범정부 DDoS(분산서비스거부) 대응체계 구축 사업자와 공급 제품이 모두 선정되고, 프로젝트가 본격 착수되고 있습니다.

국가정보원은 이 사업에 앞서 시험해온 DDoS 대응 장비 11개에 대한 시험 결과를 우선협상대상자가 선정된 직후에야 공개했습니다.

그것도 최종 결과가 아니라면서 말이지요. 그 때문에 결국 경찰청 DDoS 대응체계 구축 사업에 공급될 예정이던 제품이 바뀌는 일이 벌어졌습니다.

구축 과정 중에 바뀐 것이 아니라서 그나마 다행이지만, 최종 확정되기 전까지 혼선이 빚어졌습니다.

국정원이 유발한 혼선은 결과 발표에만 있었던 것은 아닙니다.

7.7 DDoS 공격 후 정부기관이 DDoS 대응장비를 활용해 대응체계를 시급히 구축할 수 있도록 시중 DDoS 대응 전용장비를 대상으로 별도지정 하겠다는 계획을 수립한 이후 국정원은 계속적으로 방침을 뒤바꿨습니다. 그 과정에서 당연히 혼란이 계속됐습니다.

국정원이 보안 제품을 평가하는 주된 이유가 보안성 평가에 있음에도 이번 별도지정은 계측기 등을 이용한 성능평가 위주로만 시험됐습니다.

별도지정에서 나타나는 국정원의 일관성 없는 정책은 홈페이지를 통한 공지에서조차 확연히 드러납니다.


7월 17일자로 올라온 별도지정 목록입니다. 5개 제품이 올라와 있습니다. 이미 별도지정한 것처럼 공지돼 있습니다.


그 후 지난 8월 21일자로 올린 국정원 공지입니다. 업계에서 혼란이 있자 시험 제품을 11개로 재공지합니다. CC평가 막바지에 있던 LG CNS 제품은 빠졌습니다.

그 사이 3개월이란 시간이 흘러갑니다. 행정안전부는 조달청을 통해 범정부 DDoS 대응체계 구축 사업에 대한 사전공고를 내면서 제안요청서(RFP)를 공개하고, 사업을 본격 예고합니다.

주관기관(4개 부처)들과 지난 10월 22일 입찰설명회를 개최한 데 이어 23일 정식 사업공고를 내면서 본격화합니다.

11월 3일 5개 분야 입찰이 실시되고 9일과 10일 5개 사업 우선협상대상자가 모두 선정됩니다.

삼성SDS, LG엔시스, 에스지어드밴텍이 각각 선정되면서 이들이 제안한 DDoS 탐지·차단 제품인 나우콤과 시큐아이닷컴, LG CNS, 라드웨어 장비가 범정부 DDoS 대응체계 구축 사업에 공급될 장비가 됐습니다.

그 동안 국정원은 “11개 제품에 대한 시험을 실시하고 있다”는 것과 “시험이 완료되면 공지하겠다”고만 밝힐 뿐, 언제 시험을 완료하고 결과를 발표할지, 어떤 식으로 할지, 또 시험방법과 그 배경에 대한 구체적인 내용에는 함구했습니다.


그리고는 11월 11일자로 이렇게 결과를 공지합니다. 나우콤과 시큐아이닷컴 뿐입니다. LG CNS는 CC인증을 보유한 제품이니 문제가 없지만 라드웨어 제품은 빠져 있어 혼선이 예상됐습니다.

그런데 국정원은 이 때도 “현재까지 시험이 완료된 제품만 올린 것”이라며, “나머지 제품은 아직 시험중”이라고만 밝혔습니다.

라드웨어 제품에 대한 시험이 아직 안끝난 것처럼 받아들일 수밖에 없는 정황입니다.

알고 보니 모든 제품에 대한 시험은 완료된 상태였습니다.

또 하나 별도지정 목록에 등재된 시큐아이닷컴 제품이 4G 장비가 2G로 국정원이 공지했습니다. 당연히 또 혼란이 생깁니다.

국정원이 장비에 대한 성능 시험 결과, 제대로 성능이 나오지 않으면 ‘다운그레이드’ 하도록 한다는 이야기가 있었기 때문에, 시큐아이닷컴의 장비가 해당된 것은 아닌가 하는 궁금증이 유발됩니다.

교육과학부는 2G, 4G, 10G 장비를 요구했고, 모두 시큐아이닷컴의 장비가 제안됐었기 때문입니다.

결국 국정원은 성능 측정 기준이 단방향이라는 내용을 공지에 추가합니다.

업계에서는 보통 양방향 성능을 기준으로 삼습니다. 교과부에 문의결과, 제안요청 기준도 ‘양방향’이었답니다.

단방향 성능측정 결과를 두배를 곱한 결과가 양방향 성능치라고 할 수는 없습니다.

아직도 별도지정 시험 과정에서부터 성능측정 등 시험방법, 결과, 발표시기 등을 놓고 업계의 말이 많습니다.

범정부 DDoS 대응체계에 구축될 제품은 정해졌지만 별도지정 시험이 끝난 것도 아닙니다.

국정원도 아직도 시험이 진행 중이라고 이야기하고 있습니다.

결국 별도지정에 소요되는 기간은 준비기간을 포함해 4개월을 훌쩍 넘기게 됐습니다. 별도지정된 제품도 내년 2월까지는 국제공통평가기준(CC)평가계약을 맺어야 합니다. CC인증을 받아야 하는 것입니다.그리고 구축 시기에 보안적합성 검증을 또 거쳐야 합니다. 국정원도 아직도 시험이 진행 중이라고 이야기하고 있습니다.

생각해보니 별도지정이 한시적으로 운영되는 제도이고, CC인증을 받아야 하는 것도 나중에 알렸군요. 


국정원의 일관성 없는 정책에 업체들은 힘이 듭니다.

결국 공급장벽은 더 높아지고 업체들의 리소스는 엄청나게 소진됩니다.

국정원의 시험 결과는 향후 사업에 보이지 않는 막강한 영향력으로 작용하게 됩니다.

그만큼 신중하고도 일관성 있는 정책을 수립해야 합니다. 그리고 공개할 것은 공개해줘야 뒷탈도 없습니다.  

7.7 DDoS 공격 전까지 국내 시장과 전세계 시장에 유수의 레퍼런스를 자랑하는, 국산 장비들보다 더 경험이 풍부한 외산 제품들이 모조리 시험을 통과하지 못한 것은 여전히 의아한 점으로 남아있을 뿐입니다.
 


2009/11/24 16:13 2009/11/24 16:13


얼마 전, 실력있는 해커그룹 ‘와우해커’를 이끈 홍민표 쉬프트웍스 대

표를 만날 기회가 있었습니다.

홍 대표는 국내외 해킹대회에서 화려한 수상경력을 갖고 있는만큼, 해커들과 보안전문가들 사이에서는 아주 유명한 인물입니다. 현재는 보안회사를 운영하고 있습니다. ‘새싹’이라는 이름의 토종 무료백신을 사용해보신 분이라면 홍 대표를 아실 수도 있겠습니다.(쉬프트웍스를 알고싶으시다면 예전에 디지털데일리에 나왔던 기사를 참고하세요.)

지난 7.7 DDoS(분산서비스거부) 공격 당시 국가정보원이 공격진원지, 배후로 북한을 지목하자 자체 분석결과를 토대로 “악성코드 유포지는 ‘미국 서버 IP로, 북한 개입 가능성도 있지만 근거가 부족하다”며 사실상 반박했던 것도 홍 대표였습니다.

홍 대표는 마이크로소프트의 새로운 윈도서버 2008 R2를 사용하면서 이 운영체제(OS)가 제공하는 보안성과 편리성을 높이 사고 있었는데요. “윈도서버는 더 이상 뚫기 쉬운 서버가 아니다”라고 단언했습니다.

마이크로소프트의 운영체제가 보안에 취약하다는 인식을 갖고 있는 컴퓨터 사용자들이라면 홍 대표의 이야기를 한 번 들어보셔도 좋겠습니다.

제가 소화하기 어려운 기술적인 용어를 사용한 이야기가 상당수 있었지만, 재밌는 표현도 많이 튀어나왔습니다.

무엇보다 컴퓨터 사용자들의 보안관리에 크게 도움이 될 만한 메시지는 정확히 읽을 수 있었습니다.

쉽지만은 않았던 ‘해커와의 대화’, 이제 시작해볼까요?

홍 대표는 가장 먼저 “윈도 NT, 2000이 나왔던 2003년 초반까지 윈도서버는 보안에 아주 취약해, 뚫기 쉬운 서버였다”고 회상했습니다.

그러나 지난 2008년 마이크로소프트가 제공하는 비지스파크 벤처창업지원프로그램을 통해 홍 대표가 운영하는 쉬프트웍스의 총 20대의 웹, DB, 미디어 서버를 윈도서버로 모두 바꾸면서 향상된 보안성과 편리성을 맘껏 확인해 볼 수 있었다고 합니다.

#윈도서버에 대한 인식 전환 계기…“예전에는 윈도 방화벽이 썩었었죠.”

홍 대표는 “윈도서버에 대한 인식이 예전과는 많이 달라졌다”고 운을 뗐습니다.

성능이 우수해 서비스거부(DoS) 공격이 들어오더라도 서비스가 마비되지 않고 사용자에게 지속적인 서비스를 유지할 수 있을 정도라는 것을 느낄 수 있었답니다.

“윈도서버 2008 7.0이나 7.5 R2의 기본 설치 그대로 IIS를 올려 공격해 봤는데 멀쩡하게 운영되더라고요. 신경써서 세팅하면 더 많은 공격도 막을 수 있겠다 싶었습니다.”

그 이유 중 하나가 윈도에서 제공되는 방화벽 기능이 크게 향상됐기 때문이라고 홍 대표는 설명했습니다.

“예전에는 방화벽이 썩었었다”고 표현할 정도로 기능이 미비했지만, 이제는 인바운드, 아웃바운드 패킷 필터를 통한 양방향 공격 보호 기능을 제공합니다.

윈도서버 2003까지는 인바운드 공격 필터 기능만 제공됐다고 하네요.

# OS 자체 보호 기능 탁월…“윈도는 양파껍떼기”

무엇보다 서버 커널 수준의 보안 기능이 크게 강화돼 있다는 점을 칭찬했습니다.

알 수 없는 OS 자체 보호 기능이 겹겹이 둘러 싸여 있어 해킹 시도가 어려웠다고 합니다. “마치 양파껍데기처럼 하나를 까면 막고 있고, 또 까보면 또 막고 있더라고요.”

마이크로소프트는 이를 두고 계층적 방어(Defense In Depth)라고 부른답니다.

공격이 계속 들어오면 캐시로 바꿔 처리하는 방식도 다르다고 합니다. 그리고 자체적으로 빠르게 회복할 수 있는 능력도 갖고 있다고 하네요.

윈도는 공격을 하려고 해도 반드시 우회공격 루트를 찾아야 한다고 이야기 했습니다. 이를 리버스엔지니어링 기법이라고 하죠? 반드시 컴퓨터 어드민 권한을 얻어야 공격을 할 수 있답니다. 그런데 범위가 너무 넓다는 게 홍 대표의 이야깁니다.

“윈도 커널을 디버깅하거나 IIS 서버 취약점을 찾으려 할 때 엄청난 시간이 걸린다.”

홍 대표는 다른 두드러진 보안 기능으로는 메모리 실행 보호기능을 들었습니다.

“윈도 시스템을 직접 공격하는 것이 아니라 다른 사용자 PC를 통해 공격하기 위해서는 DLL 인젝션 기법을 써야하는데 메모리 실행 보호기능 때문에 어려웠습니다. 리눅스의 경우, 라이브러리에 스텍가느나 랜덤스틱같이 메모리 영역에서 조작이 안되게 하는 기능을 모두 알 수 있기 때문에 쉽게 회피할 수 있습니다.”

제가 질문했습니다. “그렇다면 윈도 자체를 공격할 수가 없다는 건가요? 계속 새로운 보안취약점이 발견되고 있지 않습니까?”

이에 대해 “윈도 OS 자체, 커널에서의 심각한 결함이 아니라 대부분 서비스나 애플리케이션 기능과 관련한 취약점입니다. 윈도 커널의 뼈대, OS 자체는 아주 강합니다”라고 말하더군요.

결국 윈도의 보안성이 취약하다는 건 운영체제 자체의 이슈보다는 애플리케이션 이슈가 더 크다는 것입니다.

# 보안업데이트가 더 중요…“서버는 서버답게 사용해야지, 서버백신은 의미 없다”

여기에 한가지 더, 사용자들의 이용행태의 문제점을 지적합니다.

홍 대표는 “서버보안을 위해 서버용 백신을 사용하는 것은 의미가 없다”는 폭탄 발언을 했습니다.

그 이유를 들어보니 고개가 끄덕여집니다. “서버는 하루종일 서비스만 돌아가는 시스템인데 왜 악성코드가 실행되는 거죠?”

사용자가 윈도서버에서 인터넷 서비스를 이용한다든지 하는 다른 동작을 했기 때문에 악성코드가 실행되는 것이고, 그 때문에 백신도 필요하게 된다는 이야깁니다.

본래의 기능대로 서버를 이용한다면 보안문제도 발생하지 않을 것이란 게 홍 대표의 생각입니다.

일반 PC용 운영체제를 사용해도 될 것을 성능이 좋을 것이라면서 노트북에 (그것도 불법복제된) 윈도서버2008을 설치하고, 많은 애플리케이션과 서비스를 사용하다보니 악성코드 감염 원인으로 작용하는 경우는 실제로 많을 것입니다.

여기에 윈도 보안업데이트도 안한다면 해킹은 얼마든지 당할 수 있습니다.

홍 대표는 “보안업데이트만 꼬박꼬박 잘하고, 윈도에서 제공하는 보안기능을 사용하면 해킹은 안 당할 것”이라고 말했습니다.

하나 관심가는 이야기도 했는데요. IDC에 서버를 설치하면 자동업데이트 기능을 끄라고 권고한답니다.

업데이트로 인한 서비스 중단, 별도로 손가는 작업을 안하기 위해서이겠지요. 이게 서버 운영체제의 보안패치율 저하로 이어지게 만드는 큰 원인 중 하나가 아닐지 걱정됩니다.

# 오픈소스와의 비교…“윈도 업데이트 안하고 보안기능 안쓰는 게 불편해서라구요?”

윈도 보안업데이트를 안하거나 윈도에서 제공되는 방화벽(디펜더)을 사용하지 않는 사람들도 나름대로 이유가 있습니다. 불편해서 입니다.

먼저, 윈도에서 제기되는 문제가 재부팅 이슈입니다.

홍 대표는 오히려 “리눅스에 비해 편리하다”고 이야기합니다.

“리눅스는 커널 업그레이드를 매번 해줘야 하고 커널 컴파일 문제가 생기면 보안을 적용하기 위한 리컴파일 작업을 위해 서버가 놓여있는 IDC로 찾아가야 한다. 하드도 파일시스템이 아니기 때문에 파일이 깨지거나 시스템이 깨져 데이터를 날릴 수도 있다. 리눅스도 자동업데이트 기능은 있지만 커널 업데이트는 자동으로 하지 않는다. 사용자가 직접 해야 한다.”

윈도는 자동업데이트 때 커널 업데이트까지 수행한다고 합니다. 리눅스도 커널 업데이트를 자동으로 한다면 재부팅이 잦을 수밖에 없을 듯 보입니다.

그렇다고 홍 대표가 리눅스가 나쁘다고 이야기하는 건 아닙니다. “문서가 많지 않거나 규모가 작을 경우 리눅스도 편하고 좋다”고 강조합니다.

대신에 “돈을 쓰고 싶지 않으면 리눅스를 사용하면 된다. 비용을 지불하고 그에 따른 서비스를 이용하고 싶으면 윈도서버를 써라”는 것이 홍 대표의 조언입니다.

또 하나, 마이크로소프트는 윈도 방화벽 등 보안설정이 까다롭다는 사용자 요구를 받아들여 윈도서버 2008 R2에서 방화벽 이용편의성을 높였습니다.

예전에는 모든 포트를 디폴트로 막아놓아 사용자들이 직접 사용하는 포트를 설정해야 했다네요.

이제는 웹서버를 설치하는 순간에 웹서비스 포트인 80, 443은 자동으로 방화벽에서 열린다고 합니다. 사용자가 설정하지 못해도 쉽게 서비스를 이용할 수 있도록 말입니다.

# 빠른 설치, 구성 완료…“클릭 세 번이면 끝나던데요”

홍 대표는 사실 보안성 보다는 윈도서버의 편리성에 더 매료된 듯합니다.

시스템을 바꾼 뒤 모든 설정이 ‘클릭 세 번’으로 구성이 완료됐다고 합니다.

“리눅스에서 네임서버를 등록하려면 바인드, 네임드, DNS 관련 컨피규 파일이 있어야 한다. 돌아가는지 일일이 다 해봐야 했다. 윈도 서버는 클릭 세 번으로 모든 설정이 끝나더라.”

DB 설정이나 DB 백업도, 호환성 작업도, 한글과 맞추는 작업도 모두 클릭 세 번에 끝냈다고 합니다.

“리눅스나 솔라리스든 다른 서버 운영체제를 이용할 땐 뭔가 서비스를 이용하려면 새까만 화면에서 많은 작업을 했어야 했는데, 이제 그 시간이 필요없게 됐다”는 것이 윈도서버의 큰 장점이랍니다.

# 최고의 이슈, DDoS 공격 방어 방안…“DDoS는 막는 게 아니라 피해야 합니다.”

홍 대표에게 DDoS 공격을 막을 수 있는 방안에 대한 의견을 물어봤습니다.

당연하게 “못막는다”고 잘라 말했습니다. “몰려오는 트래픽을 어떻게 막을 수 있냐”는 겁니다.

“라우터부터 죽는데, 무슨 보안 장비로 막을 수 있겠냐”면서, “우회시키는 수밖에 없다. 다른쪽으로 트래픽을 돌리던지, 포트를 바꾸거나 우회해야 한다”고 설명했습니다.

다만, 근원적인 방안으로 “PC단에서 에이전트로 감지할 수 있는 기술이 있으면 좋을 것”이라고만 하더군요.

 

2009/11/16 17:17 2009/11/16 17:17


11일 개최된 한국인터넷진흥원(KISA) 비전선포식에  ‘해운대’ 윤제균 영화감독이 왔습니다.

국내 최초로 시도된 재난영화 ‘해운대’를 만든 윤 감독은 해킹, 바이러스, 개인정보침해, 불법 스팸메일 등 인터넷 침해와 관련된 상담을 도와주는 무료 전화번호 ‘118’ 홍보대사입니다. KISA는 지난 10월에 윤 감독을 홍보대사로 위촉했습니다.

최근 ‘해운대’의 동영상파일 유출로 피해를 당한 당사자인만큼 사회적으로 널리 중요정보 유출 경각심을 제고하고 정보보호 인식과 실천을 확산시킬 수 있도록 ‘해운대’를 만든 윤 감독에게 정보보호 관련 침해 신고·상담을 도와주는 전화번호 홍보 임무가 맡겨진 것입니다.

‘정보보호 홍보대사’답게 윤 감독은 이날 KISA 비전선포식에서 해킹이나 악플, 불법다운로드 등 정보화 역기능으로 꼽히는 문제를 ‘인터넷 재난(災難)’으로 규정하고, 나름의 경험을 들어 이야기했습니다.

윤 감독은 “앞으로 ‘인터넷 재난’이라는 신조어가 생기고, 또 천재, 인재에 이은 3대 재난이 될 것 같다”고 말을 시작했습니다. 윤 감독은 ‘인터넷 재난’으로 해킹 등 사이버테러, 악플, 불법 유통·다운로드 세가지를 들었습니다.

“이 세가지 인터넷 재난을 모두 경험해봤다”고 하더군요.

해킹/사이버테러에 관해서는 지난 7.7 DDoS 공격 때 윤 감독 회사 컴퓨터가 모조리 바이러스에 걸려 이용을 하지 못했던 경험을 이야기 했습니다. (그런데 아직 컴퓨터 보안관리에 대한 인식과 실천은 좀 부족한가 봅니다. 이 이야기를 듣다보니 윤 감독 컴퓨터도 DDoS 공격을 수행한 좀비PC였을 수도 있겠다는 생각이 들더군요. 운영체제 보안업데이트와 백신 등 보안 제품 사용은 필수입니다!)

악플 관련해서는 영화 ‘낭만자객’이 흥행과 작품성에 실패했을 때 악플에 시달렸던 경험을 풀었습니다. 옆에서 그 모습을 보던 부인이 잘못하다 남편을 위해 글을 올렸다가 더 심한 악플을 겪었다네요. 그 때 ‘악플 때문에 목숨을 끊을 수도 있겠구나…’란 생각이 들며, 그 심정을 이해할 수 있었다고 합니다.

윤 감독은 악플이 많이 달려 있으면 안보려고 해도 봐지는 심리가 혹시라도 그 안에 내편이 되주는 사람, 글이 있지는 않을까 기대심 때문에 보게 된 것 같다고 하더군요.

마지막은 다들 알고 계실 영화 ‘해운대’ 동영상 파일의 불법 유출·유통·다운로드입니다.

얼마 전 1000만 관객의 영화 ‘해운대’의 동영상 파일은 업무관계자에 의해 불법 유출, 온라인에 유통되면서 사회적으로 큰 파장을 불러일으켰지요.

이 때문에 ‘해운대’는 해외 판매가 힘들게 돼 약 300여억 원의 피해를 본 것으로 알려졌는데요.

이미 파일은 인터넷을 타고 너무나 빠르고 멀리 퍼져, ‘해운대’가 판매되는 전세계 24개국 중 거의 모든 나라에서 불법 다운로드를 할 수 있는 상황이랍니다.

윤 감독은 “많은 영화감독들이 해외시장 개척에 대한 큰 꿈을 갖고 달리고 있는데, 가장 큰 장애가 바로 ‘불법 다운로드’”라고 강조했습니다.

그러면서 한국인터넷진흥원에 사이버·인터넷재난이 발생할 때 재난방재청과 같은 역할을 해달라는 당부도 잊지 않았습니다.

앞으로 홍보대사로서의 윤 감독의 역할이 기대됩니다.

각종 정보화 역기능 관련 문제에 더 많은 관심을 귀울여, 불법 다운로드나 불법 복제 문제, 인터넷 윤리, 정보보호/보안 의식 제고와 실천을 위한 다양한 홍보활동을 해주길 바랍니다.

어쩌면 윤제균 감독이 언젠가 재난 영화 후속으로 ‘인터넷 재난’ 영화를 만들 날이 오지는 않을까요?

그날 “홍보대사 활동 열심히 하시다가 ‘인터넷 재난’ 영화 만드시는 거 아닙니까?, 한번 만드시는 건 어떨까요?”라고 질문을 했더니 웃으시더군요.

한번 기대해보겠습니다!!

‘보안도 문화’입니다.

 

2009/11/13 08:30 2009/11/13 08:30


손바닥으로 하늘을 가리려는 심보.”
“대기업이 어찌 이리 부도덕할 수 있나?”
“지사가 있지만 국내 고객은 안중에도 없나보다.”
“이래서야 외산 보안제품 쓰겠습니까?”


시스코시스템즈를 두고 최근 나오는 이야기입니다. 많은 분들이 분노하고 있는 것 같습니다.

시스코 본사에서 사업성이 없다는 판단으로 국내에 5년 이상 공급해온 분산서비스거부(DDoS) 공격 탐지·차단 시스템인 ‘시스코 가드앤디텍터’를 조만간 단종한다는 계획이 이미 알려질대로 알려진 상태에서도 아직까지 한국지사가 묵묵부답으로 일관하고 있는 탓입니다.

이러다간 자칫 시스코시스템즈 때문에 국내 진출해 있는 외산 보안 솔루션 공급업체들까지 난감한 입장이 될 듯하네요. 

기사로 나가기 전까지 시스코는 이같은 사실을 숨겼습니다. 이제 비공식적으로 인정은 하고 있습니다. 내년 초 발표가 유력시되고 있네요.

난감해하던 협력사들도 대책 강구에 적극 나섰습니다.

국내에 가장 많이 ‘시스코 가드앤디텍터’를 판매했던 안철수연구소는 분산서비스거부(DDoS) 방어 전용 장비 개발에 나섰습니다. 가능한 빨리 출시한다는 계획입니다.

발빠른 대처입니다. 국민기업 안철수연구소가 외산 제품을 팔다가 국내 고객들에게 피해를 주는데 앞장섰다는 비난을 면케 됐습니다. 직접 고객을 대하는 안철수연구소같은 국내 협력사들은 얼마나 난감할까요. 

물론 국내지사인 시스코코리아도 마찬가지로 어려운 입장일 것입니다. 

무엇보다 당장 수요가 많은데 본사의 제품 단종 방침이 아주 아쉽겠지요.

어쩌면 본사 입장에서도 크게 문제될 것이 없다고 생각할 지 모릅니다. 고객의 네트워크를 보호하기 위한 시스코 DDoS 공격 방어 솔루션인 ‘클린파이프’는 그대로 유지하는 것이고, 여기에 아버네트웍스와 협력하는 그림이기 때문입니다. 

DDoS 방어 장비 ‘단품’ 차원으로만 보면 전세계적으로 큰 수요가 없는데 굳이 자체 개발·지원할 필요가 없다고 판단했을 겁니다.

사업성이 없다고 판단되면 사업을 중단하고 충분히 다른 대안을 모색할 수 있습니다.

문제는 DDoS 방어 장비를 도입한 국내 고객이 많다는 것입니다. 그럼에도 사실을 숨기면서 계속 판매하려 했던 괘씸죄는 아주 큽니다. 

시스코의 한국시장 매출 비중이 전세계 매출의 1% 수준이면, DDoS 방어 장비 시장 비중만은 전세계 20% 정도일 정도라는 이야기도 들립니다. 

그만큼 최근 국내의 DDoS 방어 장비 수요는 전세계 이례적으로 큽니다. 

지사 입장에서는 특히나 7.7 DDoS 공격 이후 대규모 사업들이 잇달아 생겨난 상황에서 매출을 올려야 하는 지사의 입장에서는 당연히 ‘가능한 팔 수 있을 때까지’ 팔고 싶었겠지요.

일단은 본사에서 발표도 안했고, 또 발표하지 말라는데 원칙적으로 할 수도 없고, 재고도 있는데 굳이 할 필요도 없겠지요.  

그렇지만 단종계획을 모르던 고객들이 이 제품을 산 직후에 알게 된다면 얼마나 황당하겠습니까. 완전 뒤통수맞는 격일 수밖에요.

공공기관의 경우엔 예산낭비 문제가 불거져 나올 수도 있습니다.

부도덕하다거나 고객은 안중에 없나보다라는 이야기가 당연히 나올만도 합니다.

그런데도 시스코코리아는 아직까지도 아무 입장이나 대안을 내놓지 않고 있습니다. 그래서인지 소문도 점점 커지고 있습니다.

“제품을 단종하더라도 5년 간 유지보수 서비스는 그대로 지원되는 것이 원칙”이라는 것이 시스코의 이야기이지만, 그 중 하나가 기존까지와는 달리 단종 이후 모든 제품 업데이트까지 중단될 것이라는 이야기입니다. 마이그레이션 혜택도 제시하지는 않을 것이란 소문까지 있습니다.

만일 이게 사실이라면 어떻게 될까요?

보안제품은 업데이트가 안되면 무용지물이 됩니다. 공격형태가 계속 바뀌고, 수준은 점점 높아지기 때문입니다.

이 장비에 만일 취약점이라도 발견됐는데, 패치를 안해주면 더 큰일입니다. 

본사의 입장이 어떻든 지사가 국내에서 계속 사업을 하려면 한국고객에게 최선을 다해야 합니다.

국내 고객을 위해 본사도 설득해야 한다는 것이 제 생각입니다.

이러다가 우리나라에서 큰 재미를 보지 못한다고 판단되면 고객이야 어떻든 철수해버렸던 외국 기업들의 사례가 시스코의 이번 일에서 다시 떠오르지 않도록 했으면 좋겠네요. 

시스코까지 이러는데, 만일 국가 주요 정보통신망을 보호하는 보안 제품에 외산 도입을 더 막아야 한다는 과격한 주장이 나온다면 외국계 업체들이 까다로운 공공 시장 납품제도를 두고 더이상 억울하다”거나 너무하다”고 할 말도 없게 될 겁니다.

U-City(유시티)와 같이 유망하고 향후 크게 얻고자 하는 사업에는 회장이 직접 와서 대통령까지 만나 한국에 수십억 달러를 투자하겠다고 발표하던 와중에, 한쪽으로는 이렇게 고객을 기만하려 한 행위를 어떻게 해석해야 할까요?

더 큰 오해를 불러오기 전에 시스코는 빨리 공식 입장과 고객을 위한 대책을 내놔야 할 것이라 생각됩니다.

2009/11/09 16:34 2009/11/09 16:34


범정부 분산서비스거부(DDoS) 대응체계 분석 두번째입니다. ‘경제’와 ‘사회’, ‘시·도’ 분야의 요구사항은 비슷하기 때문에 한꺼번에 특징만 짚어보겠습니다. (첫번째는 교육과학기술 분야를 다뤘지요.)

각 분야의 DDoS 대응체계는 사전 네트워크 보안취약점 점검과 DDoS 공격 대응 능력 분석, 공격형태에 따른 영향분석 등 구축에 들어가기에 앞서 사전 컨설팅을 수행합니다.

구축 과정은 사전 컨설팅 후 DDoS 대응체계 구축, 모의시험 및 검증, 통합보안관제체계 구축, 취약한 좀비PC 제거체계 구축, 기관별 DDoS 대응지침 및 매뉴얼 수립, 교육체계 마련하는 과정으로 이뤄지게 됩니다.


경제 분야

지식경제부가 주관하는 경제 분야 DDoS 대응체계는 국토해양, 환경, 관세 등 37개 기관을 대상으로 합니다.

특히, 중앙관리체계와 통합보안관제체계 구축을 통한 DDoS 예·경보체계를 마련하고 다양한 공격 유형에 대한 사전분석으로 선제적 대응전략 수립을 목적으로 하고 있습니다.

때문에 DDoS 방어 전용 장비 외에 통합보안관리(ESM) 서버 에이전트를 많이 요구하고 있습니다. ESM 업체들이 경제 분야에 관심이 많겠군요.

DDoS 탐지·차단 시스템은 48식을 요구하고 있습니다. 처리성능은 2Gbps로 인라인이나 아웃오브 패스 방식 모두 관계없습니다.

바이패스 기능 등 고가용성 기능과 전원공급장치 이중화와 같은 안정성을 높이는 기능은 스펙에 당연히 포함돼 있습니다.

보안관제센터로의 위협정보 수집, 분석 기능도 중요합니다.

ESM 에이전트는 57식을 도입합니다. 지경부, 국토해양부 등 각 기관별 ESM 매니저에 연동 가능해야 하는 것이 조건입니다.

보안 장비로는 1Gbps 이상 성능을 내는 침입방지시스템(IPS)를 8대를 도입하는군요. 방화벽도 1대 도입합니다.

트래픽관리(QoS) 장비와 네트워크 장비(백본 스위치)도 한대 도입하네요.

교육과학기술 분야에서 많이 도입하는 좀비PC 탐지·차단 장비는 도입하지 않고 제로데이 공격 탐지 장비만 2식을 도입하는 것 같습니다.

사회 분야

보건복지가족부가 주관하는 사회 분야는 청와대, 검찰청, 국방, 질병관리본부, 국회 등 19개 기관을 대상으로 합니다.

지난 7.7 DDoS 공격 대상이 됐던 청와대, 국회 등이 포함돼 있네요. 국민건강보험공단, 국방부, 검찰청, 중앙선관위, 헌법재판소 등 아주 중요한 기관들이 상당수 포함돼 있습니다.

경제 분야와 마찬가지로 중앙관리체계 및 통합보안관제체계를 강화함으로써 DDoS 예`경보, 대응체계를 수립하는 것을 목표로 하고 있습니다.

역시 DDoS 전용 대응시스템과 ESM 에이전트를 많이 도입합니다.

DDoS 탐지 및 차단 시스템은 36식, ESM 에이전트는 42식을 요구하고 있습니다.

기타 보안장비는 1Gbps 이상 성능의 IPS 6식과 제로데이 공격 탐지 장비 1식을 도입하네요. QoS 장비 4식, L3스위치 1식도 구축합니다. 

시·도 분야

행정안전부가 주관하는 시·도 분야는 말그대로 서울시·부산광역시·경기도 등 16개 시·도와 시·도 사이버침해대응지원센터를 운영 중인 한국지역정보개발원, 정부통합전산센터까지 총 18개 기관을 대상으로 DDoS 대응체계를 구축한다.

DDoS 대응체계를 구축하는 것 외에도 시·도 사이버침해대응센터와 연계해 즉시 관제·차단할 수 있도록 통합보안관제체계가 대폭 보강됩니다.

DDoS 대응체계는 DDoS 방어 전용장비와 IPS, QoS, 방화벽 등 보안·트래픽관리 장비로 구성된다.

DDoS 탐지·차단 시스템은 2Gbps 성능의 32식, 10Gbps 이상 성능을 처리하는 장비 4식이 구축됩니다.

정부통합전산센터에 설치될 10G급 4대는 시스코 가드 앤 디텍터 모듈로 스펙이 박혔습니다. 기존에 설치된 제품이 있기 때문이라고 돼 있네요.


IPS는 17식이, 방화벽은 9식, QoS 장비 29식이 구축됩니다.

ESM 서버 2식과 에이전트 62대도 도입합니다. 각 에이전트는 기관별 ESM 매니저와 연동하게 되고, 다양한 정보보호 제품들로부터 보안이벤트를 수집하는 역할을 하게 됩니다.

시·군·구 등의 취약한 사용자 ‘좀비PC’를 제거할 수 있도록 좀비PC 탐지 장비 2식, 제로데이 공격 탐지 장비 2식도 도입될 예정입니다.

백본스위치, LG스위치도 각각 3대, 8대가 필요하네요.

이 사업은 오늘 입찰이 마감됩니다.

2009/11/03 15:33 2009/11/03 15:33

야후코리아가 그동안 ‘야후 툴바’를 통해 제공해온 실시간 무료백신 서비스를 중단했습니다.

비스를 시작한 지 거의 만 2년만이네요.

기존 사용자는 백신 검사창을 활성화하면 “야후! 무료 백신 소프트웨어 계약 종료로 인하여 2009년 10월 이후 추가 업데이트가 되지 아니하며, 정상적인 치료가 불가할 수 있습니다.”는 공지를 확인하실 수 있습니다.


야후코리아는 10월 중순, 백신 ‘알약’을 제공 중인 이스트소프트와의 계약이 만료된 이후 재계약을 하지 않기로 확정했답니다. 그 탓인지 백신 바로가기 메뉴가 없어졌고, 야후 툴바에서 백신 아이콘이 사라졌습니다.

야후 백신 개인사용자는 무엇보다 PC의 악성코드 감염을 예방하기 위해 알약이나 PC그린, V3라이트 등 현재 정상 제공되는 다른 무료백신으로 시급히 교체해야 할 것으로 예상됩니다.

야후코리아는 이번 백신 서비스 중단 이유로 더이상 차별화 포인트가 아니라는 점을 들었습니다.

이해도 갑니다. 개인사용자 이스트소프트의 ‘알약’이 1750만 명 이상이고, 안철수연구소의 ‘V3라이트’가 1000만 이상, 네이버 ‘PC그린’이 300만 여명으로 집계되고 있는 점을 감안하면 이미 시장에서 무료백신은 포화상태입니다. 또 어베스트, AVG 등 외산까지 합치면 국내에서 한글로 제공되는 무료백신은 충분히 많습니다.

그래도 하던 서비스를 중단하는 야후의 모습은 약간 실망스럽습니다. 더욱이 개인PC보안을 책임질 수 있는 서비스인데 말이지요.

11월 2일 현재에도 야후 검색포털에는 무료백신 서비스 중단 관련 공지를 전혀 찾아볼 수 없었습니다. 야후 툴바 관련 페이지에도 마찬가집니다. 여전히 실시간 무료백신을 제공한다고 설명하고 있습니다.

그 때문인지 야후 지식검색에는 10월 25일 날짜로 야후 백신 다운로드가 안된다는 글이 올라와 있네요. 툴바를 다운로드해보라는 댓글도 있습니다.

회사 사업상 여건이나 판단, 외적 환경 변화에 따라 하던 서비스를 중단할 수는 있습니다.

하지만 사용자에게 제대로 알리는 것은 중요합니다. 서비스 시작할 때만 대대적으로 홍보하고 없앨 땐 제대로 알리지 않고 슬그머니 중단한다면 사용자들의 신뢰를 받기 힘들 것입니다.

2009/11/02 14:38 2009/11/02 14:38

마이크로소프트 ‘윈도7’ 출시로 IT업계가 술렁이고 있습니다. 소위 ‘윈도7 효과’를 누릴 수 있을 것이란 기대 때문입니다.

장 혜택을 기대하는 쪽은 아마도 PC제조사들과 소프트웨어 유통업체들일 것입니다. 윈도7에 대한 시장 반응이 이전 OS인 ‘윈도비스타’ 때와는 달리 아주 긍정적이라 더욱 기대가 큰 것 같습니다.

윈도7이 출시되자 OS상에서 돌아가는 응용소프트웨어 업체들도 저마다 윈도7 지원에 나섰습니다.

보안업체들도 마찬가지입니다. 윈도를 기반으로 형성된 ‘IT생태계’ 속에 함께 하고 있기 때문입니다.

그런데 보안 업체들은 몇 년 전부터 마이크로소프트가 새로운 OS나 인터넷브라우저(인터넷익스플로러)를 내놓을 때마다 속앓이를 하고 있습니다.

사업을 계속하려면 마이크로소프트가 새롭게 출시하는 OS를 지원할 수밖에 없지만 새로운 수익창출 기회가 생기는 긍정적인 면보다는 부담이 더 큰 탓입니다.

그 원인이 마이크로소프트에 있다기 보다는 우리나라 IT환경이 그렇게 만들고 있습니다. 윈도와 인터넷익스플로러에 크게 의존적인 인터넷 환경 문제는 차치하고, 제대로 인정받지 못하는 보안제품 유지보수, 서비스 대가 문제를 더 거론하고 싶군요.

의무화된 인터넷서비스 보안, 당연시된 보안업계의 무상지원

보안업체들은 마이크로소프트가 새로운 OS, 새로운 브라우저가 출시되면 인터넷서비스 업체들이 실시하는 호환성 작업을 지원해야 합니다. 무상으로 말이지요. 대표적인 것이 정부기관과 금융사들이 제공하는 전자민원 등 전자정부서비스와 인터넷뱅킹입니다.

전자민원 등 전자정부서비스와 전자금융거래(인터넷뱅킹)서비스를 이용하려면 공인인증서, 해킹방지솔루션, 키보드보안 솔루션 등 다양한 보안 제품을 사용해야 합니다. 의무죠.

해당 사이트에 접속하는 사용자 컴퓨터에 자동으로 내려받게 돼 있습니다. 그렇기 때문에 이런 보안 제품들이 윈도7과 같은 새로운 OS를 지원하지 않으면 윈도7 PC 사용자는 이런 서비스를 이용하지 못합니다.

마이크로소프트가 사용자 보안성을 높이기 위해 보안 기능과 방식을 대폭 변경한 ‘윈도비스타’를 출시하던 당시, 보안 제품의 호환성이 확보되지 않아 인터넷뱅킹, 전자민원서비스 등 각종 인터넷서비스가 중단돼 이슈화됐던 적이 있었지요.

당시 정부까지 나서 서비스 장애 대책회의까지 하며 호환성 작업을 완료할 것을 재촉했습니다.

공기관이나 금융기관, 기업들이 자사의 인터넷 서비스 장애를 사전에 방지하기 위해 윈도7, 인터넷익스플로러 8 등 새로운 프로그램 출시 시점에 맞춰 보안업체들에게 요구하는 호환성 작업은  당연시 돼 있습니다.

이 때 보안업체들은 무상지원하게 됩니다.  ‘유지보수’ 관점에서 당연히 지원해줘야 한다고 인식되고 있는 것입니다.

그런데 보안업체들은 이 때마다 제품을 변경하거나 특정 기능을 추가해 개발하는 작업, 이로 인한 관리 부담이 과하다고 이야기하고 있습니다.

한 업체 임원은 “마이크로소프트의 사업을 위해 출시하는 윈도 신제품 일정에 맞춰 원래 잡혀진 다른 작업일정은 제쳐두고 돈도 받지 못한 채 자체 인력과 비용을 써가면서 언제까지 지원해야 하는지 깜깜하다”고 이야기 할 정도입니다.

상 보안제품 유지보수 요율은 1~2년 무상에 다음 해부터 7~8%, 많아야 10~12%를 적용하고 있는 것으로 알려져 있지요. 때에 따라 5~6%, 그 이하도 있을 수 있습니다.

한 곳에 3000만원 규모의 제품을 팔았을 경우 연간 10%의 유지보수 요율을 적용해도 300만원인데, 이 금액으로는 개발자 한 명의 한 달간 유지비용도 안됩니다.

주기적으로 생기는 새로운 OS나 IE 지원 작업에 매달려 이를 감당하기에는 역부족이라는 이야기입니다.

제품에 따라 다르지만 보안 제품은 이러한 작업이 아니더라도 그 특성상 새로운 위협이 나올 때마다 주기적으로 업데이트하는 경우도 있고, 자체 취약점 제거나 기능 보완, 추가 등 버전 업그레이드를 위해 투입해야 하는 작업들이 있습니다.

지원하는 OS 버전이 늘어나면 개발이나 테스트가 완료되더라도 유지보수 등 관리 부담까지 늘어나게 됩니다.

유지보수 대가 현실화 필요성 다시 수면 위로

현실적으로 공공기관이나 기업 시스템에 적용되는 솔루션의 경우에는 유지보수 대가 외에는 달리 비용을 청구할 수 없는 상황입니다.

결국 유지보수 요율이 현실화되면 업계의 불만도 일정수준 해소될 수 있는 문제입니다.

최근 윈도7 출시를 기점으로 해킹방지, 키보드보안 솔루션 등을 비롯한 전자거래서비스 보안 솔루션 업체들은 재계약시 유지보수 요율을 상향해야 한다는 필요성을 다시 제기하고 있습니다.

그러나 업체들이 개별적으로 고객들과 유지보수 요율을 올려 계약하기는 참 어렵습니다. 어렵고 불확실한 경제 상황에서는 더욱 그렇지요.

지금까지의 관행을 바꾸긴 더 어렵습니다.

한 문서보안(DRM) 업체에게 물어보니, 윈도7을 지원하는 새 제품이 출시되어도 유지보수 계약을 맺은 업체들에게는 무상으로 설치 제공해오고 있답니다.

성능이나 기능을 크게 업그레이드한 신제품을 내놔도 신규 고객을 확보하지 않는 이상 해당 제품군으로는 새로운 수익창출이 어렵다는 이야기입니다.  

지금 쓰고 있는 프로그램을 오래 썼거나 더 성능 좋고 기능 많은 최신 프로그램을 쓰고 싶어서 돈을 주고 바꾸지 않는다는 것입니다. 뒤집어 보면 알아서 무상으로 주는데 당연히 돈을 주고 사지도 않겠지요.  

유지보수 대가 현실화 문제는 보안업계 전반의 공감대가 이미 형성돼 있는 이슈입니다. 보안산업계의 숙원사업이 될 정도입니다.

보안업체들은 일반적인 소프트웨어 제품의 오류수정 등의 유지보수가 아니라 새로운 보안 위협이 등장할 때마다 패턴·시그니쳐 업데이트와 패치 개발, 사고복구 지원, 타 신제품과의 호환성해결 등을 벌이는 서비스 대가를 인정해야 한다고 꾸준히 요구해 왔습니다.

식경제부 등 정부도 올해 산업육성 차원에서 공공분야에서만큼은 보안제품 유지보수 대가를 20~25% 수준으로 상향 조정하는 기준을 정하기 위해 추진했다 기획재정부의 반대로 백지화된 적도 있습니다.

해묵은 것 같은 유지보수 문제는 이슈화됐다가도 이처럼 늘 제자리인 것 같습니다. 그래도  올해 개정된 소프트웨어 대가기준으로 반보라도 나아갔다고 평가됩니다.

정부까지 나섰던 만큼 소기의 성과로 끝내지 말고 앞으로 진정한 성과를 나타낼 수 있도록 노력해주길 바랍니다.
 
업체스스로도 기꺼이 서비스에 돈을 지불할 수 있도록 상응하는 서비스를 제공하기 위해 더 많은 땀을 흘려야 할 것입니다.

2009/11/02 09:12 2009/11/02 09:12


많은 기대와 관심을 모았던 마이크로소프트(MS)의 새로운 운영체제(OS) ‘윈도7’이 드디어 세상 밖으로 모습을 드러냈습니다.

부팅 시간이 ‘12초’밖에 안걸린다는 MS 자체 테스트 결과를 자신 있게 공표한 것에서 알 수 있듯이 ‘윈도7’은 크게 빨라진 속도와 사용 편리성이 가장 큰 특징입니다.

여러 손가락의 움직임을 인식하는 ‘멀티터치’, 다양한 PC나 주변기기를 쉽게 연결할 수 있는 ‘홈그룹’ 기능과 휴대전화·디지털카메라, 프린터 같은 디지털기기의 간편하게 활용하고 관리할 수 있도록 하는 ‘디지털스테이지’와 같은 새로운 기능도 집중 조명을 받고 있습니다.

저는 보안기능면에서 새로워지거나 강화된 점이 무엇이 있을까 관심을 가져봤는데요. 사용자의 편의성 개선에 가장 초첨이 맞춰진 만큼 보안기능은 크게 두드러지진 않습니다.

윈도 비스타의 보안기능

어찌보면 3년 전에 선보인 ‘윈도 비스타’가 지원하던 수준을 크게 벗어나지 않습니다. 다만 ‘보안도 편리하게’라는 취지가 반영된 느낌은 드는군요.

그 점에서 먼저 ‘윈도 비스타’에서 제공한 보안 기능과 이로 인한 이슈에 대한 설명이 필요합니다.

MS는 2001년 윈도 XP 출시 이후 6년 만에 내놓은 ‘윈도 비스타’에서 대폭 강화된 보안기능을 선보였지요.

피싱 필터(인터넷 익스플로러)와 스파이웨어를 차단하는 ‘윈도 디펜더’, ‘비트락커’ 드라이브 암호화 기능은 ‘윈도 비스타’에 처음 적용된 기능입니다. 기존 XP 서비스팩2에서 지원하던 윈도 개인방화벽 기능도 강화됐었지요.

그중에서도 가장 이슈화됐던 것은 윈도 사용자의 악성코드 감염을 막기 위한 대책으로 MS가 적용한 ‘액티브X’를 제한하는 ‘사용자계정콘트롤(UAC)’ 기능입니다.

인터넷뱅킹을 비롯한 대부분의 인터넷 서비스에서 응용프로그램 배포 방식으로 ‘액티브 X’ 지원 방식이 널리 사용됐는데, 바뀐 ‘윈도 비스타’의 기능과 호환성을 채 확보하지 못해 출시 당시 서비스가 제대로 제공되지 못해서였습니다.

많은 사용자들이 ‘윈도 비스타’가 깔린 PC에서 상당기간 인터넷뱅킹, 전자정부서비스, 온라인게임 서비스를 이용하지 못해 불편과 혼란이 발생했습니다. 이를 해결하기 위해 정부 차원에서 윈도 비스타 출시에 따른 대책 회의를 열고 관계기관이 긴급 조치에 매달렸던 것이 생각이 나는군요.

모든 시중은행의 인터넷뱅킹, 전자민원 등 전자정부서비스를 비롯해 온라인 쇼핑몰, 게임 등에서 인증서나 해킹방지, 키보드 보안 등 다양한 보안 프로그램을 설치해야만 이용할 수 있었기 때문입니다. (이러한 경험 탓에 지난해 인터넷 익스플로러 8 출시 때와 이번 윈도7 출시 전에 MS는 호환성 문제를 앞서 해결하기 위해 MS와 관계기관은 일찌감치 많은 노력을 기울여 왔습니다.)

‘사용자계정콘트롤(UAC)’은 윈도에 로그인을 하면 일반 사용자 권한으로 들어간 후 관리자 권한을 사용할 때 이를 확인하는 보안 기술입니다. 주로 특정 프로그램을 설치·변경될 때 작동합니다.

예를 들어, 웹 서핑이나 블로깅, E-메일 전송, 문서작성 등 일반 기능은 낮은 권한으로 그대로 사용할 수 있지만 애플리케이션 설치, 드라이버 설치 등 중요한 기능을 사용할 때는 비밀번호를 입력한 후 관리자 계정을 얻은 후에야 사용할 수 있도록 조치합니다.

윈도7의 보안 기능

이번 ‘윈도7’에서 새로워진 보안 기능은 네가지 정도로 압축됩니다.

트락커 투 고(BitLocker To Go), 앱락커(AppLocker), 다이렉트액세스(DirectAccess) 기능과 사용자계정콘트롤(UAC)의 개선입니다.

‘비트락커 투 고’는 외장형 USB 하드디스크, USB 메모리 등의 이동식 저장장치를 암호화하는 기술입니다. USB 드라이브를 분실하더라도 사내 기밀 데이터나 중요정보의 유출을 안전하게 보호할 수 있습니다.

MS는 ‘윈도 비스타’에서 노트북의 플랫폼모듈(TPM)을 이용해 하드디스크를 암호화하는 ‘비트락커’를 지원했습니다.

‘윈도7’에서는 ‘비트락커’에 ‘비트락커투고’가 추가돼 데이터보호 기능이 한층 강화됐습니다.

또한 복구 키를 이용해 관리자가 필요할 때 데이터에 액세스할 수 있도록 제공합니다.

요즘 노트북 사용자가 엄청 늘어나고 개인정보, 기밀정보 유출방지에 대한 관심이 높은데, 이러한 보안 기능은 유용하겠습니다.

‘앱락커’ 역시 윈도 비스타에서도 제공했지만 크게 알려지지 않았던 기능입니다.

매우 높은 수준의 컴플라이언스 준수가 필요한 기업의 경우 IT 관리팀에서 ‘앱락커’에 있는 새로운 응용프로그램 차단 도구를 이용해 사용자 PC에서 사용이 가능한 응용프로그램을 지정할 수 있습니다. 이를 통해 불법적인 소프트웨어 사용을 막을 수 있고, 악성 소프트웨어로 인한 위험을 줄일 수 있습니다.

‘다이렉트액세스’는 회사 외부에서 업무를 하는 직원은 가상 사설망(VPN) 없이도 사무실 외부에서 기업 리소스에 손쉽게 접근할 수 있도록 제공하는 기능입니다. 이를 통해 오고가는 데이터는 암호화돼 있어 안전하게 보호됩니다.

원격지 근무가 많은 사용자 PC에 이 기능을 지원하는 윈도7 에디션을 설치해주면 기업들이 사용자원격 보안접속 솔루션인 IPSec VPN 클라이언트, SSL VPN 장비에 투자할 필요가 없어지게 될 수도 있겠군요.

기능만 좋다면 VPN 클라이언트 설치에 들어가는 시간이나 노력이 필요 없게 된다는 장점을 제공할 것으로 보이네요.

‘윈도 비스타’에서 많은 관심과 함께 불만과 불편을 야기했던 ‘사용자계정콘트롤(UAC)’은 편리성이 강화됐습니다.

MS는 이 기능을 적용하면서 윈도 비스타에서 악성코드 감염이 ‘윈도 XP’ 대비 60% 이상 줄어든 것으로 파악하고 있습니다. 사용자들이 무심코 ‘예’를 눌러 ‘액티브 X’에 의한 악성코드를 설치하는 것을 UAC가 차단했기 때문입니다.

이렇게 사용자 PC의 보안성은 강화했지만 사용자가 하던 일을 중단시키고 창을 띄어 물어보는 UAC 기능이 너무 잦은 탓에 편의성이 반감되는 역효과를 냈습니다.

사실 우리 대부분의 사용자들은 가능하면  ‘나한테 뭔가를 물어보고 나한테 뭔가를 하도록 요구하지 말고 알아서 보호해줘’라는 생각을 갖고 있지 않습니까? 특히나 IT기술이나 보안에 대해서 모르면 모를수록 말이지요.

이 문제를 해결하기 위해서 ‘윈도7’에서는 사용자 모르게 윈도 설정이 변경될 때만 사용자 확인을 받은 형태를 택해, 편의성도 증대시키고 보안도 유지할 수 있도록 했다고 합니다.

구성 옵션도 기존의 UAC 기능 온/오프 외에 두가지를 추가한 네가지로 제공하는 방식으로 변경됐다고 합니다.

아래 화면 살펴보시죠. 항상 알림과 알리지 않는 기능 중간에 프로그램을 변경하려는 경우에만 알림, 바탕화면을 흐리게 표시하지 않고 알릴 수 있는 옵션이 있습니다.  


그런데 이러한 보안기능 중에서 넷북 및 미니 노트북용 ‘윈도7 스타터’, 가정용 ‘윈도 홈 프리미엄’, 가정/업무용 ‘윈도7 프로페셔널’, 최상의 전문가용 ‘윈도7 얼티미트’로 구성된 제품군에서 모두 제공되는 기능은 UAC 뿐입니다.

비트락커 투 고(BitLocker To Go), 앱락커(AppLocker), 다이렉트액세스(DirectAccess)는 최상의 에디션인 ‘윈도7 얼티미트’에서만 지원됩니다. 사실상 일반인이 사용하게 되지 않게 되겠지요.

이에 대해 22일 윈도7 발표 기자간담회에서 한국MS의 이현석 부장은 “많은 보안업체들이 USB메모리 암호화 제품을 내놓고 있는데, 윈도상에서 돌아가는 응용프로그램은 MS가 잘 만들 수 있더라도 다할 수는 없다”며, “파트너가 곤란을 입어 윈도 에코시스템(생태계)를 해칠 수 있기 때문에 제한이 필요하다”고 설명했습니다. ‘협력업체를 배려한 조치’가 가장 큰 이유인 것처럼 해석되네요.

2009/10/23 10:18 2009/10/23 10:18

교육과학기술부는 45억원의 예산으로 35개 기관을 대상으로 DDoS 대응체계를 구축할 예정입니다. DDoS 대응체계 구축 사업을 진행하는 5개 부처 중 시·도 다음으로 큰 규모입니다.

지난 7.7 DDoS 공격에서 교육과학기술 분야 주요 서비스에 대한 DDoS 공격은 발생하지 않았습니다.

현재 수준에서는 DDoS 방어 전용장비 도입이 안돼 있어 앞으로 공격이 발생한다면 대응이 어려운 상황으로 평가되고 있습니다.

가장 큰 문제는 액티브X 실행 등 사용자 부주의로 인해 DDoS 공격에 활용되는 좀비PC 감염 수치가 월등히 높은 수준이라는 데 있습니다. 중앙부처 중 1위라는군요. 

따라서 교육과학기술부는 이번 사업에서 DDoS 대응 장비 구축을 통한 업무(서비스) 연속성과 안정성 확보, 악성코드 근원지 추적, 좀비PC 감염현황 신속한 탐지·제거를 중심으로 대응체계를 수립하게 될 예정입니다.

대상기관은 16개 시·도 교육청, 10개 대학, 한국과학기술원, 한국원자역연구원 등 7개 기타·공공기관, 교육사이버안전센터(ECSC)·과학기술정보보호센터(S&T-SEC) 두 곳입니다.

RFP에 나와 있는 목표시스템 개념도를 보시죠. 시스템이 한눈에 들어옵니다. 

 

DDoS 대응시스템

DDoS 대응 전용장비는 백본 통신경로 선상에 설치하는 방식과 백본 통신경로 외에 설치하는 방식, 즉 인라인과 아웃오브패스 방식의 장비는 모두 사업 참여에 참여할 수 있습니다. 

인라인 방식은 로드밸런싱을 담당하는 L4 스위치와 무관하게 충분한 처리용량을 지원해야 하며, 하드웨어와 소프트웨어 장애에 대비한 이중화, 바이패스 기능 등 무중단 방안을 제시해야 합니다.

아웃오브패스도 백본 경로 상 통신흐름에 영향 없이 충분한 처리용량을 지원해야 합니다. 장애에 대비한 무중단 방안 제시는 역시 필수적입니다.

향후 IPTV 활성화나 인터넷 회선 대역폭이 증가할 경우를 위해 안정적으로 비정상 트래픽을 처리할 수 있도록 모듈을 추가하거나 업그레이드 등 확장 방안을 제시해야 한다는 점이 눈길을 끄는군요.

네트워크 및 보안통합관제와도 연계돼야 합니다.

10Gbps 이상의 트래픽 처리성능을 제공하는 DDoS 방어 장비도 많이 요구하고 있군요.(7식) 4Gbps 성능 장비는 3식, 1G 이상은 33식이 설치될 예정이네요.


좀비PC 탐지 및 제로데이 공격 차단 장비

PC에서 발생하는 웜·악성코드 관련 정보를 수집하고 실시간 모니터링·분석, 좀비PC를 발견할 수 있는 일체형 장비는 33식을 설치할 계획입니다.

방식은 오프라인 모드에서 미러(Mirror)된 트래픽을 가상머신을 이용해 악성코드 분석 및 제어기능을 제공해야 합니다. 가상머신을 통해 OS의 취약점 및 악성코드의 활성화 재현을 위한 분석기능과 활동내역을 자동 분석하는 기능을 제공해야 합니다. 일종의 ‘허니팟’ 같은 기능과 형태가 포함될 수 있겠습니다.

제로데이 공격 탐지시스템은 공격 패킷의 시그니처를 자동 생성, 실시간 실행코드 검증을 통한 악성코드 확인, 트래픽 모니터링을 수행하는 기능에 1Gbps 이상의 처리성능을 요구하고 있습니다.

방화벽과 침입방지시스템(IPS) 등과 연동해 적용할 수 있도록 해야 합니다.

세부사항은 표를 참조하세요.

2009/10/22 16:32 2009/10/22 16:32

현재 보안업계 최고의 관심사는 범정부 차원에서 진행할 DDoS(분산서비스거부) 대응체계 구축 사업입니다.

조만간 정식 발주될 이번 사업은 지난 7월 청와대를 비롯한 국가기관이 줄줄이 DDoS 공격을 받으면서 심각성을 깨달은 정부가 긴급히 200억원의 예산을 편성해 교육·과학기술, 경제, 사회, 경찰, 시·도의 5대 분야 132개 공공기관에 한꺼번에 DDoS 대응체계를 구축하기 위해 긴급히 추진됐습니다.

계획에 없던 대규모 보안 사업이고, DDoS 방어 장비를 주축으로 방화벽, 침입방지시스템 등 유해트래픽 차단 장비 등 다양한 보안 솔루션들이 한꺼번에 도입될 것이기 때문에 많은 SI 및 보안업체들이 열심히 사업을 준비하고 있습니다.

개별 부처에서 발주한 단일 보안 사업으로 40~50억원 이상을 넘은 사례는 거의 전무합니다.

워낙 규모가 커서 그런지 벌써부터 이번 사업을 끝으로 적어도 앞으로 6개월 동안 공공 정보보호 사업은 거의 없을 것이란 이야기도 나오고 있습니다.

교육과학기술부, 지식경제부, 보건복지부, 경찰청, 행정안전부가 각각 주관해 연말까지 완료되는 이번 사업은 지난주 사전규격이 공개됐습니다.

이번주 중 정식 사업공고가 나올 것으로 예상됩니다.

사전규격을 기반으로 각 분야별로 목표로 하고 있는 DDoS 대응체계를 순차적으로 살펴볼 생각입니다.

분야별로 사업범위나 진행방식, 기본적인 도입품목은 유사하지만, 환경이 다른 만큼 초점은 조금씩 다를 것으로 예상됩니다.

순서는 이렇습니다. 1. 교육·과학기술 2. 경제 3. 사회 4. 경찰 5. 시·도의 DDoS 대응체계 구축 사업 제안요청서(RFP) 분석입니다. 

다만 모든 부처마다 ▲기관별 네트워크 보안상태 점검과 DDoS 대응체계 설계를 위한 컨설팅을 시작으로 ▲DDoS 대응체계 구축 ▲모의시험 및 검증, 기관별 통합보안관제 체계 구축 ▲DDoS 총괄 체계 마련 ▲좀비PC 탐지·제거 체계 및 선제적 DDoS 방어체계 구축 ▲기관별 DDoS 대응 지침 및 매뉴얼 수립 ▲교육체계 마련까지 총 8단계 순서로 사업이 진행됩니다.

주요하게 도입될 장비는 DDoS 방어 전용장비, 좀비PC 탐지·제거 장비 등과 보안관제와 연계하는 체계가 공통적으로 구축될 예정입니다.

이번 사업은 단순히 DDoS 공격 탐지·차단 전용으로 개발된 보안 장비를 구매하는 것만이 아니라 사전 컨설팅을 거쳐 다른 부족한 보안 제품까지 함께 구성하고, 실시간 통합보안관제, 정책과 교육까지 연계하게 된다는 점에서 체계적인 대응체계 구축 사업계획이 수립됐다는 것이 대체적인 보안업계 전문가들의 분석입니다. 

이 사업에서 보안업체들에게 가장 아쉬운 점은 아마 가격 측면이 될 것 같군요.

2009/10/21 22:20 2009/10/21 22:20