[아이티데일리] “오랜 시간에 걸쳐 여러 가지 정책과 오브젝트가 비즈니스 요구에 의해 생성/누적되고 있지만 이 중에는 더 이상 사용되지 않는 정책들이 많다. 더 이상 불필요하다는 판단에서 삭제를 하고 싶지만 혹시나 필요하지 않을까 하는 마음에서 삭제하지 않고 방치 중에 있다”

주변 방화벽 운영자들로부터 쉽게 들을 수 있는 얘기다. 이러한 문제를 개선하기 위한 방안은 없는 것일까.

방화벽 정책을 최적화 상태로 유지하는 것은 매우 중요하다. 하지만 정책 최적화는 그동안 중요성에 비해 그다지 주목받지 못하고 있었다. 방화벽 정책 최적화의 중요성 및 방안에 대해 알아본다.

방화벽 정책 최적화 개요

방화벽 정책이 최적화 되지 않았을 경우 어떤 문제가 나타날까? 일부 예외적인 경우를 제외하면 다음과 같은 문제들이 나타날 수 있다.

• 보안성 저하: 과도한 권한을 갖는 정책 등 설정오류(Misconfiguration)로 인한 리스크

- 과도한 정책으로 인한 오류

- 구조화 되지 않은 정책으로 인한 오류

• 운영 효율 저하: 운영 과정의 어려움으로 인한 총 소유비용(TCO)의 증가

- 변경관리

- 트러블 슈팅

• 컴플라이언스: 각종 규제사항 준수 여부(Compliance) 확인의 어려움

방화벽 정책 실패에 기인한 사고 사례

얼마 전 체크포인트의 보안사고 대응 팀(Incident Response Team)은 한 국가의 정부 기관으로 연락을 받았다. 중요 서버 일부와 다수의 호스트 머신이 랜섬웨어에 감염돼 있다는 내용이었다. 얼마간의 조사 후 대응팀은 다르마(Dharma) 랜섬웨어 패밀리를 식별할 수 있었다.

다르마 랜섬웨어를 전파하기 위해 널리 사용된 1단계 방법은 취약점 스캐너를 사용해 열려 있는 RDP(원격 데스크탑)서비스를 찾아내는 것이다. 스캐너를 통해 접근 가능한 RDP서비스가 식별되면 공격자는 무작위 대입공격(Brute-force attack)을 통해 시스템에 대한 접근 권한 획득을 시도한다. 이후 접근 권한이 확보되면 공격의 2단계가 시작된다. 페이로드를 주입하고 이를 감염시켜 시스템을 암호화하는 작업이 진행된다.
이번 사례도 같은 형태의 공격 방식이 이루어졌다는 것을 조사를 통해 확인했다. 여러 방화벽 정책이 복잡하게 구성돼 RDP서비스에 대한 관리가 미흡했고 IP기반 접근제어 등 보다 안전한 RDP서비스 정책이 구현되지 못했다는 점이 발견됐다. 결론적으로, 관리할 수 있는 수준을 넘는 많은 수의 정책이 적체됨으로 인해 취약성이 발생했으며 이로 인해 일어나지 않아야 할 중대한 보안사고가 발생한 것이다.

이런 문제를 해결할 수 있는 최선의 해법은 방화벽 정책의 최적화다. 방화벽 정책 최적화는 방화벽에서 사용되는 각각의 보안 정책과 오브젝트를 최신화하고 알맞은 위치에 배치해 결과적으로 최신화/최소화된 정책들로 방화벽을 운영하는 것을 뜻한다.

방화벽 정책 최적화를 위한 검토사항
방화벽 최적화를 위한 대표적인 고려사항은 다음과 같다.

이 같은 고려사항들 보다 중요한 것이 있다. 바로 이 사항들을 지속적으로 검토하고 그 결과를 신속하게 반영하는 것이다.
주변의 사례를 살펴보면 지속적인 정책 최적화를 수행하지 않는 경우를 많이 볼 수 있다. 또한 정책에 대한 검토를 전혀 하지 않은 채 초기 상태에서 정책을 계속 추가하기만 하는 경우도 빈번하게 볼 수 있다. 특히 국내 조직에서 이런 경우를 많이 볼 수 있다.

지속적인 정책 최적화가 이뤄지지 않는 본질적인 이유는 조직 내 프로세스가 없기 때문이다. 초기 정책 생성 및 이후 변경관리 프로세스는 대부분의 조직에 존재하나 정책을 다시 검토하고 최적화하는 프로세스를 갖춘 조직은 많지 않다. 그 이유는 C-레벨(LEVEL)에서 최적화의 필요성을 인지하지 못하고 있으며 같은 이유로 최적화에 필요한 자원도 배정되지 않기 때문이다.

정책 최적화 효과
체크포인트 보안사고 대응팀의 최근 사례를 통해 살펴본 것처럼 구조화되지 않은 과도한 수의 정책은 설정오류 발생 가능성을 야기하고 이는 보안사고로 이어진다. 지속적인 방화벽 정책 최적화는 이러한 보안사고를 사전 예방할 수 있으며 총소유비용 절감 효과 또한 기대할 수 있다.

방화벽 정책 최적화의 기대효과는 다음과 같다.

1. 보안성 향상

• 과도하게 많은 수의 정책, 잘 구조화되지 않은 정책으로 인한 보안 리스크 제거

2. 운영 효율 향상

• 구조화된 적은 수의 룰만으로 운영하면 변경관리, 트러블 슈팅 및 감사 등 방화벽 일상 운영 전반에 걸친 효율 향상

• 운영 자원 감소로 운영비용 절감

• 적은 수의 정책 유지를 통해 쓰루풋(Throughput) 및 지연(Latency) 특성 개선

정책 최적화를 위한 조언

정책 최적화를 위해서는 주체별 필요한 역할이 존재한다. 가장 중요한 사항은 C-레벨의 적극적인 개입이다. 즉, C-레벨에서 방화벽 정책 최적화의 필요성을 인지하고 이를 조직의 프로세스의 하나로 정립할 수 있도록 지원하는 것이다. 이 과정은 새로운 자원의 투자가 요구되지만 TCO절감을 기대할 수 있으며 조직의 보안 향상을 위해 반드시 필요한 일이기도 하다.

보안 관리를 담당하는 주체는 반드시 기록을 남겨야 한다. 이를 위해 정책의 초기 수립 단계부터 각 정책에 대한 정확한 정보(목적, 소유자, 사용기간 등)를 기록하는 것이 필요하다. 이 과정이 제대로 수행되지 않았다면 시간이 지남에 따라 특정 룰이 왜 존재하고 누가 소유자 인지 이해하기 어려워진다.

단순한 문서 형태로 이러한 정보를 기록할 수 있으며 티켓팅 등 워크플로우 관리를 위한 기존 시스템이 있다면 이를 활용해도 좋을 것이다. 전문적인 시스템을 활용하는 것 또한 가능하다. 대부분의 방화벽 벤더가 제공하는‘Comment’기능을 활용하는 것도 좋은 선택지가 될 수 있다.

전문가를 통해 확실한 도움을 받을 수도 있다. 체크포인트는 관리자 로그인 시 개별 세션을 생성해 변경 내용을 기록하며 승인자의 승인을 통해 정책을 반영하는 프로세스를 제공함으로써 DB화된 변경 관리를 제공하는 한편 정책 최적화를 제공하는 전문가 서비스 제도도 운영하고 있다. 정책 최적화를 제공하는 전문 도구(제품) 또한 선택이 가능하다.

방화벽 제품 선택 시 좋은 관리체계를 갖춘 제품을 선택하는 것도 중요하다. 제품 선택의 고려사항으로 가격이나 성능 등은 최우선 고려사항이 되지만 국내에서는 효율적인 관리 체계를 갖춘 제품인가에 대한 고민이 적은 것이 현실이다.

체크포인트는 전 세계 10만 이상의 고객을 확보하고 있으며 이들 중 가장 큰 회사의 경우에도 수천 개 수준의 보안 정책만을 사용하고 있다. 이는 잘 구성된 관리기능을 통해 효율적인 정책 운영이 가능하기 때문이다. 이제는 보안 위협을 줄이고 관련 부서의 업무 부하를 최소화하기 위해 최적화된 정책 구축에 대한 고민을 해야 할 때다.