보안 특화 OS '핵심'은 권한 관리

'오픈 소스 기반 운영체제(오픈 OS)'들이 기업의 기간계 시스템까지 영역을 확장하면서 운영체제 레벨에서의 보안성 강화에도 관심이 모아지고 있다.

레드햇의 레드햇엔터프라이즈리눅스(RHEL)와 노벨의 수세리눅스엔터프라이즈서버(SLES), 썬 솔라리스가 대표적인 오픈 OS다.

오픈 OS들은 올해 안에 업그레이드 버전을 선보이면서 강화된 보안 기능들을 선보이고 있다. 무엇보다 각 사별로 특화된 권한 관리와 접근 제어 기능이 다양해 이를 자세히 살펴보고 자사 기업 환경에 맞는 OS를 선택하는 것이 중요하다.

◆컨설팅 통한 권한 관리 정책 체계화 가능 ... 레드햇

보안성 특화 OS들의 특징적인 기능은 바로 권한 관리와 접근 제어다.

연말에 선보이는 레드햇의 RHEL5는 SE리눅스라는 보안 특화 모듈을 무료로 제공하는데, 이 SE리눅스는 시스템의 각 사용자와 애플리케이션에서 사용할 수 있는 권한을 체계적인 하나의 '정책'으로 수립하고 이를 기반으로 권한을 관리할 수 있도록 한다.

SE리눅스는 무료로 제공되지만 이 정책을 수립하는 컨설팅을 받으려면 비용을 지불해야 한다.

레드햇코리아 박준규 이사는 "별도의 보안 애플리케이션을 구축하기 전에 먼저 체계화된 OS 레벨에서의 보안 정책을 수립한다면 더 많은 비용을 절감할 수 있다"고 강조했다.

이같은 정책에 의거해 SE리눅스는 시스템의 각 사용자와 애플리케이션에서 사용할 수 있는 권한에 의해 요청된 행위를 확인해 시스템에서 발생하는 모든 일을 정교하게 관리할 수 있도록 한다.

RHEL4를 포함한 레드햇의 리눅스 배포판에는 SE리눅스의 가장 기본적인 정책이 구성돼 있기는 하지만 새로운 RHEL5에서는 컨설팅을 통한 SE리눅스 정책 수립 외에도 추가되는 정책들을 간단하게 덧붙일 수 있는 기능이 추가됐다.

예전에는 이같은 기능을 구현하기 위해서는 새로운 정책이 추가될 때마다 일일이 컴파일 과정을 거쳐야 했다.

정책의 덧붙임이 용이해 진 것과는 달리 여전히 정책의 수정에는 많은 시간을 필요로 하게 된다는 점이 옥의 티다.

노벨이나 썬의 보안 특화 OS에 비해 RHEL5의 정책 수정은 보다 까다로운 과정을 거친다는 단점이 있다.

◆IPS 역할까지 하는 똑똑한 OS ... 노벨

이달 30일 공개되는 노벨의 SLES10에는 '앱 아모르(AppArmor)'라는 보안 특화 모듈이 포함돼 있다.

앱 아모르는 침입 방지 시스템(IPS)의 일종으로 바이러스 및 악성 응용 프로그램의 공격을 OS 레벨에서 막아주는 역할을 한다.

한국노벨 나영관 이사는 "SLES10은 OS에 보안 애플리케이션이 녹아든 유일한 OS"라고 강조했다.

앱 아모르의 탑재로 SLES10 역시 레드햇 RHEL과 같은 국제 보안 인증 CC EAL 4+ 등급을 필했고, 이에 따라 보안 지원 및 사고 처리에 대한 국제 정부 기준을 충족한다.

이와 함께 사용자 접근을 통제할 수 있는 관리 툴인 야스트(Yast)와 리눅스 자원관리 솔루션인 젠웍스 리눅스 관리로 정책 기반의 시스템 관리 및 패치 관리를 중앙에서 손쉽게 구현하도록 돕는다.

◆간편하고 눈에 띄는 권한 관리 기능 제공 ... 썬

썬의 솔라리스 10은 리눅스의 보안 특화 기능과는 같은 듯 하면서 다르다.

일단은 유닉스 운영체제로서 이미 기업 기간계 시스템의 운영 환경에 합격점을 받았다는 점이 솔라리스의 가장 큰 강점이며 레드햇이나 노벨이 제공하는 권한 관리 기능보다 간편하고 눈에 띄는 사용자 환경을 제공한다는 점이 솔라리스의 가치를 높인다.

한국썬은 오는 11월 국내에 '트러스티드 익스텐션'이라는 모듈이 포함된 솔라리스 10 버전 3을 선보이는데, 이 트러스티드 익스텐션 모듈은 솔라리스 8부터 지원되던 트러스티드 OS 구성의 기본 툴로 무료로 제공된다.

솔라리스 존과 솔라리스 컨테이너가 보안 특화 OS를 일종의 가상 OS로 구성하며 이를 통해 솔라리스 10 하나의 OS 안에서도 별도의 보안 특화 OS를 운영하는 효과를 얻을 수 있다는 점이 특징이다.

특히 솔라리스 10에는 강화된 접근 제어 기술인 프로세스 권한 관리(Process Rights Management) 기능이 포함돼 있어 IT 관리자가 필요한 프로세스로 분배할 수 있는 권한을 가질 수 있다.

여기에 시스템에 접속한 사용자의 권한별로 색깔이나 문자를 통해 권한을 명시해주기 때문에 애플리케이션에 접속을 할 수 있는지 없는지 한눈에 알 수 있는 사용자 환경도 주목할만 하다.

한국썬 솔라리스 담당 김봉환 부장은 "솔라리스 10에서는 사용자별 권한은 물론 애플리케이션 접속 권한까지 조절할 수 있기 때문에 권한 관리 및 접근 제어를 통한 완벽한 보안 통제가 가능하다"고 강조했다.