으로는 더 이상 내/외부의 공격으로부터 안심할 수 없는 상황에 이르렀습니다. 이에 업무망과 인터넷망을 분리하여 인터넷을 통한 악성코드 침입 및 공격이 있더라도 업무 영역에 영향이 미치지 않는 망분리 솔루션이 보안의 새로운 해결책으로 주목 받고 있습니다.

 

오늘은 망분리의 필요성 및 다양한 망분리 방식에 대해 기술하고, 가장 효율적인 망분리 방식에 대한 제언, 그리고 망분리시 추가적으로 고려해야 할 사항에 대해 알아보겠습니다.

 

최근 보안 위협 동향

 

최근 인터넷을 통해 발생하는 다양한 보안 위협들은 이미 몇 년에 걸쳐 금전적인 이윤을 목적으로 조직적이고, 자동화되어 제작되고 있다는 것은 잘 알려져 있는 사실입니다. 그러나 이러한 금전적 이윤을 목적으로 조직적이고 자동화된 대량 생산 형태의 보안 위협들이 최근에 와서는 이제 그 범위를 서서히 확장하여 지능형 타깃 지속 공격(APT - Advanced Persistent Threat) 으로 발전하고 있습니다.

 

[그림 1] APT 형태의 보안 위협의 정교함과 위험성의 상관 관계
* 출처: Ernst & Young, 2011

 

APT 공격은 과거 정부 기관 및 방위 산업 업체가 주된 대상으로 국가간에 이루어졌으나, 최근에는 정치적, 경제적으로 고부가가치의 데이터를 보유한 기업 및 조직들이 APT의 주요 대상으로 바뀌었습니다. 피해 규모 역시 기업 및 조직의 비즈니스 연속성에 심각하고 치명적인 위험을 유발할 수준까지 발전하였습니다.

 

대표적인 APT 공격 사례는 [그림 2]와 같으며, 국내에도 2011년 한 해 동안 크고 작은 공격이 수 차례 이루어지고 있습니다.

[그림 2] APT 공격 사례

 

현재 발생하고 있는 APT 형태의 공격은 동일한 패턴을 보이고 있습니다. 공격자들은 피싱이나 제로데이 공격, 사회공학적 기법 등을 이용해 악성코드를 배포하여 기업 내 직원들의 PC를 먼저 장악합니다. 이렇게 백도어(Backdoor)가 설치되면 내부망으로 악성코드를 퍼뜨려 시스템 관리자의 패스워드 및 권한 등을 탈취합니다. 이러한 과정을 통해 APT 공격이 성공하면 대부분 시스템 동작 불능으로 상황이 종료됩니다. 백도어가 설치된 이후에는 방법을 강구해도 아무 소용이 없으며, 피해를 최소화하기 위해서는 백도어 설치 이전에 공격을 방어하거나 탐지해야만 합니다.

안티바이러스 솔루션은 APT에 대응하기 위한 솔루션이 아니다.

 

악성코드가 설치되는 순간부터 APT 공격이 시작되는 것이라면 악성코드 대응 솔루션인 안티바이러스 솔루션으로 APT의 위협을 예방할 수 있을 것이라고 많은 사람들이 생각합니다. 그러나 안티바이러스 솔루션은 엄밀히 말해 APT에 대응하기 위한 솔루션이 아닙니다. 안티바이러스 솔루션은 근본적으로 샘플 수집 후 대응 처리하는 솔루션으로 APT 공격과 같이 특정 대상을 목표로 악성코드를 제작할 경우 대상 기업의 파일을 모두 모니터링 하지 않는 한 샘플 수집이 불가능하여 APT 공격 대응에는 한계가 있습니다.

 

또한 방화벽(Firewall)을 비롯한 네트워크 보안 솔루션은 트래픽을 관리하는 것을 목표로 합니다. 그러나 APT 공격에 의해 발생하는 트래픽은 이미 장악된 내부망을 통해 들어오기 때문에 정상 트래픽으로 인지되어 이를 방어하기는 상당히 어렵습니다. 특히 정상적인 웹 서핑을 통해 악성코드에 감염되는 비율이 높기 때문에 인터넷 사용을 금지하지 않는 한 악성코드 유입을 100% 방지하기는 불가능합니다.

 

이처럼 사내 악성코드 유입을 방지하고, 외부로부터의 APT 공격에 대응하기 위해서는 기존 보안솔루션만으로는 역부족입니다. 따라서 업무를 수행하는 업무망과 인터넷을 하는 인터넷망(비업무망)을 완전히 분리하여 인터넷을 통해 악성코드가 사내에 침투하더라도 업무 인프라에는 영향을 미치지 않도록 하기 위한 방법이 사내 보안의 기본 사항으로 논의되고 있습니다. 외부로부터의 공격이 정교화 될수록 인터넷망과 업무망을 분리하는 망분리에 대한 요구사항이 점차 증가하고 있으며, 다양한 망분리 방식에 대한 연구도 진행되고 있습니다. Ahn

 

 [그림 3] 망분리 방식

 

* 더 자세한 내용은 안랩 홈페이지에서 확인할 수 있습니다.