시스템 보안 체계 구현의 중요성

컴퓨팅입력 :2016/05/30 10:49

한국오라클 시스템 사업부 한철현 상무

국내에서 2014년 발생한 카드 3사의 고객정보 8,700만건 유출 사고와 통신사의 이용자정보 1,170만건유출사고에 이어 2015년 발생한 주민번호 대체 시스템의 개인정보 75만건 유출 등 잇따른 정보 보안 사고로 인해 기업 시스템의 보안 체계에 대한 국내 기업 및 개인들의 관심과 우려가 매우 고조돼 있는 상황이다.

물론 대부분이 내부자의 의도된 행위로 발생한 보안 사고이긴 하지만 이는 내부 보안 환경의 취약성이 빚어낸 결과라고 볼 수 있다. 열사람이 한도둑 막지 못한다는 옛 속담도 있듯이 의도를 갖고 계획적으로 정보 취득을 꾀한다면 이를 막아내는 것은현실적으로 매우 어려운 일이다.

그렇다면 의도된 보안 침해 행위를 막아낼 수 있는 방법은없는 걸까? 안전한 엔터프라이즈 IT 인프라를 구축 및 운영해 어떻게 최선의 방어책을 마련할 수있을지시스템 측면에서 살펴보고자 한다.

한국오라클시스템 사업부 한철현 상무

우선 시스템 공격의 형태는 크게 두 가지로 구분할 수 있다. 하나는 오버리드(Over-Read)공격에 해당하는 하트블리드(Heartbleed)다.

오픈소스 암호화 라이브러리인 오픈SSL 소프트웨어의 버그에서 유래 된 명칭으로 소프트웨어가 허용된 것보다 더 많은 데이터를 읽게 만들어 시스템을 무력화 시키는 방식을 총칭한다. 또 다른 하나는 오버라이트(Over-write) 공격에 해당하는 베놈(Venom)으로 하트블리드와는 반대로 플로피 디스크 컨트롤러 에뮬레이션(Floppy Disk Controller Emulation), 즉 FDC I/O 포트의 버퍼에 코드를 심어 최악의 경우 시스템의 루트 권한으로 대용량의 데이터를 임의로 라이팅(Writing)하는 방식이다. 임의의 데이터를 라이팅해 시스템을 무력화 시키는 방식을 총칭한다.

시스템 공격은 이전에는 특정 파일에 대한 권한 획득 또는 시스템 구성 에러 등 경미한 수준으로 시도됐다면 현재는 다양한 채널에서바이러스, 멀웨어, 웜, 스팸, 랜섬웨어 등의 임의 정보를 취득해 전세계에 흩어져 있는 시스템들을 모두 무력화시킬 수 있는 규모로발전했다. 인터폴의 전세계 범죄 관련 통계자료에 따르면, 자동차 도난 범죄 규모가 연간 약 60조, 마약 범죄 규모가 약 90조, 신용카드 관련 범죄가 약 120조 규모인 반면에 사이버 범죄 규모는 무려 약 300조 규모에 달한다고 한다. 뿐만 아니라 시스템 보안은 개인의 정보 침해 수준을 넘어나아가 시스템 중단으로 인한 국가적 규모의 위험도 야기할 수 있기 때문에 이에 대한 만반의 준비가 필요하다.

시스템 보안 체계의 핵심 요소 중 하나로 운영체제(Operating system)를 꼽을 수 있다. 운영체제의 커널(Kernel) 레벨에서 보다 효과적인 탐지 및 차단이 가능하며, 내부 사용자 레벨까지 보다 강화된 보안 환경을 구현할 수 있다는 점에서 운영체제의 보안, 즉 보안운영체제의 중요성이 더욱 강조되고 있다. 기업은 보안운영체제를 갖추는 것만으로도 시스템 레벨에서 보안 및 데이터, 애플리케이션의 보안 환경을 구현할 수 있다.

특히 최근에 많은 기업들이 구축하고 있는클라우드환경은 운영체제 레벨의 보안 환경, 즉 보안운영체제를적용하는 것은 매우 필수적이다.보안운영체제의 강제적 접근 제어 및 등급 기반의 접근 통제 기능이 기본적으로 가능해야만 의도적인공격뿐만 아니라 비의도적 접근 또한 효과적으로 차단 및 관리할 수 있다.

보안운영체제 환경이 제공하는 또 다른 이점은 보다 신속한 상황 파악 및 즉각적인 패치(Patch)가 가능해 능동적이며 신속하게 공격에 대응할 수 있다는 점이다.하지만운영체제가 소프트웨어로 구성됐기 때문에알고리즘에빈틈이 발생할 수 있으며, 보안운영체제에 침입을 시도하는 공격 수단 또한 소프트웨어이기 때문에 완벽한 침입 방지 환경을 구현하기에는다소 부족한부분이 존재한다.

관련기사

이에 소프트웨어가 아닌 하드웨어 수준에서 원천적으로 공격을 방지 할 수 있는 방안이 대두되고 있으며, 이와 관련해 최근 시스템의 심장부인 중앙처리장치에 해당하는 프로세서에 데이터 암호화 기능 및 메모리 침입 방지 기능을 집적하는 기술이 업계에 소개됐다.소프트웨어 기능을반도체에 탑재하는소프트웨어 인 실리콘(Software In Silicon)이라는 기술은기존에 소프트웨어가 담당하던 기능을 하드웨어에 직접 구현해공격을원천적으로 방지한다. 암호화를 전담하는 코-프로세서(Co-Processor)가 프로세서 칩 내부에 탑재돼 있어 데이터 암호화를 컴퓨팅 성능의 저하없이 실행할 수 있다.

기업들은 해당 기술이 탑재된 시스템을 구축함으로써 앞서 언급한 하트블리드 및 베놈 등 시스템 공격 유형을 한번에 원천적으로 차단할 수 있으며, 데이터베이스 가속화, 데이터 암호화 가속화, 데이터 압축 및 해제 등다양한 기능을 기존 연산 기능의 속도 저하 없이 구현할 수 있다.기업 보안 담당자들은 한층 더 정교화되고 고도화되고 있는 보안 위협에 대응할 수 있도록 자사 시스템의 보안체계를 철저하게 점검하고,강력한 시스템 보안체계를 마련해야 할 것이다.