본문 바로가기
AhnLab 칼럼

보안 컨퍼런스를 통해 본 2008년 네트워크 보안 동향

by 보안세상 2020. 4. 19.

2008.03.20

 

대부분의 회사에서 4사분기가 되면 사업계획을 세운다. 제품기획팀이나 연구개발그룹에서는 향후 시장과 제품, 기술의 흐름을 검토하면서 2-3년 뒤의 먹거리를 위해 내년에 개발할 것들을 기획하는 것이 보통이다. 연초에 개최하는 컨퍼런스와 전시회는 작년에 수립했던 사업계획이 올바른지를 점검하고, 그 동안 열심히 보지 못했던 기술 분야도 챙겨 볼 수 있는 좋은 기회가 된다. 3 12일과 13일 연이어 열린 7 Next Generation Network Security Vision 2008’ ‘CONCERT FORECAST 2008’은 이런 측면에서 흥미로웠다.

 

무엇보다도 가장 눈에 띈 것은 분산서비스거부(DDoS) 공격에 대한 방어였다. 2006년 하반기부터 간헐적으로 있었던 중국발 DDoS 공격이 2007년에는 자주 발생하였다. 작년 상반기까지는 주로 돈을 요구받고도 당국에 신고하지 못한 채 돈을 내 주는 화상채팅 사이트, 성인사이트 등 음성적인 서비스 사이트들을 대상으로 공격이 이뤄졌다. 이러한 사이트들은 중소규모 IDC에 입주해 있는데, 10Gbps가 넘는 DDoS 공격이 발생하면 해당 IDC는 공격 목표가 된 서버를 찾아 내서 연결을 끊는 미봉책으로 대응하였다. 하지만 하반기에 들어서면서 공격이 본격화되어 게임 아이템 중개사이트와 같이 일반 사용자들이 사용하는 사이트에까지 대상이 넓어졌고, 직접 전화를 걸어 돈을 요구하는 대담함까지 보였다.

 

DDoS 방어의 핵심 기술은 공격 트래픽을 차단하면서 정상 트래픽을 통과시킴으로써 서비스가 정상적으로 제공되도록 하는 것이다. 보통 트래픽의 네트워크 행동을 분석(Network Behavior Analysis)하여 공격 트래픽을 차단하고 정상 트패픽을 통과시키는데, DDoS 공격 방법에 따라 이를 구분하기 어려운 것들이 있어서 쉽지 않은 기술이다. 또한 대규모 UDP 패킷을 이용해 과도한 트래픽을 유발하는 UDP 플러딩(flooding)과 같은 공격에 대해서는 회선 제공자(ISP)의 역할이 필수적이다. 공격이 본격화되면서 이를 방어하기 위한 DDoS 방어 전용장비, DDoS 방어 기능을 채용한 통합위협관리장비(UTM)이나 침입방지시스템(IPS) 등이 본격적으로 출시되는 것도 올해의 주요한 흐름이다.

 

무선침입방지시스템(무선IPS)도 눈에 띄었다. 제품에 IPS라는 이름이 붙어서 오해하기 쉬운데, 무선랜에 대한 침입을 찾아 방지하는 것이기 때문에 유선의 IPS와는 작동 방식이 근본적으로 다르다. 무선랜이 나온 지 상당히 오래됐고, 이미 많은 거리와 건물에 핫스팟 서비스가 이뤄지고 있지만, 일반 기업에서는 보안 문제 때문에 이를 받아 들이는 것을 주저해 왔는데, WEP(Wireless Equivalent Protection)에서 WPA(Wi-Fi Protected Access), WPA2에 이르기까지 점점 보안이 강화되면서 이러한 우려를 줄여 주고 있다. 이를 반영하듯 최근 대기업에서 무선랜을 도입하기 시작해 향후 무선랜이 기업 시장에도 자리 잡을 수 있지 않을까 하는 기대를 갖게 한다. 무선IPS 역시 나온 지는 오래됐지만, 최근에 들어서 주목을 받고 있다. 무선IPS에는 무선(RF) 센서가 있어서 불법 액세스 포인트(AP)를 발견하여 이에 대한 연결을 차단한다. 보통 무선IPS AP를 겸하기 때문에 RF 센서의 기능을 중단없이 잘 해 내느냐가 보안 측면의 이슈가 된다. 물론 성능, 확장성과 같이 네트워크 장비가 갖춰야 할 일반 기준은 여전히 좋은 제품인지를 평가하는 데에 빠져서는 안될 중요한 요소이다.

 

개인적으로 제일 재미있게 들었던 세션은 네트워크 접근제어(Network Access Control, NAC) 관련 내용이었다. NAC(Network Admission Control), NAP(Network Access Protection), TNC(Trusted Network Connect) 등 네트워크 접근제어의 업계 표준에 대한 경쟁이 치열하고, 각 업체들이 자신의 장점을 기반으로 나름대로 NAC을 구현하면서 사용자들이 혼란스러운 게 사실이다.

 

여러 설문 조사에서 사용자들은 NAC의 필요성에 공감하고 큰 관심을 보이면서도 막상 그것을 실제 구매하지는 않을까? 발표자는 NAC은 회사 전체의 인프라가 되기 때문에 그 영향이 광범위하고, 투자비가 커서 고객사가 사용하기로 결정하는 게 쉽지 않으며, 사용자가 NAC에 기대하는 기능의 일부를 수행하는 솔루션을 이미 갖고 있어서 중복 투자로 인식될 수 있기 때문이라고 설명했다. 또한 NAC의 제공업체에 따라 기술의 편차가 커서 사용자가 구매를 결정하는 데 알아야 할 기술이 많은 것도 구매 결정을 어렵게 하는 요소라고 분석했다. NAC을 도입한 고객사들에 대한 조사에서는 방문자의 네트워크 접근을 제어하는 NAC의 기능에 매우 만족하지만, 단말이 네트워크에 연결된 이후에 발생하는 상황에 대해 사용자의 기대 수준에 미치지 못하다는 점을 지적하였다.

 

앞으로 NAC이 대중화되기 위해서는, NAC을 제공하는 업체들이 편리성을 크게 높여 손쉽게 설치하고, 쉬운 관리자 인터페이스를 통해 유지 비용을 줄이면서, 연결 이후에 발생하는 악성코드 공격과 같은 보안 문제를 해결하는 데에도 노력해야 NAC이 대중화될 수 있지 않을까 싶다. 하지만 길게 보면, 별도의 인프라나 제품이 아니더라도 앞으로 많은 네트워크 장비들이 NAC의 개념과 기능을 수용할 것이기 때문에 알게 모르게 2-3년 내에 많이 확산될 것이고, 결국 호환성과 표준이 이슈가 될 거로 예측된다.

 

올해 컨퍼런스의 특징 중 하나는 주요 네트워크 보안장비 업체들이 보안위협과 공격에 대한 분석기술 역량이 있음을 강조한 점이다. 보안분야에서 알려진 자사 연구소의 주요 연구원들을 소개하여 보안 기술 역량이 뛰어나다고 과시한 곳이 있는가 하면, 아이폰을 해킹하는 모습을 동영상으로 보여 줌으로써 기술 역량을 자랑한 업체도 있었다. 전세계적으로 UTM의 등장으로 인해 네트워크 보안장비에서 안티바이러스와 같은 보안콘텐츠의 중요성이 대두되고 있음을 보여 주는 사례로 생각된다. 작년에 UTM을 출시하면서 안철수연구소가 UTM을 통해 분석대응조직인 ASEC의 역량에 기반한 보안 콘텐츠를 서비스하는 것을 강조해 온 것과 일맥상통한다. 새롭게 나오는 보안 위협을 방어하기 위해서는 네트워크 보안 장비 자체의 보안 기능이 뛰어 나야 할 뿐 아니라 보안 위협의 상세한 분석에 기반하여 신속한 보안 콘텐츠의 업데이트가 이뤄져야 한다. 결국 네트워크 보안 장비는 하나의 보안 플랫폼의 역할을 하고, 거기에 뛰어난 보안 콘텐츠가 실시간으로 결합될 때 제대로 네트워크 보안을 해 내게 될 것이다.

 

끝으로 컨퍼런스에 종종 참석하는 사람으로서 한 가지 바람을 얘기한다면, 우리나라 컨퍼런스의 기조 연설자들이 좀더 비중있는 인물들로 채워 지면 좋겠다. 기여가 큰 후원자들에게 시간을 할애한다는 측면을 넘어서서 국내나 세계의 네트워크 보안 기술과 제품의 거시적인 흐름을 들을 수 있는 시간이 될 수 있다면 컨퍼런스 참석자들에게 좀더 행복한 시간이 되지 않을까 싶다.



   강은성 상무는 안철수연구소에서 사용자의 IT 자산을 지키는 보람과
   즐거움으로 일하고 있으며, 어린이들도 즐겁게 뛰놀 수 있는 안전하고
   편안한 인터넷 세상을 만드는 꿈을 갖고 있습니다.