레드캐슬
레드캐슬(RedCastle)은 에스지에이솔루션즈㈜(SGA Solutions)의 보안 솔루션으로, 운영체제의 커널 수준에서 사용자 행위기반 접근 통제를 구현함으로써 기존의 시그니처 기반의 네트워크 보안솔루션이 탐지하지 못하는 공격행위를 효과적으로 탐지 및 차단할 수 있는 솔루션이다.
개요[편집]
레드캐슬은 운영체제의 커널 수준에서 구현된 참조모니터(Reference Monitor)를 기반으로 동작한다. 레드캐슬의 참조모니터에는 운영체제의 커널에 동적으로 로딩되는 커널 모듈(DLKM)인 보안 커널이다. 레드캐슬의 보안 커널은 서버 운영체제 내에서 사용자 계정과 애플리케이션 및 데몬(daemon)의 자원 파일 접근에 대한 행위를 모니터링하고 보안정책과 비교하여 위반 행위를 탐지하고 차단하는 역할을 수행한다. 레드캐슬의 보안 커널은 차단 정책과 허용 정책을 모두 설정할 수 있으며, 접속 아이피 및 경유 프로그램과 정책의 적용 시간 등을 세부적으로 적용할 수 있기 때문에 정책을 마법사 그래픽 사용자 인터페이스(GUI)를 통하여 쉽게 적용할 수도 있다. 서버를 셧다운(Shutdown)하거나 리부팅하는 명령어는 192. 168.100.10 아이피에서 태호(taeho) 계정으로 접속한 뒤에 루트(root)로 명령어 su했을 시에만 실행을 허용하고 나머지 모든 접근은 거부하여 허용과 위반 감사로그를 모두 기록한다. 보안 정책은 이해할 수 있는 높은 수준의 문서로 표현과 구현이 모두 가능해야하기 때문이다. 또한, 레드캐슬은 관리자와 에이전트(agent)로 구성되어 있다. 보안 관리자는 레드캐슬 관리자를 통하여 레드캐슬 에이전트에 접속하게 되어 보안 기능의 구동, 중지 및 보안 설정의 변경, 보안 정책의 적용, 감사로그 모니터링 등 해킹 시도의 원천적 봉쇄, 보안 관리 및 시스템 관리의 통합체계를 제공하여 강력하고 다양한 보안 정책과 간편하고 편리한 관리 환경을 제공한다.[1]
등장배경[편집]
- 지능형 지속 공격의 시대
2000년대에 들어 점점 조직화 되는 기획 해킹의 형태를 띄는 보안사고가 증가하고 있다. 기획 해킹을 주도하는 해커들은 다양한 네트워크 기반 보안 솔루션을 우회하여 침투하는 지능형 지속 공격(APT) 기법을 활용하기 때문에 주류를 이르고 있는 네트워크 기반의 보안 솔루션으로는 방어가 쉽지 않다. 지능형 지속 공격은 네트워크 보안 솔루션을 우회하기 위해 주로 소셜엔지니어링 공격을 통하여 1차 침투한 뒤에 제로데이 공격(Zero-Day Attack), 스니핑(Sinffing), 암호공격, 키보드로깅, 원격제어 등의 공격기술을 활용하여 대상 업무용 컴퓨터와 서버에 2차 침투를 시도한다. 1차와 2차 침투를 차단하기 위해 다양한 네트워크 보안 솔루션 및 망 분리 등 여러 보호 대책을 수립하고 시행하고 있지만 완벽한 대응책이 없다. 윈도우(Windows), 유닉스(UNIX), 리눅스(Linux) 서버 운영체제는 해킹에 매우 취약한 운영체제이다. 서버 운영체제의 취약성은 서버에 접근할 수 있는 단 하나의 개인용 컴퓨터를 장악할 수 있다면 얼마든지 서버에 침투하여 해킹을 시도할 수 있다는 것을 의미한다. 또한, 대량의 정보가 저장되고 가공되는 시스템은 대부분 서버이다. 하지만, 보호 대책은 네트워크에 집중되어 있어서 이를 우회하는 지능형 지속 공격과 내부자에 의한 정보 유출의 위협에 노출되어 있다. 이러한 지능형 지속 공격과 내부자에 의한 보안사고의 위험을 제거하기 위해서는 서버에 대한 접속과 서버 내부에서의 위협행위에 대한 보호 대책 수립이 시급하다.[1]
- 서버보안 강화의 필요성
지능형 지속 공격에 악용되는 주요 취약점들이 있다. 지식기반 사용자 인증의 한계로, 운영체제에서 지원하는 아이디와 패스워드 기반의 사용자 인증은 더 이상 인증 수단이라고 할 수 없다. 아이디와 패스워드가 탈취되어 서버가 무방비 상태에 놓이기 때문이다. 2차 인증을 통하여 서버의 계정으로 접속한 실사용자의 식별과 접속기록을 서버가 아닌 감사 시스템에 보관해야 한다. 또한, 다수의 개발자와 운영자가 공용계정을 함께 사용해야 한다. 서버와 시스템에는 계정이 있으며, 대부분 공용계정을 다수의 개발자와 관리자가 함께 사용하고 있다. 이는 서버에 접속한 개발자와 관리자에게 익명성을 제공하여 서버에 접속 권한이 있을 경우에 작은 유혹에도 범죄자로 변할 수 있는 계기가 된다. 취약점에는 운영체제 및 주요 정보 파일에 대한 접근 통제도 불가능하다. 서버에 존재하는 슈퍼유저 계정은 모든 파일에 대해 접근이 가능하며, 보안의 관점에서 더욱 취약성을 드러낸다. 하지만, 기존의 어떠한 솔루션도 슈퍼계정의 권한을 제한하지 못하고 있다. 중요한 개인정보와 기밀정보가 포함된 파일에 대해 서비스를 수행하는 공용 계정에서도 접근 및 다운로드가 가능하다. 서버에 접속 권한을 가지고 있는 개발자와 서비스 운영자 및 야간 운영을 담당하는 운영자들도 접근 및 다운로드가 가능한 취약성이 존재한다. 지능형 지속 공격에는 중앙 집중 관리 솔루션의 보안에도 취약하며, 해커의 공격 대상이 사용 솔루션까지 확대되는 경향이 있다. 특히, 서버 내에서 슈퍼계정의 권한으로 실행되는 서버 성능, 장애 모니터링, 솔루션, 백신, 패치 관리 솔루션 등은 각각의 관리 서버가 장악되면 하위에 연결된 수많은 서버와 업무용 컴퓨터가 동시다발적으로 공격을 받을 가능성이 높아진다.
이처럼 점점 지능화되어가고 있는 제로데이 취약성을 공격하는 해커에게 효과적으로 서버 내부에서 관리되는 정보를 보호하기 위해서는 블랙리스트 방식의 탐지룰에 기반하는 보안 솔루션만으로 효과를 보기 어렵다. 이에 서버에 접속하는 시점에서 이중인증 및 자연인 인증을 지원하고, 접속한 뒤에도 정책 기반의 강력한 명령어와 파일에 대한 접근 통제를 수행하며, 로그인 시점부터 로그아웃 시점까지의 작업 이력을 완벽하게 저장하여 사후 감사에 대비할 수 있도록 지원하는 레드캐슬 시큐어 운영체제가 서버의 보안 강화를 위해 개발되었다. 레드캐슬 시큐어 운영체제는 기존의 침입 탐지 시스템이 가지고 있는 패킷 분석 기반의 공격 탐지라는 한계를 극복할 수 있는 최적의 대안이다. 또한, 기존의 네트워크 기반 서버 접근제어(SAC) 솔루션의 우회 접속 제어 문제와 미흡한 명령어 및 파일 접근 통제에 대한 가장 좋은 해결방안이다.[1]
특징[편집]
레드캐슬은 접근 통제 기능 등 보안 기능을 수행하는 레드캐슬 시큐어 운영체제와 보안 관리 기능으로 수행하는 레드캐슬 ESM으로 제공된다. 레드캐슬 시큐어는 보호 자산인 서버의 응용 부분과 커널 부분에서 소프트웨어 형태로 동작하며, 레드캐슬 ESM은 윈도우 2000 환경의 응용 소프트웨어 형태로 동작한다. 시큐어 운영체제와 ESM은 10/100BaseTEthernet 환경을 통하여 연결된다.[2] 레드캐슬은 전자상거래 시스템의 보안 강화를 위해 쇼핑몰 및 결제 시스템 서버의 보안을 강화해 주고 홈페이지의 소스 위조 및 변조를 차단한다. 또한, 개인 정보 저장 서버의 해킹 방어 및 정보 유출을 차단 한다. 정부 기관 및 공공 기관 서버 보안 강화로는 내부자 및 외부 업체 엔지니어의 행위 감시 및 작업 내역을 기록한다. 백도어 및 공격 도구의 생성 및 실행을 감시 및 차단하며, 서버에 대한 아이피와 계정 및 시간에 의한 접속을 제어한다. 또한, 보안 및 정책 위반 명령어에 대한 실행을 통제하기도 한다. 레드캐슬의 금융기관 계정계 및 인터넷 뱅킹 서버 보안 강화로는 금융기관 주요 서버의 내부 통제 및 감사 기능을 강화하고, 시스템 관리자, 개발자 등의 권한 분리 및 패스워드 유출 없이 특정 권한 위임 수행이 가능하다. 또한, 인터넷 뱅킹 서버의 웹 해킹을 차단해 주며, 배치 작업 솔루션을 통제한다. 마지막으로, 레드캐슬의 복합적이고 예민한 의료 정보 시스템의 보안 강화로는 의료 환자 정보에 대한 접근 통제 및 감사 기능을 강화하며, 지속적인 법률 대응이 가능한 서버 보안이다.[3]
장점[편집]
에이전트 방식인 레드캐슬은 게이트(Gate) 방식보다 더욱 강력한 보안 솔루션이다. 개별 시스템 설치가 가능하여 성능 부하율이 미비하고 은행과 증권의 주요 시스템에 설치 운용 중이다. 또한, 기밀성의 보장은 내부 시스템들 간의 접근 통제 기능을 제공하여 일반 사용자가 시스템에 접속하여 수행하는 모든 접근에 대한 상세한 접근 통제 제어가 가능하다. 레드캐슬의 솔루션은 무결성을 보장할 수 있다. 중요 파일(객체)의 변경 유무에 대한 점검 기능을 제공하며, 감사 기능은 사용자별 행위와 중요 파일 접근 및 텍스트 파일 편집 내역 기록 확인과 관리 기능이 가능하여 시스템 내부적으로 실행되는 프로세스에 의한 접근 내역을 기록할 수 있다.
시큐어 운영체제[편집]
레드캐슬 시큐어 운영체제(RedCastle SecureOS)는 보호 자산인 서버의 운영체제에 탑재되며, 강제적 접근통제와 임의적 접근 통제 등을 수행하는 커널 부분과 기타 보안 기능을 처리하는 응용 부분으로 구성되어 있다. 레드캐슬 시큐어 운영제체는 참조 모니터와 건설 모듈 등의 숨김 기능이 있고 등급 기반의 강제적인 접근 통제가 가능하다. 또한, 접근 제어 목록(ACL) 기반의 임의적 접근 통제와 허용 및 거부 목록에 기반한 임의적인 접근 통제를 할 수 있다. 별도의 보안관리자 식별 및 인증 기능과 해킹 방지 및 잠재적 위반 분석과 대응도 기능하다. 또한, 잠재적 위반 분석과 대응 기능을 제공하며, 레드캐슬 시큐어 운영체제 관리자 식별과 인증 기능도 제공하고 있다. 보안 로그와 시스템 로그 수집 및 관리할 수 있으며, 로그 파일 여유 공간의 관리가 기능하다. 레드캐슬의 시큐어 운영체제에는 통신 서버 기능을 지원하고 시큐어 운영체제 실행 파일의 무결성을 점검하기도 한다. 보안 속성과 보안정책 관리와 보안 관리 기능의 명령어를 제공하고 있다. 이 밖에도 레드캐슬의 운영체제는 서버 방화벽 기능, 시스템 정보 제공, 시스템 로그 보안 관리, 시스템 모니터링 기능도 지원하고 있다. 레드캐슬 시큐어 운영체제는 크게 세 가지로 이루어져 있다. 통신 데몬으로 레드캐슬 ESM과의 통신을 담당하는 로컬 관리자(Local Manager), 보안 로그 및 시스템으로 이를 수집하는 로그 수집 서버의 로그 데몬(log daemon), 커널 모듈로 접근 통제 등의 보안 기능을 수행하는 적재 가능 커널 모듈(LKM) 등이다.[2]
- 레드캐슬 관리자 : 조회하는 기능을 수행하는 보안 관리자용 도구이다. 다수의 서버에 설치되어 있는 레드캐슬 에이전트에 접속하여 보안 정책을 수립하고 적용하며, 보안정책엘 의해 발생한 접근 통제 감사로그를 실시간으로 모니터링한다.
- 보안 커널 : 레드캐슬의 실제 보안 기능을 구현하여 포함하는 소프트웨어이다. 레드캐슬 관리자에서 수립한 보안 정책을 적용하여 차단되거나 허용된 접근에 대한 상세한 감사로그를 로그 저장소에 기록한다.
- 참조모니터 : 명령어 및 애플리케이션 서버에서 발생하는 모든 파일에 대한 접근을 예외없이 모니터링하기 위해 커널모드에서 동작하는 레드캐슬의 시스템이다. 운영체제 마다 해당 운영체제의 특성에 맞게 개발되었으며, 안전성과 성능 면에서 충분히 검증이 이루어졌다.
레드캐슬 ESM[편집]
레드캐슬 ESM(RedCastle ESM)은 윈도우 2000 운영체제에서 운영된다. 그래픽 사용자 인터페이스를 통하여 제공되며, 레드캐슬 ESM 관리자 식별 및 인증이 가능하다. 또한, 통합 보안 관리와 화면보호기를 지원하며, 감사 데이터 실시간 조회 및 조건 검색을 할 수 있다. 레드캐슬 ESM에는 보고서 작성 기능, 통신 클라이언트 기능, 보안 관리를 위한 화면 인터페이스 등의 기능도 있다. 레드캐슬 ESM은 별도의 시스템을 요구하며, 설치될 시스템에는 다른 용도의 서버가 설치 되어서는 안된다. 다른 서버의 작동으로 인한 보안 허점이 발생할 수 있으며, 이로 인하여 레드캐슬의 전체적인 보안 정도가 침해당할 수도 있다. 다른 시스템의 설치로 인해 운영체제 보안 시스템 설치의 목적이 침해될 수 있기 때문이다.[2]
주요 기능[편집]
레드캐슬의 접근 통제 기능은 서버 접근 통제와 서버 내부에서의 행위 통제로 구분되며, 서버 접근 통제 기능은 서버 방화벽과 로그인 통제 기능으로 구분된다. 서버 내부에서의 행위 통제는 계정 통제, 파일 접근 통제, 파일 무결성 통제, 해킹 방지 기능 등으로 구성되어 있다. 레드캐슬은 접근 통제 말고도 더욱 강력한 감사 기능을 가지고 있다. 감사 기능은 터미널 세션 감사와 접근 통제 감사로 구분되어 있다. 또한, 레드캐슬에는 다수의 서버를 통합 관리할 수 있는 레드캐슬 관리자를 제공한다. 레드캐슬 관리자는 로그 감사와 정책 관리 기능을 제공하며, 실시간 로그 감사는 레드캐슬 관리자에서 접속한 서버에서 발생하는 보안 이벤트를 실시간으로 모니터링하고 있다. 정책 관리는 다수의 서버에 존재하는 계정에 대한 패스워드 정책, 파일에 대한 접근 통제 정책, 서버 접근 제어 정책 등을 수립하여 배포와 백업 및 복구할 수 있는 기능을 제공한다.
- 접근 통제 기능
구 분 기 능 설 명 서버 접근 통제 서버 방화벽 기능 - 아이피 및 포트에 의한 네트워크 수준의 접근 통제 기능
로그인 통제 기능 계정 통제 계정 전환 통제 권한 위임 통제 - 특정 계정의 권한을 다른 계정에서 위임 받아 명령 실행 및 파일 접근을 허용할 수 있도록 통제하는 기능
파일 접근 통제 명령어 통제 - 특정 명령어에 대해 경유프로그램, 접속 아이피 및 매킨토시(Macintosh) 등 시간에 따라 실행을 통제하는 기능
- 명령어 객체명에 와일드 카드(*) 사용 지원
파일 접근 통제 - 디스크에 위치한 파일에 대해 읽기, 수정, 삭제, 생성 등 세부적인 접근 통제를 지원하는 기능
- 접속 아이피 및 매킨토시, 시간, 경유 프로그램에 따라 다른 접근 권한을 부여
- 파일의 객체 명에 와일드 카드 사용 지원
파일 무결성 통제 파일 무결성 검증 기능 - 파일에 대한 주기적 무결성 해시등을 검사하는 기능
SetUid 파일 접근 통제 - 유닉스와 리눅스 계열 서버에서 SetUid 및 SetGid 파일에 대해 파일에 변경이 일어나면 실행을 차단하는 기능
해킹 방지 잠재적 위반 분석 기능 - 동일한 유형의 위반이 지속적으로 발생할 경우에는 잠재적 위반으로 규정하여 해당 프로세스 강제 종료를 지원하는 기능
일반 해킹 방지 기능 - 심볼릭 링크 (Symbolic link) 및 하드 링크(Hard link) 공격 차단
- 피포(FIFO) 공격 차단
- 'Chroot' 공격 차단
- 스니핑(Sniffing) 탐지
바인드 통제 - 불법적인 통신 포트(TCP) 오픈 차단
- 감사 기능
구 분 기 능 설 명 터미널 세션 감사 TTY 모니터링 - 텔넷, SSH, 로그인 접속하여 로그아웃 시점까지의 모든 터미널 입출력 스트림을 로깅하여 필요 시에 동영상 형태로 재현하는 기능
- 터미널 서비스 접속하여 로그아웃 시점까지의 화면을 2~3 fram/sec 으로 캡쳐하여 필요 시 동영상 형태로 재현
사용자 추적 - TTY 모니터링 보다 보안성이 높고 화면에 보이지 않게 실행되는 명령어에 대해서도 추적 로그를 기록하는 기능
접근 통제 감사 위반 로그 감사 - 래드캐슬의 정책 위반에 대해 감사로그를 기록하는 기능
- 객체, 주체, 시간, 결과, 위반 종류, 아이피, 매킨토시 등
허용 로그 감사 - 레드캐슬의 정책에 의해 접근이 허용된 경우에도 감사로그 기록
- 객체, 주체, 시간, 결과, 위반 종류, 아이피, 매킨토시 등
- 통합 관리 기능
구 분 기 능 설 명 로그 통합 관리 보안 위반 이벤트 실시간 모니터링 - 레드캐슬에 적용된 보안 정책에 대한 위반 이벤트 실시간 모니터링
- 발생지, 시간, 주체, 등급, 위반행위 등
보안 로그 검색 - 레드캐슬이 기록한 보안 로그를 검색하고 조회하며 검색된 로그를 파일(Excel)로 저장하는 기능
운영체제 로그 백업 및 검색 - 운영체제의 로그를 유실 및 파괴에 대비하여 실시간으로 백업하고 검색하고 조회하는 기능
- 시스로그, wtmp, sulog, 로그인 히스토리 등
보고서 생성 보안 정책 통합 관리 보안 정책 백업 - 서버에 적용된 보안정책을 주기적으로 백업하거나 서버에 지정된 경로에 시간별로백업
- 서버에 적용된 보안정책을 레드캐슬 관리자가 설치된 서버 및 컴퓨터에 백업
보안 정책 복구 - 레드케슬 에이전트의 재설치 및 정책 유실 시 백업된 정책으로 복구하여 적용
보안 정책 배포 - 동일한 정책을 적용할 때 다수의 서버에 배포
- 레드케슬의 보안 설정을 다수의 서버에 동시 적용
각주[편집]
- ↑ 1.0 1.1 1.2 〈RedCastle 소개자료〉, 《레드비씨》
- ↑ 2.0 2.1 2.2 〈RedCastle 설치 및 관리자설명서〉, 《레드캐슬》, 2006-04-20
- ↑ 에스지에이, 〈SGA 제품소개 - RedCastle #1〉, 《네이버 블로그》, 2019-03-18
참고자료[편집]
- 에스지에이, 〈SGA 제품소개 - RedCastle #1〉, 《네이버 블로그》, 2019-03-18
- 〈RedCastle 설치 및 관리자설명서〉, 《레드캐슬》, 2006-04-20
- 〈RedCastle 소개자료〉, 《레드비씨》
같이 보기[편집]