네트워크 보안의 이해 : 정의, 방법론, 일자리

승인받지 않은 사람이나 프로그램이 네트워크와 네트워크에 연결된 디바이스에 액세스하는 것을 막는 데 필요한 작업과역할, 툴을 포괄적으로 살펴본다.

네트워크 보안은 기업 네트워크에 승인되지 않은 침입이 일어나는 것을 방지하고 보호하는 일련의 프랙티스이다. 개념 상으로 네트워크 보안은 개별적인 디바이스에 중점을 두는 엔드포인트 보안을 보완한다. 네트워크 보안은 이들 엔드포인트 디바이스가 서로 간의 결합 조직 상에서 어떻게 인터랙션하는지에 중점을 둔다.

보안 분야의 권위 있는 연구기관인 SANS 연구소는 네트워크 보안을 좀 더 넓은 의미로 정의한다.

“네트워크 보안은 물리적인 또는 소프트웨어 방어 도구를 이용해 기반 네트워크 인프라를 승인되지 않은 액세스나 오용, 오동작, 수정, 파괴, 부적절한 노출 등으로부터 보호하는 프로세스이다. 이를 통해 컴퓨터와 사용자, 그리고 프로그램이 승인된 핵심 기능을 안전한 환경에서 수행할 수 있도록 보안 플랫폼을 만든다.”

하지만 포괄적인 목표는 동일하다. 네트워크 보안은 승인받지 않은 사람이나 프로그램이 네트워크와 네트워크에 연결된 디바이스에 액세스하는 것을 막는 데 사용하는 툴과 작업으로 구현된다. 본질적으로 해커는 네트워크를 통해 사용자의 컴퓨터에 접근하지 못하면 해킹도 할 수 없다.

네트워크 보안의 기초
네트워크 보안의 정의는 목적을 나타내는 선언으로서는 좋다. 하지만 이런 비전을 구현하기 위해서는 어떤 계획을 세워야 할까? 스테판 노스컷은 10년 전 CSOonline에 네트워크 보안의 기초를 위한 입문서를 작성한 바 있다. 하지만 노스컷이 제시한 네트워크 보안의 3단계는 여전히 유효하며, 지금도 네트워크 보안 전략의 기반 프레임으로도 사용해야 한다. 네트워크 보안은 다음의 3단계로 구성된다.

보호 : 시스템과 네트워크를 최대한 올바르게 설정해야 한다.
탐지 : 설정이 변경되거나 일부 네트워크 트래픽에 문제가 생기면 이를 파악할 수 있어야 한다.
대응 : 문제를 신속하게 파악한 후에는 대응 조치를 취하고 가능한 빨리 안전한 상태로 돌아가야 한다.

한마디로 ‘종심 방어(defense in depth) ’ 전략이다. 보안 전문가 모두가 동의하는 사실이 하나 있다면, 한 가지 방어책에 의존하는 것은 위험하다는 것이다. 한 가지 방어 툴은 천적에 의해 깨질 수 있다. 네트워크는 선이나 점이 아니라 영토에 해당하며, 만약 공격자가 그중 일부에 침투했다 해도 적절한 방어 전략을 짰다면 여전히 전열을 가다듬어 적을 쫓아낼 자원이 있을 것이다.

네트워크 보안 방법론
이런 종류의 방어를 심도 있게 구현하려면, 배치하고 싶은 전문적인 기법이나 네트워크 보안 형태는 다양하다. 네트워크 인프라 업체인 시스코는 네트워크 보안의 서로 다른 형태를 다음과 같은 구조로 세분화했다. 이들 중 일부는 시스코의 제품군에 따른 것이지만, 네트워크를 보호하는 여러 가지 방법을 생각하는 유용한 방안이다.

-액세스 제어(Access Control) : 권한 없는 사용자와 디바이스가 네트워크에 액세스하는 것을 차단할 수 있어야 한다. 네트워크 액세스가 허용된 사용자라도 승인을 받은 한정된 자원만 사용할 수 있도록 해야 한다.
- 안티맬웨어 : 바이러스나 웜, 트로이목마 등은 당연히 네트워크 전체로 확산하려고 시도하며, 감염된 시스템에서 며칠, 몇 주를 활동하지 않고 숨어 있을 수 있다. 보안은 초기 감염을 방지하기 위해 최선을 다해야 하고, 악성코드가 네트워크로 확산되기 전에 뿌리 뽑아야 한다.
- 애플리케이션 보안 : 안전하지 않은 애플리케이션은 종종 공격자가 네트워크에 침입하는 데 이용하는 요소가 된다. 이런 애플리케이션을 막기 위한 하드웨어와 소프트웨어, 보안 프로세스를 채택해야 한다.
- 행위 분석 : 정상적인 네트워크 행위가 어떤 모습인지 알아야 비정상적인 행위나 악용이 발생했을 때 알아차릴 수 있다.
- 데이터 손실 방지 : 인간은 어쩔 수 없이 보안의 가장 약한 고리이다. 직원들이 일부러 또는 실수로 민감한 데이터를 네트워크 외부로 보내지 않도록 하는 기술과 프로세스를 구현해야 한다.
- 이메일 보안 : 피싱은 공격자가 네트워크 액세스 권한을 획득하는 가장 보편적인 방법 중 하나이다. 이메일 보안 툴은 내부로 들어오는 공격과 민감한 데이터를 담은 채 외부로 나가는 메시지를 차단할 수 있다.
- 방화벽 : 아마도 할아버지 시대의 네트워크 보안은 기업 네트워크와 인터넷 사이의 경계선에서 트래픽을 허용하거나 거부하도록 정의한 규칙에 따라 이루어졌다. 신뢰할 수 있는 영역과 거친 외부 영역 사이에 장벽을 구축한 것이다. 방화벽이 종심 방어의 필요성을 배제하지는 않지만, 여전히 필수적인 툴이다.
- 침입 탐지 및 방지 : 이들 시스템은 네트워크 트래픽을 조사해 공격을 파악하고 차단한다. 주로 네트워크 활동 시그니처를 잘 알려진 공격 기법 데이터베이스와 연계하는 방법을 사용한다.
- 모바일 디바이스 및 무선 보안 : 무선 디바이스 역시 다른 네트워크에 연결된 기기와 마찬가지로 보안 결함의 가능성이 있다. 하지만 다른 곳에서 다른 무선 네트워크에서도 접속할 수 있기 때문에 추가적인 조사가 필요하다.
- 네트워크 세그먼테이션(망 분리) : 소프트웨어 정의 세그먼테이션은 네트워크 트래픽을 서로 다른 분류로 보내 보안 정책을 좀 더 쉽게 적용할 수 있다.
- SIEM(Security Information and Event Management) : SIEM은 다양한 네트워크의 정보를 자동으로 취합해 위협을 파악하고 대응하는 데 필요한 데이터를 제공한다.
- VPN : 보통 IPSec이나 SSL을 기반으로 하는 툴로, 디바이스와 안전한 네트워크 간의 커뮤니케이션을 인증하고 개방된 인터넷을 가로질러 안전하고 암호화된 일종의 터널을 생성한다.
- 웹 보안 : 웹 기반 위협이 브라우저를 네트워크 감염 요소로 악용하는 것을 막기 위해 내부 직원의 웹 사용을 통제할 수 있어야 한다.

네트워크 보안과 클라우드
점점 더 많은 기업이 자사 컴퓨팅 수요의 일정 부분을 클라우드 서비스 업체로 덜어내고 하이브리드 인프라를 구현해 내부 네트워크를 서드파티가 호스핑하는 서버들과 안전하고 이음매없이 상호운영하고 있다. 때로 이런 인프라가 자체적으로 네트워크를 포함하고 있다. 여러 대의 클라우드 서버가 함께 동작하는 물리적인 환경일 수도 있고, 아니면 여러 가상머신 인스턴스가 함께 동작하고 한 대의 물리 서버 상에서 각각을 서로 네트워킹하는 가상 환경일 수도 있다.

보안의 이런 측면을 다루기 위해서 많은 클라우드 솔루션 업체가 중앙집중화된 보안 제어 정책을 자사 플랫폼 상에 구축했다. 하지만 여기에는 비밀이 하나 있는데, 이들 보안 시스템이 기업의 내부 네트워크용 정책이나 절차와 항상 맞는 것은 아니라는 사실이다. 그리고 이런 불합치 때문에 네트워크 보안 전문가의 업무 부하가 증가하기도 한다. 물론 이런 우려를 해소하기 위해 사용할 수 있는 툴이 다양하게 있지만, 이 영역은 여전히 불안정한 상태라는 것이 진실에 가깝다. 결국 클라우드의 편리함은 네트워크 보안 측면에서는 골칫거리를 안겨줄 수도 있다.
네트워크 보안 소프트웨어
이 모든 기반을 감당하기 위해서는 다양한 소프트웨어와 하드웨어 보안 툴이 필요하다. 가장 권위 있는 툴은 앞서 설명한 것처럼 방화벽이다. 하지만 방화벽이 네트워크 보안의 총합이었던 시절은 오래 전에 끝났다. 이제 방화벽 뒤에 있는(심지어 바로 눈앞에 있는) 위협과 싸우기 위해서는 좀 더 심도 깊은 방어책이 필요하다. 이제는 방화벽을 방화벽이라고 하면 잘 안팔릴 것이라고 생각하는 시절이다.

하지만 방화벽을 완전히 버릴 수는 없다. 방화벽은 기업의 하이브리드 심층 방어 전략의 엄연한 구성 요소 중 하나이다. 또한 방화벽도 서로 다른 여러 종류의 방화벽이 있으며, 이들 중 다수는 서로 다른 네트워크 보안용으로 사용된다.

- 네트워크 방화벽
- 차세대 방화벽
- 웹 애플리케이션 방화벽(WAF, Web application firewalls)
- 데이터베이스 방화벽
- 통합 위협 관리(UTM, Unified threat management)
- 클라우드 방화벽
- 컨테이너 방화벽
- 망 분리 방화벽

방화벽 외에도 네트워크 보안 전문가는 네트워크 상에서 벌어지는 일을 추적하기 위해 다수의 툴을 배치해야 한다. 이들 툴 중 일부는 대형 업체에서 나오는 기업용 제품이지만, 시스템 관리자가 유닉스 시절부터 사용해 온 수십 년 된 무료 오픈소스 툴도 있다. 관련 자료가 많은 곳으로는 SecTools.org를 추천한다. 매력적인 웹 1.0 웹사이트를 고수하는 세크툴즈는 사용자의 투표를 기반으로 가장 인기있는 네트워크 보안 툴을 지속적으로 소개한다.

- 패킷 스니퍼 : 데이터 트래픽에 대한 심도 깊은 인사이트 제공
- 취약점 스캐너 : 대표적인 제품으로 네서스(Nessus)가 있다.
- 침입 탐지 및 방지 소프트웨어
- 침투 테스트 소프트웨어

마지막의 침투 테스트 소프트웨어는 다소 의외일 수도 있다. 결국 네트워크를 해킹할 것이 아니라면 침투 테스트가 왜 필요한가? 하지만 네트워크를 얼마나 잘 보호하고 있으며, 침투하기가 쉬운지 어려운지 확실히 하는 작업의 일부이다. 그리고 전문가들은 알고 있지만, 윤리적인 해킹은 네트워크 보안에서 매우 중요한 부분이다. 무선 네트워크 보안 키를 엿보는 에어크랙(Aircrack) 같은 툴이 존재하는 이유이다.

여러 툴을 함께 사용해야만 하는 환경에서는 여러 보안 툴을 아우르는 SEIM(Security Information & Event Management) 역시 배치해야 할 수도 있다. SIEM 제품군은 로그 소프트웨어에서 발전했는데, 서로 다른 여러 툴에서 수집한 네트워크 데이터를 분석해 네트워크 상의 수상한 행위를 탐지해낸다.

네트워크 보안 관련 일자리와 연봉
네트워크 보안 분야에서 경력을 쌓고자 한다면, 운이 좋은 사람이다. 요즘 네트워크 보안 관련 일자리는 수요가 많고 대우도 좋다. IT 용역 전문회사 몬도(Mondo)에 따르면, 네트워크 보안 애널리스트는 고임금 사이버 보안 일자리 6가지 중 하나로, 연봉은 9만~15만 달러이다.

그렇다면 네트워크 보안 애널리스트는 구체적으로 어떤 일을 할까? 네트워크 보안 엔지니어와의 차이점은 무엇일까? 직책이나 직함을 이야기하면, 항상 생각보다 차이가 분명하지 않다.

이론적으로 네트워크 보안 엔지니어는 보안 시스템을 구축하는 일에 가깝고, 네트워크 보안 애널리스트느는 네트워크 보안 툴의 데이터를 통해 문제점을 찾아내는 일에 가깝다. 하지만 현실은 어떤 직책이든 양쪽을 다 하며, 명칭보다는 직무 기술서가 더 중요하다. 구직 정보 사이트인 글래스도어(Glassdoor)는 네트워크 보안 애널리스트가 네트워크 보안 엔지니어보다 약간 더 낮은 대우를 받는다고 평가하기도 했다.

희망적인 것은 어느 쪽이든 미래 가치가 높은 경력이라는 점이다. 제록스의 현 CISO 알리사 존슨은 노스럽 그루먼의 네트워크 보안 엔지니어였지만, 현재의 임원 자리로 올라갔다.

네트워크 보안 자격 인증
네트워크 보안에만 중점을 둔 자격 인증은 많지 않지만, 실력을 보증해줄 만한 자격 인증은 있다. 이들 자격 인증은 보안 인증이면서 네트워크 요소나 네트워크 인증과 함께 한다. 우선 사이버보안 인증의 최고봉은 CISSP이며, 이외에도 CompTIA의 Network+, 시스코의 CAN, 윤리적 해커를 위한 자격 인증인 Certified Ethical Hacker 등이 있다. editor@itworld.co.kr

Josh Fruhlinger editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지