올해는 40여 년만의 기록적인 폭설로 한 해를 시작하였다. 짧은 시간 동안 내린 많은 량의 눈이 출근길의 시민들은 물론이고 생업에 종사하는 시민들을 어렵게 하였다. 거리에 뒤 엉킨 차량들과 출근시간을 위해 허둥대는 많은 시민들을 목격하고 재택근무의 활발한 보급의 필요성을 다시 한번 실감하였다.
이번 주는 지난 주의 글에 이어, 미국의 국가표준기술협회가 제정한 전산보안서인 “재택근무와 원격접속 보안서”(특별 간행물 800-46, 권 1)를 참조하여, 재택근무 또는 원격접속을 구현하는 4가지 방법들과 이들 각자의 속성들에 관하여 소개하고, 그 동안의 권고안들을 요약하여 소개하도록 하겠다.
2.2 원격접속의 방법들
기관이 원격접속을 구현하는 방법은 많이 있으나, 여기서는 가장 많이 사용되는 것들을 4가지로 분류하여 알아보겠다: 터널링, 포탈, 원격 데스크탑(즉, 책상 위에 설치된 특정 PC; 앞으로 PC라 부르겠다) 접속, 어플리케이션 직접접속. 이 4가지 원격접속 방식들은 다음과 같은 공통의 특징들이 있다:
■ 모두 재택근무장비의 물리적 보안에 의존한다.
■ 다수의 서버와 사용자 신원확인 방식을 사용할 수 있다. 이 융통성은 몇몇 원격접속 방식들이 기관이 기존에 사용하고 있는 사용자 인증방식(비밀번호나 인증)에 작동될 수 있도록 한다.
■ 재택근무장비와 기관 사이에 흐르는 자료들을 암호화하여 다른 사람들에 의하여 열람되는 것을 방지한다. 이러한 암호화하는 보호는 일반적으로 VPN과 암호화된 터널링에 내재되어 있으며, 이는 대부분의 원격 PC접속과 어플리케이션 직접접속 시스템에서 채택할 수 있는 하나의 선택이다.
■ 재택근무장비에 자료를 저장할 수 있다. 예로, 터널, 포탈 그리고 원격PC 접속 시스템은 기관 내부의 컴퓨터로부터 자료를 복사하여 재택근무장치로 옮기는 기능을 제공한다. 따라서 재택근무자들은 그 자료를 재택근무장비에서 가령 그곳에 설치한 문서편집기를 사용하여 작업할 수 있도록 한다. 어플리케이션 직접접속 방식으로 접근되는 어플리케이션들은 자료들을 재택근무자로 전송할 수 있다. 자료들은 운영체제의 고유한 속성에 의하여 또는 웹 브라우저의 캐쉬에 무의식적으로 재택근무장비에 저장될 수도 있다. 원격접속을 통하여 재택근무자로 전달된 모든 자료들은 반드시 기관의 자료의 배포와 보존기간을 위한 정책에 근거하여 운영되어야 한다.
원격접속을 위한 제품의 도입을 계획할 때, 기관의 운영상의 요구를 얼마나 훌륭히 만족시킬 수 있는가 이외에, 각각의 원격접속 방식들의 보안속성들이 기관에 미치는 영향을 면밀히 검토하여야 한다.
4가지 방식에 대하여 보다 자세한 내용을 논의하겠다. 설명에 첨부된 그림들은 원격접속을 위한 4가지 방식들의 운영적인 속성과 보안적 속성들을 보여준다. 그림에서, 나팔처럼 벌어진 파이프는 재택근무장비에서 시작된 암호화로 보호된 통신(어플리케이션 시스템 접속, 전자우편 등)들을 의미한다. 화살표와 응용소프트웨어 표시는 어플리케이션을 사용하는 고객과 관련 서버 사이의 통신의 흐름을 나타낸다. 점선으로 된 수직선은 기관의 통신망 영역을 표시하며, 여기에서 점선 왼쪽에 있는 것들은 인터넷을 오른쪽은 내부망을 나타낸다.
2.2.1 터널링
많은 원격접속 방법들은 보안화된 통신터널을 제공하여 이곳을 통하여 인터넷과 같은 공중망을 포함한 통신망 사이에 정보들이 전송된다. 그러한 터널들은 일반적으로 가상사설망(virtual private network; VPN)을 통하여 구성된다. VPN이 재택근무장비와 기관의 VPN 관문(gateway) 사이에 구성이 되면, 재택근무자는 그 터널을 통해서 기관의 많은 자원들을 접근할 수 있다. VPN을 이용하기 위하여, 사용자는 반드시 재택근무장비에 VPN 소프트웨어를 설치하였거나 아니면 VPN을 지원하는 통신망을 사용하여야 한다. 그림 2-1에서, 파이프는 재택근무장비와 VPN관문 사이에 형성된 보안화된 원격접속 연결(터널)을 나타낸다. 이 터널을 통하여, 재택근무장비에 설치된 사용자 응용소프트웨어(예, 전자우편, 문서편집기, 웹 브라우저, 데이터베이스 프로그램)들이 기관의 사무실 내에 설치된 어플리케이션 서버들과 통신한다. VPN관문이 사용자인증, 접근통제 그리고 기타 재택근무자를 위한 보안기능들을 관리한다.
터널들은 암호화 기술을 사용하여 재택근무장비와 VPN관문 사이에 기밀성과 무결성을 보호한다. 터널들은 또한 사용자들의 인증, 접근제어 및 기타 보안기능들을 수행한다. 그러나 비록 터널링에 기반한 원격접속 방법들이 VPN 관문과 재택근무장비 사이의 통신들을 보호한다 하더라도, 이는 VPN 관문과 내부 자원들 사이의 통신들을 보호하지는 못한다. 또한, 터널링에서는, 사용자 응용소프트웨어와 자료는 재택근무장비에 설치되고 저장되며 이들은 터널링을 위한 제품에 의해서 보호되지 않으며 따라서 다른 방식에 의하여 보호되어야 한다.
재택근무들 위하여 가장 보편적으로 사용되는 VPN은 IPsec(Internet Protocol Security)과 SSL(Secure Sockets Layer) 기반의 터널들이다. 터널링은 SSH (Secure Shell)을 통하여 구현될 수도 있으나 이는 많이 사용되지 않고 그리고 IPsec이나 SSL보다 구성하기와 관리하기가 복잡하다고 알려져 있다.
SSL이 SSL VPN에 사용되는 것과 같은 방식으로 많은 통신 암호화 프로토콜들도 터널링 프로토콜로 확장되어 사용될 수 있다. 예를 들면, 비록 표준화되지는 않았지만 몇몇 시스템들은 터널을 구성하기 위하여 SSH 프로토콜을 사용하고 있다. 일반적으로 표준화된 터널링 프로토콜들은 동일한 암호화 수준을 구현하고 동일한 신원인증 방식을 사용하도록 구성될 수 있다. 많은 터널링 시스템들이 다양한 프로토콜에 터널을 구성할 수 있으며, 예로 IPsec은 Point-to-point(PPP) 프로토콜과 Multiprotocol Label Sitching (MPLS)과 같이 Layer-2 프로토콜에 터널을 구성한다. 일반적으로 거의 모든 통신 암호화 기술들은 거의 모든 층에 터널을 구성할 수 있다.
VPN 관문은 재택근무자가 신원인증을 통과한 후 획득하는 접속형태와 내부 자원들의 접근을 제어한다. 예를 들면, VPN은 사용자가 오직 하나의 서브넷만 접근하도록 허용할 수 있으며 혹은 특정 서버만을 접근하도록 허용할 수 있다. 이러한 방식으로, 암호화된 터널은 VPN관문에서 끝난다 하더라도, 관문은 추가의 라우팅을 재택근무 통신을 위하여 첨가하여 내부망의 몇몇 자원들을 접근할 수 있도록 한다.
VPN은 보통 기관이 소유하고 관리하는 VPN관문 장비들에 의해 구성되고 관리된다. 때로는 신뢰하는 외부업체에게 외주를 주기도 한다. 그 외주업체는 단순히 기관 소유의 VPN관문을 관리하지만, 다른 외주업체들은 그들이 소유하고 제어하는 VPN관문을 제공하기도 한다. 후자의 경우에는, 기관은 업체가 제안하는 제품의 보안속성을 평가하여 기관의 보안정책을 지원하도록 하여야 한다.
2.2.2 포탈
포탈이란 하나의 중앙화된 접점(single centralized interface)을 통하여 하나 이상의 접근을 제공하는 서버이다. 재택근무자는 포탈에 접속하기 위하여 재택근무장비에 설치된 사용자단 포탈을 사용한다. 대부분의 포탈은 웹을 기반으로 하고 있고 사용자단 포탈은 일반적인 웹 브라우저이다. 그림 2-2는 이의 기본적인 구조를 보여준다. 사용자 응용소프트웨어는 포탈서버에 설치되고 이것이 기관의 내부망의 어플리케이션 서버들과 통신 한다. 포탈서버는 재택근무자와 안전하게 통신하며, 이의 정확한 특성들은 사용하는 포탈용 제품마다 다르다.
보안의 관점에서, 포탈들은 터널과 동일한 특성들을 갖는다. 즉, 포탈은 사용자단 장비와 포탈서버 사의의 정보를 보호하며, 신원인증, 접근제어, 그리고 기타 보안지원을 제공한다. 그러나 터널링과 포탈 사이에 중요한 차이점이 있으며 그것은 사용자 응용소프트웨어와 관련자료가 설치되고 저장되는 위치이다. 터널링에서는 소프트웨어와 자료가 사용자단 장비에 있으나 포탈에서는 모든 것이 포탈서버에 있다. 포탈서버는 자료를 사용자단 장비로 전달해 주지만 터널링보다 짧은 기간 동안 저장된다. (그러나 포탈도 서버에서 자료를 내려받아 사용자단 장비나 안전한 원격접속 환경 이외의 장소에 저장할 수 있도록 구성될 수 있다.) 사용자 응용소프트웨어를 한곳에 설치하여 관리하는 것은 분산된 원격접속 방식과 비교하여 기관이 소프트웨어와 자료들을 안전하게 제어하도록 한다. 포탈은 재택근무자가 특정 사용자 응용소프트웨어를 수행하기 위하여 포탈서버에 접속하는 것을 제한한다.
원격접속을 위하여 공통적으로 사용되는 포탈 방식들이 있다. 웹 기반의 포탈은 단일의 웹 포탈 사이트에서 여러 개의 어플리케이션들을 접속할 수 있도록 한다. SSL 포탈 VPN이 흔한 형태의 웹기반 포탈이다. 또 하나의 방식은 단말서버 접속으로 각각의 재택근무자에게 별도의 가상의 PC를 접속하도록 한다. 단말서버는 PC의 운영체제의 특징들을 실험하여 응용소프트웨어를 접속하게 한다. 단말서버 접속은 재택근무자가 재택근무장비에 특별한 사용자단 단발서버 어플리케이션을 설치하든가 아니면 기관이 제공한 부라우저 플러그인이나 다른 소프트웨어와 함께 웹기반의 방식을 사용하여야 한다. 가상PC 접속이라 불리는 또 하나의 원격접속 방식은 사용자가 표준화 되고 실험되지 않은 운영체제들과 PC들의 가상의 이미지들을 가지고 있는 시스템에 접속하게 하는 것이다, 재택근무자가 원격접속을 종료하면 그 가상의 이미지들은 없어져 다음에 접속하는 재택근무자는 새로운 가상의 PC를 사용하게 된다..
재택근무자에게 접속의 접점을 제공하는 방식들은 포탈마다 다르다. 예를 들면, 단말서버 접속과 가상PC접속은 표준화된 가상PC를 재택근무자에게 제공하는 반면 SSL 포탈 VPN은 각각의 어플리케이션을 웹페이지를 통해서 제공한다. 이러한 특징들은 매우 중요한 것으로, 이들은 자료의 저장에 일시적으로 또는 영구히 관련되기 때문이다. 많은 포탈 방식들은, 사용자 접점이 가상적으로 구성되어 사용이 종료하면 접점이 끊겨져 다음의 사용자가 새롭게 시작하도록 한다. SSL 포탈 VPN과 같은 몇몇 포탈들은 안전한 가상기계를 사용자단 장비에 구축하도록 구성할 수 있으며 그 가상기계에 원격접속 동안 접근한 자료들이 저장되지 않도록 하고 사용이 종료되면 가상기계와 그곳에 있던 모든 종류의 자료를 파괴하도록 구성할 수 있다. 이것은 민감한 정보가 부주의하게 재택근무장비에 저장되는 것을 방지하여 악의적인 협잡에 의하여 정보가 갈취되지 않도록 한다.
2.2.3 원격PC접속
원격PC접속은 재택근무자에게 기관에 설치된 특정 PC(주로 사용자가 기관의 사무실에서 사용하는 PC)를 원격으로 제어할 수 있게 한다. 재택근무자는 원격 PC의 자판과 마우스를 통제할 수 있으며 출력물을 재택근무장비의 화면을 통해서 열람할 수 있다. 원격PC접속은 사무실에 있는 재택근무자들이 사용하는 PC에 있는 어플리케이션, 자료 그리고 다른 자료 등 모든 것을 접근하도록 한다. 그림 2-3은 기본적인 원격PC접속의 구조를 보여준다. 재택근무장비에 사용자단 원격PC접속 프로그램이나 웹브라우저 플러그인이 설치되어 이것이 사무실에 있는 재택근무자의 PC에 직접 연결이 되도록 한다.
주로 사용되는 2가지 원격PC접속 방식이 있다. 즉, 재택근무자와 내부 PC와의 직접연결, 내부의 신뢰할 수 있는 PC를 경유하는 간접연결이 있다. 그러나 직접접속은 종종 방화벽에 의해 거부되기 때문에 가능하지 못하다. 예를 들면, 만일 내부 PC가 통신주소를 변환시켜 주는 기능(NAT)을 수행하는 방화벽 뒤에 설치되어 있으면, NAT가 허락하거나 내부의 PC가 통신을 시도하지 않는다면(주기적으로 접속을 원하는지 사용자단 장비와 확인하여) 재택근무장비는 내부의 PC와의 접속을 시도할 수 없다.
간접적 원격PC접속은 중간자 역할을 하는 매개서버를 통해서 이루어 진다. 이 서버는 때로는 기관의 방화벽의 일부이기도 하나, 대부분 기관의 통신망 영역(예, DMZ) 외부에 있는 신뢰하는 외주업체에 의해서 운영된다. 일반적으로, 재택근무장비와 외주업체 사이에, 그리고 외주업체와 내부의 PC 사이에 별도의 연결망이 있으며, 매개서버가 그러한 연결망들 사이에서 오가는 암호화되지 않은 통신들을 처리한다. 매개서버의 보안은 매우 중요하며 이는 재택근무자들의 신원을 적절히 확인하여야 하며 암호되지 않은 통신들이 인가되지 않은 사람들에 의해서 접근되는 것을 방지하기 때문이다. 또한, 만일 기관의 보안정책이 추가적인 신원확인을 요구하면 (연방기관들이 요구하는 두 가지 요소를 이용하는 신원확인과 같은) 매개서버는 이 신원인증을 양방향으로 지원하여야 한다. 간접적 원격PC접속 방식을 구현하기 전에, 기관은 외주업체에게 제공받는 보안의 속성 특히 매개변수와 관계된 위협과 이러한 위협이 초래할 충격을 평가하여야 한다. 기관은 그리고 제 2 수준의 통신암호기술을 어플리케이션 층에 적용하는 등의 평가된 위협들을 경감할 제어들을 파악하고 어떠한 상황하에(예, 낮은 위험수준의 활동들) 매개 시스템이 사용될 지 결정하여야 한다.
원격PC접속 소프트웨어는 원격접속 통신의 기밀성과 무결성을 보호하며 또한 신원확인을 확실히 하여 제 3의 사람들이 내부의 PC들을 접근하지 못하게 한다. 그러나, 이 기술은 기관의 통신망을 거치는 양종단간의 통신을 암호화 하여야 하므로, 통신의 내용들은 기관의 통신망 영역(예, DMZ)에 설치된 방화벽이나 침입감지시스템과 같은 통신망 보안제어부터 숨겨진다. 많은 기관들에게 이러한 특성으로 인하여 증대된 위험이 혜택들을 가치 없게 하여 외부로부터 내부 PC로의 직접 연결을 금지하도록 한다.
원격PC접속에 있어서 또 하나의 심각한 보안상의 쟁점은 이는 제어의 분산에 있다. 즉, 기관으로 하여금 보안화된 하나의 VPN 관문서버나 포탈서버를 운영하는 대신에 원격PC접속이 이루어지는 각각의 내부 PC들 모두를 보안화 시켜야 된다는 것이다. 이러한 내부망의 PC들은 직접 또는 간접적인 방법으로 인터넷으로부터 접근이 될 수 있으므로, 원격접속서버와 거의 비슷한 수준으로 엄격하게 보안화 되어야 하지만 아직까지 그러한 PC들은 그 정도의 보안 수준을 만족시키도록 설계되지 않았다. 각각의 PC들의 보안수준을 수용 가능한 수준으로 높이기 위하여 추가적인 제어들을 적용하는 것은 엄청난 시간과 자원들이 소요될 뿐만 아니라 추가적인 보안제어들을 구입하여야 한다. 또한, 두 가지 요소를 이용하는 신원확인과 같은 인증방식도 원격PC접속으로 접근될 모든 내부PC들에 설치되어야 된다.
일반적으로 원격PC접근 방식은 보안적 위험들을 면밀히 분석한 후 예외적으로 사용되어야 한다. 여기서 논의되는 다른 형태의 원격접속은 훨씬 훌륭한 보안기능을 제공한다.
2.2.4 어플리케이션 직접접속
원격접속은 원격접속 소프트웨어 사용하지 않고 성취될 수 있다. 재택근무자는 어플리케이션에 자체적으로 보안()예, 통신 암호, 사용자 신원인증 등)을 구현하면 각각의 어플리케이션을 직접 접근할 수 있다. 그림 2-4는 어플리케이션 직접접속의 상위수준의 구조를 보여준다. 재택근무장비에 설치된 사용자단 어플리케이션 소프트웨어가 기관 내부망 영역(예, 비무장지대; DMZ)에 있는 서버에 연결을 시도한다.
가장 보편적인 어플리케이션 직접접속은 웹메일로 알려진 웹 기반의 전자우편이다. 재택근무자는 웹브라우저를 구동하여 전자우편을 지원하는 웹서버로 연결한다. 웹서버는 SSL 상에 HTTP를 구동하여 (HTTPS) 통신들을 보호한다. 그리고 서버에 있는 웹메일 어플리케이션은 재택근무자의 신원을 확인한 후 재택근무자의 전자우편에 접근을 허용한다. 보편적인 사용자단 어플리케이션(예, 웹브라우저)을 사용하는 웹메일과 같은 경우, 어플리케이션 직접접속은 매우 탄력적인 원격접속을 제공하고 있으며 이 방식은 거의 모든 사용자단 장비에서 사용될 수 있다.
2.2.3에서 논의된 동일한 이유로, 만일 재택근무자에 의해 접근되고 있는 서버가 기관의 내부망이 아닌 통신망 영역에 위치하고 있다면 어플리케이션 직접접속은 수용될 수 있다. 통신망 영역(예, DMZ)에 위치한 서버들은 인터넷으로부터 직접 접속이 가능하므로 협잡의 가능성을 감소하도록 안전하게 보호되어야 된다. 많은 기관들은 전자우편과 같이 광범위하게 사용되고 있는 저위험의 어플리케이션들에게만 어플리케이션 직접접속을 허용하며, 인터넷으로부터 직접 접속되면 너무 위험한 어플리케이션들은 터널링이나 포탈방식으로 접근하도록 한다.
2.3 핵심 권고사항들의 요약
핵심적인 권고사항들을 정리하면 다음과 같다.
■ 기밀성, 무결선 그리고 가용성을 지원하기 위하여, 재택근무와 원격접속들의 모든 구성요소들은(사용자단 장비, 원격접속서버, 원격접속으로 접근되는 내부 서버들을 포함) 다양한 위협으로부터 안전하게 보호되어야 한다. (2.1)
■ 재택근무와 원격접속을 설계하고 구현하기 전에, 기관은 원격접속으로 접근될 원격접속서버들과 자원들에 대한 시스템 위협모형들을 개발하여야 한다. (2.1)
■ 원격접속을 위한 보안정책들과 제어들을 계획할 때, 기관은 사용자단 장지들은 악의적인 사람들에 의해 취해질 수 있으며 그들은 그러한 장비로부터 민감한 정보를 갈취하려 한다는 것을 유념하여야 한다. (2.1)
■ 기관은 재택근무자의 집의 통신망을 포함하는 재택근무장비와 기관 사이의 통신망은 신뢰할 수 없다는 가정 하에 원격접속 보안정책과 제어를 계획하여야 한다. (2.1)
■ 기관은 재택근무장비는 악성코드에 의해 감염될 수 있다고 가정 하에 보안제어들을 계획하여야 한다. (2,1)
■ 기관은 추가적인 자원들에 원격접속을 제공하는 혜택과 그러한 자원들이 협잡될 가능성으로부터 유발되는 충격 사이의 균형을 면밀히 고려하여야 한다. 기관은 원격접속으로 접근이 가능한 모든 내부자원들은 외부 위협으로부터 보호되도록 보안이 강화되어야 하며 접근되는 자원들은 최소한으로 제한하여 방화벽이나 기타 접근제어방식을 거치도록 한다. (2.1)
■ 원격접속을 계획할 때, 기관은 2.2에서 논의된 원격접속을 위한 4가지 방식들 각각의 보안과 관련된 특성들과 각각의 방식들이 얼마나 훌륭히 운영의 요구사항들을 만족할 수 있는지를 면밀히 검토하여야 한다. (2.2)
지금까지 재택근무/원격접속에서 보안의 목적들, 각 구성원들이 보안적 취약성 그리고 재택근무/원격접속을 구현하는 방법들을 알아보았다. 다음주에는 원격접속을 안전하게 만드는 권고안들을 보안설정과 설치하는 장소에 집중하여 소개하도록 하겠다.
재난포커스(http://www.di-focus.com) - 곽장규 전문기자(kwakjangkyoo@gmail.com)
