12일 중남미 아이티 수도 포르토프랭스에서 발생한 규모 7.0의 강진으로 수십만 명이 숨지거나 실종되었다는 새해벽두의 뉴스가 또 다시 많은 사람들을 놀라게 하고 안타깝게 하고 있다. 세계 각국에서 구원과 지원의 손길이 이어지고 있고, 우리 정부도 굴지의 기업들의 동참과 함께 지원금액의 대폭적인 증액을 적극 검토하고 있는 것으로 알려져 국제사회의 일원으로 맡은바 역할을 다 하려는 좋은 모습에 그나마 위안하고 있다. 그러나 소방방재청의 “가상실험”에서 서울서 진도 7.0의 강진이 발생하면 67만 명의 사상자가 발생할 수 있을 것이라는 실험결과는 우리나라도 더 이상 지진안전지대가 아니므로 내진설계를 강화하고 조기경보체제를 조기에 구축해야 하는 당위성을 제시하고 있다.
이번 주에도 지난 주의 글에 이어, 미국의 국가표준기술협회가 제정한 전산보안서인 “재택근무와 원격접속 보안서”(특별 간행물 800-46, 권 1)를 참조하여, 원격접속서버의 보안개론과 원격접속서버를 안전하게 설치하고 보안환경(접근권한 및 접근제어)들을 설정하는 방법들을 소개하도록 하겠다.
3. 원격접속보안
이장에서는 원격접속을 안전하게 만드는 권고안들을 소개하도록 하겠다. 원격접속서버의 보안설정과 설치하는 장소에 집중하여 제안하겠다. 신원확인, 권한설정 그리고 접근제어도 논의하겠다. 사용자단 원격접속 소프트웨어를 안전하게 하는 권고안들을 먼저 제안하고 재택근무장비를 안전하게 하는 권고안들은 다음 장에서 제안하도록 하겠다.
3.1 원격접속서버의 보안
VPN 관문들과 포탈 서버와 같은 원격접속서버들은 재택근무장비와 같은 전산장비들에게 내부자원들을 접근하는 길을 제공하기 때문에 원격접속서버의 보안은 특별히 중요하다. 비인가된 사람들이 내부자원을 접근할 수 있도록 허용하는 것 이외에, 서버의 보안설정을 외부인과 공유하거나 외부인을 위하여 잠시 변경된 서버는 원격접속을 통하여 이루어지는 통신들을 도청하기 위한 도구로 사용될 수 있으며 그러한 자원들을 조작하여 기관내의 다른 전산장비들을 공격하도록 하는 단초를 제공하기도 한다. 따라서 기관은 그러한 원격접속서버들은 항상 최신의 보안패치들이 적용되고 인가된 운영자에 의하여 허락된 전산장비를 통해서만 관리되도록 하여야 한다.
VPN관문들과 포탈들은 방화벽들, 대-악성코드 소프트웨어들 그리고 침입탐지 소프트웨어 등 많은 서비스들과 어플리케이션들을 구동할 수 있다. 기관들은 원격접속서버를 다른 서비스들이나 어플리케이션들을 위한 서버로도 사용하는 등 원격접속서버를 위한 모든 해결방안들의 보안을 면밀히 검토하여야 한다. 그러한 해결방안은 비용적인 측면에서는 좋을지 모르나, 여타의 서비스나 어플리케이션의 협잡이 원격접속서버 전체를 협잡하게 만드는 외부로부터의 공격을 허용할 수 있다. 원격접속서버를 별도의 독립적인 전산장비에 설치하는 것은 그러한 협잡의 가능성을 감소시키며 있을 수 있는 그러한 사고로 인한 충격을 제한한다. 또한, 만일 원격접속서버에 매우 고위험의 서비스나 어플리케이션을 설치할 가능성이 있으면 별도의 독립된 서버를 운영하는 것이 권장된다. 기관은 원격접속 사용자들의 보안적인 요구사항들이 다양한 경우에는 복수의 원격접속서버를 운영하는 것을 검토하여야 하며, 가령 저위험의 자원들을 접근하는 사람들과 핵심적인 자료들을 접근하는 사람들이 각각 별도의 원격접속서버를 사용하도록 할 수 있다.
서버에 저장되어 있는 자료들의 보안은 원격접속서버 보안의 또 다른 중요한 고려사항이다. 포탈의 경우, 서버에 사용자의 민감한 정보들이 임시로 저장되는데, 이러한 정보들이 더 이상 필요하지 않을 때 바로 지워버리는 것이 서버가 협잡되어 발생하는 잠재적인 충격을 감소시킨다. 민감한 자료를 원격접속서버에서 지우는 필요는 위험평가에 준해서 결정하여야 한다.
3.2 원격접속서버의 설치
기관은 원격접속서버를 어디에 설치할 것인지를 결정할 때 다음과 같은 사항들을 검토하여야 한다:
■ 장비의 성능. 원격접속 서비스는 암호화와 복호와로 인하여 매우 복잡한 계산이 집중적으로 일어난다. 다른 종류의 서비스들을 수행하고 있는 장비가 원격접속을 하면 원격접속서버에 과부하를 일으켜 가장 바쁜 기간에 서비스 중단을 유발 할 수 있다. 암호화와 키 교환으로 인하여 성능에 미치는 충격은 이러한 일들을 하드웨어를 기반하는 암호화 가속기 칩들에서 수행하여 감소시킬 수 있다. 이러한 칩들은 컴퓨터의 마더보드나 추가로 첨가된 카드들에 설치될 수 있다.
■ 통신 심사. 암호화된 원격접속 통신들의 내용들은 통신망 방화벽과 침입탐지 시스템 그리고 다른 통신망 보안장비들에 의해 심사될 수 없으므로, 일반적으로, 암호화되지 않은 형태의 통신들은 통신망이나 혹은 전산장비 기반의 보안제어에 의하여 심사될 수 있도록 원격접속의 구조를 설계하여야 한다.
■ 원격접속에 의해 보호되지 않은 통신. 기관들은 원격접속에 의하여 보호되지 않은 통신망 통신(예, 원격접속서버와 내부자원 사이에 통과된 통신)이 유발하는 위협들을 면밀히 고려하여야 한다.
■ NAT. 통신주소번역기(NAT)의 사용은 몇몇 원격접속에서는 문제를 일으킬 수 있다. 예를 들면, 재택근무자가 내부망의 전산장비를 직접 연결하여야 하는 원격접속 시스템들(예, 원격PC접속, 내부망과 연결된 VPN)은 특별한 구성이 없이는 NAT를 사용할 수 없다. 그 특별한 구성도 지원되지 않을 수 있다. 또한 통신주소를 변환하지 않는 어플리케이션들은 NAT를 사용할 수 없다. 이러한 접속과 관련된 특별한 문제를 해결하기 위하여 NAT를 통과하도록 하는 프로토콜들이나 방식들은 종종 그 자체의 보안적인 문제(예, NAT 내부에 있는 다른 전산장비들을 다른 시간에 접속할 수 있도록 하는)들을 수반한다. IPv6를 지원하는 몇몇 신종 NAT들은 아직 이들의 기능들이 잘 알려지지 않았고 보안속성들도 아직 분석되지 않았다.
기관들은 원격접속서버들을 어느 장소에 설치할 것인지 심사숙고 하여야 한다. VPN 관문들과 같은 몇몇 원격접속서버들은 일반적으로 재택근무장비들과 기관내의 전산장비들 사이의 중간자 역할을 한다. 사실 원격접속 서비스를 제공하는 다른 전산장비(예, 어플리케이션 직접접속, 원갹PC접속들)들이 원격접속 통신들이 접근하는 마지막 단의 장비들이다. 두 가지 종류의 원격접속서버들은 아래에서 논의된다.
원격접속서버들은 기관의 통신망 영역(예, DMZ)에 설치되며, 이는 기관의 통신망 보안정책들이 기관의 통신망 전체에 적용이 되기 때문이다. 만일 특정 보안정책들이 기관의 하나의 서브넷에 적용된다 하더라도 대부분의 원격접속서버들이 서브넷들의 접근을 억제할 수 있고 따라서 기관의 영역(예, DMZ)에 위치될 수 있다. 몇몇 통신망 배열에서, 원격접속서버는 영역 안의 서브넷 경계에 설치하는 것이 좋다. 이 장의 나머지는 언제 통신망 배열이 적절해 지는지에 대하여 논의된다.
3.2.1 중간자적 원격접속서버
중간자적 원격접속서버들은 외부의 전산장비들을 내부 자원들에게 연결시켜주므로 따라서 그들은 주로 통신망 영역(예, DMZ)에 설치된다. 그 서버는 영역으로부터 내부망으로 들어오는 유일한 접점 구실을 하며 통신망 보안정책을 구현한다. 만일 원격접속이 기관 내부의 특정 서브넷을 접근해야 한다면, 일반적으로 두 가지의 선택이 있다. 즉, 첫째는 그 원격접속서버를 해당 서브넷의 끝 지점(즉, 그 서브넷이 전체의 내부망과 연결되는 지점)에 설치하는 것이고, 둘째는 내부망에 설치한 후 별도의 방식을 사용하여 재택근무자들이 특정의 서브넷만을 접근하도록 제어하는 것이다. 원격접속서버를 통신망 영역에 설치하는 것과 또는 서브넷 영역에 설치하는 것의 가치는 원격접속의 방식에 따라 틀리다:
■ 터널링 서버들은 보통 운영관리자에게 재택근무자들이 접근하는 내부자원들에 대한 충분한 제어권한을 부여하여, 서버를 서브넷의 끝점에 설치하여 얻는 혜택은, 통신망 영역에 설치하는 것과는 반대로, 별로 없다
■ 포탈서버들은 사용자단의 어플리케이션 소프트웨어들을 서버 자체에서 구동한다. 따라서 원격접속 사용자는 어플리케이션들을 내부의 서버가 아닌 포탈서버에서 구동하기 때문에, 통신망 영역에 서버를 설치하는 것이나 서브넷의 끝점에 설치하는 것이나 비슷한 효과가 있다.
■ 원격PC접속은 원격접속서버가 필요 없으므로 원격접속서버의 설치장소와는 관계가 없다.
■ 어플리케이션 직접접속은 어플리케이션들이 서버 자체에서 구동된다. 재택근무자들은 어플리케이션들은 내부망의 서버들이 아닌 어플리케이션 직접접속서버에서 수행되기 때문에 서버를 통신만 영역에 설치하는 것과 서브넷 끝점에 설치하는 것은 비슷한 효과가 있다.
따라서 서브넷 영역에 서버를 설치할 수 있는 원격접속서버의 종류들은 포탈서버와 어플리케이션 직접접속서버이나, 이 두 경우도, 기관의 통신망 영역에 설치하여 기관의 방화벽 재택근무자뿐만 아니라 모든 사용자들의 서버들의 접근을 제어할 수 있게 하는 것이 좋다.더 나아가, 통신망과 재택근무 보안정책을 단순화하기 위하여, 모든 원격접속서버들을 기관의 통신망 영역(예, DMZ)에 설치하는 것이 권고할 만 하다. 그러므로 기관들은 원격접속서버들은, 그렇게 하지 않는 확실한 이유가 없다면, 서브넷 영역이 아닌 통신망 영역에 설치하여야 한다.
만일 통신망 영역에 방화벽이 있다면, 방화벽의 보안정책들을 우회하지 못하도록 그 통신망에 있는 원격접속서버들은 직접 방화벽에 연결되어야 한다. 만일 두 장비가 동일한 것이라면 원격접속서버의 위치에 대한 걱정은 없다. 그러나, 원격접속서버가 방화벽과 다른 장비라면 통신망을 설계하는 사람은 원격접속서버를 반드시 어디에 설치할 것인지를 결정하여야 한다. 만일 방화벽이 이와 연관된 DMZ이 있다면 원격접속서버를 설치할 최적의 장소는 DMZ이고, 그렇지 않다면 통신망 구성이 허락된다면 서버는 반드시 방화벽 밖에 설치되어야 한다. 이 두 가지 경우 모두, 원격접속서버와 내부망 사이에는 논리적 분리가 형성된다. 원격접속서버의 잠재적인 협잡에 따른 충격을 감소시키기 위하여 기관들은 서버들과 내부망 사이의 통신들을 제한하여야 한다. 서버만이 원격접속을 위해 허락된 내부의 전산장비들과 서비스들과의 통신을 시도할 수 있어야 하며 그리고 오직 적절한 내부 전산장비(예, 원격접속서버들을 관리하는 신뢰하는 전산장비들)들이 원격접속서버들과 통신을 시도할 수 있어야 한다.
만일 원격접속서버가 방화벽 내에 설치되어야 한다면, 방화벽의 보안정책은 변경되어 오직 필요한 재택근무 통신만이 원격접속서버에 접근하도록 하여야 한다. 만일 예를 들어 재택근무자들이 안정적인(즉, 일정한) IP 주소를 사용하고 있다면 그러한 주소들로부터 또는 그러한 범위의 주소들로부터 들어오는 통신들만 허락할 수 있다. 그렇게 자세하게 이동성의 재택근무장비를 위한 정책을 세우는 것은 관리하기가 어렵고 장애가 많을 수 있다. 또한 모든 원격접속 통신들은 암호화되어야 하므로 통신망 보안제어들은 통신의 내용들을 관찰할 수 없다. 그러므로 이러한 방식은 피해야 한다.
3.2.2 종단 원격접속서버
종단 원격접속서버는 가능하면 언제나 기관의 DMZ안에 설치되어야 한다. 그렇게 하면 통신망 영역에 있는 방화벽이 내외부의 전산장비들이 그 서버로 접근하는 것을 제한하여 2.2.3에서 논의한 통신들이 직접 내부망으로 통과되는 것과 같은 보안관련 쟁점들을 피할 수 있게 된다. 외부의 원격PC접속의 구현은 주로 내부의 PC들이 원격접속 서비스를 제공하는 내부 PC들에 의존하므로 일반적으로 권장되지 않는다.
3.3 원격접속의 신원확인, 권한부여 및 접근제어
대부분의 원격접속을 통하여 사용되는 전산자원들은 오직 기관의 직원들에게남 허용되나 종종 오직 그러한 사용자들의 일부에게만 허용된다. 그러한 접근이 적절히 제한되도록 하기 위하여, 원격접속서버는 기관의 자원들을 접근하도록 허락하기 전에 모든 재택근무자의 신원을 확인하여야 하며, 따라서 신원확인 기술을 사용하여 오직 필요한 자원만 사용할 수 있도록 하여야 한다. 신원확인은 또한 재택근무장비와 원격접속서버들이 신원의 정당성을 확인하기 위하여 사용되기도 한다. 접근제어 기술들도 통신망 상의 통신들과 어플리케이션들의 접근을 제어하기 위하여 필요하다. 이 장에서는 원격접속을 위한 신원확인, 권한부여 그리고 접근제어에 관하여 자세히 알아보겠다.
3.3.1 종단 원격접속서버
원격접속 사용자의 신원을 확인하는 방법은 많이 있으면, 예를 들면 비밀번호들, 전자인증서들, 또는 하드웨어 인증토큰들과 함께 신원확인을 할 수 있다. 만일 비밀번호들이 원격접속을 위한 신원확인의 유일한 형태라면, 일반적으로, 어플리케이션 직접접속이 사용되지 않고 있다면, 원격접속의 신원확인을 위한 방식은 기관의 다른 어플리케이션들(전자우편이나 전화번호부 서비스용 비밀번호들)에 사용되는 신원확인 방식들과는 달라야 한다. 또한 서로 다른 비밀번호들을 사용하여 원격접속을 위한 신용정보들이 협잡되어 다른 정보자원들에게 미치는 충격을 줄이고, 그리고 특히 사용자들이 기관의 보안정책으로 보호되지 않는 재택근무장비에 비밀번호를 입력한다면 더욱 중요하다. 그러나 원격접속이나 다른 시스템들을 위하여 서로 다른 비밀번호들을 사용하는 것을 종종 강요할 수 없는데, 이 때에는 사용자가 동일한 비밀번호를 사용한다고 가정할 수 있다. 높은 수준의 보안을 요구하거나 비밀번호의 안전에 걱정을 하는 기관들은 비밀번호만 의존하지 말고 복수의 요소들을 사용하는 신원확인 방식들의 사용을 검토하여야 한다.
미국의 연방정부 기관들은 원격접속을 위하여 두 가지 요소를 사용하는 신원확인 방식을 사용하도록 요구 받고 있으며, 두 요소 중 하나는 내부자원을 접근하는데 사용하는 비밀번호와 별도로 재택근무장비에서 제공하여야 한다. 그러한 두 가지 요소를 사용하는 신원확인 방식은 현재 암호화 토큰과 비밀번호를 사용하는 경향으로 구현되고 있는데, 이는 다른 방식들은 재택근무장비에 구현할 수 없기 때문이다. 예를 들면, 대부분의 이동장비들은 생체인식 기능, 스마트카드 인식기, 혹은 기타의 신원확인용 기능들을 가지고 있지 않다. 이는 특히 기관에서 제공하지 않은 장비들인 경우 더 그러하다.
많은 기관들이 재택근무자들이 장시간 접속을 하는 경우 정기적으로 다시 신원확인 과정을 하도록 요구하고 있다(예, 매 8시간 마다, 혹은 사용하지 않은 시간이 30분 경과한 후). 이것은 원격접속을 사용하는 사람이 허락된 사람임을 확인할 수 있게 한다. 정부의 지침에는 30분 동안 사용하지 않을 경우 자동으로 원격접속이 끊기도록 하고 사용이 필요하면 다시 신원확인 고정을 거치도록 하고 있다. 원격접속서버마다 신원확인 방법과 자동접속끊김 방식이 틀리기 때문에 별도의 추가적인 방식과 정책이 필요할 수 있다.
가능하면 언제나 기관들은 상호간 신원확인을 구현하여 원격접속을 하는 사용자가 원격접속서버의 신원을 먼저 확인한 후 자신의 신원확인 용 신용정보를 제공하도록 하여야 한다. 가령 원격접속서버가 제공한 전자인증서를 확인하여 그 서버가 기관에 의해 통제되고 있다는 것을 보장시켜야 한다. 사용자 전자 인증서는 비록 그들을 처리하는 방식은 시스템 별로 틀리지만 많은 원격접속 시스템에서 사용될 수 있다. 대부분의 전자인증서는 비밀번호에 의해 보호된 인증서와 관련된 개인 키를 가지고 있다. IPsec과 SSL VPN 같은 원격접속 방식들은 안전한 통신통로를 구성할 때 서버 신원확인을 반드시 하게한다. 사용자가 수동으로 원격접속을 위한 연결을 구축하는 경우에는 원격접속 방법들에서 웹브라우저의 URL을 입력하는 것과 같은 서버의 신원확인은 매우 중요하다. 3.4에서 이에 관하여 더 알아보도록 하자.
3.3.2 권한부여
원격접속 사용자의 신원을 확인한 후 기관은 재택근무장비를 포함하여 사용자가 어떠한 내부자원들을 접근하도록 허락을 받았는지 확인하여야 한다. 이러한 확인은 건강점검, 적합성 검사, 검열, 혹은 평가검사라고 불린다. 이러한 검사의 가장 흔한 방식은 원격접속서버가 재택근무장비에 대하여 “건강점검”을 수행하는 것이다. 이러한 건강점검은 원격접속서버에 의해 통제되는 사용자 시스템에 설치된 소프트웨어가 기관의 보안정책들의 요구사항들을 준수하고 있는지를 확인하도록 한다. 가령 사용자의 대-악성코드 소프트웨어가 최신본 인지 운영체제가 모든 보안패치들을 적용했는지 그리고 사용자의 시스템이 기관의 자산이며 통제되는지 등을 확인하여야 한다.
몇몇의 원격접속 방식들은 장비가 기관에 의해 안전하게 보안이 되었는지 그리고 장비의 종류(예, PC, 노트북 PC, PDA, 게임시스템)까지도 인지할 수 있다. 검사 결과에 따라, 기관은 장비가 원격접속을 사용할 수 있는지 그리고 어느 수준까지 접근할 수 있는지를 알 수 있다. 만일 사용자는 적절한 권한을 갖고 있더라도 장비가 건강점검을 통과하지 못하였다면, 그 사용자와 장비는 제한된 내부망만 접근할 수 있으나 전체 통신망은 전혀 접근할 수 없을 것이고, 혹은 검역망(quarantine network)을 접속하여 보안설정의 부적합부분들을 고치도록 할 수 있다. 이러한 결정은 장비가 접속하려 하는 통신망의 부분에 근거하여 내릴 수 있으며, 가령 기관은 민감한 자료에 대하여 보다 엄격한 보안정책을 적용할 수 있다.
사용되는 장비의 종류와 속성에 근거한 권한은 통신망 접근제어(NAC)라 불린다. NAC은 보안정책을 강제하는 방식이지 실제로 보안을 수행하는 것은 아니다. NAC을 구현하는 방식들은 아직도 변화하고 있다. 보안패치가 존재하는지 확인하고, 대-악성코드 소프트웨어가 최신본이며 활성화 되었는지 확인하고, 그리고 개인방화벽이 활성화되어 들어오는 통신들을 막고 있는지 등을 검사한다. 그러나 많은 건강점검은 악성코드들이 쉽게 피할 수 있으므로 기관들은 NAC만을 의존해서는 안 된다. 기관들은 NAC을 재택근무장비에서 주요한 보안정책의 위반을 감지하거나 재택근무를 위하여 부주의하게 잘못된 장비의 사용을 방지하도록 사용하여야 한다. 몇몇 NAC 방식들은 어떠한 내부자원들이 각각의 장비들이 접근할 수 있는 지와 접근이 허락되기 전에 보안속성들이 수정될 필요가 있는지를 통제하기 위하여 사용될 수 있다.
재택근무자의 집에 설치된 통신망을 제외한 외부 통신망에 설치된 재택근무장비들을 제한하거나 방지하고자 하는 기관들을 위하여, 재택근무자의 집에 기관이 통제하는 보안장비를 설치하는 것이 특히 도움이 된다. 특별한 웹서버를 어느 곳에서든 접속하게 허락할 수 있으나, 그러나 민감한 자원들은 허락된 재택근무자의 가정 이외의 어느 곳에서도 접속하지 못하도록 할 수 있다. 이는 호텔이나 공항 라운지 그리고 다방들은 가정보다 심각한 위협이 있기 때문이다. 따라서 기관은 기관의 자산으로서 보안정책이 구현된 장비를 재택근무자 집에 설치하는 것이 좋다. 가정의 IP주소는 고정된 것이 아니면 종종 바뀌어 재택근무자들은 보통 새로운 주소가 무엇인지 알지 못한다. 그렇지만 허락되는 IP주소들의 목록을 관리하는 것은 매우 많은 자원들이 소요된다. 또한 이러한 목록에 실수가 있거나 제때에 변경내용을 적용하지 않으면 재택근무자들이 원하는 허락된 자원들을 접속하지 못하게 만든다. 하나의 대안으로는 사용자가 그들이 원격접속 시스템을 사용하기 시작할 때 그들의 위치를 보고하도록 하는 것이다. 그러나 이러한 정보는 확인될 수 없으므로 기관들은 이것을 보안목적으로서 전적으로 의존해서는 안 된다.
3.3.3 접근제어
전송중인 통신들에 접근을 억제하고 통신의 내용들을 보호하는 방법은 내용을 암호화 하는 것이다. 최소한 인터넷, 무선망, 그리고 신뢰할 수 없는 통신망을 지나가는 모든 민감한 정보는 암호화를 하여 기밀성과 무결성을 보호하여야 한다. 정부기관에서 사용하는 암호화 알고리즘은 국가표준기술협회에서 승인된 것이어야 하며 연방정보보호표준-140에서 확인한 모듈들을 사용하여야 한다. 연방정보보호표준-140의 사양, 암호화 모듈을 위한 보안 요구사항들은 어떻게 암호화 모듈들이 확인되는지를 정의한다. 따라서 원격접속 시스템들은 이 표준을 준수하여야 한다. 많은 원격접속 시스템(예, SSL VPN)들은 다른 제품의 원격접속 소프트웨어를 지원하는데 따라서 특정 원격접속 시스템에 대하여 두 가지 이상의 자체의 확인인증서들이 있을 것 이다.
IPsec과 SSL VPN 같은 원격접속 방법들은 종종 자체적으로 국가표준기술협회에서 승인한 통신을 암호화 하고 그의 내용의 무결성을 확인하는 방식들을 포함하고 있다. 다른 원격접속방법들은 정보보호를 위하여 전송층보안(Transport Layer Security; TLS) 혹은 다른 종류의 국가표준기술협회가 승인한 방식을 사용할 것이다. 전송중인 정보의 기밀성과 무결성을 보호하기 위하여 국가표준기술협회가 승인한 제품을 사용하지 않는 원격접속 방법들은 국가표준기술협회가 승인한 추가적인 보호방식을 적용하여야 한다. 가령 원격접속 방식으로 하는 통신들을 VPN 안으로 터널링하거나 그러한 통신들을 TLS 상에서 하도록 하는 것이다. 국가표준기술협회가 승인한 암호화 방식과 그렇지 않은 것 모두를 지원하는 원격접속 방법들을 가능하면 지원하지 않는 방법들을 사용하지 못하도록 하여야 한다. 원격접속서버의 구성을 조정하여 가능하다. 모든 원격접속서버는 국가표준기술협회가 요구하는 키 길이와 맞게 암호화를 구성하여야 한다.
통신망상의 통신들을 위한 접근제어는 어떠한 통신들을 보호하여야 하는지도 결정을 하여야 한다. 몇몇의 원격접속 방식들은 이를 위해 몇 가지 선택들을 제공한다. 예를 들면, 많은 사용자단 VPN은 ‘분류하는 터널링’이라 불리는 특성을 갖고 있는데 이것이 활성화 되면 기관의 내부망에서 일어나는 모든 통신들을 VPN으로 통하게 하여 통신들을 보호하고 다른 통신들은 모두 터널을 통과하지 못하도록 한다. ‘분류하는 터널링’은 통신의 효율성을 증가시키고 원격접속의 부하를 감소시키나 이것도 기관이 재택근무 통신의 많은 부분을 심사하지 못하도록 하고 통신의 기밀성과 무결성을 보호하지 못하도록 한다. 더군다나 ‘분류하는 터널링’을 사용하는 것은 두 종류의 활성화된 통신망(예, 동시에 LAN과 무선망에 연결된 PC)에 연결된 재택근무장비는 부지불식간에 신뢰하는 망과 신뢰할 수 없는 망 사이를 연결하는 다리역할을 할 수도 있다. 이것은 심각한 보안적 위험으로 대부분의 기관의 보안정책에 위반된다. 신뢰하지 않는 통신망의 VPN을 사용하는 재택근무자들에 대비하여, 기관들은 ‘분류하는 터널링’ 기능을 불능화 하여 공격자들이 재택근무자의 통신들을 도청하지 못하도록 하여야 한다.
기관의 재택근무자들 가정의 통신망을 위하여 기관들은 VPN관문, 방화벽 혹은 다른 보안장비를 제공하여 기관들의 보안정책들을 강제하도록 한다. 이는 기관들이 재택근무망을 통제할 수 있도록 하지만 구매, 설치, 관리 그리고 보안장비들의 유지보수 등 많은 비용도 요구된다. 또한 가정 통신망은 재택근무용도뿐만 아니라 다른 목적으로도 사용되기 때문에 적절히 설정되지 않으면 가정 통신망을 다른 목적으로 사용하는 것을 방해할 수도 있다. 또 다른 단점은 만일 보안장비가 도난 당했거나 공격자에 의해 취해졌다면 그리고 만일 기관의 원격접속이 보안장비의 신원만 확인하고 원격접속자의 신원은 확인하지 않는다면, 공격자는 이 보안장비를 이용하여 기관의 시스템들을 쉽게 접근할 수 있다. 따라서 그러한 보안장비들이 사용되면 장비와 사용자 둘 모두 신원확인을 하여야 한다.
3.3.4 어플리케이션을 위한 접근제어
다른 종류의 원격접속 방식들은 다른 수준의 어플리케이션 접속제어를 제공한다. 터널은 종종 관리자가 어떠한 전산장비의 어떤 포트들을 재택근무자들이 접속하도록 지정하도록 한다. 즉, 접속을 제한하여 특정 어플리케이션만 사용되도록 한다. 포탈은 자체의 속성과 같이 재택근무자가 포탈서버에서 어플리케이션을 구동하도록 제한한다. 비슷하게, 어플리케이션 직접접속은 재택근무자가 하나의 서버에 있는 특정 어플리케이션으로 제한한다. 원격PC접속은 자체의 정책과 내부 PC에 설정된 접근제어 제약들을 통합하여 어플리케이션들에게 접근제어를 제공한다.
재택근무자들이 접근하는 어플리케이션들을 제한하는 것은, 구동중인 어플리케이션은 다른 통신망 자원들을 접근할 수 있으므로, 반드시 재택근무자들이 다른 자원들에게 영향을 미치지 못하게 하는 것을 의미하지 않는다. 예를 들면, 재택근무자가 접속하고 있는 웹서버가 데이터베이스 서버를 검색하고 있다든지 파일서버에서 자료를 추출하고 있다든지 그리고 추가의 서버들을 포함하는 다른 활동들을 하고 있을 수 있ㄱ 때문이다. 따라서 재택근무자를 특정 어플리케이션들로 제한하는 정책은 그 어플리케이션들이 어떠한 다른 어플리케이션들이나 전산장비들과 함께 작동하고 있는지를 생각하며 검토하여야 한다.
3.4 사용자단 원격접속 소프트웨어의 보안
원격접속의 보안에서 중요한 또 하나의 요소는 사용자단 원격접속 소프트웨어의 보안속성의 구성이다. 많은 사용자단 원격접속 소프트웨어에는 보안속성들과 관련 설정값들이 있는데 이들은 시스템 관리자에 의해 원격으로 관리가 될 수 있다. 그러한 관리는 복잡한 보안설정이 필요한 사용자단 소프트웨어에게는 매우 중요하다. 예를 들어, 많은 사용자들이 IPsec의 보안구성이나 원격PC접속을 위한 신원확인 방법의 선택들을 수동으로 설정하는 것을 매우 힘들어 한다. 만일, 사용자단 소프트웨어가 원격관리 기능이 있으면 관리자는 보안설정들을 볼 수 있고, 재설정 할 수 있고 또는 설정 값들을 변경하지 못하게 잠글 수도 있다. 잠금 기능은 보안설정들이 부주의하게 또는 의도적으로 변경되는 것을 방지하여 원격접속의 보안이 감소될 가능성을 차단한다. 그러나 원격관리 기능에 대한 표준은 없으며 사실 많은 원격접속 시스템들이 사용자단 소프트웨어를 원격으로 관리하는 기능들을 제공하지 못하고 있다.
기관들은 어떻게 사용자단 원격접속 소프트웨어의 보안이 유지되고 관리되는지 원격접속 제품을 선정하고 구현하기 전에 면밀히 검토하여야 한다. 확대하여, 기관들은 재택근무자들이 사용할 재택근무장비들은 어떻게 관리되고 지원될 것인지 계획하여야 한다. 가령, 지원반(Help Desk)의 직원들이 재택근무자들이 보고한 운영상의 문제들을 원격으로 장비들을 접속하여 문제를 해결하도록 할 수 있다. 만일 적절하게 보안이 되어있지 않으면, 원격관리 기능은 공격자에 의하여 오용되어 협잡된 재택근무장비들이 기관들의 내부자원들을 접근하는데 사용될 수도 있다. 따라서, 기관들은 원격관리기능을 적절히 보안하여야 하며, 특히 통신들을 암호화하고 양단간 상호 신원확인을 수행하여야 한다.
기관들은 또한 사용자단 원격접속 소프트웨어의 “두께”도 검토하여야 한다. 기관이 원격접속 환경을 위한 보안설정들을 거의 완전히 제어할 수 있으면 사용자단 원격접속 소프트웨어의 보안설정은 “두껍다”라고 한다. 예를 들어, 사용자단 VPN들은 매우 두껍게 설정이 가능하여 기관의 DNS서버를 이용하고 VPN관문들의 IP 주소들을 모두 설정에 각각 입력하여 모든 통신들을 사용자단 장비로부터 기관의 통신망까지 터널링한다. 그러나 많은 사용자단 VPN들은 “얇게” 설정될 수도 있다. 즉, 사용자들은 웹브라우저와 같은 재택근무장비에 이미 제공된 일반적인 어플리케이션을 사용한다는 의미이다. 얇은 사용자단 VPN을 구현하면, 기관들은 두꺼운 원격접속 방식과 비교하여 훨씬 적게 원격접속 환경에 대한 통제권을 갖는다. 얇은 사용자단 VPN은 지역의 통신망 지원들에 의존할 수 있으며 그리고 기관의 내부자원과 관계없는 통신들이 보호되지 않은 상태로 공중망으로 보내질 수 있다. 포탈, 원격PC접속, 그리고 어플리케이션 직접접속은 근본적으로 얇은 원격접속들이다.
얇은 사용자단 원격접속 소프트웨어들은 일반적으로 두꺼운 사용자단 소프트웨어보다 탄력적이고 효과적이나 장애나 협잡 등 고위험에 노출되어 있으며, 예를 들면 사용자가 웹브라우저에 포탈서버의 URL을 잘못 입력하여 사기성 웹사이트에 접속될 수 있다. 두꺼운 사용자단 소프트웨어는 사용자들이 정확한 원격접속서버들 및 기타 자원들과 통신하는 것을 보장하도록 한다. 따라서 매우 높은 수준의 보안적 요구사항을 갖고 있거나 특별히 원격접속 통신에 대하여 고위험의 정책을 갖고 있는 기관들은 가능하면 두꺼운 사용자단 원격접속 소프트웨어를 사용하여야 한다.
3.5 핵심 권고사항들의 요약
다음은 이 장에서 논의된 권고안들의 요약들이다.
■ 원격접속서버의 보안은 매우 중요하다. 원격접속서버는 보안패치들 모두를 설치하여야 하며 기관들이 자체로 정의한 보안설정 기준에 근거하여 운영하여야 하며 권한이 있는 관리자에 의하여 신뢰된 전산장비들에서 관리되어야 한다. (3.1)
■ 기관들은 다른 서비스들이나 어플리케이션들을 제공하는 전산장비를 원격접속서버로 사용한다면 원격접속서버의 보안에 대하여 신중히 고려하여야 한다. (3.1)
■ 기관들은 원격접속서버를 어디에 설치할 것인지 결정할 때 장비의 성능, 통신 검사, 보호되지 않은 통신, 그리고 NAT 등 여러 가지 요인들을 검토하여야 한다. 기관들은 특별한 이유가 없는 한 원격접속서버들을 통신망 영역(예, DMZ)에 설치하여야 한다. (3.2)
■ 접속이 적절하게 제한되고 있음을 보장하기 위하여, 원격접속서버는 기관의 자원들을 접속하도록 허락하기 전에 각각의 재택근무자들의 신원들을 확인하여야 하고 또한 사용자 권한들을 확인하는 기술들을 사용하며 꼭 필요한 자원들만 접근하도록 하여야 한다. 언제나, 기관들은 상호간 신원확인을 수행하여 재택근무자들이 원격접속서버의 신원을 확인한 후 그들의 신원확인용 신용정보를 서버에 제공하도록 한다. (3.3)
■ 인터넷, 무선망 또는 신뢰할 수 없는 망으로 전송되는 민감한 정보들은 암호화를 통하여 기밀성과 무결성을 보호받아야 한다. 연방정부 기관들은 국가표준기술협회가 승인한 암호화 알고리즘과 연방정보보호표준이 확인한 모듈들을 사용하여야 한다. (3.3)
■ 기관들은 어떻게 사용자단 원격접속 소프트웨어의 보안이 유지되고 관리되는지 원격접속 제품을 선정하고 구현하기 전에 면밀히 검토하여야 한다. 기관들은 또한 재택근무자들이 사용할 재택근무장비들은 어떻게 관리되고 지원될 것인지 계획하여야 한다. 기관들은 원격관리기능을 적절히 보안하여야 하며, 특히 통신들을 암호화하고 양단간 상호 신원확인을 수행하여야 한다 (3.4)
■ 매우 높은 수준의 보안적 요구사항을 갖고 있거나 특별히 원격접속 통신에 대하여 고위험의 정책을 갖고 있는 기관들은 가능하면 두꺼운 사용자단 원격접속 소프트웨어를 사용하여야 한다. (3.4)
지금까지 원격접속서버의 안전한 운영을 위한 보안환경의 설정에 대하여 알아보았다. 다음 주에는 재택근무장비로 사용되는 PC 및 단말기(예, PDA, 휴대전화)들을 보안상 안전하게 사용하도록 하는 방법들을 소개하도록 하겠다.
<재난포커스(http://www.di-focus.com) - 곽장규 전문기자 kwakjangkyoo@gmail.com >