ISMS 인증, 데이터센터 3단계 보안 레이어

국내 최고의 보안 인증인 정보보호관리체계(ISMS :Infomation Security Management System) 인증은 정보 보호의 목적인 정보 자산의 기밀성, 무결성 및 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립•문서화하고, 지속적으로 관리•운영하는 시스템에 대하여 제3자 인증기관이 객관적이고 독립적으로 평가하여 기준에 적합 여부를 보증해 주는 인증 제도입니다.

특히 데이터 센터의 ISMS 인증은 단순한 소프트웨적인 서버와 네트워크에 대한 보안 인증 뿐만 아니라, 시설부분의 적정성 - 인력, 전기, 안전, 출입 통제 등 시설이 갖추어야 할 기본적인 인프라 적정성 - 이 완료된 경우에만 심사가 됩니다. 우리 서비스는 IDC 인프라 운영, 클라우드 분야 체계적인 정보 보호 관리 체계에 대해 제3자 인증기관(한국인터넷진흥원) 으로부터 정보 보호 관리 기준에 적합함을 인증을 받아, 객관적 보안 신뢰성을 KISA(한국인터넷진흥원) 평가 정보보호관리체계 인증을 획득 하였습니다.

호스팅, 클라우드 서비스에 대한 공격은 현실입니다.

우리 회사는 전직원이 비 윈도우즈 운영체제의 컴퓨터를 사용합니다. 이년 전만 해도 윈도우 운영 체제를 사용했습니다. 비 윈도우즈 운영체제로 회사 업무를 처리하기로 회사의 방침을 바꾼 것은, 호스팅과 클라우드 서비스에 대한 다양한 형태의 공격을 목격하면서 부터입니다.

호스팅 회사를 공격하는 이유는 다음과 같습니다. 첫째 공격의 경유지로 호스팅 회사의 서버를 무료로 이용하고자 하는 시도, 둘째 유저의 서버 정보 획득(덤으로 그 서버에 담겨져 있는 각각의 고객 개인정보를 탈취)할 수 있다는 두가지 효과를 얻을 수 있기 때문입니다.

실제로 한 고객사의 서버가 같은 네트워크의 다른 고객 서버로 패스워드 대입 공격을 시도하는 징후를 감지하고, 공격하는 서버의 내부를 조사하는 중 놀라운 습득물을 취득 – 경쟁사의 고객 DB를 통채로 줍게 되고 – 해커는 그 경쟁사 회원 ID와 DB 패스워드를 이용해 우리 회사로의 대입 공격을 시도하는 상황이 었습니다.

참고
나는 악마를 보았다 http://idchowto.com/?p=8790
나는 악마를 보았다 2- 쇼핑몰 호스팅 공격 주의보 http://idchowto.com/?p=9630

해커들의 공격이 호스팅사의 코앞까지 와있는 현장을 목격하며, 우리 회사에서 가장 먼저 한 일은 회사 업무용 PC의 비 윈도우즈 운영체제로의 전환입니다. 요즘 공격의 가장 흔한 형태가 SNS 망을 이용한 공격 목표 설정, 관계자 혹은 주변인을 향한 APT 공격이고, 공격 목표의 업무용 PC를 향한 공격이 가장 빈도 높은 공격 형태입니다.
따라서 업무용 컴퓨터를 윈도우즈 이외의 운영체제로 바꿀 경우, 대부분 공격용 malware 소스코드의 99%가 윈도우즈 운영체제에서 작동하도록 만들어진 관계로, 가장 강력한 방어 무기로 무장하는 효과를 가집니다.

보안 장비 A to Z DIY

우리 서비스는 하드웨어나 데이터센터만을 자체적으로 만드는 것이 아니고, 다양한 보안 관련 솔루션을 오픈 소스 기반으로 우리의 서비스에 적절 하도록 튜닝 및 개발 작업을 통하여 서비스 합니다. 물론 범용 방화벽 서비스도 협력 가능한 업체가 있을 경우 서비스를 제공할 예정입니다.
한 개의 사이트를 운영하면서 자체적으로 보안 인프라를 운영하려고 하면, 서버 운영 비용보다 보안 인프라 비용이 수십배의 비용이 소요됩니다.
일반 개인이나 중소기업의 경우 부담이 너무나 큰 비용입니다. 우리 회사의 장점인 자체 개발 시스템 인프라와, 십여년간 축적된 보안 기술력을 이용하여 자체 개발한 보안 서비스를 저렴하게 혹은 무상으로 고객에게 제공하여, 조금이라도 고객의 비용 부담을 줄이는 것이 보안 서비스 개발의 이유입니다.

Elcap firewall : 서버 이용자 기본 제공

스마일서브는 서버 이용 전체 고객에게 2006년부터 방화벽 서비스를 무상으로 제공합니다. 이름하야 Elcap Firewall. 미국 요세미티에 암벽 등반가들의 꿈인 bigwall의 이름을 따서 만든 방화벽 서비스입니다. 당시 삼천대의 서버에 방화벽 서비스를 제공 한다는 목표로 만든 bigwall 프로젝트 였습니다. IwinV 서비스에도 elcap firewall이 상단 네트워크에 투명한 어플라이언스 형태로 서비스되어, 모든 서비스 이용자가 무료로 이용할 수 있습니다. 서비스 로그인뒤 콘솔 화면을 통해 이용하는 아이피에 대하여 디폴트로 서비스를 이용할 수 있습니다.
2006년 manual

특징 – 네트워크 독립 어플라이언스 firewall
기존 타사 클라우드 firewall이 서버 기반의 방화벽인 경우가 많아, 성능상 만족스럽지 못한 경우가 많으나, 우리 서비스의 firewall은 네트워크 상단에 별도의 하드웨어로 자리 잡으며, 성능상 월등한 퍼포먼스를 보입니다.
– 한국 보안 위협에 튜닝된 서비스 국가별 드롭 기능 - china drop등 - 이 원클릭으로 설정할 수 있습니다.
– 쉬운 인터페이스

Elcap Web Firewall

서비스 예정 중, 필요시 cloudv.kr 서비스 즉시 이용 가능 당초 네트워크에 투명한 하드웨어 어플라이언스 웹 방화벽으로 개발 되었습니다. 웹방화벽 서비스가 필요한 이유는 가장 일반적인 방어장비인 침입 탐지 차단 시스템(IDS, IPS)가 기업 전산 네트워크 방어에는 효과적이나, 데이타센터의 가장 흔한 공격인 HTTP 프로토콜 기반의 공격인 웹 공격에 대해 거의 탐지및 방어가 불가능하기 때문입니다. 그러나 그러한 장비를 개인이 구입하기 위해서는 무지 막지한 비용이 소요됩니다.

현재 IwinV 클라우드 서비스를 위해 별도의 튜닝 작업을 진행 중입니다. 부하에 오토스케일링된 서비스의 구현을 목표로 하며, 구매하는 웹 방화벽 서버의 구입 비용에 비하면 엄청나게 저렴한 비용으로 이용이 가능합니다.

자세한 내용 : http://www.cloudv.kr/rew1/sec/fire_wall.html

Elcap DDos wall

cloudv.kr 서비스 신청하셔서 이용이 가능 합니다. 2008년 이후로 ddos 공격이 일반화 되어있습니다.
따라서 다양한 사용자를 호스팅하는 서비스 업체에서 기본적으로 갖추어야 할 대응책은 ddos공격에 대한 관제체계와 공격받는 고객에 대한 적절한 방어 체계를 기본으로 유지하여야 합니다.
우리 서비스는 DDOS 방어 파이어월 서비스를 직접 개발하여 2008년 국내 처음으로 런칭하였고, 방어의 정교함을 지속적으로 올려가고 있으며, 방어를 위해 보유한 네트워크 대역 범위 이내에서는 공격 즉시 방어가 가능한 수준이 되고있습니다.
Elcap ddos wall서비스는 cloudv.kr에서 서비스를 신청하시면 됩니다. 모든 IDC내 모든 고객이 이용이 가능합니다.

인프라 보안

업무용 pc의 탈 윈도우즈화

보안 사고의 대부분이 업무용 pc에서 시작되는 관계로 일반적인 악성코드 공격이 실행되지 못하도록 엄무용 pc를 리눅스, Free bsd, Mac등의 비 윈도우즈 운영체제를 사용합니다.


우분투 메인화면

망 이중화

모든 네트워크는 각각의 목적으로 분리되어 있습니다. 이렇게 분리하여야 하는 이유는 페킷 스니퍼링 등의 다양한 공격으로부터 회사 자산 및 고객 자산을 보호하기 위함이며, 망장애 상황시 우회 루트를 통해 접근하여 장애의 원인 파악 및 분석 조치가 가능하기 위함입니다.


스마일서브 네트워크 이중화 구성도

네트워크 관제

실시간 pps, bps, FLOW 모니터링 : 패킷 폭증시 실시간 알람으로 관제 요원이 실시간으로 대응체계에 돌입 되도록 합니다. 전체 대역에서부터 각 L3 실시간 흐름이 모니터링 됩니다.

ping 및 시스템 라이브 모니터링 : 주요 네트워크 장비 및 고객 서버에는 PING상태로 서버 및 네트워크 경로의 확인 및 조치합니다.

 

snmp mrtg모니터링 : SNMP 네트워크 표쥰 모니터링 프로토콜을 이용해서 수집한 데이타를 5분 이동 평균 테이타로 모니터링 합니다.

sflow 모니터링 : IDC 전체의 흐르는 플로우를 모니터링 합니다. ddos 공격시 공격 당하는 서버를 실시간 찾는데 사용합니다.

패킷스니퍼링 arp 관제 및 모니터링
클라우드 서비스 내에는 다양한 버츄얼 서버들이 존재하며, 한 서버가 해킹 되었을 때 옆 서버의 감청 – 패킷 스니퍼링 - 이 가능하며, 또한 패킷을 위변조하여 다른 서버에 악성 코드를 심는 공격 등 다양한 공격이 일어납니다. 네트워크 내 같은 맥 주소 브로드 캐스팅 서버에 대한 스니퍼링 시도시 즉각 대응을 위한 arp 값의 관제는 필수적입니다. Mac과 IP의 대응 여부 및 허가되지 않은 중복된 arp는 즉각 격리 조치 해야합니다.

침입 탐지 시스템 IDS
IDC에 인입되는 네트워크 패킷을 실시간 패턴 매치 분석을 통해 IDC 전체에 어떠한 형태의 공격이 보이는지 실시간 분석하게 됩니다.

3단계 보안 레이어