마이크로소프트...

통합 보안 솔루션 가이드마이크로소프트

액티브 디렉터리 (Active Directory)NAP (Network Access Protection)마이크로소프트 포어프런트 (Microsoft Forefront)�Forefront Server Security

�Forefront Client Security

�ISA Server 2006

�IAG 2007

통합 보안 솔루션 가이드

액티브 디렉터리 (Active Directory)NAP (Network Access Protection)마이크로소프트 포어프런트 (Microsoft Forefront)�Forefront Server Security

�Forefront Client Security

�ISA Server 2006

�IAG 2007

마이크로소프트

Microsoft

Comprehensive Security Solution Guide

IT 인프라에 한 보안 위협과 과제……………………………………………4최근의 보안 위협 …………………………………………………………………4

최근의 보안 위협 경향………………………………………………………7

웹 응용프로그램에 한 위협………………………………………………8

안정적인 IT 인프라를 위한 과제…………………………………………………9

최근 보안 시장의 중심 주제 ……………………………………………………11

통합위협관리…………………………………………………………………11

네트워크접근제어……………………………………………………………13

웹 방화벽 ……………………………………………………………………14

왜 마이크로소프트의 보안 솔루션인가?………………………………………16

왜 마이크로소프트의 보안 제품인가? …………………………………………17

마이크로소프트의 보안 솔루션…………………………………………………19Microsoft Windows 운 체제 ………………………………………………20

Microsoft Active Directory……………………………………………………20

Microsoft Forefront ……………………………………………………………23

Internet Security and Acceleration Server (ISA) 2006………………26

Intelligent Application Gateway (IAG) 2007 ……………………………35

Forefront Security for Exchange Server ………………………………50

Forefront Security for SharePoint …………………………………………59

Forefront Client Security ……………………………………………………61

Network Access Protection…………………………………………………68

Forefront 활용의 3가지 예제…………………………………………………781. 통합 환경을 통한 가시성 제공과 중앙 제어 관리 ………………………78

2. 시스템의 건강 상태 유지 관리………………………………………………83

3. 원격 사용자의 생산성 향상 …………………………………………………88

결론 …………………………………………………………………………… 94참고 페이지 ………………………………………………………………………………96

목 차

IT 인프라에 한 보안 위협과 과제

최근 10여 년 사이에 인터넷은 많은 기업들에게 없어서는 안 될 매우 중요한 자원이

되었습니다.

인터넷은 기업의 직원들과 고객, 그리고 협력사 간의 중단 없는 통신을 위한 과제를

해결해주었습니다. 인터넷으로 인해 우리는 언제 어디서든 간편하게 통신하고 원하는

정보를 얻을 수 있습니다.

그러나 오늘날 인터넷은 많은 조직에게 심각한 고민거리가 되어가고 있습니다. 기업

의 생산성을 향상시키기 위해 만든 외부와의 연결이 인증 받지 못한 사용자와 맬웨어

등의 접근 통로로 악용되고 있기 때문입니다. 그리고 이러한 공격이 이제는 커버가

가능한 범위를 넘어서는 정도까지 이르고 있습니다.

이 문서는 이러한 최근의 보안 위협을 알아보고 그러한 위협에 한 마이크로소프트

의 신뢰할만한 심층방어 보안 솔루션들을 소개합니다. 특히 최근 마이크로소프트의

보안 제품들에 새로이 브랜딩되고 있는 Forefront 제품들에 한 안내와 이 제품들이

어떻게 통합적인 보안 환경을 제공하는지 살펴보도록 하겠습니다.

최근의 보안 위협

2005 CSI/FBI Computer Crime and Security Survey에 따르면

“바이러스 공격이 계속해서 가장 큰 금전적 손실의 원인이 되고 있습니다……이 손

실에 한 원인의 유형 중 최상위 3가지가 나머지 모든 유형보다 큰 비중을 차지하

고 있습니다.”

4

마이크로소프트 통합 보안 솔루션 가이드

�금전적 손실을 유발하는 가장 큰 3가지 유형은 다음과 같습니다.

1. 바이러스

2. 인증 받지 못한 사용자의 연결

3. 중요한 정보의 유출

미국의 독립 시장 조사 기관인 Forrester 리서치에서 2005년도에 발표한 기업들의

보안 위협은 다음과 같습니다.

이 자료를 보면 바이러스와 인증 받지 못한 사용자들 외에도 스팸 메일이나 스파이웨

어 역시 큰 보안 위협이 된다는 것을 알 수 있습니다. 스팸에 한 문제를 생각해보면

많은 바이러스나 웜 등의 맬웨어가 E-mail을 통해서 시스템에 감염되고 있으므로 메

일 서비스에 한 보안 환경도 중요한 고려사항이 될 수 있습니다.

최근의 보안 위협 5

그림 1) Forrester 리서치- March 25, 2005, Trends “IT Security

Threats In 2005: Viruses And Worms Top The List”

바이러스, 웜

인가되지 않은 직원들의 행위

보안 규제의 준수 실패

스파이웨어

외부에서의 해킹

스팸

내부에서의 해킹

낮은 운 효율

신상정보의 도난

68%

49%

47%

25%

25%

29%

22%

20%

12%

Base: 188 technology decision-makers at North American

enterprises

미국의 리서치회사 Radicati Group에서 2005년에 발표한 E-mail 보안 보고서에

따르면

�900백만개의 바이러스와 52억 4천만 개의 스팸 메시지가 매일 전송됩니다.

� 부분의 바이러스는 전자 메일을 통해 그들 자신을 전파하도록 만들어져 있

습니다.

�86%의 바이러스가 전자 메일을 통해 자신을 복제하여 퍼지도록 되어 있습

니다.

Forrester 리서치는 인터넷 전자 메일의 75% 정도가 스팸 및 악성 코드이며 미국

기업의 연간 스팸 및 악성 코드에 따른 비용이 8조 9천억 USD에 이른다고 발표했습

니다.

국내 인터넷 침해사고 응지원센터에서 발표한 2006년도 국내 웜, 바이러스 등의

맬웨어 동향은 다음과 같습니다.

�유포목적에 있어서 금전적 이익을 목적으로 한 트로이잔, 스파이웨어 등의 출현

증가

- 게임 id/비 번호, 개인정보 유출하는 트로이잔 특성을 가진 악성코드

�전파수단은 웹 사이트 초기화면, 게시판, 자료실 등을 악용

�공격 상은 불특정 다수 보다 특정 그룹을 겨냥

- 온라인 커뮤니티, 특정 게임사용자, 활용도가 높은 응용 프로그램 사용자

겨냥

�은닉기법은 루트킷을 이용한 감염사실 은폐 및 백신프로그램에 의한 탐지 우회

�기능/형태는 악성 봇, 스파이웨어, 트로이잔 등 공격자가 의도한 다양한 형태로

결합

6


●최근의 보안 위협 경향

앞에서 살펴본 최근의 보안 위협의 경향을 간단하게 살펴보면 다음과 같습니다.

�2000년도부터 운 체제의 취약점을 악용하는 맬웨어의 공격이 시작되고 있

습니다.

�2003년을 지나면서 운 체제에 한 공격이 주요 응용프로그램의 취약점을

상으로 하는 공격으로 변해가고 있습니다.

�최근에는 악성코드 유포와 개인 정보 유출 공격이 증가하면서 응용프로그램에

한 공격이 증가하고 있습니다.

이는 인터넷의 활성화 및 보편화와도 어느 정도 일맥상통하고 있습니다. 인터넷이 활

성화되면서 자연스레 웹 서비스가 중화되었습니다. 따라서 거의 모든 응용프로그램

들이 부분 웹을 기반으로 하고 있습니다. 게다가 Windows XP SP2의 출시로 운

체제의 취약점을 이용하는 것이 점차 어려워지자 네트워크의 공격은 웹 환경의 응용

프로그램을 상으로 하는 자동화된 공격으로 변해가는 것으로 보입니다. 그 중 표

적인 것이 E-mail이나 공유 문서를 통한 바이러스나 웜과 같은 맬웨어의 공격입니다.

최근의 보안 위협 7

그림 2) 최근의 보안 위협

2000 2001 2002 2003 2004 2005 2006 2007

Major Attack Trends

IRC Bot Attack

ApplicationAttack

AutomatedApplication Attack

Web applicationattacks

SlammerWindows Attack

ServiceDdos Attack

Trojan HorseIncrease

BOEmail Attack

이제 공격의 중심은 OS에서 웹 응용프로그램으로 옮겨가고 있습니다.

●웹 응용프로그램에 한 위협

웹 응용프로그램의 취약점은 다음과 같습니다.

2006년도 KISA에서 발표한 침해사고 응자료에 의하면 특정 웹 스캐너를 이용해서

1000여 개의 사이트를 스캔한 경우 98%의 사이트에 문제가 존재한다고 합니다.

가트너에서 발표한 자료에 의하면 75%의 웹 사이트가 취약점을 가지고 있으며, 해킹

의 75%가 응용프로그램 레벨에서 발생한다고 합니다. 이러한 보안의 문제점을 예방

하고 해결하기 위해서는 많은 시간과 비용이 필요합니다.

그렇다면 기업들은 과연 이러한 보안위협에 해 어떠한 비책을 가지고 있을까요?

보안 위협을 겪고 있는 기업들의 90% 이상이 안티바이러스나 방화벽 등을 구성하고

있었습니다.

그러나 여전히 이러한 보안 위협은 없어지지 않고 있으며 오히려 더욱 정교해져 가는

8


그림 3) 2006년도 KISA 발표 자료

온라인

쇼핑정보

노출

11%

Full Control &정보접근21% 개인정보 노출

27%

웹사이트 삭제 2%정보 수정 가능 7%

Hijack Session을

이용한 개인정보

유출 32%

위협으로 인해 네트워크의 보안을 관리하는 것이 매우 복잡하고 피곤한 작업이 되고

있습니다.

안정적인 IT 인프라를 위한 과제

일반적인 IT 조직에게 있어서 그들의 시스템을 안정적으로 운 하는 것은 비즈니스를

위한 가장 기본적인 토 가 됩니다. 이를 위해서는 가장 일반적인 두 가지가 수행되

어야 합니다.

첫째는 안전한 IT 환경이고 두 번째는 IT 시스템에 한 효과적인 관리 인프라입니다.

안전한 IT 환경을 위해서는 존재하는 모든 위협을 커버할 수 있는 심층 방어 솔루션

이 필요합니다. 효과적인 관리 인프라를 위해서는 중앙관리 환경의 간편하고 통합적

인 시스템 관리 솔루션이 필요합니다.

안전한 IT 환경을 위한 보안 과제는 다음과 같습니다.

인터넷과의 안전한 연결이 필요합니다.

기업과 인터넷의 연결로 발생할 수 있는 악성 호스트와 인증 받지 못한 사

용자 등의 잠재적인 접근 가능성의 위협을 차단하면서 원격 사용자가 내부

정보에 간편하게 연결할 수 있어야 합니다.

응용프로그램 계층에 한 보안 솔루션이 필요합니다.

전통적인 네트워크 방화벽은 응용프로그램 계층의 탐지와 침입 방지를 염

두하고 설계되지 않았습니다. 그러나 오늘날 많은 인터넷 기반의 공격들은

프로토콜 스택의 상위 계층으로 이동하여 e-mail이나 웹 브라우저 등과

같은 상위 계층의 응용프로그램들을 상으로 하고 있습니다. 따라서 응용

프로그램 계층인 상위 계층까지 방어할 수 있는 보안 솔루션이 필요합니다.

안정적인 IT 인프라를 위한 과제 9

한 두 개의 보안 솔루션만으로는 조직을 안전하게 유지하기 힘듭니다.

지난 10여 년 이상 동안 컴퓨터와 네트워크 보안에 한 막 한 투자에도

불구하고 최근 들어 웜, 바이러스, 스파이웨어, 피싱 등 네트워크 상의 보

안 위협이 더욱 다양하고 복잡하게 쏟아지고 있습니다. 따라서 기존의 단

편적인 보안 솔루션만으로는 조직의 네트워크를 효과적으로 보호하기가

어렵게 되었습니다.

간편하고 통합적인 관리 인프라가 필요합니다.

조직의 안전을 위해서 구성한 많은 보안 솔루션들은 오히려 관리자에게 운

의 복잡함과 관리의 어려움이라는 또 다른 문제를 안겨주고 있습니다.

중앙 관리 도구와 네트워크의 전체 보안 상태를 보여줄 수 있는 강력한 보

고서 도구가 없이 네트워크의 보안을 운 하거나 관리하는 것은 매우 어려

우며 실수를 범하기 쉬운 많은 시간이 소비되는 작업입니다.

이러한 문제로 인해, 정책 기반의 중앙 관리와 중요한 가시성을 제공하는

보고서에 한 필요가 전에 없이 필요하게 되었습니다.

10


최근 보안 시장의 중심 주제

앞에서 살펴본 것과 같이 최근 보안 위협의 경향은 다양하게 변하고 있으며 이와 맞

추어 보안 시장의 중심 주제도 변화하고 있습니다.

최근 보안 시장에 중심이 되고 있는 3가지 주제는 통합위협관리(UTM), 네트워크접근

제어(NAC), 웹 방화벽으로 크게 정리해 볼 수 있습니다. 마이크로소프트가 제공하는

보안 솔루션이 이러한 시장의 변화에 어떻게 응해나가고 있는지 살펴보도록 하겠습

니다.

●통합위협관리 (UTM: Unified Threat Management)

UTM은 그 동안 제공되던 다양한 보안 솔루션 기능들을 하나로 통합하여, 보안 문제

를 더욱 쉽고 편리하게 관리하고 해결하려는 취지에서 등장한 보안 솔루션입니다. 이

는 최근의 보안 위협이 단일화보다는 복합화, 다양화 경향을 보이기 시작하면서 이에

응하는 솔루션들의 수가 다양해졌으며 따라서 기업이나 기관에서는 각각의 솔루션

을 모두 구비하고 관리해야만 하는 처지가 됐기 때문입니다.

인터넷이 각 기업과 기관, 가정으로 확산되기 시작한 1990년 말부터 지금까지 보

안 솔루션은 그 목적에 따라 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 가상

사설망(VPN), 데이터베이스(DB) 보안, 웹 보안, 콘텐츠 보안 등 다양한 솔루션 형태

로 분화, 발전돼 왔습니다. 그러나 이러한 다양한 솔루션들의 증가와 네트워크의 확장

으로 기업 및 기관에서는 단위 보안 솔루션의 구축 및 운 증가로 인한 양적 증가가

이루어져 이들에 한 관리 이슈가 두했습니다.

다양한 보안 솔루션의 도입에 따른 비용 과다 문제, 각각의 보안 솔루션 운용 방법을

익히기 위한 시간 비용, 그리고 운용을 위한 물리적 공간과 인력 확보가 요구되어지

면서 이에 한 효과적인 관리 안이 필요하게 된 것입니다.

최근 보안 시장의 중심 주제 11

이에 한 해법으로 다양한 보안 솔루션을 하나로 묶어 비용을 절감하고 각각의 보안

기능간의 시너지를 내면서 보다 쉽게 운 관리가 가능할 수 있도록 하는 방안이 강

구되기 시작했고 그래서 등장한 것이 바로 UTM입니다.

이러한 UTM은 하나의 보안 어플라이언스에 여러 가지 보안 기능을 통합한 보안 플

랫폼으로 2005년경부터 본격적으로 UTM이라는 말이 사용되기 시작했습니다. 일반

적으로 UTM은 네트워크 보안의 기본 구성인 방화벽, VPN, IPS, 안티바이러스, 안티

스팸, 안티스파이웨어 기능의 전부 또는 일부 기능을 통합 구현하는 것을 기본으로

하고 있습니다. 하지만 몇몇 업체에서는 안티바이러스 기능을 제외한 방화벽, VPN,

IPS 등의 세가지 기능을 동시에 구현하는 솔루션을 말하기도 합니다. 또 다른 업체에

서는 UTM을“한 가지 이상의 보안 기능을 수행할 목적으로 개발된 하드웨어, 소프트

웨어, 네트워킹 기술의 결합체로, 하드웨어와 응용프로그램 세트로 구성되며, 사용자

의 별도 소프트웨어 설치를 필요로 하지 않는다”라고도 정의하고 있습니다.

결국 UTM이라는 보안장비의 화두는 다음의 3가지를 생각할 수 있습니다.

▶인터넷 상의 웜 등과 같이 네트워크에 부하를 주는 공격에 비

▶네트워크에서 적용할 수 있는 보안기능들의 통합

▶하드웨어 기반의 어플라이언스를 통한 비용 비 효과 상승

현재 UTM은 업체나 제품에 따라 약간의 차이가 있지만 통상적으로 방화벽, IDS,

IPS, VPN 등과 안티바이러스 및 유해 차단 기능을 포함하는 컨텐트 필터링 등을 하

나의 제품으로 결합해 제공하고 있습니다. 고객의 수요가 많거나 주목을 받는 보안

기능을 중심으로 하는 융합이나, 제품의 유연성 및 비즈니스 모델의 다양화가 가능하

다는 것도 UTM의 장점이라고 할 수 있습니다.

마이크로소프트는 통합(Unified) 환경의 솔루션을 제공합니다.

12


마이크로소프트는 이러한 시장의 변화에 맞추어 하드웨어 기반의 어플라이언스로 제

공되어지는 다양한 통합 보안 솔루션을 제공하고 있습니다. 특히 Microsoft IAG 서버

는 ISA Server를 내장한 하드웨어 어플라이언스 제품으로 통합된 네트워크 보안 솔루

션을 제공하고 있습니다. Microsoft IAG 서버는 방화벽과 IPSec VPN, SSL VPN, 컨

텐트 필터링, HTTP 필터링 등의 다양한 보안 기능을 제공하며 실시간 모니터링과 보

고서 등의 강력하고도 간편한 관리 환경을 제공하는 통합 보안 솔루션입니다.

보안 솔루션은 아니지만 Microsoft System Center Operations Manager와 같은

제품은 네트워크 전체 시스템에서 발생하는 경고와 이벤트 및 보고서들을 단일 인터

페이스로 관리할 수 있는 통합 관리 환경을 제공합니다.

마이크로소프트는 보안과 관리 및 시스템 구성에 한 다양한 통합 환경을 제공하여

조직의 보안 관련 문제를 가장 효과적으로 해결해 줄 수 있는 솔루션을 제공합니다.

●네트워크 접근 제어 (NAC: Network Access Control)

2006년 보안 시장에서 특히 두각을 나타내고 있는 솔루션이 있다면 이는 바로 NAC

가 일 순위에 올라갈 것입니다. NAC는 허가되지 않거나 웜, 바이러스 등의 악성코드

에 감염된 PC나 노트북, 모바일 단말기 등이 회사 네트워크에 접속되는 것을 원천적

으로 차단하여 조직의 시스템 전체를 보호하는 솔루션으로 네트워크에 접근하는 접속

단말의 보안성을 강제화할 수 있는 보안 인프라입니다.

NAC이 중요하게 여겨지는 것은 노트북과 PDA 등 모바일 기기들이 증가하면서 게이

트웨이를 거치지 않고 기업 네트워크에 직접 접속할 수 있는 기기를 통해 악성코드가

유입될 가능성이 커진데 따른 것입니다. 이 분야는 지난 2004년 NAC 개념을 처음

도입한 시스코 시스템즈의 네트워크 허용 제어 (NAC), 마이크로소프트의 네트워크

접근 보호 (NAP), 주니퍼 네트웍스의 통합 접속 제어 (UAC) 등의 세 진 에서 활발

히 움직이고 있습니다.

시스코의 CNAC(Cisco NAC)은 네트워크 인프라를 기반으로 안티바이러스 및 안티


스팸 등 다양한 보안 솔루션들을 통합하기 위해 업체들을 자사 프로그램에 끌어들이

고 있습니다. 2006년 9월에는 NAC 시장에서 경쟁해 온 마이크로소프트와 손잡고

상호 연동 아키텍처를 발표했습니다.

마이크로소프트와 시스코는 각자의 시장을 존중하며 NAC에서 공동보조를 맞추고 있

습니다. 이 모델은 두 회사가 각자의 강점 및 지향하는 시장을 존중해주고 NAC시장

에서 독점적인 지위를 확보하려는 윈윈전략을 담고 있습니다.

마이크로소프트의 NAP은 별도의 장비가 필요 없이 운 체제에 내장된 기능입니다.

시스코의 NAC은 네트워크 장비의 기능 호환을 강화하는 부분에 중점을 두고 있어서

장비에 한 부분을 고려해야 합니다. 즉 시스코의 NAC은 특정한 네트워크 장비를

통해서 구현되므로 이에 한 부담이 있습니다.

마이크로소프트의 경우, NAP은 차세 운 체제인 비스타와 Windows Server

2008에 내장된 보안 아키텍처로서 다른 벤더에 비해 별도의 하드웨어나 비용을 필요

로 하지 않는다는 장점이 있습니다. 특히 Windows Server 2008이 곧 출시된다는

점을 감안하면 마이크로소프트가 운 체제 분야에서 거의 독점적인 위치를 가지고 있

으므로 보안 시장에 미치는 향이 매우 클 것으로 보입니다.

●웹 방화벽

웹 방화벽은 기존의 보안 솔루션이 놓치고 지나가기 쉬운 80번이나 443번 포트 등

의 웹서비스 관련 포트를 통한 침입을 감시하고 차단하기 위한 솔루션으로, 국내에서

는 지난 2005년부터 일부 도입이 시작됐다

웹 방화벽 시장은 최근 몇 년간 보안 시장의 새로운 기 주로 주목받으며 성장할 것

으로 전망됐으나 실제로는 기 에 미치지 못했었습니다.

웹 서비스를 위한 서버, 미들웨어, 데이터베이스 등이 가지고 있는 취약성을 분석, 이

14


를 기반으로 외부에서의 HTTP 요청을 필터링하는 웹 방화벽은 그 동안 보안담당자

들이 가장 필요로 하는 서비스로 꼽혀 왔었습니다. 최근 정보보호업체 안랩코코넛의

설문조사에서는 웹 방화벽 서비스(21%)와 웹 취약점 분석 서비스(15%)가 가장 필요

한 솔루션 1, 2위로 그리고 웹 방화벽(33%)이 가장 이슈가 되고 있는 보안 솔루션으

로 나타나는 등 관심은 여전히 많은 상태입니다. 그럼에도 불구하고 지금까지는 기업

내 의사결정자의 인지도 부족과 웹 방화벽의 성능 및 제품 가격 등이 복합적으로 작

용하면서 기 만큼 고객들의 큰 수요를 갖지 못했습니다.

그러나 웹을 이용한 서비스와 비즈니스가 증가하면서 웹 기반의 환경이 급속도로 확

되고 있는 데다 2006년도부터 웹 해킹이 급증하면서 웹 보안 시장에 한 관심이

계속 높아지고 있어서 이러한 관심이 웹 응용프로그램에 한 보안 솔루션을 많이 필

요로 할 것이라는 전망이 커지고 있습니다.

특히 해킹 및 전산 장애 발생 시 금융기관의 책임을 무겁게 묻는 등 이용자 보호를

강화한 전자금융거래법 개정안이 2007년부터 시행되고 공공 및 금융권에서는 웹 방

화벽 도입 권고 지침이 하달되는 등 웹 방화벽 시장이 무르익을 만한 환경은 이미 갖

춰진 상태입니다. 이제 남은 것은 조직에 가장 적합한 웹 응용프로그램 방화벽을 도

입하고 구축하는 것입니다.

마이크로소프트의 ISA 서버는 HTTP와 HTTPS를 제어하는 강력한 HTTP 필터를 제

공하는 웹 보안 보안 솔루션입니다.

ISA 서버는 HTTP 요청과 응답을 분석하고 헤더의 길이를 제한하며, URL을 보호하

고, 컨텐트를 차단하며, 특정한 HTTP 시그니처를 차단하며, 최 Payload를 제어하

는 등의 강력한 웹 필터링 기능을 제공할 뿐만 아니라 다양하고 심층적인 보안 기능

을 제공하는 통합 솔루션입니다. 또한 하드웨어와 일체형의 어플라이언스로도 제공되

며 IAG 2007과 함께 웹기반 환경에 한 위협으로부터 조직을 안전하게 지켜줄 수

있는 신뢰할 수 있는 솔루션입니다.


왜 마이크로소프트의 보안 솔루션인가?

오늘날의 네트워크의 공격은 전에 없이 위험해 지고 있으며 특히 응용프로그램 계층

을 중심으로 하는 공격이 빈번해 지고 있습니다.

�보안은 반드시 엔드 투 엔드 방식이어야 합니다.

�클라이언트, 서버 및 네트워크를 포괄하는 심층 방어 환경의 보안 솔루션이 필

요합니다.

�인트라넷이든 인터넷이든, 또는 알려진 위협이든 알려지지 않은 위협이던지 상

관없이 보호를 제공해야 합니다.

�세계적 수준의 보안 연구와 응이 필요합니다

마이크로소프트는 이 모든 것을 만족하는 포괄적인 응용프로그램 중심의 보안 솔루션

을 제공하고 있습니다.

기존의 보안 기술들은 단편적이며 서로 간에 통합이나 연계가 없습니다. 통합환경의

보안 관리는 다음을 필요로 합니다.

�기존의 인프라와의 통합

�단일한 보안 관리 콘솔

�전체 보안 라이프 사이클의 관리

�이벤트에 한 보고서와 분석

�Active Directory 기반의 인증 관리 인프라와의 긴 한 통합

마이크로소프트는 위의 모든 것을 만족하는 통합 보안 솔루션을 제공하며 각 제품들

은 서로 접하게 연계되어 있습니다.

16


왜 마이크로소프트 보안 제품인가? 17

많은 보안 제품들은 설치 및 운 관리가 어려우며 여러 관리 콘솔과 보고서의 복잡

함으로 인해 또 다른 보안 이슈가 발생하고 있습니다. 단순한 보안 관리는 다음이 필

요합니다.

�마법사 기반의 구성 설정

�단순하고 지능적인 경고와 보고서

�정책 기반의 보안 구성과 Active Directory 기반의 관리 환경

�사용자 친화적인 인터페이스

마이크로소프트는 위의 사항을 모두 지원하는 단순한 관리와 단일 시보드를 통한

다양하고도 손쉬운 통합 보고서를 제공하여 운 관리의 단순함을 장점으로 하고

있습니다.

왜 마이크로소프트 보안 제품인가?

1. 마이크로소프트 보안 제품은 서버의 부하를 줄여주고, 보안 로드를 분산시켜주는

기능이 있으며, 보안 업데이트를 가장 신속하게 갱신해 주는 내부 프로세스를 가지

고 있습니다.

2. 일반적인 공격의 목표 1호가 마이크로소프트이기 때문에 각종 보안 정보가 가장

빠르게 수집되는 회사가 역시 마이크로소프트입니다.

3. 다른 경쟁사 제품에 비해 가격 경쟁력이 있습니다.

4. 마이크로소프트의 보안 솔루션은 이미 시장에서도 최고 수준으로 인정받고 있

습니다.

다음의 그림은, 2006년 가트너 보고서에서 발표한 Email 보안 리더 업체 선정 자료

인데, 마이크로소프트사가 최고 수준인 리더로 선정되었습니다.

18


그림 4) 가트너의 E-mail 보안 리더 업체 선정 보고서

challengers leaders

Microsoft

Symantec

Secure Computing

MessageLabs

IronPort SystemsPostini

TumbleweedCommunications

SonicWALLClearswift

ProofpointMarshal

BorderWare TechnologiesSendmail

Trend Micro

SurfControl

SophosMcAfee

BarracudaNetworks

niche players visionaries

completeness of vision

As of September 2006

ability to exe

cute

마이크로소프트의 보안 솔루션

시스템을 안전하게 유지하는 것은 모든 조직의 주요한 관심사입니다.

마이크로소프트는 그 동안 완벽한 통신 및 협업 환경의 인프라를 만들기 위해 노력해

왔으며 개별적인 포인트 솔루션을 처할 수 있는 통합된 솔루션을 필요로 하는 고객

들의 요구에 부응해 왔습니다. 이 분야에 있어서의 마이크로소프트의 전략은 사람들

이 언제 어디서든 상관없이 친숙한 도구들을 사용하여 조직의 내부 시스템에 간편하

게 액세스할 수 있게 해 주는 안전하고 통합된 솔루션을 구축하는 것입니다.

이러한 솔루션들은 Microsoft Active Directory 서비스나 Microsoft Windows 운

체제로부터 네트워크 액세스를 통해 다양한 응용 프로그램과 서비스에까지 확 되어

모든 비즈니스 고객을 위한 종단간 보안을 제공합니다.

다음 그림은 최근 보안 솔루션 시장의 요구사항에 맞추어 포괄적 보안 기능, 통합된

솔루션, 단순한 운 관리를 제공하는 마이크로소프트의 기업 보안 솔루션의 통합 구

성도입니다.

마이크로소프트의 보안 솔루션 19

그림 5) 마이크로소프트의 통합 보안 솔루션 구성도

Microsoft Windows 운 체제

어느 솔루션을 막론하고 그 기반은 운 체제를 바탕으로 합니다. 보안을 위한 마이

크로소프트의 다년간의 노력은 Windows XP SP2와 Windows Server 2003에서

꽃을 피웠습니다. 게다가 비스타와 곧 출시될 Windows Server 2008에서는

Windows XP SP2와 Windows Server 2003이 무색해질 정도의 강력한 보안 기

능을 제공합니다.

Microsoft Active Directory

Active Directory는 마이크로소프트 사의 제품군 아키텍처에서 가장 중요한 역할을

합니다. 또한 Windows 분산 시스템을 위한 가장 중요한 구성요소입니다. 그리고 마

이크로소프트 네트워크를 보다 안전하고 관리하기 쉽게 만드는 핵심 서비스입니다.

Active Directory는 정책 기반의 관리 환경을 제공하여 관리자에게 간편한 중앙관리

의 장점을 제공하며 Outlook이나 Exchange Server 또는 Office SharePoint

Server 등을 위한 기반 인프라로도 활용됩니다.

■ 클라이언트에서의 Active Directory

Microsoft Windows 운 체제는 Active Directory의 도메인 컨트롤러와 상호작용할

수 있는 네트워크 클라이언트 소프트웨어를 포함하고 있습니다. 따라서 Active

Directory 도메인의 멤버 클라이언트는 도메인에 로그온하고 나면 네트워크 어디에

있는 자원이든지 상관없이 간편하게 찾아서 사용할 수 있으며 이 과정 동안 사용자들

은 디렉터리의 역할을 의식하지도 못합니다.

Active Directory는 사용자의 신원과 사용자가 사용하는 컴퓨터의 신원을 중앙에서

관리하여 어떤 사용자와 컴퓨터가 도메인 네트워크에서 어떤 작업을 할 수 있는지 제

어합니다.

20


■ 관리자에서의 Active Directory

관리자는 Active Directory 서비스를 활용하여 분산 환경의 전체 비즈니스 조직을

한 지점에서 간편하게 관리할 수 있습니다. 관리가 필요한 모든 개체의 정보들은

Active Directory 데이터베이스에 저장되어 있으며 이를 통해 모든 개체를 중앙에서

손쉽게 제어할 수 있습니다. 따라서 Active Directory 서비스는 규모가 큰 조직의 전

체 시스템에 한 최선의 중앙관리 인프라를 제공합니다.

■ Active Directory 구성요소

도메인

도메인은 Active Directory의 가장 기본적인 단위로서

이해를 돕기 위해 하나의 회사 네트워크를 하나의 도메

인으로 생각하시면 도메인의 개념을 보다 이해하기 쉬울

것입니다.

도메인은 Microsoft.com과 같은 고유한 도메인 이름을 필요로 하며 조직의 모든

컴퓨터와 서버, 사용자, 네트워크 디바이스와 같은 관리 개체들을 포함하는 계정

기반의 네트워크 단위입니다.

조직 관리 단위 (OU)

도메인을 하나의 회사로 간주한다면 OU는 회사내의 인

사부, 업부와 같은 부서나 서울 지사, 부산 지사와 같은

하위 조직으로 생각하면 이해에 도움이 될 것입니다.

OU는 조직의 여러 개체들, 예를 들어 사용자나 컴퓨터,

프린터, 파일 공유 등을 조직화하기 위한 컨테이너입니다.

OU는 각 OU만을 위한 중간 관리자나 정책, 설정들을 별도로 가질 수 있으며, 큰

규모의 네트워크를 보다 간편하게 관리하기 위해 전체 네트워크를 나누고자 할 때

유용합니다.

일반적으로 기업은 OU를 중심으로 보안 설정을 적용하는 것이 바람직합니다. 예

Microsoft Active Directory 21

도메인

도메인

조직단위OU

를 들어 기업은 사용자의 데스크톱 컴퓨터와 서버 및 주요 시스템들을 별개의 OU

단위로 분리하여 OU별 부서나 지점에 따른 적절한 보안 정책을 적용하면 전반적

인 보안 수준을 손쉽게 향상시킬 수 있습니다.

그룹정책

정책은 사용자 및 클라이언트 컴퓨터뿐 아니라 구성원 서버, 도메인 컨트롤러 및

도메인의 관리 범위 안에 있는 모든 Microsoft Windows 컴퓨터를 관리자가 중앙

에서 제어할 수 있도록 해주는 정책입니다.

앞의 그림은 그룹 정책 설정의 한 예로 관리자는 사용자가 사용할 수 있는 프로그

램, 사용자 데스크톱에 표시되는 프로그램, 시작 메뉴 옵션 및 컴퓨터의 보안 설정

등과 같이 관리하는 데 필요한 다양한 구성 요소를 정의할 수 있습니다.

기본적으로 조직의 모든 컴퓨터와 사용자에게 적용할 로벌 정책은 도메인 수준

으로 그룹정책을 적용합니다. 특정 조직이나 부서의 사용자 및 컴퓨터에 적용할

정책은 OU 수준으로 그룹 정책 적용합니다.

22


그림 6) 그룹 정책 개체 편집기로 정책을 편집하는 예

Microsoft Active Directory는 네트워크 자원들을 효과적으로 배포하고 관리하거나

제어하기 위한 가장 핵심적인 서비스로 전체 네트워크 시스템에 한 인증과

Single-Sign On을 제공합니다. 또한 그룹 정책을 통해서 정책 기반의 보안 구성을

조직 전반에 적용하여 전체 네트워크 시스템의 보안을 제어할 수 있습니다.

Exchange 서버를 포함한 많은 응용프로그램은 이러한 디렉터리 서비스를 기반으로

향상된 보안과 관리 환경을 활용하여 구성될 수 있습니다.

Microsoft Forefront

시스템 보안의 중요한 고려사항은 조직의 네트워크에 한 외부의 위협입니다. 공격

자의 목적이 무엇이든 간에 그들은 계속해서 조직 내부의 시스템에 액세스하려 합니

다. 그렇다고 해서 외부의 모든 연결을 차단하는 것은 유용한 방법이 아닙니다. 안전

한 원격 액세스가 필요한 사용자가 있을 수도 있기 때문입니다.

또 한가지 문제는 맬웨어로 알려진 악성 소프트웨어의 위협입니다. 슬프게도 많은 유

형의 맬웨어가 주변에 널려있습니다. 바이러스와 웜은 감염된 문서를 통해 악성코드

를 네트워크에 전파합니다. 트로이 목마와 루트킷은 종종 사용자의 행동을 모니터하

고 개인 정보를 비 리에 수집하는 스파이웨어를 은폐하는 데에 사용합니다.

마이크로소프트에서 최근 출시한 기업 환경의 보안 솔루션인 Forefront 제품군은 이

러한 위협들에 한 강력한 보호를 제공합니다. Microsoft Forefront는 다양한 규모의

비즈니스 고객들을 상으로 하는 포괄적인 보안 제품들을 위해 붙여진 마이크로소프

트의 새로운 브랜드 이름입니다. Forefront 제품군은 다음의 제품들로 구성됩니다.

■ 네트워크 경계를 보호하고 안전한 인터넷 연결을 보장

�ISA (Internet Security and Acceleration Server) 2006은 조직의 네트

워크를 보호합니다. 프로토콜 스택의 하위 계층에서 상위 계층까지 원치

Microsoft Forefront 23

않는 트래픽을 차단할 수 있고 또한 웹 페이지 캐싱 기능과 안전한 VPN

연결 기능을 제공합니다.

�IAG (Intelligent Application Gateway) 2007은 인증된 원격 사용자에게

내부 응용프로그램에 한 안전한 연결을 제공합니다. 전형적인 하위 계층

의 접근 방법이 아닌 SSL 기반의 VPN을 통해 원격 사용자가 내부 응용프

로그램에 직접 연결할 수 있습니다.

■ 주요 응용프로그램 서버를 보호하기 위한 Forefront Server Security

�Forefront Security for Exchange Server는 E-mail을 통해 전달되는

맬웨어로부터 Exchange 서버를 보호합니다. 모든 들어오고 나가는 메시

지에 해 바이러스와 스파이웨어 및 기타 위협들을 스캔합니다.

�Forefront Security for SharePoint는 SharePoint 문서 라이브러리로 들

어오고 나가는 모든 문서를 검사하여 맬웨어로부터 Windows

SharePoint Service와 Office SharePoint Server 2007를 보호합니다.

�Forefront Security for Office Communication Server는 모든 맬웨어의

위협으로부터 Office Communication Server를 보호합니다.

■ 클라이언트와 서버 운 체제를 보호

�Forefront Client Security는 데스크톱, 노트북, 서버 등의 Windows 시

스템을 맬웨어로부터 보호합니다. 이는 중앙 관리와 보고서 기능을 포함하

여 시스템에 한 맬웨어 상태의 효과적인 보기 등을 제공합니다.

다음 그림은 Forefront 제품군이 어떻게 보안 환경을 구성하는지 간단하게 보여줍

니다.

24


Forefront 제품군은 각각 특별한 역할을 수행하여 다음의 3단계 방어벽을 구축합니다.

1. 인증 받은 사용자의 안전한 원격 액세스를 허용함과 동시에 조직 네트워크

외부로부터의 위협을 방어합니다. Internet Security and Acceleration

Server (ISA)와 Intelligent Application Gateway(IAG)가 이러한 보안문제

를 해결합니다.

2. 부분의 맬웨어는 E-mail이나 파일 등을 통해 조직의 외부에서 유입됩니다.

이러한 위협을 예방하기 위해서는 Exchange Server와 같은 메일 서버와

Windows SharePoint Service와 같은 문서 저장소를 보호하는 것이 필요합

니다. Forefront Security for Exchange Server와 Forefront Security for

SharePoint는 이러한 위협을 차단해줍니다.

Microsoft Forefront 25

그림 7) Forefront 제품군의 구성요소

인터넷

ISA 2006 IAG 2007

클라이언트

맬웨어로부터Windows시스템 보호

ForefrontClient

Security

Forefront Securityfor Exchange

Forefront Securityfor SharePoint

Windows SharePointServer,

Office SharePointServer

Exchange Server

서버

방화벽, VPN,캐싱서비스제공

SSL VPN제공 Exchange

Server를맬웨어로부터보호

SharePointServer를맬웨어로부터보호

3. 네트워크의 위협을 차단하는 것은 필수적입니다. 메일 서버와 협업 서버의 보

안도 역시 중요합니다. 그러나 조직의 개별적인 컴퓨터 각각에서 맬웨어를 탐

지하고 제거하는 일이야 말로 보안 관리자가 가장 바라는 일 중에 하나입니다.

Forefront Client Security가 바로 이 일을 수행합니다.

이제 이러한 Forefront 보안 제품들에 해 좀더 깊이 들여다보도록 하겠습니다.

Internet Security and Acceleration Server (ISA) 2006

조직의 네트워크를 보호한다는 것, 특히 경계 네트워크에 한 보안을 제공한다는 것

은 많은 보안 위협을 처리한다는 것을 말합니다. 마이크로소프트가 제안하는 네트워

크 경계에 한 솔루션인 Internet Security and Acceleration Server 2006은 방

화벽, Virtual Private Network (VPN), NAT, 프록시 서비스, 웹 캐싱 기능 등을 포

함하고 있는 통합 방화벽 솔루션 입니다.

가장 표적인 ISA Server 2006의 특징은 외부에서 들어오는 수많은 악성 패킷들을

차단하는 것입니다. 또한 자주 접근하는 웹 페이지에 해 캐싱을 통해 빠른 연결을

제공해 줍니다. 이는 그 이름을 보면 알 수 있듯이 (Security � ) 방화벽과

(Acceleration� ) 프록시 서비스가 ISA Server의 가장 표적인 기능입니다. 다음의

그림에서 ISA Server의 특징을 간단하게 살펴볼 수 있습니다.

26


그림에서 보듯이 ISA Server는 방화벽 서비스를 통해 조직 내부로 들어오는 침입을

차단하는 패킷 필터를 제공합니다. Window Server 2003에 근간을 두고 있는 ISA

서버는 커널 모드에서 동작하는 방화벽 엔진과 사용자 모드에서 동작하는 방화벽 서

비스로 나뉘어져 있으며 이런 구조를 통하여 보안상 강화된 Windows Server 환경

에서 동작되게 됩니다.

또한 프로토콜 스택의 낮은 계층에서 동작하는 패킷 계층 필터링 트래픽은 방화벽 엔

진에서“빠르게”처리되며 상위 계층인 응용프로그램 계층 필터링 만이 방화벽 서비

스에서 처리되어 통과되는 구조를 가져 Layer 3 방화벽 기능으로만 사용될 때는 기

존 하드웨어 기반 방화벽과 동등한 성능을 보여줍니다.

■응용프로그램 단 트래픽 감시 기능

아마도 ISA Server의 가장 일반적인 특징은 패킷 필터일 것입니다. 이는 전통적인

방화벽의 목적이기도 합니다. 관리자는 패킷 필터를 통하여 전송자의 IP 주소와 목적

Internet Security and Acceleration Server (ISA) 2006 27

그림 8) ISA Server 2006의 특징

ISA Server 관리 콘솔

Internet Security andAcceleration Server 2006

인터넷내부

네트워크

웹 페이지캐시

정책저장소

방화벽 서비스

웹 프록시필터

SMTP필터

RPC필터

FTP필터

지의 포트를 기반으로 패킷을 차단하는 정책을 정의합니다. 여전히 패킷 필터는 방화

벽의 가장 중요한 기능 중에 하나이지만, 최근의 보안 위협에는 충분하지 않습니다.

따라서 응용프로그램 계층에 한 필터가 필요해지고 있습니다.

ISA 서버는 기존의 Layer 3 방화벽과는 다르게 실제 응용프로그램 단 컨텐츠를 검사

하여 적법한 요청만 허용할 수 있는 Layer 7 기반의 응용프로그램 계층의 필터링 기

능을 제공합니다. 따라서 ISA Server 2006은 해당 응용프로그램 서버들에 한 공

격이나 허용하지 않은 요청들을 차단하여 해당 서버들을 더욱 안전하게 운 될 수 있

도록 해줍니다.

응용프로그램 계층 필터 중에서 가장 많이 사용되는 필터는 바로“HTTP 필터”입니

다. ISA 서버에는 HTTP 트래픽 감시를 위하여“웹 프록시 필터”가 기본으로 내장되

어 있으며 다양한 기능의 HTTP 필터링을 제공합니다. 이러한 HTTP 필터가 제공하

는 기능에는 최 HTTP Request Header 길이와, 최 URL/Query 길이, 최

Payload 제어, High Bit Character 통제, Windows 실행파일 컨텐트 제한, HTTP

명령어 허용/제한, 파일의 확장자 제한, 헤더 제한, 특정 HTTP 시그니처 제한 기능

등을 포함합니다.

28


그림 9) Layer 7 기반의 강력해진 트래픽 감시

Layer 3 기반 트래픽감시

Layer 7 기반 HTTP 트래픽감시

IP HeaderSource Address,

Dest Address,

TTL,

Checksum

TCP HeaderSequence Number

Source Port,

Destination Port,

Checksum

IP HeaderSource Address,Dest Address,

TTL,Checksum

TCP HeaderSequence Number

Source Port,Destination Port,

Checksum

Application Layer Content<html><dead><meta http-

quiv=“content-type”content=“text/html;

charset=UTF-8”><title>MSNBC-

MSNBC Front Page<title><link

rel=“stylesheet”

Application LayerContent

??????????????????????????????????????????????

????

이 필터를 통해 ISA Server는 들어오고 나가는 웹 통신에 한 중계자 역할을 수행

하여 수많은 유용한 작업을 할 수 있습니다. 예를 들어, HTTP나 HTTPS로 보내진

정보를 검사하여 웹 트래픽으로 전달되는 특정 유형의 위협을 탐지하고 차단할 수 있

습니다. 관리자는 ActiveX 컨트롤을 차단하거나, 특정한 확장자의 파일에 한 다운

로드를 금지하거나 또는 특정한 HTTP 메소드만이 사용될 수 있도록 제한하는 정책

을 정의할 수도 있습니다. 필요하다면, 서드 파티 바이러스 스캐너를 장착하여 중요한

맬웨어를 차단하게 할 수도 있습니다.

■ISA Server 2006의 VPN 격리 (Quarantine) 기능

Windows Server 2003에서는 RRAS을 통하여 VPN 사용자의 ID와 암호뿐만 아니

라 특정 스크립트나 프로그램을 실행하여 VPN 클라이언트 컴퓨터를 감시하고 기업

정책에 적합한 사용자만이 조직의 모든 네트워크를 접속 가능하게 하거나 특정 시간

동안에만 접속을 가능하게 하는 기능을 제공하 습니다. ISA 서버는 이 기능을 확장

하고 강화하여 보다 완벽하고 철저하게 사용자의 접속을 제한하거나 또는 제한적인

허용을 가능케 하 습니다.


그림10) ISA 서버의 VPN격리

ISA 2006

SMB 허용

VPN터널

격리된

VPN Clients네트워크

VPN Clients네트워크

VPN

VPN

스크립트프로그램을통한 확인

확인됨

ISA 서버를 통한 이러한 VPN 격리(Quarantine) 기능은 접속자의 컴퓨터가 건강하

지 못할 경우 격리된 VPN 클라이언트로, 문제가 없을 경우 일반 VPN 클라이언트로

사용자를 논리적인 각각의 네트워크에 할당하여 접속자를 ISA 서버 방화벽의 액세스

규칙에 따라 제어할 수 있습니다.

또한 이러한 연결 제한은 일반적인 서비스 수준의 제한이 아닌 방화벽 수준의 제한이

므로 이를 우회하려는 시도 자체가 불가능하다는 장점을 가집니다.

원격 클라이언트의 VPN 접속 순서

1. 원격 클라이언트가 VPN 터널에 접속

2. ISA 서버에서 스크립트나 프로그램을 통하여 원격 사용자의 접속 제한 확인

3. 원격 클라이언트에 한 확인 절차 수행

4. 원격 클라이언트를“VPN 클라이언트”혹은“격리된 VPN 클라이언트”

로 구성

■ISA Server의 정방향 캐시/역방향 캐시 기능

ISA Server의 기능 중 부분은 이름의 일부인“Security”와 관련이 있습니다. 이름

의 다른 일부인“Acceleration”또한 중요한 캐시 기능과 관련이 있습니다. ISA

Server는 자주 사용하는 웹 페이지를 빠르게 제공하기 위해 정방향 캐시와 역방향

캐시를 제공합니다.

정방향 캐시는 내부 사용자가 인터넷에 요청한 웹 페이지와 기타 정보를 캐시합니다.

나중에 내부 네트워크의 다른 사용자가 동일한 웹 페이지를 요청하게 되면 ISA 서버

는 인터넷으로 연결하는 신 캐시된 정보를 제공하여 빠른 웹 액세스를 경험할 수

있도록 해줍니다.

역방향 캐시는, 이름에서 암시하듯이 정방향 캐시와 반 의 작업을 수행합니다. 이는

인터넷 사용자가 조직에서 게시한 웹 서버에 요청한 웹 페이지와 기타 정보를 캐시합

니다. 조직의 웹 서버에 자주 요청되는 웹 페이지는 ISA Server가 직접 캐시된 내용

30


을 전달해서 인터넷 사용자에게 빠른 응답시간을 제공해줍니다. 캐시를 통해서 ISA

Server는 네트워크 성능을 향상시킬 수도 있습니다.

■강력한 보안 기능

ISA 서버는 매우 기초적인 IPS/IDS 기능을 포함하여 서비스 거부 공격 (DOS)으로부

터의 보호, 공격/침입 탐지, IP 옵션 필터링 등을 제공합니다.

또한 장애나 기타 다른 이유로 ISA 서버의 방화벽 서비스가 중단되는 일이 발생하더

라도, ISA 서버는 잠금 모드로 되어 가장 기본적인 몇 가지 트래픽을 제외하고 모든

트래픽을 차단하는 안전한 보안 기능을 제공합니다.

이는 방화벽의 장애로 인해 발생할 수 있는 네트워크의 보안 위협으로부터 조직을 안

전하게 보호합니다.


그림 11) ISA의 IPS/IDS 설정 (좌), IP 옵션 (우) 설정화면

■간편한 관리와 높은 수준의 로그 기능

보안 문제의 95%는 사용자의 잘못된 설정으로 발생한다는 CERT의 2002년도 보고

에서와 같이 방화벽의 가장 큰 문제 요소 중에 하나도 바로 미숙한 관리자로 인한 잘

못된 설정입니다. 그러나 ISA 서버는 Forefront의 다른 제품들처럼 친숙한 GUI 환경

을 기반으로 하는 매우 간단하고 명확한 관리 모듈을 제공하여 관리자가 실수할 수

있는 설정 오류를 최소화합니다.

ISA 서버는 웹 서버 게시, 서버 게시, 메일 서버 게시 마법사들을 제공하여 복잡한

“서버 게시”규칙 생성을 매우 간단하게 할 수 있습니다. 특히 Exchange 서버 게시

의 경우 독자적인 마법사 기능을 통하여 단 몇 번의 클릭만으로도 Outlook Web

Access, Outlook Mobile Access, RPC 등의 게시를 가능하게 하 습니다.

관리 콘솔의 실시간 모니터링과 보고서 기능을 통해 누가 어디에 연결하고 어떤 종류

의 공격이 발생하는지, 시스템의 상태가 어떠한지를 아는 것은 조직의 네트워크 경계

에 한 보안에서 가장 기본적인 작업입니다. 그러나 이러한 도구도 사용하기 어렵다

면 사실 쓸모가 없다고 볼 수 있습니다.

32


그림 12) ISA Server 2006의 관리 인터페이스

툴박스 네트워크템플릿 작업바

정책 편집기

마법사

ISA 서버 관리 콘솔에서는 ISA 서버의 전체적인 상황을 볼 수 있는 시보드, 문제점

이나 기타 사항을 관리자에게 알려주는 경고, 현재 연결되어 있는 모든 세션을 보여

주는 세션, ISA 서버와 관련 서비스들의 구동 상태를 보여주는 서비스, 보고서를 생

성할 수 있는 보고서, 여러 서비스들의 현재 상태를 설정하여 확인할 수 있는 연결,

그리고 실시간 로그를 볼 수 있는 로그 탭을 제공합니다.

ISA 서버는 설치될 때 기본적으로 Microsoft SQL Desktop Engine (MSDE)를 설

치하여 해당 데이터베이스에 모든 로그를 저장합니다. 이를 통하여 실시간 로그를 확

인할 수 있으며, MSDE의 한계상 로그의 크기가 2GB보다 더 커지면 새로운 파일을

생성하는 구조를 가집니다. 이 외에도 여러 의 ISA 서버를 위한 통합 로그를 지원

하는 SQL 서버 로깅, 그리고 텍스트 파일을 통한 로깅 방법을 지원하여 보다 높은

수준의 관리 기능을 제공합니다.


그림 13) ISA 관리 콘솔의 세션과 로그 화면

ISA 관리 콘솔의 세션, 보고서 탭

ISA 관리 콘솔의 로그 탭

■하드웨어 어플라이언스(Appliance)로도 제공되는 ISA Server

ISA Server는 조직의 다양한 요구사항을 만족시키기 위해서 두 가지 형태로 제공됩

니다. 하나는 어떠한 Windows Server 2003에서도 동작할 수 있는 소프트웨어의

형태이고, 또 한가지는 하드웨어 어플라이언스로 구성된 패키지의 형태입니다.

특히 하드웨어와 패키지로 구성된 옵션은 강력한 보안 구성의 Windows Server

2003을 기반으로 하여 ISA 서버가 미리 설치된 상태로 다양한 벤더로부터 제공되고

있습니다. 게다가 많은 벤더들이 여기에 프로토콜 가속기, 안티바이러스 게이트웨이,

또는 컨텐트 필터링과 같은 그들만의 서비스를 추가하여 보다 강력한 솔루션을 제공

할 수 있습니다. 따라서 고객들은 다양하고 강력한 보안 기능을 가진 ISA 시스템을

간단히 전원코드와 랜 케이블을 연결하는 것만으로도 손쉽게 운 할 수가 있습니다.

34


Intelligent Application Gateway (IAG) 2007

VPN은 원격 사용자가 조직의 내부 시스템에 안전하게 연결할 수 있도록 해주는 좋

은 방법입니다. ISA Server에서도 제공되는 방법이지만, 원래 VPN은 네트워크 스

택의 하위 계층에서 동작합니다. 또한 클라이언트 컴퓨터에 VPN 클라이언트 소프트

웨어가 설치되어야 합니다. Windows 시스템도 이 소프트웨어를 포함하고 있지만,

ISA Server를 이용해 하위 계층의 VPN 통신을 구성하는 것이 쉽다고만은 할 수 없

습니다. 여전히 이러한 유형의 VPN은 사용자가 설정하는데 어려움을 겪는 경우가

많습니다.

원격 사용자가 안전하게 내부 네트워크에 연결하기 위한 좀 더 쉬운 방법은 없을까

요? 최근 몇 년 사이 각광을 받고 있는 다른 유형의 VPN이 있습니다. 그것이 바로

SSL VPN입니다.

PPTP와 같은 특별한 하위 계층의 프로토콜을 사용하는 신, 전송되는 정보를 암호

화하기 위해 SSL에 의지해보는 것은 어떨까요? 왜냐하면 모든 웹 브라우저는 SSL을

지원하며 모든 사용자는 브라우저에 친숙하기 때문입니다. 이 방법은 IT 직원과 사용

자 모두를 편하게 해 줄 것입니다.

이것이 바로 IAG 2007이 제공하는 기능입니다. IAG는 현재 소프트웨어와 하드웨어

가 패키지로 구성된 어플라이언스로만 제공되고 있습니다. IAG는 조직의 내부 네트

워크에 원격 사용자가 SSL VPN을 통해 연결할 수 있도록 해줍니다. IAG 어플라이

언스는 또한 ISA Server 2006을 포함하고 있어서 방화벽과 프록시, 캐싱 및 전형적

인 VPN 서비스도 제공해줍니다.

다음 그림은 IAG의 기능을 간단하게 보여줍니다.

Intelligent Application Gateway (IAG) 2007 35

사용자가 IAG를 통해서 내부 네트워크에 연결하려 하면, IAG는 이 원격 사용자를 검

사합니다. IAG는 사용자가 조직에서 관리하는 신뢰하는 컴퓨터에서 연결하고 맬웨어

에 감염되지 않았는지, 아니면 인터넷 카페의 공용 컴퓨터에서 연결하는지를 확인하

고 다양한 수준의 연결을 허용하거나 제한하는 정책을 적용합니다. 예를 들어, 사용자

의 컴퓨터에 안티바이러스 소프트웨어가 없다면 IAG의 정책으로 인해 사용자는 어떠

한 파일도 업로드할 수 없도록 제한될 수 있습니다. 또한 사용자가 인터넷의 공용 컴

퓨터에서 중요한 정보를 부주의하게 남겨놓지 않도록 해 줍니다. IAG는 Cleanup 에

이전트를 수행하여 사용자와의 세션 동안 로컬 컴퓨터에 캐시된 어떠한 정보도 삭제

할 수 있습니다.

■기존의 VPN인 IPSec VPN과 SSL VPN의 차이점은 무엇인가?

기존의 VPN은 IPSec을 기반으로 하고 있습니다. 이러한 VPN의 주용도는 사이트 투

사이트 (Site-to-Site) 보안 통신과 사이트 투 클라이언트(Site-to-Client) 보안 통신

입니다. 이 중에 Site-to-Site 보안 통신은 네트워크의 두 종단 지점에 각각 IPSec

VPN을 배치하고 양쪽의 VPN 서버를 통하여 안전한 통신을 수행하게 해줍니다. 이

방법은 매우 안정적인 보안 서비스를 제공합니다. 반면 Site-to-Client 통신은 조직

의 종단에 IPSec VPN을 배포하고 원격 VPN 클라이언트 마다 VPN 클라이언트 소

프트웨어를 설치하여 연결하는 방식입니다. 이 방법은 원격 클라이언트 컴퓨터마다

일일이 VPN 소프트웨어를 설치해야 하고 또한 관리와 유지가 어렵다는 이유로 문제

36


그림 14) Intelligent Application Gateway 2007

원격사용자브라우저

Intelligent Application Gateway 2007

Intelligent Security andAcceleration Server 2006

인터넷 또는다른 외부네트워크

내부 네트워크

가 많았습니다.

즉, Site-to-Client 보안 통신은 사용자 액세스를 위해 사용자의 데스크톱이나 노트

북에 반드시 VPN 소프트웨어가 설치돼야만 VPN 접속이 이루어질 수 있다는 점이

중요한 장애가 되었습니다. 따라서 새로운 개념의 액세스 솔루션이 필요하게 되었고

VPN소프트웨어를 설치하지 않아도 되는 새로운 SSL-VPN 기술이 선보이게 되었습

니다.

SSL-VPN은 클라이언트가 웹 브라우저만 있으면 어디서든 간편하게 VPN에 접속할

수 있다는 점과 사용자들이 별도의 장비나 소프트웨어를 설치할 필요가 없이 조직의

내부 시스템에 간편하게 연결할 수 있으므로 IPSec VPN에 비해 관리 및 운 이 편

리하고 비용 절감의 효과도 있습니다.

그러나 SSL VPN은 IPSec VPN이 제공하는 Site-to-Site 연결 방식을 지원하지 않

습니다. 이는 IAG 2007과 통합되어 있는 Microsoft ISA Server 2006을 통해서 해

결할 수 있습니다.

다음은 IAG 2007이 제공하는 뛰어난 응용프로그램 게이트웨이 기술 및 기능들을 소

개합니다.

■원격 사용자에 한 강력한 응용프로그램 지원

IAG 2007은 모든 종류의 응용 프로그램 (웹 기반 응용 프로그램, 클라이언트/서버 및

레거시 응용 프로그램(터미널 서비스나 텔넷 등))에 원격 액세스 기능을 제공합니다.

■전자 메일에 한 원격 액세스 기능

많은 기업들이 실제로 SSL VPN 기술을 활용하고 있습니다. 그 중 첫 번째가 전자

메일에 한 원격 액세스입니다. 응용 프로그램 중심의 최적화 프로그램이 Microsoft

Exchange나 IBM Lotus Domino 같은 일반적인 생산성 응용 프로그램에 한 안전


한 원격 액세스 실행을 간소화하고, 기업이 웹 기반 원격 액세스 환경으로 쉽게 전환

할 수 있게 도와 줍니다.

■응용 프로그램 수준의 통신 기능

많은 SSL VPN 업체들이 응용 프로그램 수준의 통신을 지원한다고 주장하고는 있지

만, 실제로 복잡한 응용 프로그램을 지원해야 할 경우 부분이 네트워크 계층 연결

을 통한 터널링 데이터에 의존합니다. 그리고 그 결과 원격 장치들이 종종 기업 네트

워크에 직접 연결되며, 기업 소유가 아닌 기기나 기업이 통제하지 못하는 기기들로부

터의 액세스가 상당히 심각한 보안 우려를 낳곤 합니다. 게다가 연결을 실행하기 위

한 구성 요소를 다운로드 해야 하기 때문에 비호환성 문제가 야기될 수 있으며(상당

수의 끝점들이 구성 요소 다운로드를 허용하지 않을 것입니다), 사용자들이 연결에 실

패했을 경우 지원 및 헬프 데스크 비용도 발생하게 됩니다.

그러나 IAG 2007은 네트워크 수준의 통신 방식에 의존하지 않습니다. 네트워크 수준

의 통신 방식은 사실 선택 사항으로 제공될 뿐, 실제 기업에 다른 SSL VPN들이 존

재할 경우에는 복잡한 응용 프로그램들에 한 액세스 기능 지원을 위해 그다지 사용

이 권장되는 방식은 아닙니다.

IAG 2007은 진정한 응용 프로그램 수준의 액세스 방식을 제공하며, 플랫폼의 융통성

이나 솔루션의 기본 응용 프로그램 인텔리전스 기술로 인해 심지어 비 표준 응용 프

로그램들에까지도 동일한 기능을 제공할 수 있습니다.

■응용 프로그램 인텔리전스 및 응용 프로그램 최적화 프로그램

응용 프로그램 인텔리전스는 Intelligent Application Optimizers라고 알려져 있는

독립 실행형 소프트웨어 모듈을 위한 기반으로, 이 Intelligent Application

Optimizers는 보안과 원격 액세스 기능 향상을 위해 사전 구성되어 제공됩니다. 응

용 프로그램 작동 내용에 한 세 한 관찰과 연구의 결과물이라 할 수 있는 이런 최

적화 프로그램과 클라이언트 구성 요소의 사용은 사전 정의된 논리를 캡슐화하고 특

정 응용 프로그램을 위해 기본 설정과 그 값들을 통합합니다.

38


최적화 프로그램은 각 기업의 특정 요구 사항에 부합하도록 액세스 기능을 사용자 지

정하는 직관적인 마법사 중심의 정책 관리 인터페이스를 제공하고, 관리자들이 복잡

한 구성과 정책 설정들에 많은 시간을 할애하지 않아도 되도록 도와 줍니다.

Microsoft SharePoint Portal Server를 위해 개발된 Intelligent Application

Optimizer가 하나의 예입니다. 이는 웹 포털과 Microsoft Office 간의 완벽한 통합을

제공하여, 원격에서도 문서를 마치 로컬 파일 서버에서처럼 SharePoint 서버 상에서

열어서 편집하고 저장할 수 있게 해 줍니다.

SharePoint Portal Server의 웹 서비스 클라이언트 쪽 구성 요소는 SSL VPN 인증

을 인식하지 못합니다. 특히 이 구성 요소는 웹 프록시의 역할을 하는 SSL VPN 도

구를 사용해 동일한 방식으로 작동하는 것으로 나타났습니다.

결국 SSL VPN 게이트웨이는 웹 서비스 요청들을 인증되지 않은 것으로 판단하여

거부합니다. 웹 서비스가 SharePoint Portal Server에 액세스할 수 있도록 SSL

VPN 업체에서 할 수 있었던 유일한 일은 네트워크 수준의 연결을 수립하는 것이었

습니다. 그러나 이 작업은 상당히 위험하며, 신뢰되지 않는 끝점에서 사용한다는 사실

이 확실히 안전하진 않습니다. 게다가 이는 다른 SSL VPN 기능들의 정상적인 작동

을 방해할 수도 있습니다.

IAG 2007의 SharePoint Application Optimizer는 SSL VPN 게이트웨이와 클라이

언트 쪽 모두에서 응용 프로그램 액세스 정책을 실행합니다. 첨부제거 (Attachment

Wiper)와 함께 최적화 프로그램은 SharePoint Portal Server에 한 안전한 웹 연

결을 가능하게 해 주고, 어디서든 완벽한 문서 공동 작업이 가능하게 만들어 줍니다.

■IAG 2007의 비 HTTP 응용 프로그램 통신 방식

IAG 2007은 두 가지 방식으로 SSL을 통해 비 HTTP 트래픽을 전송합니다.

1. 포트 전송: SSL VPN 구성 요소는 각 응용 프로그램에 한 특정 로컬 주소

와 포트에서 트래픽을 수신하며, 응용 프로그램이 실제 응용 프로그램 서버

주소가 아닌 이 주소로 트래픽을 전송하게 만듭니다. 그럼 SSL VPN 클라이


언트가 SSL 내에서 트래픽을 터널링하고 이를 SSL VPN 게이트웨이로 전송

합니다. 포트 전송은 SSL VPN이 응용 프로그램 관련 지식을 가지고 있고

적절한 보안 기능들을 제공하기 때문에 상당히 안전합니다.

2. 소켓 전송: SSL VPN 클라이언트 구성 요소는 Microsoft Winsock 서비스

공급자 인터페이스에 연결되고 Windows LSP/NSP (Layered Service

Provider/Name Space Provider) 인터페이스를 사용해 하위 수준의 처리

능력을 제공합니다. NSP는 내부 서버 이름을 터널링할 수 있도록 그 이름을

확인하는 데 사용됩니다. 소켓 전송의 가장 큰 보안상 이점 중 하나는 SSL

VPN 클라이언트가 트래픽을 생성한 사용자와 프로세스를 확인할 수 있고,

적절한 응용 프로그램용 보안 매개 변수를 설정할 수 있다는 점입니다. 더불

어 모든 트래픽을 SSL VPN 게이트웨이로 트래핑하고 전송함으로써 분할

터널링을 피할 수 있습니다. 소켓 전송은 다음과 같은 이유들 때문에 가상

네트워크 어댑터를 생성하는 방식(다른 SSL VPN들이 부분 실행하는 방

식)보다 훨씬 안전합니다:

a. 가상 네트워크 어댑터를 생성하고 네트워크 수준의 정보를 터널링함으로서

네트워크 보안 문제를 피할 수 있습니다. SSL VPN은 네트워크 수준 액세

스가 안전하게 이루어질 경우(더불어 그러한 기능을 제공하는 SSL VPN이

없을 경우) 네트워크 방화벽에 의해서 수행되는 것과 유사한 상태 저장 검

사를 수행해야 할 것입니다.

b. 가상 어댑터가 개 커널 모드에서 구현되기 때문에 터널링된 트래픽을 특

정 응용 프로그램과 연결시키거나 응용 프로그램에 충실한 보안이나 사용

자를 위한 보안을 제공하는 것이 그리 쉽진 않습니다. 그리고 이러한 약점

으로 인해 Windows XP 같은 다중 사용자 환경에서는 다른 사용자가 열

어 놓은 SSL VPN 터널에 액세스할 수 있는 경우도 있을 수 있습니다. 그

러므로 이미 앞에서도 설명했듯이, 가상 네트워크 통신은 기업의 통제 하

에 있지 않은 기기에서는 결코 사용해선 안됩니다.

40


■강력한 파일 액세스 기능

원격 액세스 솔루션의 가장 중요한 기능 중 하나가 바로 사용자들이 원격에서도 사무

실의 다른 리포지토리나 드라이브에 저장되어 있는 파일들에 액세스할 수 있게 해 준

다는 것입니다. IAG 2007은 다음과 같은 두 종류의 원격 파일 액세스 방식을 지원합

니다.

1. 원격 드라이브 매핑 - IAG 2007은 사무실에서 작업할 때 사용자들이 사용

하는 것과 유사한 명명 방식과 문자 구분 방식을 파일 공유 작업에 제공합니

다. 드라이브 매핑 기능은 SSL Wrapper를 활용하여 네트워크 수준의 통신

을 통하지 않고도 클라이언트 기기로부터 네트워크 상의 허용된 드라이브로

의 매핑이 이루어질 수 있게 합니다. 사용자들은 마치 LAN 상에 존재하는

것처럼 네트워크 파일들에 한 작업을 수행할 수 있게 되며(예, X:\ 드라이

브에 액세스), 특정 파일 공유로의 네트워크 연결을 요청하는 클라이언트 응

용 프로그램을 사용할 수도 있습니다. LAN에 하위 수준 연결을 수립함으로

써 그와 같은 액세스 능력을 제공하는 다른 모든 SSL VPN과 달리, IAG

2007은 Smart Port Forwarding Technology을 사용해 연결을 수행하고,

네트워크 수준의 통신을 설정할 필요도 없습니다. 따라서 보안에 한 염려

없이 협력업체나 어느 정도 신뢰가 가능한 상 방에 파일 액세스를 제공할

수 있습니다.

2. 파일 액세스 GUI - 인터넷 익스플로를 통한 액세스와 더불어 IAG는 표준 웹

브라우저에서 액세스할 수 있는 강력한 Explorer 형식의 인터페이스를 지원

합니다. 액세스는 Novell과 마이크로소프트 파일 시스템 모두에 해 가능합

니다.

다음 그림에서 볼 수 있듯이 다양한 파일 관리 기능들이 제공됩니다.


■원격 사용자를 위한 암호 관리

바람직한 보안 정책들은 정기적으로 암호를 변경할 것을 요구합니다. 예를 들어 회사

에서 오래된 암호를 만료시킴으로써 사용자들에게 몇 달에 한 번씩은 강제적으로 암

호를 변경하도록 하는 경우, 사용자들은 사무실에서 근무하든지 원격에서 시스템을

사용하든지 여부에 상관없이 액세스 권한을 상실하기 전에 반드시 자신들의 암호를

변경해야 할 것입니다.

IAG 2007은 원격 암호 관리 기능을 지원합니다. 이 기능은 암호 만료 시기가 가까워

오면 이를 원격 사용자들에게 알려 주고, 직원들이 어떤 브라우저를 통해서든 암호를

변경할 수 있게 해 줍니다. 뿐만 아니라 RSA SecureID 같은 기술에 한 토큰 PIN

들을 원격에서도 재설정할 수 있습니다.

암호 관리와 관련된 바람직한 정책들을 적용함으로써 얻을 수 있는 보안 상의 이점들

외에도, IAG 2007이 제공하는 다양한 암호 관리 기능들은 암호 만료 기능을 통해 지

원 부서의 업무 부담을 줄여 줍니다. 이제 직원들은 원격에서도 헬프 데스크나 IT 부

서의 도움 없이 스스로 암호를 변경할 수 있습니다.

다음은 IAG 2007의 관리 기능에 해서 살펴봅니다.

42


■구성을 간편하게 해 주는 응용 프로그램 모듈들

IAG 2007은 일반적인 기업 응용 프로그램에 액세스 기능을 간편하게 구현할 수 있

게 해 주는 모듈들을 지원합니다. 관리자들은 다른 SSL VPN에서처럼 복잡한 기술

구성들로 인해 어려움을 겪는 신 제공되는 목록에서 필요한 응용 프로그램을 선택

하기만 하면, IAG 2007이 구성의 부분을 자동으로 해결해 줄 것입니다. IAG

2007은 비 표준 백 엔드 응용 프로그램 구성이 존재하는 경우를 위해 구성 내용을

직접 수정할 수 있는 기능도 제공합니다.

■웹 기반 모니터

웹 기반 이벤트 모니터는 전체 시스템 상태를 보여 주고 특정 사용자 세션 이벤트에

한 스냅샷 보기를 제공합니다. 이벤트 모니터는 모니터 도구로서, 그리고 자체적인

Intelligent Application Optimizer를 갖춘 SSL VPN 지원 응용 프로그램으로서 시

스템 안에 통합됩니다. 그리고 이를 통해 관리자들은 로컬 관리는 물론 안전한 원격

관리에 한 융통성을 확보하게 됩니다.

이벤트 모니터만의 고유한 모니터링 도구인 세션 스냅샷 모니터는 관리자들이 사용자

작업을 검사하고 실시간으로 사용자 세션을 살펴 볼 수 있게 해 줍니다. 이는 수천 명

의 동시 사용자들을 관리하는 기업 수준의 SSL VPN 솔루션에 매우 필수적인 도구

라 하겠습니다.

■로깅

이벤트 로거(Event Logger)는 다양한 도구와 출력 형식으로 이벤트와 관련된 게이

트웨이에 한 사항들을 기록하고 보존합니다. 이벤트 로그를 사용해 관리자는 시스

템 사용과 사용자 작업 및 보안 이벤트에 관한 요청 경고들에 한 정보를 수집할 수

있습니다.


다음과 같은 이벤트 로깅 보고 도구들이 지원됩니다:

�기본 보고 기능은 이벤트 모니터와 보고 생성자가 사용하는 내부 형식으로 이

벤트를 기록합니다. 관리자는 이벤트 쿼리(Event Query)를 사용해 형식이나

시간 등에 따라 이벤트를 필터링하고 보고서를 작성할 수 있습니다.

�RADIUS 보고 기능은 RADIUS Accounting 서버에 이벤트를 전송합니다. 이

서버는 외부 RADIUS Accounting 서버가 될 수도 있고, 또는 Microsoft

Internet Authentication Server (IAS)가 될 수도 있습니다

�Syslog 보고 기능은 외부의 업계 표준 Syslog 서버에 이벤트를 보고합니다.

�Mail 보고 기능은 SMTP 서버를 통해 특정 이벤트에 따른 전자 메일 메시지들

을 전송합니다.

■보고서

이벤트 로깅 보고 기능을 통해 기록된 이벤트들은 검색이 가능합니다. IAG 2007은

다양한 매개 변수를 통해 필요한 이벤트들을 선택하고 필터링하여 정렬할 수 있는 강

력한 도구를 제공합니다. 관리자는 보고서를 화면에 띄우거나 향후 데이터 수정을 위

해 Microsoft Excel 형식으로 전환하거나 출력할 수 있습니다. 예를 들어, 관리자는

사용자가 가장 몰리는 시간에 시스템에 로그인한 사용자의 수를 산출하거나 시간에

따른 시스템 사용 동향을 보여 주는 차트를 작성할 수 있습니다.

■IAG 2007의 첨부 제거(Attachment Wiper) 기능

SSL VPN의 중요한 목적 중 하나는 언제 어디서든지 인터넷이 연결된 곳이라면 조

직 네트워크에 안전한 액세스를 허용하는 것이라 말할 수 있습니다. 회사의 직원이

자신이 어디에 있든지 빠르고 효율적으로 회사 업무를 수행할 수 있도록 하려면 그

어디 중엔가에서 발생할 수 있는 위험에 비해야만 합니다.

일반적으로 인터넷에 연결할 수 있는 장소는 아래와 같습니다.

44


�공항에서 이용하는 키오스크

�식당이나 패스트푸드에서 이용하는 키오스크

�집에서 사용하는 관리되지 않는 컴퓨터

�호텔, 공항, 박람회 등의 네트워크에서 연결한 관리되지 않는 노트북

�애플이나 리눅스 컴퓨터와 같이 운 체제가 안전하기 때문에 더 이상의 보안

을 신경쓸 필요가 없다고 잘못된 인식을 가진 사용자가 사용하는 컴퓨터

언제 어디서든 조직 네트워크에 액세스를 허용하는 시나리오에서는 앞에서 나열한 안

전하지 않은 장소로부터 발생하는 위험을 예방하기 위한 일련의 책이 필요합니다.

IAG 2007은 첨부 제거 응용프로그램을 통해 이러한 문제점을 해결합니다. 첨부 제거

의 목적은 세션이 종료된 후에도 다른 사람이 더 이상 그 SSL VPN 세션을 사용할

수 없게 합니다.

첨부 제거(Attachment Wiper)는 이른바“가상 분쇄기”입니다. 사용자 세션이 종료될

때 이는 해당 세션을 진행하는 동안 생성된 액세스 장치로부터 모든 세션의 흔적을

지웁니다. 이는 다음과 같은 경우에 작동합니다:

�사용자가 로그오프 할 때.

�일정 시간 사용하지 않은 후 제한 시간이 되었을 때.

�정해진 로그오프 시간이 지났거나 사용자가 재 인증하지 않아 자동으로 로그오

프 될 때.

�브라우저가 손상되었을 때.

�사용자가 웹 브라우저를 닫을 때.

�시스템이 종료될 때.

브라우저가 손상되거나 시스템이 종료된 후에도 보안이 유지되도록 하는 첨부 제거의

기능은 중요한 데이터가 비정상적인 상황에서도 결코 누출되지 않도록 한다는 것을

의미합니다


첨부 제거(Attachment Wiper)는 다음과 같은 내용들을 삭제합니다:

�사용자 세션 중 첨부 파일을 열었을 때 만들어지는 임시 파일들.

�IBM Lotus Domino Web Access (iNotes)와 Citrix Metaframe에서 사용하

는 것과 같은 비 표준 캐시들을 비롯해 사용자 세션 중에 생성된 브라우저 캐

시 항목들.

�사용자 세션 중에 파일이나 기타 메커니즘을 다운로드 할 때 생성된 임시 파

일들.

�AutoComplete를 위해 기억된 URL 항목들.

�AutoComplete를 위해 기억된 양식 필드 컨텐트.

�사용자 세션 중에 생성된 쿠키들.

�사용자 세션 중에 생성된 모든 기록 정보.

�사용자 세션 중에 브라우저에 기억된 모든 사용자 자격 증명.

첨부 제거(Attachment Wiper)는 매우 뛰어난 기능이며, 사용자의 SSL VPN 세션

중에 생성된 정보들만을 삭제합니다. 다른 임시 파일이나 쿠키 등은 그 로 보존됩

니다.

더불어 첨부 제거(Attachment Wiper)는 기본적으로“파일 분쇄(file shredding)”모

드에서 실행되며, 모든 삭제 작업이 DoD 5220.22-M 표준을 준수하고 특별한 전자

적 장치를 통해 데이터를 복원하지 못하도록 합니다. 파일 분쇄 기능은 또한 HIPAA

및 GLB 규제들을 준수합니다.

또한 IAG 2007에는 첨부 제거(Attachment Wiper)가 실행되는 시기나 IAG 2007이

이것이 실행될 수 없는 상황들을 해결하는 방법 등을 규정하는 정책들이 수립될 수도

있습니다.

■모든 내부 참조 자료들의 암호화

인터넷을 통해 내부 응용 프로그램에 액세스하는 것에 있어 기술적으로 가장 크게

46


문제가 되는 것은 응용 프로그램 내에 있는 내부 참조 자료들입니다. 데이터와 코드

및 링크들이 인터넷 상에서는 작동하지 않는 시스템 명명 규칙을 사용할 수도 있습

니다. 모든 SSL VPN들이 그러한 참조 자료들을 변환하는 기술을 제공함에도 불구

하고, 실제 그러한 변환 알고리즘과 그 실행 방식은 각기 매우 독특합니다. IAG

2007의 호스트 주소 변환 엔진은 내부 네트워크와 관련된 모든 정보를 암호화하여

외부 사용자가 전혀 이를 볼 수 없게 함으로써 내부 리소스들에 한 공격 시도를

사전에 차단합니다.

■안전한 로그오프

자격 증명이 액세스 기기에서 캐시되는 것을 막기 위해 IAG 2007은 특허 출원중인

Secure Logoff 기술을 사용합니다. 이 혁신적인 독점적 메커니즘은 IAG 2007에서

“HTTP Basic Authentication”을 체하는 기능으로 사용되며, 악의적인 사용자가

사용자 세션을 복원할 가능성 자체를 없애 버립니다.

■응용 프로그램을 인식하는 일방적이지 않은 비활성화 시간 제한

(Inactivity Timeouts)

비활성 시간 제한은 브라우저 쪽 보안을 위해 필요한 항목으로, 로그오프를 등한시하

는 사용자들의 부주의로부터 기업을 보호합니다. 시간 제한을 설정하는 것은 이를 제

로 지키는 사용자들에게는 오히려 불편을 초래할 수도 있습니다. SSL VPN이 장문

의 전자 메일 메시지를 작성하고 있거나 분량이 상당한 웹 양식을 작성하고 있는 동

안 사용자를 자동으로 로그아웃 시켜 그 동안의 작업을 잃어 버리게 만들 수도 있기

때문입니다.

이러한 문제점을 해결하기 위해 IAG 2007은 일방적이지 않은 시간 제한 방식을 사

용하는 데, 이는 비활성화 제한 시간이 거의 다 되었음을 사용자들에게 미리 알려

주는 방식입니다. 그럼 사용자는 이를 인식하고 자동 로그아웃을 막을 수 있는 것입

니다


IAG 2007은 또한 일방적이지 않은 강제적인 기간 재인증 기능도 제공합니다. 관리자

가 설정한 시간이 경과하면 사용자는 작업을 재개하기 위해 다시 자격 증명을 제시해

야만 하는 데, 이 때 이들이 정확하게 마지막에 하던 작업으로 다시 돌아 갈 수 있게

해 주는 것입니다. 심지어 웹 양식을 작성하고 있던 도중이었다고 하더라도 말입니다.

그러나 사용자들이 자격 증명을 제시하지 않으면 세션은 종료되고 첨부 제거기능이

활성화될 것입니다.

IAG 2007에서 사용하는 시간 제한 기능은 자동 브라우저 요청과 실제 사용자 작업

을 구분하여, 브라우저의 데이터를 자동 새로 고침 요청 기능을 활용해 최신 상태로

유지하는 응용 프로그램을 사용하고 있는 사용자 세션마저도 아무런 사용자 작업이

감지되지 않는 경우 종료되도록 합니다. 다른 SSL VPN 제품들은 종종 사용자와 브

라우저를 통한 컴퓨터 고유의 작업을 구분하지 못하여, 그러한 세션들을 무한정 활성

화된 상태로 방치하곤 합니다.

■업무적 필요 조건들을 충족시키는 끝점 정책 준수

SSL VPN이 기업의 통제 하에 있지 않은 컴퓨터로부터도 액세스가 가능하다는 점에

서 많은 이점을 제공하고 있기 때문에, 기업은 반드시 특정 장치에서 실행 가능한 액

세스 수준을 통제하는 끝점 보안 정책을 수립해야만 합니다.

액세스 장치를 통제하는 기업 보안 정책들은 개 사용자들이 특정 비즈니스 기능을

수행할 수 있도록 하기 위해 액세스 장치 상에서 반드시 충족시켜 줘야 하는 일련의

조건들을 제시합니다. 그러나 사실 현재까지 SSL VPN은 그러한 정책들을 완벽하게

적용해 오고 있진 못합니다. 그 보다는 오히려 끝점의 상황에 따라 전체 세션 - 특정

기능이 아닌 - 에 한 액세스를 제한하는 능력 정도만을 제공하고 있을 뿐입니다.

그리고 그 결과 액세스가 불필요하게 그 기능을 제한당하고 있습니다.

예를 들어, 사용자가 바이러스 백신도 갖추지 않은 신뢰되지 않는 기기에서 SSL

VPN에 액세스한 경우, 파일의 업로드는 막고 다운로드만을 허용하는 신 사용자들

은 파일에 한 액세스 자체를 거부당하게 되거나(생산성이 저하되고 불편함만 커짐),

반 로 전체 파일 시스템에 한 액세스 권한을 부여 받게 됩니다(회사 전체를 바이

48


러스에 감염될 위험에 노출시킴). 게다가 응용 프로그램에 관한 추상적 개념의 도입은

SSL VPN과의 비호환성만을 초래할 뿐이었습니다. 예를 들어, SSL VPN에 임시 파

일들을 삭제하는 일이 확실하지 않은 경우“전자 메일 메시지의 첨부 파일 다운로드

를 금지하라”고 한다거나 세션 제한 시간을 산출하기 위해 사용자 작업을 검토하고

있을 때의“자동 새로 고침 요청은 무시하라”라는 내용을 지시할 방법이 없었습니다.

IAG 2007은 앞서 언급한 내용들 이외에도 다음과 같은 몇 가지 끝점 보안 기능들을

제공합니다:

1. 기기를 확인하고 보안 정책들을 적절하게 설정하기 위해 사용자들이 IAG

2007에서 클라이언트 인증서를 다운로드 할 수 있습니다(보안 정책상 이것

이 허용되는 경우). 관리자들은 인증서를 요청하는 사람이나 인증서가 자동

으로 생성되는가의 여부, 또는 인증서 제공이 즉각적으로 이루어지는가 내

지는 지연되는가에 따라 다양한 정책들을 수립할 수 있습니다. 인증서는 다

음 액세스 세션 때 IAG 2007에 기기가“신뢰”할 수 있으며 적절한 보안 정

책(예, 신뢰되지 않는 기기들에 비해 더 많은 혜택을 제공한다든지 하는 내

용)이 실행되고 있다는 사실을 알려 주기 위해 제시될 수 있습니다. 또 IAG

2007은 특정 파일이나 레지스트리 값, 하드웨어 장치(SmartCards나 USB

토큰) 등을 상으로 클라이언트 기기를 검사하여 시스템이“신뢰되는”장치

인지 여부를 판단합니다.

2. 기업 정책이 원격 사용자는 iPass와 같은 특정 서비스 공급자만을 이용해

야 한다는 내용을 담고 있고 이를 실행하고 있다면, IAG 2007이 전화 접속

연결 특성들을 다양화하고 적절하게 액세스 허용 여부를 결정할 것입니다.

3. 기기의 보안 수준이 인정할 만한 것이라고 판단되면, IAG 2007은 액세스

장치를 검사하여 기업이 정한 정책에 어느 정도 부합하는지를 살펴 볼 수

있습니다. 바이러스 백신 소프트웨어와 개인 방화벽, 그리고 기타 보안 메커


니즘은 물론 소프트웨어가 얼마나 최신 버전인가 여부도 검사할 수 있습니

다. 사용자 세션에 한 정책들은 이 검사 결과에 따라 매우 다르게 설정될

수 있습니다. 응용 프로그램 인식 기술을 갖춘 IAG 끝점 정책 엔진의 세분

화 경향은 그 어떤 SSL VPN 액세스 솔루션보다도 뛰어난 비즈니스 정책들

을 구현할 수 있게 해 줄 것입니다.

IAG 2007은 마이크로소프트 사가 최근 인수한 Whale Communication의 SSL

VPN 기술을 기반으로 하여 Microsoft Internet Security and Acceleration (ISA)

Server와 통합된 보안 제품으로 SSL VPN, IPsec VPN, 응용 프로그램 보안, 네트

워크 보안 및 끝점 보안 능력을 중심으로 하는 융통성 높은 보안 솔루션입니다.

ISA Server와 통합된 IAG 2007은 네트워크 경계 방어, 원격 액세스, 응용 프로그램

계층 보호를 위한 단일 통합 솔루션을 제공하며 기업들의 원격 액세스 요구 사항들을

충족시킬 수 있는 다양한 선택 사항들을 제공합니다.

Forefront Security for Exchange Server

조직의 네트워크를 보호하는 것은 보안의 필수사항입니다. 그러나 최고의 방화벽과

VPN 기술을 사용한다 하더라도 맬웨어는 여전히 회사의 내부 시스템으로 접근하는

방법을 알고 있습니다. 바로 메일 서버가 이러한 공격의 통로가 될 수 있습니다. 여러

맬웨어가 포함된 많은 메시지를 전송하여 조직 내부로 맬웨어가 전파될 수 있기 때문

입니다.

이러한 위협을 방어하기 위해 기업들은 그들의 메시지 인프라를 보호할 수 있는 특별

한 안티 맬웨어 솔루션을 배포해야 합니다.

Forefront Security for Exchange Server는 이러한 위협에 해 마이크로소프트가

제공하는 보안 솔루션입니다. Forefront Security for Exchange Server는

Exchange Server 2007 위에서 동작하여 E-mail 기반의 맬웨어에 한 보호를 제

공합니다. 이전 버전의 Exchange를 사용하는 고객에게는 Forefront for Exchange

50


Server 라이센스에 포함된 이 제품의 이전 버전인 Antigen for Exchange를

Exchange Server 2000과 Exchange Server 2003에 사용할 수 있습니다.

위의 그림을 보면 Forefront for Exchange의 역할을 이해할 수 있습니다. 이 제품

은 수신되고 전송되는 모든 메일을 검사하고 바이러스와 스파이웨어 등의 기타 맬웨

어를 스캔합니다. 이러한 스캔에는 하나 이상의 다중 스캔 엔진이 사용되는데 각각의

스캔 엔진이 메시지를 검사합니다.

스캔 엔진들이 인지할 수 있는 위협은 주기적으로 바뀌고 있으며, 그때마다 시그니처

라고 불리는 새로운 맬웨어에 한 정의가 마이크로소프트로부터 전달됩니다.

■Forefront의 다중 스캔 엔진

많은 조직은 바이러스 스캔에 하나의 벤더의 제품만을 사용하고 있습니다. 이는 게이

트웨이나 메일서버, 데스크톱 컴퓨터 등 조직의 전체를 통해 한 벤더의 스캔 엔진만

을 가진다는 뜻입니다. 이 경우 이 벤더의 스캔 엔진이 특정 바이러스 감지에 실패하

거나 응이 늦을 경우 조직 전체에 잠재적인 위협을 가져올 수 있습니다.

Forefront Security for Exchange Server 51

그림 15) Forefront Security for Exchange Server 소개

Forefront Server Security 관리콘솔


인터넷

멜웨어 정의

Forefront Security for Exchange Server

다중 스캔 엔진

Exchange Server 2007

E-Mail 저장소

이 문제를 해결하기 위해 어떤 회사들은 조직의 여러 계층에 다른 스캔 엔진을 사용

한 계층적 보호 방법을 채택하여 조직을 보호하고 있습니다. 예를 들어 메일 서버와

데스크탑 컴퓨터에 각각 다른 스캔엔진을 사용하는 것입니다. 그러나 이 방법은 복잡

하고 비용이 많이 들며 관리가 어렵다는 문제를 가지고 있습니다.

52


그림 A) 한 벤더의 스캔 엔진만을 사용하는 경우

그림 B) 여러 벤더의 스캔 엔진을 사용하는 경우

스캔 엔진의 오류는조직에 큰 위협이 됨

ISAServer

SMTPServer

SharePointExchangeExchange

Internet

Internet

Viruses

Worms

Spam

하나의 벤더와하나의 스캔 엔진

관리 어려움과 관리비용증가문제

ISAServer

SMTPServer

SharePointExchangeExchange

Viruses

Worms

Spam

여러 벤더의여러 스캔 엔진 사용

마이크로소프트의 Forefront 서버 보안 제품들은 단일 벤더 솔루션 사용의 장점인 비

용의 효율성 및 간편한 관리성과, 다중 벤더 솔루션의 장점인 다 계층 방어의 보안 효

율성을 효율적으로 접목하 습니다.

이는 그림에서처럼 마이크로소프트가 전세계 바이러스 산업을 선도하는 여러 회사의

안티바이러스 엔진들을 하나의 제품으로에 통합한 제품을 제공하 기 때문입니다. 모

든 Forefront 서버 보안 제품들은 이러한 다중 엔진을 탑재하여 포괄적인 다 계층의

보안을 제공합니다.

Forefront 서버 보안 제품은 각각의 스캔작업을 위해 동시에 최 5개의 스캔엔진을

사용할 수 있습니다.

이 각각의 엔진은 서로 개별적으로 만들어졌으므로, 서로간에 장, 단점이 있습니다.

각각의 스캔 엔진 제공사는 새로운 위협을 차단하는 능력에 향을 주는 시그니처 갱

신 비율이 맬웨어마다 다를 수 있습니다. 다중 스캔 엔진을 사용하면 모든 맬웨어를

탐지하고 제거할 가능성이 매우 증가합니다. 비록 한 엔진이 이에 실패하더라도 다른

엔진이 이를 처리할 것입니다.

Forefront 서버 보안 제품은 8개의 벤더로부터 제공된 8개의 스캔 엔진을 내장하고


조직 내부의 메시지 및 통합서버

있습니다. 이는 Microsoft, Kaspersky Labs, CA, Sophos, Norman, AhnLab,

Authentium, 그리고 VirusBuster 입니다. 부분의 안티 맬웨어가 제공하는 것처럼

이 엔진들은 별도로 판매되며, Forefront for Exchange 하나의 비용으로 8개 모든

엔진의 업데이트를 커버할 수 있습니다. 이 스캔 엔진들은 동시에 5개까지 사용할 수

있으며, Forefront Multiple Engine Manager를 이용하여 다양한 엔진의 집합을 구

성할 수 있습니다.

그렇다면 혹시 Forefront의 다중 스캔 엔진이 서버의 성능에 많은 부하를 발생하지는

않을까요? 아무리 보안 기능이 중요해도 시스템의 성능에 향이 크다면 이는 좋은

솔루션이라 할 수 없습니다.

3Sharp이 2006년 10월에 실시한 테스트에 따르면, 전송 계층 스캔을 위한

Forefront Security for Exchange Server 및 Forefront Security for SharePoint

스캔 엔진의 수가 증가할 때 CPU 사용량은 단지 1 - 4%가 증가했습니다. 이는 5 개

의 엔진을 사용한다 하더라도 최악의 경우 CPU 사용률이 4%에 그칠 수도 있다는

것을 뜻합니다.

54


그림 16) 3Sharp의 Forefront Security for Exchange Server/

Forefront Security for SharePoint 성능 테스트

100%

80%

1 2 3 4 5

60%

40%

20%

0%

Forefront Security for Ex-change와 Forefront Security for SharePoint는 설치

도중 마이크로소프트의 Antimalware 엔진 이외에 추가로 네 개의 엔진을 임의로 선

택할 수 있습니다. 사용자는 여기에서 기본 구성을 사용하거나 다른 엔진을 선택하여

구성을 변경할 수 있습니다.

Forefront는 활성화된 모든 스캔 엔진에 한 시그니쳐 및 엔진 업데이트를 자동으로

설치합니다. 기본 일정은 각각의 엔진에 한 업데이트를 매 시간마다 점검하고 각

스캔엔진의 시작 시간을 해당 엔진의 이전 시작 시간보다 5분씩 증가시키는 것입니

다. 그러나, 필요한 경우 사용자가 각 스캔엔진에 해 서로 다른 업데이트 일정을 적

용할 수도 있습니다.


그림 17) Forefront 설치 중 스캔 엔진 선택 화면

관리자는 한번에 사용할 스캔 엔진의 수를 결정할 수 있으며 이렇게 함으로서 조직은

스캔 성능과 속도 사이에 균형을 이룰 수 있습니다.

■ Forefront 서버 보안 제품의 기타 보안 기능

1. Forefront의 파일 필터링

Forefront Security for Exchange나 Forefront Security for Share Point

는 파일 필터링을 통해 원치 않는 파일을 필터합니다.

파일은 크기, 유형, 이름, 방향을 기반으로 차단할 수 있습니다.

예를 들어, <in>*.mp3> 2mb 는 조직으로 유입되는 mp3 유형의 파일 중 크

기가 2mb 보다 큰 파일을 차단합니다.

이때 공격자가 파일의 확장자를 다른 유형의 파일로 이름을 바꾼다 하더라도

(예: *.exe -> *.txt) 파일의 헤더를 판별해서 원래의 파일 유형을 인식하고 성

공적으로 필터할 수 있습니다.

56


그림 18) 독립적인 업데이트 일정을 갖는 다중 스캔 엔진

2. Forefront의 키워드 필터링

Forefront Security for Exchange나 Forefront Security for Share Point

는 응용프로그램 계층의 필터를 사용하여 그림에서 보듯이 다양한 유형의 문

서와 그 문서 내의 문자열을 사전에 정의한 키워드를 통해서 필터할 수 있습

니다.


첨부파일

정책에 위반

본문서는, 회사기 의내용을 포함하고 있어...

키워드 : 회사기

키워드 필터링 가능한 파일형식

doc xls ppt htm txt

Open XML (Office 2007)

3. 압축 파일에 한 처리

Forefront Security for Exchange나 Forefront Security for SharePoint는

ZIP과 기타 다른 압축 유형의 파일 내부를 스캔하고 압축 파일의 컨텐츠 중에

서 악성 파일만을 삭제하고 다시 ZIP으로 압축할 수 있습니다. 또한 여러 번

압축한 다중 압축 파일에 경우, 검사 정책에서 설정한 압축 회수의 상한선을

넘긴 파일에 해 로그를 기록하고 해당 파일을 격리하거나 또는 사전에 정의

한 액션을 적용합니다.

4. 비 번호로 보호된 파일에 한 처리

Forefront Security for Exchange나 Forefront Security for SharePoint

는 비 번호로 보호된 파일에 해 [Encrypted Compressed File]를 이

벤트로그에 기록하고 해당 파일을 격리하거나 또는 사전에 정의한 행동을 적

용합니다.

58


삭제텍스트

스캔 전의압축파일 컨텐츠

스캔 후의압축파일 컨텐츠

Filter Rules:

*.exe 삭제

격리

격리

패스워드 보호된 ZIP파일

EXE DOC

BMP JPG

EXE

TXT DOC

BMP JPG

Forefront Security for SharePoint

E-Mail이 맬웨어가 조직 내부로 유입되는 주요한 경로이기는 하지만, 그것이 다는 아

닙니다. 문서를 저장하는 것은 무엇이든, 특히 그 문서가 여러 사용자에 의해 공유되

는 것이라면, 맬웨어를 포함하는 파일들로 넘쳐날 수 있습니다.

Windows 환경에서 이는 바로 Windows SharePoint 서비스가 위험할 수 있다는

것을 뜻합니다. 예를 들어, 누군가가 감염된 웹 페이지나 감염된 파일을 SharePoint

문서 라이브러리에 저장했다고 생각해봅시다.

이 문서 라이브러리는 사용자들에게 문서 공유를 통해 협업 환경을 제공하고 있습니

다. 따라서 맬웨어에 한 감염은 급속히 조직 전체로 퍼질 것입니다.

이러한 보안 위협 때문에 나온 제품이 Forefront Security for SharePoint 입니다.

이 제품은 Windows SharePoint Services 3.0 문서 라이브러리에 한 보안을 제

공하는데 이는 Office SharePoint Server 2007에 해서도 안전한 보안 인프라를

제공합니다.

Windows SharePoint Services의 이전 버전을 쓰는 조직은 Forefront Security

for SharePoint 라이선스에 포함된 Antigen for SharePoint를 사용해서 Windows

SharePoint Services 2.0과 SharePoint Portal Server 2003에 한 맬웨어 보호

환경을 구성할 수 있습니다.

Forefront Security for SharePoint 59

위의 그림은 Forefront Security for SharePoint와 SharePoint 제품간의 관계를 잘

보여주고 있습니다.

이 제품은 Forefront Security for Exchange Server 처럼 다중 스캔 엔진을 사용

하여 맬웨어를 스캔하며, 마이크로소프트에서 맬웨어 정의를 전달받습니다. 사실, 이

두 제품은 동일한 Forefront Multiple Engine Manager를 사용하고 같은 벤더의 엔

진들을 내장하고 있습니다. 송신되고 수신되는 메일을 검사하는 신 Forefront

Security for SharePoint는 문서 라이브러리에 한 보안을 주 목적으로 하고 있습

니다.

관리자가 문서 저장소를 직접 스캔할 수도 있지만, 문서들이 문서 라이브러리에 복사

되어 들어오거나 나갈 때마다 실시간으로 이들을 스캔합니다. 맬웨어에 한 탐지와

제거 기능을 이용하여 관리자는 허용되는 문서의 컨텐트 유형에 한 정책을 정의하

고 적용할 수 있습니다. 예를 들어, 어떤 조직은 mp3 파일을 저장하지 못하게 할 수

60


그림 19) Forefront Security for SharePoint 구성 요소

Forefront Server Security Administrator

Forefront Security for SharePoint

다중 스캔 엔진

Windows SharePoint Service

OfficeSharePointServer 2007


인터넷

멜웨어 정의

문서라이브러리

있으며, 특정 단어를 포함하는 파일들에 한 로그를 기록할 수도 있습니다. 이러한

유형의 문서 필터링은 신뢰할 수 있는 정보를 가진 문서만을 저장하도록 라이브러리

를 제한하고 부적절한 컨텐트를 조사하는 등의 용도로 사용할 수 있습니다.

Forefront Security for Exchange 와 Forefront Security for SharePoint는 모두

맬웨어를 탐지하고 제거하기 위한 동일한 목적을 가지고 있습니다. 또한 동일한 기

반 기술을 이용해서 동작하고 있습니다. 이 두 제품은 각각 E-mail 메시지와

SharePoint 문서들과 같은 특별한 유형의 정보를 보호하여 맬웨어를 제거하기 위한

기업들의 전투에서 중요한 역할을 수행합니다.

Forefront Client Security

만일 조직의 네트워크가 ISA Server와 같은 제품으로 인해 안전해졌고 Forefront

Security for Exchange Server 와 Forefront Security for SharePoint로 인해

중요한 서버들의 맬웨어가 모두 제거되었다고 가정해봅시다. 그 회사는 조직의 모든

컴퓨터가 맬웨어로부터 안전하다고 보장할 수 있을까요? 슬프게도 그렇다고 말할 수

있는 사람은 거의 없을 것입니다. 앞에서 말한 제품들이 아무리 효과적이라고 하더

라도 이들이 조직의 컴퓨터들에서 발생하는 모든 유형의 공격을 차단해주지는 못할

것입니다.

아마도 사용자들은 신뢰할 수 없는 웹사이트에서 부주의하게 스파이웨어를 다운로

드 할 수도 있고 USB 디바이스로부터 감염된 파일을 복사할 수도 있습니다. 무엇인

가 다른 보안 솔루션을 사용해서 조직내의 개별적인 시스템들에서 맬웨어를 탐지하

고 제거해야 할 필요가 있습니다.

개별적인 컴퓨터를 위해, 마이크로소프트는 맬웨어의 보안 위협에 처하기 위한 2가

지 무료 도구를 제공하고 있습니다. 하나는 Windows Defender로 스파이웨어를 탐

지하고 제거해 줍니다. 나머지는 악성 소프트웨어 제거 도구로 바이러스와 웜을 제거

합니다. 마이크로소프트가 제공하는 또 다른 도구에는 Windows Live OneCare가

Forefront Client Security 61

있습니다. 이는 안티 스파이웨어와 안티 바이러스 서비스를 제공하며 또한 중요한 파

일에 한 백업도 수행해 줍니다.

이러한 모든 도구들은 개별 컴퓨터들을 상으로 할 뿐이지, 기업의 비즈니스 용도로

는 충분하지 않습니다. 특히 규모가 큰 조직의 경우, IT 직원들은 중앙에서 그들 조직

의 모든 시스템의 맬웨어 제거를 제어하길 원하며 모든 시스템의 맬웨어 상태를 중앙

에서 보고 관리하기를 원합니다.

이러한 요구사항을 만족하기 위해 마이크로소프트는 Forefront Client Security를 제

공합니다. 이 제품은 스파이웨어와 바이러스, 웜, 루트킷 및 다른 형태의 맬웨어 등을

제거하는 제품으로 다양한 규모의 조직 시스템들에 한 통합된 안티 맬웨어 솔루션

을 그 목적으로 하고 있습니다.

이 제품의 이름을 보고 이 제품이 클라이언트 시스템만을 위한 솔루션으로 생각할 수

있지만, 이 제품은 서버와 클라이언트 시스템 모두에 한 안티 맬웨어 솔루션을 제

공합니다.

다음 그림은 Forefront Client Security의 주요 구성요소를 보여줍니다.

62


그림 20) Forefront Client Security의 구성 요소

Forefront Client Security 콘솔


인터넷

맬웨어 정의

데스크톱, 노트북, 서버 시스템들

정책

액티브디렉터리

ForefrontClient Security

Agernt

Forefront Client Security Server

위 그림에서 보듯이 조직의 모든 컴퓨터 상에는 Forefront Client Security agent가

동작하고 있습니다. 이 agent가 맬웨어를 스캔하고 마이크로소프트 업데이트를 통해

서 갱신된 맬웨어 정의를 수신합니다. 각각의 agent 들은 Forefront Client Security

server와 통신하여 바이러스 탐지와 같은 이벤트 정보들을 전달합니다. 각각의

agent가 어떤 작업을 수행할지는 그 agent에게 전달된 정책에 따라서 결정됩니다.

정책들은 Forefront Client Security 콘솔을 통해 관리자가 정의할 수 있습니다. 일

단 정책이 정의되면 이 정책들은 기본적으로 Active Directory의 그룹 정책에 연결

되어 agent들에게 배포됩니다.

Forefront Client Security server는 Windows Server 2003에서 동작하지만,

Forefront Client Security agent는 Windows 2000 이상의 모든 마이크로소프트

운 체제에서 동작합니다. Agent가 동작하는 시스템이 무엇인지 상관없이 정책을 통

해 agent가 수행할 스캔의 시기와 유형을 결정할 수 있습니다.

두 가지 유형의 스캔이 가능합니다.

�Quick Scan: Program 디렉터리와 같은 가장 일반적인 맬웨어 감염 경로만

을 조사합니다. 이 방법은 시스템에 따라 다르지만 몇 분 정도의 시간이 필요

합니다.

�Full Scan: 모든 파일에 해 맬웨어를 조사합니다. 이 방법은 보통 한 시간 이

상이 걸릴 수가 있습니다.

정책을 생성할 때는 스캔을 수행할 시기에 한 중요한 3가지 옵션을 가집니다.

�특정 일정으로 스캔: agent가 Full Sacn이나 Quick Scan을 원하는 시간마다

주기적으로 수행하게 할 수 있습니다.

�실시간 스캔: 모든 파일들이 액세스될 때마다 agent가 스캔을 수행하도록 합

니다.

�일정한 주기로 스캔: 관리자가 지정한 시간을 주기로 agent가 스캔을 수행하도

록 합니다.


기본적으로, agent는 Windows Server Update Services (WSUS)로부터 맬웨어

정의를 갱신합니다. WSUS를 사용하여 어떤 맬웨어 정의를 적용할지, 언제 적용할지

를 제어할 수 있습니다.

■Forefront Client Security의 관리 기능

Forefront Client Security 콘솔을 사용하여 관리자는 그들 조직의 시스템들에 한

맬웨어 상태를 모니터할 수 있습니다. 보다 자세한 정보를 원할 경우, 보고서를 생성

할 수 있는데 이 보고서는 모든 모니터되는 시스템의 상태와 조직의 맬웨어 경향을

보여줍니다. 보고서는 또한 맬웨어에 한 컴퓨터 수준의 세부 정보를 제공할 수 있

는데, 이는 위험한 작업을 수행한 특정 사용자를 찾아내는데 도움을 줍니다. 이 관리

콘솔은 조직의 모든 Windows 시스템들에 한 맬웨어 방어를 중앙에서 모니터하고

제어할 수 있는 환경을 제공해줍니다.

64


그림 21) Forefront Client Security의 보고서 예

배포 요약정보 시그니쳐 배포 상세 정보

경고 요약정보 경고 상세 정보

컴퓨터 요약정보 컴퓨터 상세 정보

맬웨어 요약정보 맬웨어 상세 정보

보안상태상세 정보

취약점 요약정보 취약점 상세 정보

▶

▶

▶

▶

▶

■Forefront Client Security의 맬웨어 검색 능력

Microsoft Forefront는 Virus Bulletin에서 다음의 로고를 인증 받았습니다.

참고로 Virus Bulletin (www. virusbtn.com)는 국에 있는 Anti-Virus 제품을 평

가하는 기관으로 전세계에서 Anti-Virus 제품을 평가/인증하는 가장 권위 있는 기관

입니다. 분기에 한번씩 다른 버전의 OS에서 실시되며, ItW분야 테스트에서 100%를

받으면 다음과 같은 로고를 받게 되고 사용할 수 있습니다.

Microsoft Forefront는 이 로고를 인증 받았습니다.

평가항목

ItW (In the WildList) : 바이러스 정보를 제공.

ㅇ File : 실행 가능 파일 바이러스 테스트.

ㅇ Boot : 부트섹터 감염 바이러스 테스트.

ㅇ Macro : Microsoft 오피스 제품군에 기생하는 바이러스 테스트.

ㅇ Polymorphic : 다형성 바이러스, 즉 변종 바이러스 테스트.

ㅇ Standard : 웜, 트로이목마, 백도어를 포함한 기타 악성파일 바이러

스 테스트.

다음은 2007년 마이크로소프트 자체 테스트 결과의 내용입니다.

바이러스


A사 B사 C사 MS Forefront

점수

검출률 99% 96% 89% 93%

스캐닝 시간 258 분 25 초 19분 25초 40분 25초 13분 11초

트로이 목마

스파이웨어

루트킷

웜

기타 위협

66



점수

검출률 100% 100% 100% 100%

스캐닝 시간 258 분 25 초 19분 25초 40분 25초 11분 11초


점수

검출률 100% 100% 100% 100%

스캐닝 시간 42 분 0 초 1분 7초 12분 36초 3분 12초


점수

검출률 63% 59% 37% 60%

스캐닝 시간 6분 36 초 1분 37초 5분 33초 3분 50초


점수

검출률 100% 100% 100% 100%

스캐닝 시간 50 분 0 초 1분 55초 3분 42초 1분 42초


점수

검출률 100% 91% 98% 100%

자동 자체 보호 가능 불가능 일부 가능

기타 기능 비교

위의 여러 표를 통해서 알 수 있듯이 Forefront Security는 시스템에 한 강력한 보

호 기능과 신속한 스캐닝 시간, 뛰어난 맬웨어 검출률 및 자동 치료 기능 등을 제공해

줍니다.

게다가 Forefront Security의 단일 엔진은 로벌한 맬웨어 연구소에서 제작하며 방

한 자료를 취합하여 위협 요인을 놓치지 않습니다.

Forefront Security의 간편한 관리 도구와 통합 관리 인프라의 장점과 더해져서

Forefront는 기업의 여러 시스템과 운 체제를 안전하게 지켜주는 가장 훌륭한 솔루

션을 제공합니다.


구 분 국내 A 사 국내 B 사 Forefront Client Security

백신 프로그램 복구기능 가능 불가 가능

메모리 검사 및 치료 불가 불가 가능

RootKit 탐지 불가 불가 가능

실시간 감시 기능 Kernel Level

Heuristic 기능

(알려지지 않은 바이러스 불가 불가 가능

검색 및 치료)

ActiveX/Java 코드지원 일부 가능 일부 가능 가능

User Level

(바이러스나

사용자에 의해

중지 가능)

User Level

(바이러스나

사용자에 의해

중지 가능)

Network Access Protection

Windows Vista와 Windows Server 2008 운 체제에서 기본으로 제공하는

Microsoft Network Access Protection (NAP)은 정책 기반의 보안 플랫폼으로서

직접 정의한 시스템 상태 정책을 네트워크에 강제적으로 적용하여 컴퓨터들의 건강

상태를 검사하고 자동으로 업데이트시켜서 지속적으로 시스템의 건강 상태를 유지시

킬 수 있습니다. 또한 조직의 상태 규격에 적합하지 않은 컴퓨터를 제한된 네트워크

로 격리시켜 네트워크 자산을 보다 효과적으로 보호할 수 있게 해줍니다.

■Network Access Protection 개요

Windows Server 2008과 비스타에 내장된 NAP은 네트워크에 한 연결과 통신을

강력하게 규제하는데 도움이 될 구성요소와 API를 제공하고 있습니다. 개발자와 관리

자는 네트워크에 연결하는 컴퓨터들을 확인하고, 필요한 업데이트를 제공하거나 또는

Health 업데이트 자원에 한 액세스를 제공하여 조직의 건강성 제약을 위반하는 컴

퓨터를 제한하는 솔루션을 만들 수 있습니다. NAP은 다른 벤더의 소프트웨어 등과

통합되어 동작할 수도 있습니다. 관리자는 그들이 배포하고 개발하는 시스템들을 커

스터마이즈하여 네트워크에 액세스하는 컴퓨터들이 조직에서 정의한 건강 상태를 위

반하는지 모니터하고, 건강 상태에 적합하도록 자동으로 컴퓨터들을 업데이트 시키

고, 네트워크 제약에 위반하는 컴퓨터들은 격리시킬 수 있습니다.

■ NAP의 한계

NAP은 악의를 가진 사용자의 위협으로부터 네트워크를 안전하게 보호하기 위해 디

자인되지는 않았습니다. 이것은 네트워크 컴퓨터들의 건강 상태를 관리하기 위해 디

자인되었으며 결과적으로 조직 전체 네트워크의 무결성을 관리하는데 도움이 됩니다.

예를 들어, 조직에 연결하려는 어떤 컴퓨터가 조직의 Health 정책이 필요로 하는 모

든 소프트웨어와 구성 설정을 가지고 있다면, 이 컴퓨터는 네트워크 액세스에 문제가

68


없을 것입니다. NAP은 인증 받은 사용자가 정책에 적합한 컴퓨터를 통해서 네트워크

에 악성 소프트웨어를 업로드 하거나 다른 부적절한 행동을 하는 것에 한 위협은

차단하지 못합니다.

다음 그림은 NAP이 구성된 네트워크의 간단한 예를 보여주고 있습니다.

다음은 DHCP/VPN 환경에 한 NAP 적용의 예입니다.

�IT 관리자가 정의한 Health 정책이 IAS 정책 서버에 전달되고, IAS 정책 서버

는 이러한 정책 캐시를 유지합니다.

�클라이언트가 조직의 네트워크에 액세스를 시도할 경우 자신의 Health 상태 정

보 (SoH)를 제출합니다.

Network Access Protection 69

그림 22) NAP의 네트워크 구성 예

VPN Server

Internet

Policy Servers

Active Directory

IEEE 802.1X devices

Health CertificateServer

DHCP ServerPerimeternetwork

치료서버격리 네트워크

제한된 엑세스와 격리 클라이언트

NPS

Intranet

�DHCP나 VPN과 같은 네트워크 접속 디바이스는 수신한 이 정보를 IAS 정책

서버로 전달합니다.

�IAS 정책 서버는 이 정보를 캐시에 있는 내용과 비교하여 어떤 결정을 내립니

다. 만일 이 SoH가 Health 정책에 적합하지 않다면 IAS 정책 서버는 DHCP나

VPN과 같은 네트워크 접속 디바이스에게 이 클라이언트를 VLAN이나 별도의

네트워크로 격리시키라고 지시합니다.

�NAP 시스템 환경에서 클라이언트 컴퓨터에게 전달된 NAP 시스템 정보는 클

라이언트 컴퓨터가 치료서버에 연결하도록 해줍니다.

�클라이언트 컴퓨터는 치료서버에 연결하여 업데이트를 요청합니다. 업데이트가

완료되면 클라이언트는 업데이트된 SoH를 가지고 다시 네트워크 접속 디바이

스에 연결합니다. 이제 이 SoH가 Health 정책에 적합하다면 클라이언트는 네

트워크 자원에 완전한 액세스를 할 수 있습니다.

NAP은 다음의 3가지 중요한 특징을 가지고 있습니다.

1. Health 정책 확인 (Health Policy Validation)

NAP은 사용자가 회사 네트워크에 연결하려고 할 때마다 사용자의 컴퓨터가

회사 보안 정책에 적합한지를 확인하는데, 이때 정책에 적합한 컴퓨터를

“Health”상태로 간주합니다. NAP은 관리자가 정의한 Health 정책을 기반으

로 사용자 컴퓨터의 건강 상태를 확인합니다. 관리자는 컴퓨터가 이 정책에

위배되었을 경우 컴퓨터를 어떻게 할지 결정할 수 있습니다.

모니터링만 수행하는 환경에서는, 모든 인증된 컴퓨터들은 비록 일부 Health

정책을 위반한다 하더라도 네트워크에 한 액세스가 허가되며 각각의 컴퓨터

들에 해 확인된 상태 정보가 로그에 기록됩니다.

격리 환경에서는 Health 정책에 적합한 컴퓨터들은 네트워크 액세스가 허용

되나, Health 정책에 위배되는 컴퓨터나 NAP에 적합하지 않은 컴퓨터들은

제한된 네트워크로 격리됩니다.

70


이 두 환경 모두에서 관리자는 Health 정책 확인에 한 예외를 정의할 수 있

습니다.

2. Health 정책 컴플라이언스 (Health Policy Compliance)

관리자들은 Microsoft Systems Management Server와 같은 관리 소프트

웨어를 통해 조직의 Health 상태에 한 요구사항이 갖춰지지 못한 컴퓨터들

을 자동으로 업데이트 시키고 Health 정책에 적합하도록 할 수 있습니다.

모니터링만 수행하는 환경에서는, 컴퓨터들은 비록 필요한 소프트웨어나 구성

설정이 갖추어지기 전이라도 네트워크에 액세스할 수 있습니다.

격리 환경에서는 Health 정책에 위반하는 컴퓨터들은 소프트웨어나 설정 업

데이트가 완료될 때까지 격리됩니다. 마찬가지로 이 두 환경에서 관리자는 정

책 예외를 정의할 수 있습니다.

3. 네트워크 격리 (Network Isolation)

관리자는 Health 정책 요구사항에 만족하지 않는 컴퓨터들을 격리하여 네트

워크 자산을 보호할 수 있습니다. 정책에 위반한 컴퓨터는 관리자가 정의한

정책에 따라 액세스가 제한될 것이며, 이는 제한된 네트워크로 격리되거나 일

부 자원에만 접근할 수 있게 되고, 조직 내부에는 전혀 액세스할 수 없습니다.

만일 관리자가 Health 업데이트 자원을 구성하지 않았다면, 컴퓨터는 계속해

서 격리되어 있을 것입니다. 관리자가 Health 업데이트 자원을 구성했다면,

컴퓨터는 정책에 적합한 상태로 되돌아 올 때까지만 격리될 것입니다.

NAP은 기존의 시스템을 강화하면서 컴퓨터의 건강 상태를 확인하고 개선하기 위한

구성요소를 추가하기 위한 인프라와 API를 제공하는 확장 가능한 플랫폼입니다.

NAP은 그 자체로는 컴퓨터의 건강 상태를 확인하고 치료하기 위한 구성요소를 제공

하지는 않습니다. System Health Agents (SHA) 와 System Health Validators


(SHV)와 같은 다른 구성요소가 Health 상태 확인과 Health 상태 따르기를 제공합

니다.

그리고 Network Access Protection 플랫폼은 Windows Server 2003에서 소개

된 네트워크 액세스 격리 제어(Network Access Quarantine Control)와는 다른

것입니다.

■NAP 시나리오

NAP은 유연하게 동작하도록 디자인되었습니다. NAP은 SHA와 SHV를 제공하거나

NAP이 제공하고 있는 API들을 인식하는 어느 벤더의 소프트웨어와도 함께 동작할

수 있습니다. NAP은 다음의 일반적인 시나리오에 해서 솔루션을 제공합니다.

1. 이동형 노트북의 상태와 건강을 확인

이동성과 유연성은 노트북의 가장 큰 두 가지 주요 장점입니다만 이 특징들은

또한 보안 위협을 유발시키기도 합니다. 회사의 노트북들은 종종 회사를 떠났

다가 다시 회사에 돌아오곤 합니다. 노트북들이 회사에서 떠나 있는 동안 이

들은 조직의 최신 소프트웨어 업데이트나 구성 변경을 수신하지 못합니다. 노

트북은 또한 인터넷과 같은 안전하지 않은 네트워크에 노출되어 있는 동안 맬

웨어에 감염될 수도 있습니다. NAP을 사용하여 네트워크 관리자들은 노트북

이 회사 네트워크에 재연결하거나, VPN 연결을 생성하거나, 또는 사무실로

되돌아 왔을 때, 이 노트북의 상태를 점검할 수 있습니다.

2. 데스크톱 컴퓨터의 건강 상태 유지

비록 데스크톱 컴퓨터들이 사내 망을 떠나지는 않겠지만, 이들 역시도 네트워

크의 건강에 위협을 가져올 수 있습니다. 이러한 위협을 최소화하기 위해서

72


관리자들은 조직이 필요로 하는 최신 업데이트와 소프트웨어를 이들 컴퓨터에

유지해야만 합니다. 그렇게 하지 않는다면, 이 컴퓨터들은 웹 사이트나 E-

mail, 공유 폴더에서의 파일 등으로부터 감염될 위험이 매우 높습니다. NAP

을 사용하여 네트워크 관리자들은 각 데스크톱 컴퓨터들이 Health 정책에 위

배되지 않는지 확인하기 위한 시스템 체크를 자동으로 수행할 수 있습니다.

관리자들은 로그 파일들을 체크하여 어떤 컴퓨터들이 Health 정책을 위반하

는지를 살펴볼 수도 있습니다. 소프트웨어 관리 기능만 추가한다면, 자동으로

생성되는 보고서와 자동으로 수행되는 업데이트를 통해 관리자가 정책을 변경

할 때마다 조직의 컴퓨터들은 자동으로 최신의 업데이트를 제공받을 수 있습

니다.

3. 원격 사무실에 있는 컴퓨터들의 건강과 정책에 따르고 있는지를 확인

원격 지역이나 지점의 컴퓨터들도 종종 본사의 컴퓨터들이 연결하는 동일한

네트워크 자산에 액세스할 필요가 있습니다. 따라서 이러한 컴퓨터들도 또한

꾸준히 유지 관리하고 확인해야 합니다. NAP을 이용하면, 관리자들은 원격

컴퓨터들이 네트워크에 VPN 연결을 수행할 때마다 자동으로 Health 정책에

한 확인을 수행할 수 있습니다. 이러한 시스템 체크가 완료될 때까지, 원격

컴퓨터는 제한된 네트워크에 격리될 수 있습니다. 관리 소프트웨어를 추가하

면, 관리자가 Health 정책을 수정할 경우, 원격 컴퓨터는 마치 네트워크에 물

리적으로 바로 연결된 컴퓨터처럼 업데이트를 제공받을 수 있습니다.

4. 방문객 노트북의 건강도 확인합니다.

기업들은 종종 그들의 사내 네트워크에 컨설턴트 등과 같은 방문객에게 연결

을 허락해야 할 경우가 있습니다. 이러한 방문객이 가져온 노트북들이 네트워

크가 필요로 하는 요구 수준을 충족하지 못할 경우, 조직 네트워크의 건강에

위험이 될 수 있습니다. NAP을 사용하여 관리자는 방문객의 노트북이 네트워


크에 액세스를 허가할지, 제한된 네트워크로 격리할지를 결정할 수 있습니다.

일반적으로 방문객의 노트북에는 업데이트나 구성의 변경을 수행할 필요가 없

습니다. 관리자는 격리된 네트워크에 있는 방문객 노트북에는 인터넷 연결을

허용할 수 있습니다. 그러나 이는 다른 격리 컴퓨터에는 허용되지 않습니다.

5. 집에 있는 관리되지 않는 컴퓨터의 건강과 컴플라이언스를 확인

관리되지 않는 집의 컴퓨터들은 네트워크 관리자가 물리적으로 액세스할 수

없으므로 추가적인 보안 과제가 됩니다. 물리적인 접근이 어렵다는 것은 그만

큼 안티바이러스 소프트웨어 사용과 같은 조직의 요구사항을 강제적으로 수행

하는 것이 어렵다는 것을 의미합니다. 이러한 컴퓨터들의 건강을 확인하는 것

역시 이와 비슷하게 어려운 일입니다. NAP을 사용하면 관리자들은 가정의 컴

퓨터들이 네트워크로 VPN 연결을 수행할 때마다 조직이 요구하는 프로그램,

레지스트리 설정, 파일 또는 이들의 조합에 해 확인을 할 수 있으며, 체크가

완료될 때까지 이 컴퓨터들을 제한된 네트워크로 격리할 수 있습니다.

필요에 따라 관리자들은 그들의 네트워크에 해 이러한 시나리오의 전부 또는 일부

솔루션들을 손쉽게 구성할 수 있습니다.

■NAP의 구성 요소들

NAP은 다음의 테크놀러지로 네트워크 격리 구성요소를 제공합니다.

�Dynamic Host Configuration Protocol (DHCP)

�Virtual private network (VPN)

�IEEE 802.1X authenticated network connections

�Internet Protocol security (IPsec)

74


관리자는 이 테크놀러지들을 별개로 또는 함께 사용하여 건강하지 못한 컴퓨터를 격

리합니다. 인터넷 인증 서비스 (IAS)는 위의 모든 테크놀러지에 해 Health 정책 서

버의 역할을 수행합니다. 처음 이를 구현할 때, NAP은 Windows Server 2008을

운 할 서버와 비스타, Windows Server 2008, 또는 Windows XP Service Pack

2를 운 하는 클라이언트 컴퓨터가 필요합니다.

1. DHCP 격리

DHCP 격리는 DHCP Quarantine Enforcement Server (QES) 구성요소와

DHCP Quarantine Enforcement Client (QEC) 구성요소로 이루어져 있습

니다. DHCP 격리를 사용하여 DHCP 서버는 네트워크 상의 컴퓨터들이 IP를

요청하거나 갱신할 때마다 Health 정책의 요구사항을 강제할 수 있습니다.

DHCP 격리는 모든 DHCP 클라이언트가 반드시 IP를 갱신해야 하므로 배포

하기가 가장 쉬운 방법이지만, 취약한 네트워크 격리를 제공합니다.

2. VPN 격리

VPN 격리는 VPN QES 구성요소와 VPN QEC 구성요소로 이루어져 있습니

다. VPN 격리를 이용하여 VPN 서버는 VPN 클라이언트가 네트워크에 VPN

연결을 시도할 때마다 Health 정책을 강제할 수 있습니다. VPN 격리는 VPN

연결을 통해 네트워크에 접근하는 모든 컴퓨터에 강력한 네트워크 격리를 제

공합니다.

3. 802.1X 격리

802.1X 격리는 ISA 서버와 EAP Host QEC 구성요소로 이루어져 있습니다.

802.1X 격리를 사용하면, ISA 서버는 802.1X 액세스 포인트가 802.1X 클라

이언트 상에 제한된 액세스 프로파일을 배포하게 할 수 있습니다. 제한된 액


세스 프로파일은 일련의 IP 패킷 필터나 VLAN 식별자로 구성되어 802.1X 클

라이언트의 트래픽을 제한할 수 있습니다. 802.1X 격리는 802.1X 연결을 통

해 네트워크에 연결하는 모든 클라이언트에게 강력한 네트워크 격리를 제공할

수 있습니다.

4. IPSec 격리

IPSec 격리는 Health 인증 서버와 IPsec QEC로 구성됩니다. Health 인증

서버는 X.509 인증서를 발행하여 클라이언트를 격리할 수 있습니다. 이 인증

서는 NAP 클라이언트가 인트라넷의 다른 NAP 클라이언트와 IPSec으로 암

호화된 통신을 수행할 때 NAP 클라이언트를 인증하는데도 사용합니다.

IPSec 격리는 조직 네트워크의 통신을 건강하다고 여겨지는 노드들 만으로

한정합니다. 또한 건강한 컴퓨터들에 한 보안 통신의 요구사항을 IP 주소 단

위로 또는 TCP/UDP 포트 번호 기반으로 정의할 수 있습니다. DHCP 격리와

는 달리, VPN 격리, 802.1X 격리, IPSec 격리는 클라이언트가 성공적으로 연

결되고 유용한 IP 주소 설정을 얻은 후에야 건강한 컴퓨터들의 통신을 한정합

니다. IPSec 격리가 NAP의 격리에서 가장 강력합니다.

5. IAS/RADIUS

Windows Server 2008의 RADIUS 구성요소인 IAS는 QES나 QEC 구성요

76


사용방법 건강한 사용자 건강하지않은 사용자

모든 신뢰된 컴퓨터 통신이가능

모든 네트워크 사용 가능

모든 네트워크 사용 가능

완전한 IP 주소와 접속 제공

건강한 컴퓨터는 건강하지 않은컴퓨터의 연결 및 접속을 제한함

제한된 VLAN으로 할당됨

제한된 VLAN으로 할당됨

제한된 라우팅 룰만 적용됨

IPSec

802.1X

VPN

DHCP

소를 갖고 있지 않습니다. 신에 IAS는 QES나 QEC 구성요소에 한 정책

서버의 역할을 수행합니다. 관리자는 IAS 서버에서 Health 정책을 정의해야

만 합니다. IAS 서버는 컴퓨터가 DHCP 서버, VPN 서버, 802.1X 액세스 포

인트에 연결하려 하거나 또는 Health 인증서를 얻으려 할 때 마다 Active

Directory 서비스와 연계하여 Health 정책 체크를 제공합니다.

NAP은 네트워크에 연결하려는 컴퓨터가 건강하다고 확인될 때까지 네트워크

와의 연결을 격리해주는 새로운 아키텍처를 제공합니다. NAP은 클라이언트와

서버 아키텍처를 모두 포함하고 있습니다. 관리자는 DHCP 격리, VPN 격리,

802.1X 격리, IPSec 격리를 구성하거나 또는 이 모두를 구성하여 네트워크

보안에 한 요구를 만족시킬 수 있습니다. NAP은 Health 정책 인증으로 네

트워크 격리를 추가할 수 있는 인프라와 API를 제공하고 있습니다. 많은 벤더

와 소프트웨어 개발자들은 이 API를 이용하여 NAP을 활용한 그들 만의

Health 정책 인증을 만들어 낼 수 있습니다.

2006년 9월에 마이크로소프트는 NAC (Network Admission Control) 시장

에서 경쟁해 온 시스코와 손잡고 상호 연동 아키텍처를 발표했습니다. 이제

고객은 시스코 NAC과 마이크로소프트 NAP 또는 상호운용 솔루션 등의 제품

중에서 한 제품을 선택할 수 있게 되었습니다.

하드웨어 수준에서의 시스템에 한 격리는 시스코의 NAC으로, 소프트웨어

수준에서의 시스템에 한 격리는 마이크로소프트의 NAP를 통해서 구축할

수 있습니다.

마이크로소프트의 경우, NAP은 Vista와 Windows Server 2008에 내장된

보안 아키텍처로서 다른 벤더에 비해 별도의 하드웨어나 비용을 필요로 하지

않는다는 장점이 있습니다.


Forefront 활용의 3가지 예제

마이크로소프트의 Forefront 솔루션은 부분의 IT 조직이 직면하고 있는 문제들을

상으로 보안환경을 제공하고 있습니다. 이 Forefront의 각 구성요소들이 어떻게 서

로간에 유기적으로 동작하고 간편한 관리 환경을 제공하는지 간단한 3 가지 예를 통

해 정리하도록 하겠습니다.

1. 통합 환경을 통한 가시성 제공과 중앙 제어 관리

첫 번째 예에서는 Forefront Client Security 서버가 Active Directory와 통합하여

각각의 FCS 클라이언트에 적용할 정책을 중앙관리 환경으로 구성하는 모습과

System Center Configuration Manager를 통해 제공되는 효과적인 시스템의 가시

성을 소개합니다.

●Forefront Client Security 서버의 FCS 정책 중앙 배포

Forefront Client Security 서버는 클라이언트 컴퓨터들에게 Forefront Client

Security (FCS)를 구성하기 위해 중앙 관리 환경으로 정책을 적용할 수 있습니다.

78


이 그림은 Forefront Client Security 서버에서 FCS 관리 콘솔을 통해 정책을 배포

하는 화면입니다.

FCS 정책은 Active Directory OU를 통해 배포할 수 있는데, 이는 해당 OU의 모든

컴퓨터에 이 정책을 적용할 수 있다는 것입니다. 이 경우 FCS 정책은 해당 OU에 그

룹정책으로 구성되어 네트워크를 통해 모든 클라이언트 컴퓨터에 적용됩니다.

FCS 정책 적용은 다음의 방법으로 구성할 수 있습니다.

�Active Directory OU를 이용 (해당 OU의 모든 컴퓨터에 적용)

�도메인의 특정한 보안 그룹을 이용 (해당 그룹의 모든 컴퓨터에 적용)

�GPO를 이용 (GPO를 통해 정책을 구성하고 나중에 이 GPO를 사용하여 정책

을 적용)

�파일을 이용 (*.reg 확장자를 갖는 레지스트리 파일로 정책을 구성하고 이 레지

스트리 파일을 적용하여 컴퓨터들에 정책을 적용)

다음 그림은 Forefront Client Security 서버가 정책을 적용한 후의 FCS 관리콘솔의

시보드 화면입니다.

1. 통합 환경을 통한 가시성 제공과 중앙 제어 관리 79

시보드는 전체 시스템에 한 위협과 취약점의 상태에 한 종합적인 보기를 제공

합니다. 또한 시보드를 통해 탐지된 안티맬웨어에 해서는 보다 자세한 보고서를

생성할 수도 있습니다.

보고서가 생성되는 프로세스는 다음과 같습니다.

모든 FCS 클라이언트 컴퓨터들에는 MOM 에이전트가 동작하고 있습니다. 클라이언

트 컴퓨터 상의 모든 FCS 이벤트는 MOM 서버에 의해 수집되고 SQL 서버로 전달

되어 보고서가 만들어집니다. 이 보고서는 다시 항목별로 더욱 세분화된 보고서를 생

성합니다.

앞에서 배포한 정책에 한 결과 역시도 FCS 관리콘솔의 보고서를 통해서 확인할 수

있습니다.

다음 그림은 시보드에서 Summary Reports 항목에 있는 Deployment

Summary의 내용 중 일부의 예입니다.

제한된 데모 환경으로 인하여 보고서의 실제 내용이 빈약함을 참고하십시오.

80


●조직의 시스템에 한 상태 모니터

다음은 System Center Operation Manager를 통해 조직의 시스템들에 한 상태

를 모니터하는 내용을 소개하겠습니다.

Operation 콘솔을 사용하면 모든 관리되는 컴퓨터들의 상태를 확인할 수 있습니다.

이 그림은 Operation Manager 콘솔의 왼쪽 창에 있는 모니터링 탭의 내용 중 컴퓨

터 항목을 보여주고 있습니다.

Operation Manager는 조직의 모든 관리되는 컴퓨터와 서버들의 상태를 보여줍니

다. 위 그림에서 Denver 컴퓨터는 현재 정상적인 상태입니다. Denver 컴퓨터는 도

메인 컨트롤러와 Exchange Server 2007이 구성되어 있는 메일 서버로 동작 중입

니다.

만일 관리자가 Denver 서버에 설치한 드라이버나 업데이트가 시스템에 있는 기존

1. 통합 환경을 통한 가시성 제공과 중앙 제어 관리 81

서비스와 충돌을 일으켰거나 또는 중요한 업데이트를 구성하지 않아서 문제가 발생하

는 경우를 가정해 보겠습니다.

이 경우 Operation 콘솔은 Denver 컴퓨터에 문제가 발생한 것을 바로 표시해줍니

다. 다음의 그림은 Operation 콘솔에서 문제가 발생한 Denver 컴퓨터를 선택하고

오른쪽에 있는 Action 창의“Health Explorer for Denver.contoso.com”을 클릭한

모습입니다.

Health Explorer는 선택한 컴퓨터와 관련된 가용성, 구성설정, 성능, 보안에 한 세

부적인 내용을 제공합니다. 또한 해당 컴퓨터에 문제가 있는 경우 관련된 항목을 자

동으로 나열하여 제공합니다.

위 그림의 모니터링 기록을 보면 어떤 문제가 반복적으로 발생하고 있다는 것을 확인

할 수 있으며 또한 그 문제가 바로 Exchange Information Store 서비스와 관련되

어 있다는 것도 확인할 수 있습니다.

82


다음 그림은 Denver 컴퓨터와 관련된 Alert을 보여주고 있습니다. 그림의 Alert 창에

서는 서비스 이벤트 431이 오류의 원인이라고 알려주고 있으며 이 이벤트는 특정한

패치가 없어서 MSExchangeIS 서비스가 중지되었음을 확인시켜주고 있습니다.

이제 원인을 찾았으니 해당 패치를 배포해주면 Denver 서버는 정상적으로 동작할

것입니다.

2. 시스템의 건강 상태 유지 관리

이번 예제에서는 조직의 클라이언트와 서버 컴퓨터에 한 보안 관리 환경을 소개하

겠습니다. 여기에는 Forefront Client Security (FCS)가 동작하는 클라이언트 컴퓨터

의 맬웨어 차단 기능과 Forefront Security for Exchange를 이용한 Exchange

Server와 메일 클라이언트의 보안 기능을 포함합니다.

2. 시스템의 건강 상태 유지 관리 83

●Forefront Client Security 클라이언트 컴퓨터의 상태 관리

Forefront Client Security (FCS)가 동작하는 클라이언트 컴퓨터의 시스템 트레이에

는 FCS 아이콘이 FCS 클라이언트의 상태를 나타내고 있습니다.

이 아이콘이 오렌지 색인 경우에는 시스템의 맬웨어 정의가 최신 상태가 아니며, 최

소 14일 이상 맬웨어 정의에 한 갱신이 없었다는 것을 알려주는 것입니다.

마지막으로 갱신된 맬웨어 정의가 14일 이내의 최신 상태인 경우에는 FCS 아이콘이

다음 그림처럼 녹색 상태로 나타납니다.

FCS 클라이언트는 컴퓨터에 맬웨어 정의를 자동으로 설치하게 할 수 있으며, 사용자

가 직접 수동으로 설치하도록 할 수도 있습니다. 보통 WSUS를 통해 모든 FCS 클라

이언트에 한 맬웨어 정의가 갱신되지만, System Center Configuration

Manager와 같은 강력한 도구를 이용할 수도 있습니다.

System Center Configuration Manager는 FCS 정의 업데이트 패키지를 생성하고

FCS 업데이트가 필요한 모든 클라이언트 컴퓨터에 이를 구성하도록 할 수 있습니다.

클라이언트 컴퓨터들에 업데이트가 완료된 후에는 Configuration Manager의 강력

한 보고서 기능을 통해 클라이언트 컴퓨터들의 업데이트 배포 상황을 전체 시스템에

해, 또는 개별적인 컴퓨터에 해 확인할 수 있습니다.

84


다음 그림은 System Center Configuration Manager를 이용하여 FCS 클라이언

트 컴퓨터 중에 하나인 Vienna 컴퓨터에 한 FCS 업데이트의 결과를 보여주고

있습니다.

●Forefront Client Security 클라이언트 컴퓨터의 실시간 보안 기능

이번에는 FCS 클라이언트의 안티맬웨어에 실시간 보안 기능의 예를 보겠습니다.

사용자들은 E-mail에 링크되어있는 웹사이트를 아무 생각 없이 클릭하거나 또는 부

주의하게 인터넷의 웹사이트를 브라우징하는 도중에 맬웨어에 감염되는 경우가 많습

니다.

다음은 맬웨어에 감염된 데모 예제 웹사이트입니다. 사용자가 이 사이트에 연결되면

이 웹사이트는 사용자의 컴퓨터에 악성 컨텐트를 전송하여 설치하려 합니다.


그러나 이러한 위협은 클라이언트 컴퓨터의 FCS 실시간 보호 기능에 의해 감지되어

맬웨어의 설치가 차단됩니다.

다음 그림은 FCS 실시간 보호 기능에 의해 맬웨어의 설치를 차단당한 웹사이트의

모습과 이때 설치되려 했던 맬웨어의 정보를 보여주는 Forefront Client Security

경고창의 모습입니다.

맬웨어의 위협이 감지되면 클라이언트 컴퓨터의 시스템 트레이에 알림 메시지가 나타

나고 FCS 아이콘이 다음처럼 붉은 색의 아이콘으로 변합니다.

이 FCS 아이콘을 더블클릭하면 Forefront Client Security 경고창이 열리며 이 창을

통해 탐지된 맬웨어의 정보를 살펴볼 수도 있고 바로 삭제할 수도 있습니다.

따라서 잘 알지 못하는 웹사이트를 방문하는 경우, 클라이언트 컴퓨터의 실시간 FCS

기능은 매우 유용할 수 있습니다.

86


●메시지 클라이언트에 한 보안 환경

이번에는 메시지 인프라에 한 안티맬웨어 보안 환경을 보도록 하겠습니다.

다음 그림은 Exchange Server 2007에 설치된 Forefront Security for Exchange

의 구성 설정 중 스캐닝 옵션의 일부 모습입니다. Forefront Security for

Exchange는 메시지에 한 맬웨어의 위협으로부터 메일 서버와 메일 클라이언트

모두가 안전할 수 있도록 해줍니다.

이제 이 메일서버를 사용하는 조직의 사용자가 자신의 컴퓨터에서 아웃룩을 열어

Lisa라는 사용자로부터 수신된 메시지를 확인합니다. 그러나 Lisa가 보낸 메시지는

중간에 우연히 바이러스에 감염이 되었습니다. 이 메시지는 여러 파일을 압축한 첨부

파일을 포함하고 있는데 이중 한 파일이 바이러스에 감염이 되어있는 것입니다.

다음 그림은 사용자가 이 압축된 첨부파일을 열어서 그 내용을 확인하는 화면입니다.


압축파일에는 두 개의 파일이 포함되어 있었으며 그 중에 Appendix.txt라는 파일이

보입니다. 이 파일을 열어본 결과, 원래는 압축 파일 속에 포함된 Appendix.com 파

일이 바이러스에 감염이 되어있는 것을 Forefront Security for Exchange가 탐지하

여 이를 제거하고 txt 파일로 체한 것이라는 것을 확인할 수 있습니다.

이처럼 Forefront Security for Exchange는 Exchange 서버상에서 동작하면서, 맬

웨어에 감염된 파일이 감지되면 이 파일을 수신자에게 전달하기 전에 텍스트파일로

체합니다. 비록 이 감염된 파일이 압축파일 속에 포함되어있다 하더라도 감염되지

않은 파일에는 향이 없이 감염된 파일만 처리합니다.

3. 원격 사용자의 생산성 향상

이번 예에서는 원격 사용자가 Intelligent Application Gateway (IAG) 2007의 안전

한 SSL 기반의 연결을 통해 조직의 시스템에 접속하는 내용을 소개합니다. 인터넷상

의 원격 사용자는 인터넷 카페의 컴퓨터와 같은 신뢰할 수 없는 컴퓨터나 본인 소유

88


의 신뢰할 수 있는 컴퓨터에서 조직에 접속할 때 각각 어떠한 상태로 연결될 수 있는

지 확인할 수 있습니다.

외부에 있는 직원이 인터넷을 통해 조직의 시스템에 연결하기 위해서는 먼저 IAG가

제공하는 SSL 기반의 웹 페이지에 접속해야 합니다. 다음 그림은 IAG의 로그인 페이

지의 예입니다.

그림의 로그인 페이지에 사용자의 계정 정보를 제공하면 비로소 IAG의 웹포탈 페이

지를 통해 조직의 시스템에 연결할 수 있습니다.

그러나 연결하는 컴퓨터가 신뢰할 수 있는 컴퓨터인지 아닌지에 따라 접속하는 IAG

웹 포탈 페이지의 내용과 서비스에는 차이가 있습니다. 이것은 IAG 서버의 Endpoint

Policy 정책에 따라서 달라질 수 있습니다.

다음 그림은 각각 신뢰할 수 없는 컴퓨터에서 연결하는 경우와 신뢰할 수 있는 컴퓨

터에서 연결하는 경우에 따른 IAG 웹 포탈 페이지의 예입니다.

3. 원격 사용자의 생산성 향상 89

사용자가 인터넷 카페와 같은 신뢰할 수 없는 컴퓨터에서 연결한 경우에는 그림 A와

같이 사용할 수 있는 모든 응용프로그램을 제공받는 신, 두 가지 응용프로그램만을

사용할 수 있다는 것을 주목하십시오.

IAG 웹 포탈 페이지에서 SPS 2007 클릭하면 IAG는 사용자를 조직의 SharePoint

사이트에 연결해줍니다. 신뢰할 수 없는 컴퓨터에서는 SharePoint 사이트의 문서를

읽을 수만 있고 업로드는 할 수 없습니다. 만약 사용자가 조직의 SharePoint 사이트

에 문서를 생성하려 하면 IAG가 사용자의 시도를 차단하고 다음의 페이지를 표시합

니다.

90


그림 A) 신뢰할 수 없는 컴퓨터에서 연결 그림 B) 신뢰할 수 있는 컴퓨터에서 연결

사용자가 만일 신뢰할 수 있는 컴퓨터에서 연결한다면 IAG 서버에 구성된 특정한

Endpoint Policy가 사용자 컴퓨터에서 동작하는 FCS를 요구할 것입니다. 이것에 문

제가 없다면, ISA 서버의 Endpoint Policy가 클라이언트 컴퓨터에서 감지된 설정을

기반으로 IAG 웹포탈에 제공할 응용프로그램을 구성할 것입니다.

따라서 사용자가 FCS가 구성된 신뢰할 수 있는 컴퓨터에서 IAG 웹포탈에 연결한 경

우에는 그림 B처럼 터미널 서비스를 이용해서 조직의 시스템에 연결할 수도 있고

SharePoint 사이트에 문서를 생성하거나 업로드를 할 수도 있습니다.

이번에는 IAG 서버 쪽의 구성을 간단하게 살펴보도록 하겠습니다.

원격 사용자가 연결했던 IAG 서버의 웹포탈 서비스의 구성정보를 들여다보도록 하겠

습니다.

다음 그림은 IAG 서버에서 Configuration 창을 열고 HTTPS Connections 항목의

Portal1을 선택한 모습입니다. Portal1은 IAG 웹포탈 사이트에 6개의 응용프로그램

정의를 가지고 있습니다.


이러한 IAG 웹포탈 사이트에 다른 응용프로그램을 추가하는 것은 매우 간단합니다.

Configuration 도구의 오른쪽 창에서 Applications 항목의 Add를 클릭하여 열린

창에서 추가하기 원하는 응용프로그램을 선택하면 됩니다.

다음의 그림은 응용프로그램을 추가하기 위해 열린 창의 모습을 보여주고 있습니다.

IAG는 매우 많은 내장된 웹 기반의 응용프로그램과 브라우저 기반의, 그리고 일반적

인 클라이언트/서버 기반의 응용프로그램들을 가지고 있습니다.

앞의 예에서 인증받지 못한 컴퓨터가 SharePoint 사이트에 업로드를 하지 못했던 것

과 관련된 IAG의 설정 부분을 살펴보도록 하겠습니다.

Configuration 도구의 오른쪽 창에 있는 Applications 항목 중에 SPS 2007을 선택

하고 Edit를 클릭하면 Application Property 창이 열립니다. Application Property

창의 General 탭에서 Endpoint Policies 항목에 보면 Download, Upload 등의

역에 매우 다양한 Endpoint policy를 선택할 수가 있습니다.

92


아래의 그림은 IAG 서버에서 이러한 설정을 구성하는 모습입니다.

앞의 예의 경우에는 SPS 2007이 Upload에 Has FCS라는 이름의 정책을 구성하

는데, 이는 클라이언트 컴퓨터가 SharePoint 사이트에 파일을 업로드하기 전에 반드

시 FCS가 구성되어야만 하는 조건을 만족하는 정책입니다.

비록 IAG 서버에는 내장된 Endpoint Policy가 많이 포함되어있지만 관리자는 새로

운 Endpoint policy를 생성할 수도 있습니다. Application Property 창의“Edit

Policies”를 클릭하면 Policies 창이 열리는데 이 창에서 기존의 정책을 수정하거나

제거할 수도 있고 새로운 정책을 생성할 수도 있습니다.


결 론

보안에 한 마이크로소프트의 노력

마이크로소프트는 2006년 윈터널 소프트웨어(Winternals Software)와 VPN를 전문

으로 공급하는 웨일커뮤니케이션즈(Whale Communications)를 매입하여 보안의 여

러 측면을 커버 할 수 있는 포괄적인 보안 솔루션을 구축하기 시작하 습니다.

국 마이크로소프트의 보안 제품 담당자인 쿳털루는“우리의 전략은 명확하다. 포인

트 솔루션을 제공 할 생각은 없으며 그보다는 종합적인 서비스를 구축해 나갈 것이

다. 컴퓨팅의 환경 전반에 관련된 제품과 솔루션의 제공을 지향하고 있다”라고 말했

습니다. 또한“우리의 보안 강화 전략을 실현하는 방법의 일환으로 인수계획도 포함

하고 있다. MS의 기존 기술에 필요한 적절한 부분을 얻는 데 주력할 것이다”라고

말했습니다.

마이크로소프트는 자사의 보안 환경을 도와줄 보안 기업들을 인수해 그들과 함께 성

장하고 협력하여 고객들에게 안전한 시스템과 네트워크 환경을 제공하는 것을 중요한

보안 전략의 핵심이라고 말하고 있습니다.

마이크로소프트가 웨일사를 인수한 것은 웨일사가 보유하는 IP 통신 보안 기술을 높

이 평가했기 때문입니다. 마이크로소프트는 웨일의 서버 인증 Secure Sockets

Layer (SSL) 암호 기술로 IAG 2007 제품과 ISA 서버 2006을 통합한 매우 뛰어난

보안 솔루션을 제공하고 있습니다.

지금껏 MS 클라이언트 프로텍션(Microsoft Client Protection)이라고 불리던 보안제

품은 2006년 6월부터 Forefront로 이름이 바뀌었습니다. 마이크로소프트는 클라이

언트와 서버 환경의 보호를 위해 2005년 2월 사이바리 소프트웨어(Sybari

94


Software)를 인수하여 이전에 불리던 Antigen에서 Forefront로 심층 방어 솔루션을

제공하고 있습니다.

또한 마이크로소프트의 부분의 보안제품은 비스타와 곧 출시될 Windows Server

2008에 통합되어 높은 보안 환경을 고객에게 약속하고 있습니다. 혹 보안 상의 문제

가 있더라도 마이크로소프트는 신속하게 처하여 빠른 응을 할 것입니다.

마이크로소프트는 안전한 보안 환경에 굉장한 관심과 노력을 수행하고 있으며 고객보

호를 위한 최선의 솔루션이라면 어떠한 수고도 감수할 자세로 끊임없이 최고의 솔루

션을 개발하고 있습니다.

보안에 한 마이크로소프트의 노력 95

참고 페이지

Microsoft Forefront:

http://www.microsoft.com/korea/forefront/default.mspx

Internet Security and Acceleration (ISA) Server 2006:

http://www.microsoft.com/korea/isaserver/default.mspx

Intelligent Application Gateway (IAG):

http://www.microsoft.com/isaserver/whale/default.mspx

Forefront Server Security:

http://www.microsoft.com/antigen/default.mspx

Forefront Client Security:

http://www.microsoft.com/korea/forefront/clientsecurity/default.mspx

Network Access Protection (NAP):

http://www.microsoft.com/korea/windowsserver2003/techinfo/

overview/napoverview.mspx

96


■저자 : 김현도

■감수 : 김현도

■Contents 관련문의 : [email protected]

■발행 : 한국마이크로소프트(유)

■제작 : (주)소프트 로벌

■초판 발행일 : 2007년 10월 1일

본 책에 실린 과 그림, 사진 및 프로그래밍 코드등의 저작권 및 배포권은

한국마이크로소프트(유)에 있으며, 저작권자의 동의 없이는 사용할 수 없습니다.



비매품


한국마이크로소프트(유)서울특별시 강남구 치동 892번지 포스코센터 서관 5층 (우)135-777고객지원센터 : 1577-9700


마이크로소프트...

Documents