요즘 서버의 문제점으로 자주 보안점검을 진행하게 된다. 그런 서버의 상태를 살펴 보면 최근 며칠 사이의 문제가 아니라 그 동안 계속해서 문제점이 발생했다가 최근에 와서야 아주 심각한 증세로 진행되어 점검 의뢰가 오는 것이 대부분이다.

그 중에 한 상황을 살펴 보면 내부 클라이언트 취약점으로 인해서 서버에 문제를 야기 시키고 있었으며그 상황을 살펴 보면 관리자 계정으로 네트워크 드라이브 연결 작업을 진행하고 있었기 때문에 연결되어 있는 모든 서버로 쉽게 전이 할 수 있었으며 결국 서버 점검을 계속 진행한다 해도 답을 찾을 수가 없었다. 결국 내부에서 서비스 및 작업 환경 문제라고 판단 하면 된다.

얼마 가지 않아 이 서버는 또 보안 점검을 해야만 했고 현재의 서비스 방식을 바꾸어야만 보안 취약
점을 해결 할 수 있었다.
이런 상황의 공통점은 윈도우 패치와 백신 모두 잘 유지되고 있다는 것이다. 근데 왜 그런 현상이 일어 나는지 반문을 하게 된다.

최근 이러한 부분에서 몇 업체가 비슷한 현상을 겪고 있다. 이런 경우 어느 것부터 작업을 진행을 해야할지 나열해 보았다.

• 1단계 : 방화벽 서비스
  - 당장 문제가 되고 있는 경우의 대부분이 외부의 불법적인 접근을 모르고 있었기 때문이다. 이러한 면을 보다 명확하게 하기 위해서는 운영체제나 프로그램에 문제가 있더라도 이 사전에 근본적으로 차단해 줄 수 있는 장비가 있다면 문제가 되지는 않을 것이다.
  
  
  [그림1] 방화벽 서비스 구성도
  
  
• 2단계 : 백신 서비스
  - 문제가 되고 있는 부분의 대부분은 백신에서 외부 침임에 대한 일부 유사한 기록을 남겨준다. 이는 대부분의 경우가 웜의 변형으로 인하여 발생되고 있기 때문 이며, 백신이 모든 것을 처리해 줄 수는 없더라도 최소한 알림 정도의 기능으로 생각해야 한다. 보다 안정되고 쉽게 관리를 하고자 한다면 백신 역시 중앙 관리가 가능한 제품을 선택하는 것이 좋다
  
  
  [그림2] 백신 서비스에 체크 된 상황(중앙관제 기능)
  
  
• 3단계 : 사용자 계정관리(액티브 디렉터리)
  - 외부의 불법적인 접근도 막았고 이를 경고할 수 있는 시스템도 있다. 하지만 계속 손상이 된다. 이는 외부의 문제가 아닌 합법적인 사용자의 행동으로 보아야 한다. 계정에 대한 비밀번호 변경 및 사용하는 계정에 대한 정리. 불 필요한 접근 부분 통제. 여기에 더불어 로그인/로그오프에 대한 감사 정도만 걸어도 충분하다. 이에 대해 보다 고급적인 방법으로 관리를 원한다면, AD를 도입하여 한 명이 여러 개의 ID/PW 보다는 하나로 통합된 아이디와 패스워드 관리(이메일,로그인,내부 접근 서버)를 진행하는 것을 고민해봐야 한다.
  
  
  [그림3]액티브 디렉터리 기능에서 사용자 로그인 실패 이벤트
  

이런 구체화된 방식으로 접근해 간다면 현 보안 취약점 보다는 70% 정도는 감소 할 것으로 판단이 되며 이러한 상황에서라면 추가적으로 정기적인 직원 보안 교육도 필요 할 것으로 판단이 된다.

이 글은 회사에서 어디부터 해야 할지 질문에 대한 관리자로서 답변이라고 생각하면 된다. 모든 상황이 다 맞는 것은 아니지만 이와 같은 방식이라면 현 시점 보다는 나아 질 것으로 판단 된다.
추가적으로 이 작업은 비용적인 면과 관리자가 구체적인 관리 방안도 수립해야 한다. 그 점은 좀 더 전문가에게 상담도 진행하면서 현 처한 상황을 점검 받는 것도 중요 할 것이며 문제가 없다고 하더라도 아직 구축하지 않은 경우라면 준비 작업을 게을리 하지 말기를 바란다.

관리자로서 참고가 되었으면 합니다.

추신 : 혹 필자가 제공한 문서와 같은 경우 현 문제 상황 및 향후 개선하고자 하는 내용을 정리해서 주시면 제가 아는 범위에서 상담해 드리도록 하겠습니다.( 이메일 : ntfaq@ntfaq.co.kr ) 꼭 상세하게 적어 주셔야 합니다.

혹 방화벽 제품 정보 : 중소기업 방화벽 장비 '노텔 Contivity 1100'

작성자 : 홍순성/이종량