운영 연속성 (COOP) ⑧ - 재택근무보안

다사다난했던 2009년이 지나고 희망찬 2010년이 왔다. 독자 여러분 모두 건강과 만복이 함께하시고 원하시는 모든 것이 이뤄지는 한 해가 되기를 바란다.

지난해에 신종플루를 기화로 시작된 정부기관들의 운영연속성에 관한 모범사례 소개가 이의 핵심이라 할 수 있는 재택근무를 위하여 미국의 연방정부에서 제정한 “재택근무를 위한 안내”를 소개하며 마쳤다.

오늘부터는 정부기관들의 기밀 그리고 민감한 정보들을 재택근무환경에서 안전하게 보호하도록 안내하는 미국의 국가표준기술협회가 제정한 전산보안서인 “재택근무와 원격접속 보안서”(특별 간행물 800-46, 권 1)를 소개하도록 하겠다. 재택근무를 구성하는 사용자용 장비 (PC 혹은 단말기), 통신망, 그리고 기관의 재택근무 및 원격접속을 지원하는 서버 또는 PC들 사이의 보안적인 요소들을 자세하게 기술하여 이해하고 적용하기 쉽도록 하였다.

우선 보안의 개요를 소개하도록 하겠다.

1. 요약

많은 기관들의 직원들과 계약직원들이 재택근무 기술을 이용하여 외부장소에서 업무를 수행하고 있다. 대부분의 재택근무자들은 원격접속 기술을 사용하여 회사의 전산자원을 접속하고 있다. 그러나 재택근무와 원격접속, 즉 보안된 자원들을 외부망 또는 외부의 전산장비를 통하여 접속하는 것을 허락하는 것의 속성은 일반적으로 내부접속보다 높은 위험이 내재되어 있으며 또한 내부자원들이 원격접속을 통하여 재택근무자들에게 노출되는 위험이 증가하고 있는 것이다.

재택근무자들이 사용하는 장비들(“재택근무장비”), 재택근무용 서버들 그리고 원격접속으로 접근되는 내부자원들을 포함하는 재택근무와 원격접속을 위한 모든 구성요소들은 반드시 예견되는 위협으로부터 안전하게 보호되어야 한다. 보안을 위협하는 주요 취약점들은 물리적 보안통제의 부족, 보호되지 않은 통신망들의 사용, 감염된 장비들의 내부망 접속 그리고 외부 전산장비에 노출된 내부자원들을 포함한다. 이 보안서는 여러 종류의 원격접속용 제품들에 대한 보안적 고려사항들을 제공하고, 다양한 재택근무와 원격접속 기술들을 안전하게 하는 권고안들을 제공한다. 또한 재택근무보안정책의 제정을 위한 의견도 제공한다.

재택근무와 원격접속의 기술들의 보안을 개선하기 위하여, 기관들은 다음의 권고들을 구현하여야 한다:

외부환경에 적대적인 위협이 상존한다는 가정하에 재택근무 보안정책들과 통제들을 계획하라.

기관은 외부설비들, 통신망들 그리고 장비들은 적대적인 위협을 내포하고 있어 그 기관의 자료나 자원들을 얻기 위한 접근을 시도할 수 있고, 또한, 악의를 품은 사람들이 다양한 외부공간에서 사용되고 특히 분실과 도난에 취약한 재택근무장비들을 취하여 그것들로부터 민감한 자료를 빼낼 수 있음을 유념하여야 한다. 그러한 장비들의 저장장치들을 암호화시키며 그리고 민감한 자료를 그러한 장비에 보관하지 않는 것이 이러한 종류의 위협들을 경감하는 방법이 될 수 있다. 우리는 또한 스스로 통제할 수 없는 외부 통신망으로 통신하는 것이 도청이나 갈취 또는 내용의 변경에 취약하다는 것을 유념하여야 한다. 이러한 종류의 위협들은 통신의 비밀성과 무결성을 보존하며 그리고 통신하는 양자의 신원들을 확인하는 암호화 기술을 사용하여 경감될 수는 있어도 완전히 제거할 수는 없다. 또 하나 중요한 것은 재택근무장비들은 악성코드들에 감염될 수 있음을 경계하여야 하며, 이들을 억제할 수 있는 대책들은 대-악성코드 기술들의 사용, 통신망 접근통제용 제품들의 사용, 그리고 재택근무장비들을 위한 별도의 통신망을 내부에 구축하는 것이 포함된다.

재택근무 보안정책을 작성하여 재택근무와 원격접속의 요구사항들을 정의하라.

재택근무 보안정책은 어떠한 형태의 원격접속들을 허용할 것이며, 어떠한 종류의 장비들이 각각의 원격접속을 위해 허용될 것인지 정의하여야 한다. 또한 기관의 재택근무를 위한 서버가 어떻게 관리될 것이며 그 서버의 보안정책들이 어떻게 갱신되어야 하는지도 정의되어야 한다.

재택근무 보안정책의 작성을 위하여, 기관은 어떠한 수준의 원격접속들이 어떠한 형태의 재택근무장비들에게 허용될 것인지에 대하여 자체의 위험분석에 기반하여 결정을 내려야 한다. 예를 들면, 기관은 계층화된 원격접속을 선택하여, 기관 소유의 PC를 사용하여 자원들을 접근하게 하거나 재택근무자의 PC를 사용하여 제한된 자원들을 접근하게 하거나 또는 기타의 PC들이나 장비들(예, 휴대전화, PDA)을 사용하여 전자우편과 같은 자원들을 접속하게 할 수 있다. 계층화된 원격접속을 운영하여 매우 통제된 장비들이 많은 자원을 접근하도록 하고 최소로 통제된 장비들은 적은 자원들을 접속하게 하여 기관의 위험을 제한하도록 한다.

허용하는 원격접속의 수준에 대한 정책을 세울 때 기관이 고려하야 하는 많은 요인들이 있으며, 예를 들면 재택근무의 민감도, 재택근무장비에 도입된 보안정책의 신뢰수준, 그러한 장비들과 관련된 비용, 재택근무 장소, 그리고 각종 규정과 정책들의 준수 등 이 있다. 기관이 결정한 재택근무의 상황이 특별히 고위험인 경우, 기관은 추가적인 보안 요구사항들을 명시할 수 있다. 예들 들면, 고위험 재택근무는 기관이 지급한 보안이 잘 설정된 (다중 신원확인과 저장장치 암호화가 적용된) 장비에서만 수행하도록 허가할 수 있다. 기관은 매우 민감한 개인정보와 같은 특별한 형태의 정보들은 재택근무에서 접속하지 못하게 하여 위험을 감소시킬 수 있다.

원격접속서버를 안전하게 설치하고 재택근무 보안정책에 따라 설정하라.

원격접속서버는 외부의 전산장비들이 내부자원들을 접근하게 하는 방법을 제공하며 따라서 그곳에 적용되는 보안은 매우 중요하다. 비인가된 사람들이 내부자원을 접근할 수 있도록 허용하는 것 이외에, 서버의 보안설정을 외부인과 공유하거나 외부인을 위하여 잠시 변경된 서버들은 원격접속을 통하여 이루어지는 통신들을 도청하기 위한 도구로 사용될 수 있으며 그러한 자원들을 조작하여 기관내의 다른 전산장비들을 공격하도록 하는 단초를 제공하기도 한다. 따라서 기관은 그러한 원격접속서버들은 항상 최신의 보안패치들이 적용되고 인가된 운영자에 의하여 허락된 전산장비를 통해서만 관리되도록 하여야 한다. 그리고 기관들은 원격접속서버에 통신망을 설치하는 것에 매우 신중하여야 하며, 대부분 서버는 기관의 전산실에 설치하여 모든 원격접속 통신들이 내부망으로 접근이 허락되기 전에 기관의 모든 보안정책들이 구현된 전산실을 통해서 들어오도록 하여야 한다.

재택근무장비를 일반적인 위협으로부터 안전하게 하고 보안설정을 정기적으로 유지관리하라.

악성코드, 분실 또는 도난 등 재택근무장비에는 많은 위협들이 있다. 일반적으로 재택근무장비들은 기관의 기본적인 보안정책들이 적용된다. 운영체제와 어플리케이션의 신속한 갱신, 불필요한 지원들의 불능화 그리고 대-악성코드 소프트웨어와 개인방화벽의 사용을 예로 들 수 있다. 그러나 일반적으로 사무실 장비들과 비교하여 재택근무장비들은 외부환경의 위험에 노출되어 있으므로 재택근무장비에 저장되는 자료를 암호화 하는 것과 같은 추가적인 보안설정이 요구되며 또한 기존에 설정된 보안정책들도 수정이 필요할 수도 있다. 예로, 만일 재택근무장비에 설치된 개인방화벽이 모든 환경들에 대하여 단일정책을 적용하도록 구성되어 있다면 몇몇 상황에는 너무 엄격하게 제한하는 정책이지만 다른 상황에는 엄격하지 않을 수 있다. 가능하면 언제든지, 기관은 다수의 정책들을 지원할 수 있는 개인방화벽을 사용하여야 하며 또한 방화벽은 사내환경에 준하여 최소한의 외부환경 변수를 반영하여 보안설정이 되어야 한다.

기관은 모든 종류의 재택근무장비들(PC, 휴대전화, PDA)을 안전하게 하여야 한다. PC들은 도난을 억제하기 위하여 철선을 이용하여 책상에 고정시키는 등의 물리적 안전장치가 필요하며, 그 이외의 장비들은 보안을 위한 대책이나 수단들이 장비마다 다르므로 기관은 장비 관리자나 재택근무장비 사용자들에게 그들이 사용하는 장비들을 위한 보안설정 안내서를 제공하여야 한다.

2. 재택근무와 원격접속 보안의 개요

많은 사람들이 재택근무를 하며, 재택근무란 기관의 직원들이나 계약자들이 기관의 사무실 이외의 장소에서 업무를 수행하는 능력을 의미한다. 재택근무자들은 전자우편의 송수신, 웹사이트를 접속하여 문서를 열람하고 수정하며 그리고 많은 작업들을 수행하기 위하여 PC, 휴대전화, PDA등 다양한 종류의 장비들을 사용한다. 대부분의 재택근무자들은 기관의 사무공간이 아닌 외부공간에서 기관의 고유자원들을 접근하도록 하는 원격접속을 사용한다.

이 장에서는 재택근무와 원격접속 기술의 보안적 고민의 개요를 논의하도록 하겠다. 재택근무와 원격접속에 관련된 주요한 취약성과 위협들을 설명하고 그러한 위협들을 경감시키는 전략들을 권고하도록 하겠다. 또한 가장 많이 사용되는 원격접속 방식들을 논의하고 그들 각자의 주요 취약성을 심사하여 취약성들을 경감하는 보안정책들을 권고하도록 하겠다.

2.1 취약성, 위협 그리고 보안제어

재택근무와 원격접속을 위한 제품들은 일반적으로 여러 가지 보안을 위한 목적들을 지원하여야 한다. 이러한 목적들은 것들은 원격접속을 위한 제품에 기본적으로 제공되는 보안속성들과 재택근무장비와 기타 원격접속용 제품을 구성하는 요소들에 적용된 추가적인 보안제어들의 통합을 통하여 성취될 수 있다.

재택근무와 원격접속 기술에서 가장 대표적인 보안의 목적들은 아래와 같다:

■ 기밀성: 원격접속을 통한 의사소통(예, 전자우편)들과 저장되어 있는 사용자 자료들은 비인가된 사람들이 접속할 수 없도록 하여야 한다

■ 무결성: 전송 동안 발생하는 원격접속을 통한 의사소통의 의도적 또는 비의도적 변경을 감지한다

■ 가용성: 필요할 때는 언제나 원격접속을 통하여 자원을 접근하도록 하여야 한다.

이러한 목적들을 성취하기 위하여, 재택근무장비들, 원격접속서버들, 그리고 원격접속을 통하여 접근되는 내부 서버들을 포함하는 재택근무와 원격접속을 구성하는 모든 요소들은 다양한 위협들로부터 안전하게 보호되어야 한다.

재택근무와 원격접속을 위한 기술들은 기관의 내부에서 사용되는 기술들보다 외부위협에 더 많이 노출되어 있으므로 종종 추가적인 보안이 필요하다. 재택근무와 원격접속을 위한 제품들을 계획하고 설치하기 전에 기관은 원격접속을 통하여 접근되는 자원들과 원격접속서버들에 대한 시스템적 위협모형들을 개발하여야 한다. 이러한 모형을 만드는 것은 관련된 자원들과 실현 가능한 위협들, 취약성들 그리고 이러한 자원들과 관련된 보안제어들의 파악과 공격이 성공될 가능성과 이의 충격을 계량화하고 그리고 이러한 정보들을 분석하여 어느 곳의 보안설정이 개선되어야 하며 또는 어디에 추가되어야 하는지를 결정하는 것을 포함한다. 위협의 모형화는 기관이 보안요구사항을 파악하도록 도와주고 원격접속 제품이 보안요구사항을 만족하는데 필요한 제어들을 통합하도록 한다.

대부분의 재택근무 위협모형에 포함되는 이러한 기술들에 대한 주요 보안관련 고민들은 다음과 같다:

■ 물리적 보안제어의 부족. 재택근무장비들은 직원의 집, 다방, 호텔, 회의장 등 기관이 통제할 수 없는 다양한 외부공간에서 사용된다. 이러한 장비들의 이동성은 장비들을 분실이나 도난에 노출시키며 따라서 그곳에 저장된 자료들은 협잡의 위험에 놓이게 된다. 재택근무 보안정책과 제어들을 계획할 때 기관은 재택근무장비들은 악의를 품은 사람들에 의해 갈취되어 그곳으로부터 민감한 자원들을 얻으려 한다는 사실을 유념하여야 한다. 근본적인 경감전략은 재택근무장비의 저장장치를 암호화하여 비인가된 사람들이 자료들을 복구할 수 없도록 하거나 민감한 자료들을 저장하지 안는 것이다. 비록 재택근무장비가 항상 원래의 사용자에 의해 소유되고 있다 하더라도, 공격하는 사람이 다방에서 어깨너머로 또는 화면에 표시된 자료를 훔쳐본다거나 하는 물리적인 보안위험에 노출되어 있다.

■ 취약한 통신망. 대부분의 모든 원격접속은 인터넷을 통해 이루어지므로, 기관들은 일반적으로 재택근무자들이 사용하는 외부통신망들의 보안은 통제할 수 없다. 원격접속에 사용되는 통신시스템들은 전화기와 모뎀들, 광대역 전용회선, 그리고 IEEE 802.11을 지원하는 무선통신장치 그리고 무선통신망 등이다. 이러한 통신시스템들은 도청에 취약하여 원격접속 동안 전송되는 민감한 정보들을 협잡의 위험에 노출시킨다. 중간자(Man-in-the-middle; MITM)공격으로 통신내용을 갈취하여 변형할 수 있다. 기관은 원격접속보안을 재택근무장비와 기관사이의 통신망은 신뢰할 수 없다는 가정하에 계획하여야 한다. 취약한 통신망을 사용함으로써 발생하는 위험은 기밀성, 무결성 그리고 상호간의 신원확인을 요구하는 암호화 기술을 사용하여 경감될 수 있으나 제거될 수는 없다.

■ 내부망 상의 감염된 장비들. 재택근무장비 중 특히 노트북 PC는 종종 외부망에서 사용된 후 내부로 옮겨져 기관의 내부망에 직접 접속된다. 또한, 재택근무장비를 물리적으로 접근할 수 있는 공격자는 장비에 악성코드를 설치하여 그곳으로부터 또는 그 장비로 접근할 수 있는 시스템들로부터 자료를 통신망을 통하여 갈취할 수 있다. 만일 재택근무장비가 악성코드에 의해 감염되었으면 그 악성코드가 이 장비가 기관의 내부망에 접속이 되자마자 기관전체로 전파될 수 있다. 기관들은 재택근무장비는 감염될 수 있다는 가정하에 보안제어를 계획하여야 한다. 대-악성코드용 소프트웨어와 같은 기술을 사용하는 것 이외에, 기관의 내부망에 접속하기 전에 장비의 보안속성을 확인하는 통신망접근통제용 제품의 사용도 고려하여야 한다. 기관은 또한 재택근무장비들을 위한 별도의 통신망의 구축하여 그들이 직접 내부망을 접속하지 못하도록 하는 것을 고려하여야 한다.

■ 외부로부터 내부자원의 접근. 원격접속은 외부의 전산장비들이 서버와 같은 내부자원을 접근할 수 있게 한다. 만일 이러한 내부자원들이 전에는 외부망으로부터 접근될 수 없었다면 원격접속을 통하여 접근할 수 있도록 하는 것은 내부자료들을 새로운 위협에 특히 신뢰할 수 없는 재택근무장비들과 통신망으로 노출시켜 내부자료들이 협잡될 가능성을 매우 증가시킨다. 내부자원을 접근할 수 있는 원격접속의 각각의 방식들은 자원들이 협잡될 수 있는 위험을 증가시킨다. 따라서 기관은 추가적인 자원에 원격접속을 제공하는 혜택과 그러한 정보들이 협잡되었을 경우의 충격 사이의 균형을 면밀히 고려하여야 한다. 기관은 원격접속을 통하여 접근을 가능하게 허용한 모든 내부자원들은 외부의 위협에 대비하여 적절하게 보안을 강화하도록 하여야 하며, 그러한 접근허용은 방화벽이나 다른 접근통제장치를 통하여 최소한의 범위로 이루어 지도록 제한하여야 한다.

지금까지 재택근무 또는 원격접속에서 보안의 목적들과 그리고 각 구성원들이 보안적으로 얼마나 취약할 수 있는지를 알아보았다. 다음주에는 재택근무 또는 원격접속을 구현하는 4가지 방법들과 이들 각자의 속성들에 관하여 소개하도록 하겠다.

재난포커스( http://www.di-focus.com) - 곽장규 전문기자(kwakjangkyoo@gmail.com)


브랜드 뉴스룸