코드레드 바이러스에 의한 피해 상황이 연일 보도되고 있다. 80포트를 이용하는 마이크로소프트 인터넷인포메이션서비스(IIS) 서버를 통해 계속 메일을 생성해 보내는 코드레드 같은 웜 바이러스는 침입탐지시스템(IDS)과 방화벽 등 보안장치를 무력화시키며 순식간에 서버와 네트워크의 성능을 저하시키는 사고를 일으킨다. 그러나 조금이라도 이에 대한 대비시간이 있었다면 피해를 최소화할 수 있었을 것이다. 보안 정보 수집에는 몇 가지 중요한 요소가 있다.
우선 보안 정보는 신속히 수집돼야 한다. 사고 후에는 보안의 의미가 없다. 신속한 사전 정보 수집만이 보안 유지에 도움이 된다. 이때 정보는 우선순위와 중요도를 기준으로 분류돼야 한다. 관리자는 수많은 정보를 일일이 조치할 수 없기 때문에 사안에 따라 분류 수집해야 할 필요가 있다. 또 보안 정보는 신뢰성이 담보돼야 하기 때문에 해커들의 동향이나 피해사례 자료를 보유한 업체와의 정보 공유가 필요하다. 이런 전제하에 수집돼야 하는 정보에는 다음과 같은 것들이 있다.
첫째, 신종 바이러스·웜·트로이젠 등에 대해서는 예방 프로그램을 매일 업데이트하는 것만으로도 어느 정도 문제를 해결할 수 있다. 다만 해당 바이러스용 백신 제작 시간이 필요하기 때문에 그 사이 발생할 수 있는 피해를 예방하기 위한 정보들을 침해사고대응팀(CERT)이나 전문사이트 정보를 참고하는 것을 추천한다. (참고:http://www.certcc.or.kr, http://www.sans.org, http://www.securityfocus.com, http://www.trusecure.com 등)
이런 사이트들은 대부분 메일링 서비스를 운영하고 있으므로 피해사례나 최신 정보를 메일로 받아볼 수도 있다. 그러나 고급 정보를 원할 경우 보안 경고 서비스업체에 등록하는 것이 안전하다.
둘째, 가동 중인 운영시스템 등에 대한 취약 정보를 해당 업체나 CERT 또는 유명 보안 포털 사이트로부터 입수할 수 있다. 대기업들은 대부분 보안 관련 콘텐츠와 보안 메일링서비스를 운영하므로 담당자들은 최신 보안패치에 대한 정보를 받아 시스템에 적용하면 된다. 또 패치 적용 전에는 CERT나 보안 포털사이트의 최신 취약점 정보를 하루 한 번 정도 확인하면 된다.
마지막으로 급격히 확산되고 있는 해킹 수법 역시 CERT·보안 포털 및 보안 관제업체로부터 제공받을 수 있다. 해킹 수법에 대한 사전 방어는 다양한 정보원이나 언더그라운드 해커, 뉴스 그룹 또는 CERT의 피해사고 사례, 게시판 등으로부터 지속적으로 자료를 수집하고 분석할 수 있는 기관이나 업체로부터 나오는 정보가 필요하다.
따라서 일반기업뿐만 아니라 보안관제업체도 최신 정보 수집 방안을 마련해야 할 것이다. 이밖에 보안제품이나 도구에 대한 비교 테스트, 기술적 보안 이슈 등을 다룬 책자를 활용하는 것도 도움이 된다.
정보 보안을 조명한다는 주제 아래 진행된 이번 시리즈에서 계속적으로 강조한 것은 보안은 일회성 작업이 아닌 지속적인 진행 프로세스로 다뤄져야 한다는 점이다. 보안 위협을 막는 일은 한 번만 성공하면 되는 것이 아니기 때문이다. 조금만 멈춰도 녹이 슬고 고장나는 기계처럼 끊임없이 새로운 보안 위협 요소를 감지하고 적절한 시점에 필요한 조치를 취해야 하는 아주 예민한, 그러나 반드시 필요한 존재다.
<송기정 트루시큐어코리아 수석 컨설턴트 kjsong@truesecure.com>