1

보안 기술 구현 가이드

기술 구현 가이드

실무 요약

현재 중소기업은 주요 사업 목표들을 지원하

기 위해 그 어느 때보다 많이 네트워크에 의

존하고 있습니다. 중소기업들은 전자상거래

(E-commerce), 고객관리(CC), 공급망 관

리(SCM) 및 엑스트라넷 협력과 같은 인터

넷 기반의 이니셔티브들을 지원하는데 훨씬

더 개방적으로 변화함에 따라, 이와 같은 네

트워크들에 한 위험이 증가하고 있습니다.

현재의 네트워크들은 패킷 스나이퍼(packet

sniffers), IP 스푸핑(spoofing), 서비스 거

부(DoS), 스팸메일, 바이러스, 트로이 목마

바이러스 및 기타의 수많은 위협 요소들의

공격에 노출되어 있습니다. 이와 같은 각각

의 위협들은 기업 매출 및 기업의 명성, 고객

신뢰도에 중 한 향을 끼칠 수 있습니다.

시스코는 SAFE 블루프린트(Blueprint)를

통해, 중소기업들에게 확장성 있는, 전사적

보안 솔루션을 제공하여, 이와 같은 위협들

에 처할 수 있게 해줍니다. SAFE는 네트

워크 보안 설계에 해 심도 깊은 방어 전략

을 제공합니다.

안전한 네트워크 인프라 구축을 위한 첫 단

계는 회사를 위한 역할과 책임, 정격 사용 및

주요 보안 실행 등을 정의하기 위한 정식 보

안 정책의 개발입니다. 정책을 마련한 후, 회

사는 기존의 최고의 실행사례를 비시켜 벤

치마크하기 위한 심사를 고려할 것입니다.

기업들은 기존의 네트워크 인프라의 물리적

인 보안상태를 포함한, 네트워크 인프라의

잠재적인 취약점에 해 면 히 검토해야 합

니다.

보안 네트워크 아키텍처에 한 설계, 업그

레이드 및 설치를 진행하면서, 중소기업들은

네트워크의 각 부분들에 해 반드시 평가해

야 하고, 잠재적 위협을 판단한 후, 적절한

보안 수단들을 구현해야 합니다.

시스코 및 시스코의 파트너들은 데스크 탑으

로부터 네트워크 경계까지, 그리고, 사이의

모든 공간과 관련된, 각각의 데이터 인프라

요소들에 한 튼튼한 보호를 제공하는 완벽

한 다중 레이어 솔루션들의 배열을 제공함으

로써, 중고기업들은 E-비즈니스 이니셔티

브들을 안심하고 확장시킬 수 있게 됩니다.

보안 위협의 확

기업들이 점진적으로 주요 회사 기능 수행을

위해 네트워크에 의존함에 따라, 회사들은

네트워크의 공격에 해 그 어느 때보다 취

약한 상태입니다. 불완전한 보안은 주요한

회사 기능을 마비시키고, 생산성 저하 및 중

한 경제적 손실을 초래할 수 있습니다.

네트워크 공격은 상 시스템의 종류에 따라

다양합니다. 어떤 공격은 정교한 방법으로

이루어지고, 다른 경우는 직원들에 의해 우

발적인 보안 침입이 발생할 경우도 있습니

다. 우발적이라고 해도 중 한 손실발생의

예외가 될 수 없습니다.

2

잠재적인 공격들의 타입을 이해하기 위해서는, 먼저 TCP/IP 프로토콜의 근본적인 한계에 해 아는 것이 중요합니다. 처

음에 인터넷이 구성되었을 때, 여러 정부 주체 및 학들 사이에 연결되어 연구 및 학습을 용이하게 할 목적을 가지고 있

었습니다. 인터넷의 원천 아키텍처는 현재와 같은 광범위한 상업적 용도의 인터넷 활용에 해 예상하지 못하고 있었기

때문에, IP 사양에 보안이라는 개념이 존재하지 않았습니다. 결과적으로, 부분의 IP구현은 태생적인 보안결함을 가지게

된 것입니다. 겨우 몇 년이 지나 수 천 건의 RFCs(Requests for Comment) 실행 뒤에야 .비로소, 조직들은 IP를 안전하

게 구성할 수 있는 도구들을 보유하게 되었습니다.

처음부터 IP 보안을 위한 세부적인 비가 이루어지지 않았기 때문에, 조직들은 그들이 구현한 IP가 프로토콜의 태생적

인 결함을 완화시킬 수 있는 네트워크 보안 실행 방법, 서비스, 및 제품들을 포함하고 있음을 보증하는 능력 을 요구 합니

다. 공용 네트워크는 다음과 같은 위협요소들을 포함하고 있습니다.

● 패킷 스나이퍼(Packet sniffers) -패킷 스나이퍼는 해커들이 네트워크상에서 전송되는 사용자명, 암호 같은 데이터를

캡쳐하는데 악용될 수 있는 합법적 관리 도구입니다.

● IP 스푸핑(IP spoofing)-IP스푸핑 공격은 네트워크의 내/외부의 해커가 신뢰 받는 컴퓨터로 가장하여 네트워크 정보

에 한 접근이 허용될 경우에 발생합니다.

● 디페이싱(Defacing)-디페이싱 공격은 인터넷 웹 서버상에서 파일들을 변경하는데 중점을 두고 있습니다. 디페이싱은

고객의 신뢰도를 떨어뜨리고, 중요한 고객 정보 보호여부에 따라 명성이 달라지는 전자상거래 사이트에 심각한 피해를

입힙니다.

● DoS(Denial-of-Server)-DoS는 아마도 가장 널리 알려진 공격형태일 것입니다. 이는 인터넷상에서 다운로드에 사

용되는 프로그램들을 활용하여 이루어집니다. 이들은 일상적인 사용환경에서도 서비스가 가능하지 않도록 하는데 중

점을 두고 있으며, 네트워크, 운 체제 및 애플리케이션이 전체 리소스들을 점유하게 하는 방법을 사용합니다.

● 스팸(Spam)- 스팸은 네트워크 운 에 해 증가하고 있는 또 다른 위협입니다. 수신허용과 관계없이 발송되는 량

E-메일로도 알려진 스팸은 메일서버의 속도를 떨어뜨리고, 저장공간에 한 과도한 점유를 비롯, 개인 메일 수신함을

꽉차게하여 사용자의 생산성을 떨어뜨리게 됩니다.

● 중간자(Man-in-the-middle)공격-중간자 공격은 유, 무선네트워크사이를 이동하는 패킷에 한 접근할 수 있는 해

커에 의해 실행됩니다. 이 공격 중에, 해커는 프라이빗 네트워크 리소스에 해 접근, 정보를 유출하거나, 네트워크 및

그 사용자들에 해 파악하기 위한 트래픽 분석을 위해 네트워크 세션을 강제로 빼냅니다.

● 바이러스, 트로이 목마, 웜 바이러스 -엔드 유저 PC 및 워크스테이션은 특히 바이러스, 트로이 목마의 공격에 취약합니

다. 바이러스들은 다른 프로그램에 첨부되어, PC에서 사용자가 원치 않는 기능을 실행시키는 악성 소프트웨어 코드 입

니다. 트로이 목마 공격은 다른 바이러스들의 공격과 비슷합니다. 하지만, 그 형태를 좀 다르게 위장합니다. 웜 바이러

스들은 스스로를 복제하는 악성 프로그램들입니다.

● HTTP (Hypertext Transfer Protocol)악용-HTTP 공격은 회사의 웹 서버들에 한 비교적 보안이 느슨한 접근을

악용한 악성 활동을 실행하기 위해 웹 서버 애플리케이션을 이용합니다. 만일 공격자들이 악성 활동을 실행하기 위해

웹 서버를 장악할 수 있게 되면, 그들은 접근 불가능했던 리소스들에 접근할 수 있습니다.

● 애플리케이션 레이어 공격-해커들은 몇 가지의 다른 방법들을 사용하여 애플리케이션 레이어 공격을 실행할 수 있다.

가장 일반적인 방법은 sendmail, HTTP나 파일 전송 프로토콜(FTP)과 같이 서버에 있는 소프트웨어들의 이미 잘 알

려진 취약점들을 악용하여, 고급 관리 접근 허용을 받아 컴퓨터에 한 접근을 하는 것입니다.

기업에 미치는 향

네트워크 보안 침해로 인해 손상 복구 비용은 말할 것도 없이, 상당한 매출, 생산성 및 사업에 한 손실 등의 가를 치르

게 되어, 회사들은 막 한 손해를 입게 됩니다. 소규모 조직들은 보안 침해 발생에 응할 수 있는 인력 및 예산 부족으로

인해 특히 취약합니다. 다음과 같이 기업들에 미치는 향은 상당합니다. :

3

● 고객 매출 감소-사업적 손실보다 더 큰 타격은 없습니다. 회사의 웹사이트를 통해 제품 구매 또는 정보에 접근 하려던

고객이, 그 사이트가 해킹된 것을 발견했다면, 그 고객은 다른 곳으로 가버릴 것입니다.

● 파트너와의 트랜잭션 불가-보안 침해로 인해 회사로서는 파트너 및 공급자들과의 협업 능력을 손상시켜 B2B 트랜잭

션의 장애 또는 중단을 유발할 수 있습니다.

● 고객 신뢰도 실추-해커에 의해 타격을 입은 사업 네트워크에 한 고객 신뢰도 회복은 쉽지 않으며, 충성도 복원도 오

랜 시간이 소요됨 알게 됩니다. 고객은 의식적으로 프라이빗 정보 보호에 문제를 가진 업체와 프라이빗 정보를 공유하

는 것을 망설이게 됩니다.

● 부정 사건에 한 책임-신용카드 사기 사건이 점차 만연되어 가고 있습니다. 전자상거래 사이트에서 신용카드로 제품

이나 서비스를 구매하는 고객은 본인의 개인 정보를 해당 회사에 맡기고 있습니다. 네트워크 보안 침해로 인해서 발생

한 사기사건 및 도용 사건으로 인해 발생하는 책임위험으로 인해 조직은 그 존립마저 위협 받고 있습니다.

이와 같은 위협들을 해소하기 위해, 조직들은 지속적이고, 확장 가능한 전사적 보안 솔루션을 마련하여, 보유한 네트워크

를 끊임없이 보호할 수 있어야 합니다.

네트워크 보안을 책임지는 시스코의 SAFE 블루프린트

시스코의 SAFE 블루프린트는 보안형 유무선 네트워크 설계, 구현 및 유지보수에 한 엔드-투-엔드(end-to-end) 보

안 전략을 제공합니다. 네트워크 보안 요구 사항들을 고려하면, SAFE 서버들은 네트워크 설계자들에게 가이드 역할을

합니다. 네트워크 보안 설계에 한 심층 방어 접근방식을 취합니다. 이 디자인 유형은 방화벽의 설치위치나 침입 탐지 시

스템의 위치 지정 보다는 예상된 위협 및 그 해결방법에 초점을 맞추고 있습니다. 이 전략은 보안 시스템의 일부분에 문제

가 발생하더라도 전체의 네트워크 리소스에 향을 끼치지 않는 다층적 접근으로 이어집니다. SAFE는 시스코 및 파트너

들의 제품에 기반하고 있습니다.

Cisco SAFE는 네트워크 보호에 관한 근본 개념들로 구성된 한 세트로 개발되었습니다:

● 진정한 보안 솔루션은 제품이 아니라 프로세스입니다. 따라서, 효과적인 보안 솔루션은 새로운 위협요소 또는 기업의

요구사항에 응할 수 있도록 끊임없는 진화와 변화가 가능해야 합니다.

● 네트워크의 모든 액세스 포인트들이 보안 유지 목표이며, 그에 상응하는 보호가 이루어져야 합니다.

● 성공적인 보안 솔루션은 네트워크 인프라 전반에 한 광범위하면서도, 통합된 보호조치가 필요합니다. 몇 종류의 특정

보안 장치만으로는 불가능합니다.

● 보안 솔루션은 모듈형으로 구성하여 비용절감, 확장성 및 유연성을 갖추어야 합니다.

● 다층형의 심층적 방어 전략은 보다 완벽한 보호를 제공하며, 잠재적으로 취약한 부분들을 최소화 시켜줍니다.

최상의 모범사례에 기반을 둔 모듈형 블루프린트

시스코의 각각의 SAFE 블루프린트는 모듈형 접근을 활용하는데, 이는 2가지의 장점을 가집니다. 첫째, 네트워크 기획자

들이 네트워크의 다양한 기능적인 장벽들 사이의 보안 관계를 다룰 수 있도록 해줍니다. 두 번째, 단편적으로 완성된 아키

텍처를 시도하는 신, 네트워크 기획자들이 모듈단위의 보안을 평가 및 구현할 수 있도록 합니다. 시스코는 WLAN 환경

뿐 아니라, 중소기업, 원격 사용자 네트워크를 위해 SAFE 블루프린트를 개발했습니다.

SAFE 설계 접근은 예측된 위협요소들 및 그 응 방법들에 초점이 맞추어져 있기 때문에, 시스템의 일부에 장애가 발생

하더라도 다른 네트워크 리소스들에 부정적 향을 미치지 않도록 하는 다층형 보안 솔루션을 제공하고 있습니다.

4

시스코는 수년간 업계 최고의 보안 솔루션 들을 개발한 경험을 통해 SAFE 블루프린트를 탄생시켰습니다. 회사에서는 성

장하는 비즈니스를 위한 견고한 보안 솔루션 분야에 한 시스코의 최상의 모범 사례를 활용할 수 있습니다.

구현 시 고려사항

보안관련 당면 과제는 지속적으로 새로 발생합니다. 따라서 견고하고 심도 깊고, 유연성 및 확장성을 가진 적절한 정책 기

반의 솔루션이 필요합니다.

보안 정책의 수립

기업의 컴퓨팅 및 네트워크 리소스가 증가함에 따라, 회사 자산의 보안을 침해하는 상들로부터 보호하기 위한 보안 정

책 수립은 필수적입니다. 보안 정책은 한 회사의 역할, 책임, 올바른 활용 및 주요 보안 구현 상황을 정의한 정식, 인쇄 문

서입니다. 그것은 구성요소가 완벽한 보안 프레임워크(framework)를 갖출 것을 요구하며, 보안 정책은 보안 유지에

한 투자지침으로 활용 되어야 합니다 .

보안 정책의 요소

보안 정책은 회사의 모든 분야에 향을 미치므로, 협의과정을 통해 수립되어야 합니다. 그 과정에는 IT 부서, 인사부서,

법무, 행정 및 실무 부서의 참여가 이루어져야 합니다. 팀의 리더로서 주로 회사 보안 책임자가 최선의 선택이 됩니다. 보

안 정책 개발은 몇 주가 걸릴 수도 있는데, 조직 규모에 따라 달라집니다.

보안 정책 요소들은 다음 사항을 포함합니다:

● 정책 명시 - 문서의 목적을 간략한 명시, 정책 명시는 회사 및 해당 업계에 적용, 심사, 조정 및 강제할 수 있는 것이어

야 합니다.

● 범위 - 정책은 그 향을 받는 정보 및 리소스의 종류를 포함하고 있어야 합니다. (예, 정책이 전자적 리소스에만 해당

되는지, 아니면 인쇄물이나, 기타 다른 지적 소유물에 해서도 관련성을 가지는지.)

● 역할 및 책임 - 보안 정책은 보안 관리자, IT 감독관, IT 관리자 역할 및 책임과 직원들에 한 상세한 책임을 정의하고

있어야 합니다.

● 보안 지침 - 보안 정책의 핵심은 네트워크 설계에 한 지침, 직원에 의해 활용되는 하드웨어와 소프트웨어의 종류, 제

3자 접속, 원격 액세스, 이름 및 암호 관리, 침임 감지 및 기타 요구사항을 포함하여, 준수할 의무가 부여된 상세한 보안

지침을 제시해야 합니다.

● AUP(Acceptable use policy) - AUP는 인터넷 및 개인적 사용과 부적절한 내용을 제공하는 인터넷 사이트에 한 접

근 금지 같은 사항들에 관해 다룹니다.

● 사건 응 절차 - 보안 정책의 가장 중요한 부분 중, 사건 응 절차는 다양한 위협 레벨에 해 누가 최초 경보를 탐지

하며, 처리에 필요한 상세한 단계를 누가 담당하는가를 정의합니다. ,

● 문서 업데이트 - 조직은 어떻게 보안 정책에 한 업데이트를 실시할 것인지를 정의해야 합니다.

보안 정책을 개발하면서 우선 간단하고 포괄적인 보안 정책에서부터 출발하여, 1년 동안 이 보안 정책을 계속 확충해 나

갈 것을 권고합니다. 또한 정책이 제 로 자리를 잡을 때까지, 핵심 보안을 위한 투자 결정을 늦출 것을 권고합니다.

5

취약요소 식별

오늘날의 개방형 네트워크들은 많은 잠재적 취약점들을 가지고 있습니다. 엑스트라넷, VPN, 상시 접속 광 역 인터

넷 연결 및 WLAN들이 그 예 입니다. 기업들은 그들의 네트워크 아키텍처의 몇 가지 주요 부분에 한 점검을 통해

잠재적인 취약점들을 식별할 수 있습니다.

● 방화벽을 가지고 있으며, 그 역할을 알고 있습니까?

방화벽이 설치된 지 오래될 수록, 방화벽이 구현하고 있는 정책이 무엇인지 아는 사람은 아무도 없을 확률이 높아

집니다. 가장 견고하고, 다양한 기능으로 무장한 방화벽일 지라도, 제 로 설정되지 않거나, 기능이 활성화 되어있

지 않으면 무용지물이 될 수 밖에 없습니다. 중소기업은 방화벽 설정에 한 연간 예산을 편성하고, 검토에 한 적

극적인 자세를 갖춰야 합니다.

● 어떤 종류의 원격 액세스 허용할 것입니까?

회사의 네트워크에 튼튼한 앞문과 같은 견고한 방화벽을 가지고 있다고 하더라도, 나머지 부분에 네트워크 백 도어

(backdoor)와 같이, 다량의 원격 액세스 창들이 활짝 열린 상태로 방치되어 있다면 그 방화벽은 무용지물일 뿐입

니다. 기업은 벤더 또는 비즈니스 파트너에 한 다른 모든 외부 접속뿐 아니라, VPN, 모뎀용 전화 접속 라인, 원격

제어 소프트웨어들 확인해야 합니다.

● 웹사이트를 보유하고 있습니까?

웹 서버를 보유한 경우, 특히 E-비즈니스 혹은 전자상거래가 이루어지는 경우, 해커의 공격으로부터 안전을 확보

하기 위해서는 상당한 노력이 필요합니다. 최소한, 인터넷에 노출된 모든 웹 서버들은 기본적으로 운 체제 벤더의

보안 점검리스트에 적합하게 설정된 운 체제를 보유하고 있어야 합니다. 하지만, 기업들은 보안 패치에 한 점검

이 이루어지고, 운 체제 벤더의 보안 패치 배포시점으로부터 1주일 이내에 패치 설치를 보증할 수 있는 프로세스

를 개발해야 합니다.

● 광범위한 IDS 솔루션을 보유하고 있습니까?

침임 감지는 네트워크에 한 승인되지 않은 액세스 권한 획득이나, 네트워크를 손상 시키기 위한 시도를 감지하는

프로세스입니다. 승인되지 않은 액세스는 자동적 또는 수동 조작에 의해 관리되며, 규정에 기반을 둡니다.

네트워크 아키텍처 설계

네트워크 아키텍처 설계 및 구현 시에, 기업은 네트워크의 각 부분을 평가하고, 잠재적인 위협요소 결정 및 적절한 보

안 수단을 구현해야 합니다.

채널 파트너 및 VAR(value-added resellers) 또는 MSSPS(managed security service providers)는 기업에 비

해 인력 및 전문성이 부족한 중소기업에 특히 도움이 됩니다. 파트너의 다양성을 활용할 수 있으며, 각자 고유의 전문

분야를 보유하고 있습니다. 파트너를 고려할 때, 조직들은 이들이 제조인증을 받았는지 확인해야 합니다. 이와 같은

요소가 네트워크 보안 솔루션 설치 및 설정할 수 있는 자격이 있는지 판단할 수 있는 근거가 됩니다.

기업의 주요 위치

중소기업 네트워크 설게는 2개의 논리적 레이어로 구성되어 있습니다. : 기업 본사 및 독립 지점 위치

첫 번째 레이어는 기업 본사 또는 조직 네트워크의 본부에 기반을 두고 있습니다.

6

본사는 같은 회사의 다른 사무소에 한 VPN연결을 보유하고 있을 것입니다. 예를 들면, 기업은 기업 주요 위치에

한 중규모 네트워크 설계 및 원격 사무소들을 위해 몇 개의 소규모 네트워크 설계를 적용합니다. 상시 재택 근무자들은 원

격 네트워크 설계에서 논의된 옵션을 통해 본사 네트워크를 방문합니다. 기업의 주요 위치나 본부 레이어는 네트워크 경

계선 모듈과 LAN 및 데스크 탑 레이어, 이렇게 2개의 모듈을 가지고 있습니다. 관리자는 재택 근무자, 옵셔널 무선 사용

자, 네트워크 관리에 한 필요사항 뿐 아니라, 본사에서 이 두 개 의 레이어의 필요사항을 충족시키는 계획을 수립해야

합니다.

네트워크 경계선

부분의 중소기업들은 인터넷 접속을 위해, 경제적인 ISDN, DSL, 또는 광 역 케이블을 선택합니다. 광 역 공유 서비

스는 임 회선(leased line)보다 더 많은 심각한 서비스 장애를 유발할 수 있습니다. 그 이유는 사용자 1명당 사용 가능

한 역폭 범위가 쉽게 감소하고, 사용자가 증가할수록 더 많이 감소합니다. 만약 DoS(denial-of-service)공격이 발생

하면, 단일-비분산 공격자가 이들 접속에 한 리소스 고갈을 유발할 수 있습니다. 그리고, 단일 사용자에게 서비스를 제

공하는 임 회선과는 달리, 이들 광 역 접속 시스템들은 공유 시스템으로서, 사용자가 상 편 데이터를 열람할 경우, 중

한 보안 위험을 초래할 수 있습니다.

경계선에 한 최선의 보호방법은 상태보존형 방화벽 기능을 가진 기업용 방화벽 또는 액세스 라우터를 사용하는 것입니

다. 예산 및 IT인력이 제한적인 소규모 기업들은 비용 면에서 경제적이고, 관리하기 용이한 통합 라우터 솔루션 채택을

선호할 것입니다. 반면에, 중규모 이상의 조직들은 방화벽에 한 더 높은 수준의 성능 및 기능성을 요구할 것입니다. 기

업들은 장치의 통합효과와 비교한 장비의 처리능력 및 기능성을 기초로 결정을 내리게 됩니다.

그림 1

100-500 Users/Nodes 기업 주요 위치 또는 본사의 예

7

다음과 같은 임무를 수행하는 인터넷 방화벽과 같이, 하드웨어 또는 소프트웨어 기반의 방화벽은 회사 네트워크를 감싸

주어, 불안한 네트워크와의 안전한 완충공간의 역할을 합니다:

● 회사 네트워크 및 IT 환경에 적절한 정보 및 개인들만 액세스하도록 보장합니다.

● 불안한 외부 네트워크에 한 직원들의 접속을 차단함으로써 네트워크를 내부에서 외부로 안전하게 보호합니다.

● 승인되지 않은 외부인에 의한 원치 않는, 위험한 전송을 차단합니다.

● 인터넷을 통해 내부사용자가 열람할 수 있는 정보를 필터링합니다.

인터넷에 연결된 모든 회사에 방화벽이 필수적이긴 하지만, 구현 및 유지 보수는 제한된 IT리소스 및 기술을 가진 중소기

업들에게는 부담이 될 수 밖에 없습니다. 이 같은 상황가운데, 많은 조직들은 방화벽 구현 및 관리의 외주를 선택하고 있

습니다.

방화벽 솔루션을 구현할 때, 조직은 다음과 같은 사항에 한 자가 체크가 필요합니다. :

● 방화벽 지원 네트워크 보안 정책을 준수하며, 그것이 벤더의 정책에 향력을 가집니까?

방화벽에 한 가장 안전한 접근은 명시적으로 허가된 서비스를 제외한 모든 서비스를 거부하도록 사전에 설정해 놓는

것입니다. 설치 시에, 현장 설치 요원이 필요한 서비스들에 한 설정을 할 수 있습니다.

● 방화벽이 예상 했던 트래픽 레벨 이상에서 작동합니까?

자체적인 평가를 통해 벤더의 주장이 타당한지 여부를 검증합니다. 이들의 규모 및 수요에 따라, 회사는 방화벽이 다수의

사용자 접속을 처리할 수 있는지, 그리고 트래픽을 방화벽 포워딩 레이트와 같은, 효력 있는 보안 규정에 따라, 신속하고

충분하게 이동시킬 수 있는지 보증할 수 있어야 합니다.

IDS (Intrusion detection systems)는 해커나 승인되지 않은 사용자들에 한 네트워크 경계선 보호가 가능합니다. IDS

는 관리자들에게 경고, 해커에 한 인텔리전트 차단 및 다음 공격을 회피할 수 있도록 네트워크 동적 재설정 또한 가능합

니다. 침입 감지는 네트워크 공격 방법을 이해하는 것과 연관됩니다. 이와 같은 이해를 바탕으로, 공격들을 막을 수 있는

준비할 수 있게 됩니다.

● 첫째, 악의적인 활동의 일반적인 패턴 감지를 확인합니다.

● 둘째, 일반적인 부류가 아닌 특정 사건들에 한 확실한 조치를 보증합니다.

이것이 IDS (Intrusion Detection Systems)가 증가하는 네트워크 위협을 충분히 신속하게 해결하는 소프트웨어 업데이

트 메커니즘에 의지하는 이유입니다. 하지만, 단순하게 침임을 감지하는 것만으로는 부족합니다. 침입의 근원을 추적하

여, 공격자를 효과적인 방법으로 처리하는 것이 필요합니다. 공격자를 처리하는 것은 그다지 중요한 문제가 아닙니다. 하

지만, 많은 공격들은 위조된 IP 주소이거나, 양보된 장치 또는 시스템들에서 비롯 된 것입니다.

웹 서버를 보유한 기업은 또한 DMZ(demilitarized zone)을 구현하여, 웹을 오가는 적절한 트래픽만을 허용합니다. 회사

의 LAN상의 웹 서버가 위치하고 있는 곳을 위해 NAT(Network Address Translation)를 구현할 수 있습니다. NAT는

라우팅이 가능한 공용 IP 어드레스(public IP address)의 변환에 프라이빗, 라우팅이 불가능한 어드레스(private

address)를 제공합니다. NAT를 사용하여, 액세스 라우터 상에서 공용 IP 어드레스로 정해진 모든 트래픽은 웹 서버의

프라이빗 어드레스로 전달됩니다. 추가적인 액세스 제어를 제공하기 위해, 기업에서는 웹 서버를 분리된 VLAN(virtual

LAN)에 설치할 수 있습니다.

많은 회사들은 소규모의 지점들을 서로 연결할 필요도 있으며, 이들을 위해 임 WAN 회선들보다 비용 면에서 보다 경

제적이고, 유연한 솔루션이 필요합니다. 이들 회사들은 본사 및 중심 현장 및 몇 개의 소규모 현장, 지점에 있는 주요 네트

워크 리소스를 가진 사이트-투-사이트(site-to-site) VPN을 주로 구현합니다.

8

중규모 회사들은 확장성 있는 솔루션을 구현하여, 리소스가 필요하면, 보안에 아무런 향을 주지 않으면서, 언제든지 쉽

게 추가할 수 있도록 해야 합니다. 중규모 회사에서의 성능 요구사항은 훨씬 중요한 반면에, 예산 제한은 덜한 편이기 때

문에, 이들의 네트워크 솔루션은 방화벽과 같이 좀 더 전문적인 장치들을 포함할 수 있습니다.

시스코 솔루션

시스코는 모든 주요 부분에 한 완벽한 관리 및 보호가 가능한, 통합 엔드-투-엔드 보안을 제공하는 완전한 포트폴리오

를 제시합니다. 네트워크 경계선에서는 Cisco SOHO Series, Cisco 800 Series, Cisco 1700 Series 액세스 라우터, 및

Cisco 2600 Series 라우터와 같은 시스코 액세스 라우터들은 소규모 회사들이 잠재적인 공격에 응할 수 있도록 하는

이상적인 솔루션들 입니다. 시스코 액세스 라우터를 사용하며, 회사들은 네트워크 경계선을 보호함과 동시에 안전한 네트

워크 액세스를 다중 원격 사용자 또는 사무소에까지 확장할 수 있습니다. 또한, 새로운 시스코 라우터들의 Easy VPN 기

능들을 통해, 라우터들이 VPN 액세스 집중기(concentrator)와 같은 기능을 하거나, 다른 액세스 집중기까지 네트워크를

확장해주는 역할을 합니다.

소규모 기업에게는 액세스 라우터들과 방화벽의 설정이 까다로운 작업이긴 하지만, 시스코 제품들은 소규모 조직의 어려

움을 해결해줄 수 있도록 설계된 웹 기반의 쉬운 설정 방법을 제공합니다.

그림 2

100인/노드 이하인 경우의 보안 솔루션 블루프린트 추천

9

종종, 중규모 회사들은 소규모 조직과 비교하여, 동시 접속, 더 높은 역폭 및 더 높은 성능에 한 지원을 요구하는 경우

가 있습니다. 이러한 회사를 위해, 전문 Cisco PIX(r) Firewall이 원격 액세스 애플리케이션 뿐 아니라, 최고 레벨의 방화

벽 및 보안 기능들을 사이트-투-사이트에 제공해줍니다. Cisco PIX 방화벽들은 SPI (stateful packet inspection) 방화

벽기능, 표준 IPSec (standards-based IP Security)VPN 지원, 침입 방지 및 기타 다수의 기능들을 포함하는 기업용 보

안 서비스들을 제공합니다.

Cisco IDS Host Sensor 또는 시스코 라우터에서 구동하는 IDS 소프트웨어는 주요 네트워크 리소스를 보호하기 위해, 인

터넷, 엑스트라넷 접속을 실시간으로 감시하여 방화벽이 감지하지 못하는 공격들을 식별합니다. Cisco IDS 제품들은

Dos(denial-of-service) 방지, 해킹방지 감지 및 E-비즈니스 애플리케이션에 한 방어 기능을 제공합니다. 현재 시중

에 나와있는 2개의 IDS의 기본형은 HIDS (Host-based IDSs)와 NIDS (Network-based ID’s)입니다.

그림 3

예를 들어, HIDS는 민감한 정보를 담고 있는 중요 네트워크 서버들 및 데스크 탑을 보호하는 소프트웨어 에이전트들 입

니다. 표적인 구현의 경우, 에이전트들은 각각의 안전한 자산에 설치됩니다. 이들 에이전트 들은 디스크 공간, 램, 운

체제 분석 CPU 타임, 애플리케이션 및 시스템 감사 추적 등과 같은 시스템 리소스들을 활용합니다. 수집된 정보는 보안

침해 발생 여부를 확인하기 위해, 규정들과의 비교를 실시합니다. 이들 에이전트들은 호스트 관련 활동을 감지할 수 있도

록 잘 다듬어져 있으며, 세 한 분할을 통해 이들 사건 종류를 추적할 수 있습니다. (예, 언제 어떤 파일에 해 누가 검사

를 받았는가)

HIDS 에이전트들은 경고 정보를 지역 콘솔에 보냄으로써, 자가-관리(self-contain)가 가능하며, 정기적인 업데이트 및

보안 데이터를 수신하는 관리자/수집자에 의해 원격으로 관리됩니다. 집중식 관리 플랫폼을 포함한 호스트-기반의 구현

은 소프트웨어 업그레이드를 좀더 용이하게 할 수 있습니다. HIDS는 제한된 수의 중요한 시스템들에 한 보호한 경우에

이상적이며, 그것들은 네트워크 기반의 IDS를 보완하게 됩니다. 하지만, 그것들은 전사적 솔루션이 필요한 경우, 확장이

잘 이루어지지 않습니다.

NIDS (Network-based IDSs )

네트워크 기반의 IDS로서, 특정 네트워크 세그먼트에 한 감시 활동을 합니다. 호스트 기반의 에이전트와는 달리, 네트

워크 기반의 시스템들은 보통 2개의 부분으로 이루어진 전문적인 플랫폼입니다. :

● 네트워크 트래픽에 한 수동 분석을 실행하는 센서부분

● 센서에서 오는 경보 정보를 디스플레이 하고, 보안 담당자가 센서를 설정할 수 있도록 하는 관리 시스템 부분

10

LAN과 데스크 탑

소규모 회사의 데스크 탑과 LAN에는 데스크 탑, 파일 서버, 일단위 파일 백업 시스템 및 소프트웨어가 포함되어 있습니

다. 이들 호스트들을 보호하고, 바이러스백신 스캐너나 패치와 같이 써드파티(third-party) 소프트웨어 솔루션을 통한

정기적 업데이트는 매우 중요합니다. 부분의 소기업의 리소스들은 단일 파일서버에 저장되어 있기 때문에, 서버에 한

용이한 접근성 및 활용성이 특히 중요합니다.

그림 4

100-500인/노드인 경우의 보안 솔루션 블루프린트 추천

회사의 규모가 확장되면서, 네트워크 상의 데스크 탑 호스트수도 증가하며, 회사 네트워크에 한 제어 액세스가 더 큰 애

로사항이 됩니다. 중규모 회사들은 LAN을 보다 관리하기 용이한 서브 넷(subnet)들로 나눌 것을 고려할 수 있습니다. 이

들 서브 넷 들은 마케팅, 재정, 제조 등의 부서별 또는 지리적 위치에 따라 조직될 수 있으며, 네트워크 관리자들에게 접속

및 액세스 특권들에 한 추가적인 제어를 부여할 수 있습니다.

조직들은 스위치 나 라우터 내에서 아이덴티티(identity) 서비스를 통해 LAN의 보안도 향상시킬 수 있습니다. 이는 사용

자 식별, 그들이 네트워크상에서 실행하도록 허가 받은 사항에 한 제어를 돕기 위함입니다. 아이덴티티 서비스 인증 시

스템의 예는 Cisco Secure ACS(Access Control Server)를 포함하고 있는데, 여기에는 PKI(Public Key

Infrastructure)제품들과 같이 시스코 파트너 솔루션을 추가할 수 있습니다.

11

시스코 솔루션-LAN 인프라

기본 LAN 인프라의 한 부분으로인, Cisco Catalyst 스위치는 RADIUS (Remote Access Dial-In User Service) 또는

TACACS+ 인증과 같은, 폭넓은 아이덴티티 서비스를 지원하는데, 이를 통해 스위치에 한 중앙 집중형 제어가 가능하

며, 인증된 사용자가 설정을 변경하는 것을 제한하게 됩니다. 이들 LAN 보안 기능들은 네트워크 내에서 심화된 제어 액

세스를 할 수 있는 최고의 능력을 제공합니다.

더 작은 규모의 회사의 경우, 설정 고정식 Cisco Catalyst 2950 Series 스위치들 구현할 수 있습니다. 반면에, 더 큰 규모

의 조직들은 추가적인 유연성 및 확장성을 제공하는 Cisco Catalyst 3500이나 4000시리즈 스위치들을 선호할 것입니다.

재택 근무 및 원격 액세스

기업들이 변화함에 따라, 자연히 기업의 비즈니스 방법의 변화 또는 생산성 향상에 도움이 되도록, 더 폭넓은 고속 원격

액세스 기술들에 한 지원 능력이 필요하게 됩니다. 직원 및 지리적으로 더 넒은 사업 역을 가지고 있는 더 큰 규모의

회사들은 재택근무자 및 파트너들을 위한 원격 액세스를 지원하도록 다양한 접속 옵션들이 필요할 것입니다. 예를 들어,

회사는 DSL이나 케이블 같은 광 역 기술을 선택했을 수 있지만, 어떤 재택근무자는 ISDN을 이용하고 있을 것입니다.

기술과는 상관없이, 조직들은 액세스 방법들을 수용가능 하고, 적절한 라우팅 및 액세스 제어를 보장 할 수 있는 네트워크

를 설계해야 합니다.

VPN은 원격 액세스를 지원하는 최선의 방법으로서, 사용자들이 보안을 유지하면서 각자의 가능한 액세스 방법을 이용한

공용 네트워크를 통해 회사의 리소스에 접속할 수 있게 합니다. 원격 액세스 VPN은 원격에서 또는 모바일 사용자들이 회

사 네트워크로 접속할 수 있도록 서비스 제공업체 네트워크에 한 다이얼 업 또는 광 역(DSL 또는 케이블)액세스를

사용합니다. 엑스트라넷 VPN은 회사와 공급자, 고객, 및 기타 사업 파트너들을 연결해주고, 협업 및 협력을 위해 회사 네

트워크의 특정 부분에 한 제한된 액세스를 제공합니다.

VPN 솔루션을 개발할 때, 회사들은 VPN 트래픽을 프라이빗 하고 안전하게 유지시키는데 필요한 모든 보안 기능들을 제

공해주는 솔루션을 구축해야 합니다. 터널링(tunneling), 암호화, 패킷 인증, 방화벽 및 사용자 식별등과 같은 방법이 이

보안 기능들에 속합니다. 터널링은 모든 다른 보안 및 전송 품질 수단들이 인터넷 환경에서도 가능하도록 해줍니다. VPN

에서, 암호화는 터널화된 연결에 적용되어, 데이터를 뒤섞어 놓고 승인되지 않은 사용자들은 볼 수 없도록 만듭니다. 선정

된 VPN 솔루션은 IPSec, L2TP (Layer 2 Tunneling Protocol), 그리고 GRE (generic routing encapsulation)과 같은

주요 터널링 프로토콜을 지원합니다.

소규모 회사들을 위한 원격 액세스 모델은, 회사 네트워크에 한 안전한 액세스가 가능하도록 VPN 소프트웨어 클라이

언트와 결합하여, 기존의 집에서 광 역 연결을 하는 사용자를 포함합니다. 이 모델의 약점은 호스트가 VPN 소프트웨어

에 접속하고 있는 동안에만 보호 받을 수 있다는 것입니다.

방화벽이 통합된 DSL 라우터를 클라이언트에 추가함으로써 이 모델에 한 개선이 가능한데, 이 라우터는 앞에서 언급

된 다양한 보호 기능들을 제공합니다. 여러 사용자들이 있는 사무소에서는 라우터가 VPN 클라이언트 역할을 하며, 연결

된 모든 호스트들에 한 보안이 유지되는 원격 액세스를 제공해 줌으로써, 각 호스트가 소프트웨어 클라이언트를 실행

할 필요성을 제거해줍니다.

더 큰 규모의 회사들은 VPN 커넥터 또는 서버를 인터넷 라우터 배후에 설치하기 원할 것입니다. 그렇게 하면 이들 장치

들은 컴퓨터 상의 VPN소프트웨어나 하드웨어 클라이언트들에 의해, 소규모 사무실 라우터들 또는 방화벽 장치까지 연결

될 수 있습니다.

12

시스코 솔루션-원격 액세스

회사 네트워크에 연결해야 하는 재택근무자들은 방화벽과 VPN 기능을 함께 가진 Cisco SOHO 또는 Cisco 800 Series

Router를 염두에 두고 있을 것입니다. Cisco PIX 방화벽은 소규모 사무실에서의 방화벽 보호 및 VPN 액세스 또한 제공

합니다.

중규모 이상의 회사들을 위해서는, Cisco VPN 3000 Series Concentrator가 확장성 있는 고급 기능 및 강력한 성능을 고

급 암호화 및 인증 기술과 결합시키는 플랫폼을 만들어 줍니다. 이들의 유연한 설계를 통해 기업들은 사용자 접속을 추가

할 수 있고, 처리량 증가 및 조직규모 확 에 따른 추가 사용자 지원을 가능하게 해줍니다. Cisco 7100 Series VPN 라우

터와 같은, VPN라우터는 더 큰 규모의 조직의 주요 위치에서VPN 헤드엔드 터미네이션(headend termination)장치의 역

할 또한 가능합니다

Cisco VPN Client(Cisco VPN Concentrator를 포함)는 직원 랩 탑이나 데스크 탑에 상주하는 소프트웨어이며, 보안이

유지되는 엔드-투-엔드 암호화 터널을 구축하는데 활용됩니다. 그리고, Cisco VPN 3002 Hardware Client는 추가적인

성능 및 사용 편의를 제공합니다.

무선 LAN 및 데스크 탑

규모가 커지는 회사들은 이동하는 직원들을 지원하고, 네트워크 이전, 추가 및 변경을 용이하게 해주는 IEEE802.11표준

기반의 WLAN의 구현을 주로 고려 합니다. WLAN은 유선 LAN보다 더 신속한 구현이 가능하며, WLAN 특유의 유연성

을 통해 회사들은 노후화된 건물, 임 공간 이나 임시 업무공간의 한계를 극복할 수 있도록 해줍니다.

가장 취약한 연결상태가 전체적인 네트워크 보안유지 상태를 결정 하기 때문에, 네트워크 관리자들은 WLAN이 유선

LAN만큼의 액세스 제어 및 데이터 프라이버시를 보장해 주기를 원합니다. 이더넷 포트에 한 물리적 액세스에 의해 제

어되는 액세스를 가진 유선 LAN과는 반 로, 무선 LAN은 WLAN의 기본 구성요소인 액세스 포인트와 클라이언트 어댑

터 사이에 전파를 통해 데이터를 전송하게 됩니다. 이 역에서의 모든 무선 LAN 장치들은 이 전파들을 수신할 수 있습

니다. 이와 같은 WLAN에 한 위협을 피하기 위해서, 네트워크 관리자는 WLAN 보안 기능을 작동시키고, 향상된

WLAN보안 솔루션 설치에 주의를 기울일 필요가 있습니다.

WLAN 보안의 두 개의 주요 부분은 인증 및 암호화 입니다. 인증은 사용자나 액세스 포인트가 실제의 상인지 확인하게

됩니다. 암호화는 데이터가 송수신 과정에서 원래의 상태를 유지할 수 있게 하는 방법입니다.

전통적인 WLAN 보안은 SSIDs (service set identifiers), 개방 또는 공유-키 인증, 정적 WEP (wireless encryption

protocol) 키 및 옵셔널 MAC (Media Access Control)인증을 포함합니다. 이 조합은 기본적인 레벨의 액세스 컨트롤 및

프라이버시를 제공하지만, 각 요소는 가감이 가능합니다.

더 강화된 보안 솔루션은 유무선 네트워크 인증을 위한 IEEE802.1X 표준입니다. 이 표준은 WLAN에 클라이언트와 인

증서버 사이의 강력한 상호 인증을 제공합니다. 802.1X는 동적 사용자 개별, 세션 개별 WEP 키를 제공하여, 정적 WEP

키와 관련된 관리 및 보안상의 문제를 제거해 줍니다. 몇몇의 802.1X인증방식이 존재하는데, 각각은 동일한 프레임워크

(framework) 및 클라이언트와 무선 액세스 포인트 사이의 통신을 위한 EAP(Extensible Authentication Protocol)에 의

존하는 동안, 인증에 한 서로 다른 접근을 제공합니다. 802.1X 인증을 통해, 로그 온 암호와 같은 인증에 사용되는 인증

서들은 암호화 과정 없이 무선 매체를 통해 전송되지 않습니다.

13

현재 2가지의 암호화 옵션이 WLAN에 활용되고 있습니다. 하나는 802.11 WEP으로서, RC4알고리즘을 활용하며, 알려

진 취약점들을 가지고 있습니다. 다른 하나는 802.11b WEP 표준을 개선한 것으로써, TKIP(Temporal Key Integrity

Protocol)의 보호를 받고 있습니다. TKIP는 RC4기반의 WEP키 해쉬(hash)기능에 한 몇 가지 주요 개선점들, 또는 패

킷 별 키 작업(keying) 및 MIC(message integrity check)를 포함합니다. 이 두 번째 옵션은 네트워크 공격에 한

WLAN의 민감성을 완화시켜줄 수 있도록 브로드캐스트(broadcast) 키 로테이션을 사용을 포함합니다.

그림 5

원격 액세스에 한 보안 솔루션 블루프린트 추천

시스코 솔루션- 무선 LAN

WLAN을 구현한 조직들을 위해, Cisco Aironet(r) 제품들은 표준 802.11a 및 802.11b 기반의 중소기업용 액세스 포인

트와 클라이언트 장치들을 포함하고 있습니다. Cisco Aironet 제품들을 포함하는 Cisco Wireless Security Suite는 유선

LAN 급의 보안성에 근접하는 강력한 WLAN 보안 서비스들을 제공합니다. Cisco Wireless Security Suite는 사용자 기

반의 인증을 위해 EAP 프레임워크를 활용하여 LEAP (Lightweight EAP), EAP-TLS (EAP-transport layer

security) 그리고 PEAP (Protected EAP) 그리고 EAP-TTLS (EAP-tunneled TLS)와 같은, EAP-TLS에 해 작동

하는 유형들을 포함하여, 모든 802.1x 인증유형들을 지원합니다.

Cisco Wireless Security Suite는 앞에서 언급된 로 WEP 키들에 한 몇 가지 개선점들에 해 지원합니다.

보안형 네트워크의 관리

회사들이 보안 정책을 마련하고, 방화벽, 침입 감지, 바이러스 감지 및 기타 경계선 보안 기술을 구현한 다음에, 필히 이들

보안 환경에 한 관리를 유지해야 합니다.

경계선 보안을 위한 기술 획득 및 구현은 단지 네트워크 경계선 보호의 시작에 불과합니다. 효과적인 보호를 제공하기 위

해서는, 기술들에 한 정확한 적용, 설정, 유지보수 및 모니터링이 이뤄져야 합니다.

14

기업의 요구사항, 기술 및 잠재적 위협요소들이 변화함에 따라, 기업들은 방화벽 정책, 바이러스 및 침입 감지 부분에 이

와 같은 변화를 반 한 업데이트를 실시해야 합니다. 보안 기술들은 정기적으로 패치설치 및 업데이트를 통한 관리가 필

요합니다. 경계선 보안 기술은 반드시 감시를 실시하여, 최 한 신속하게 잠재적인 문제들의 식별 및 처리를 보장해야 합

니다.

Gartner Dataquest의 연구결과에 따르면, 부분의 회사에서 IT 보안에 책임을 가진 직원들은 다른 많은 활동들에 한

책임 역시 가지고 있으며, 업무시간의 부분을 보안 업무과 관련 없는 분야에 사용하고 있습니다. 도구들이 준비되면, 많

은 회사들은 인프라에 한 모니터링 및 관리는 직원들 업무능력 및 전문성에 한 과중한 업무로 인식하고 있습니다. 리

소스에 여유가 없는 기업들에게 있어서, 이와 같이 추가되는 책임은 너무 부담스러운 것입니다.

방화벽 정책 변경에 다른 잠재적 향에 해 심사 할 때, 변경을 위해 필요한 방화벽 설정에 관한 전문성뿐 아니라 위협

요소 및 취약점들에 한 끊임없는 교육이 필요합니다. 신호음 이나 전화 통화에 의한 모니터링 및 관리 범위 확장은 불규

칙한 유효범위 초래 및 직원 사기저하로 이어져, 주요 직원들의 고용유지에 악 향을 미칩니다. 동시에, 헬프데스크 직원

은 식별 및 처방법 에 한 전문성 또는 잠재적으로 심각한 사건들에 한 통화 주의력이 결여될 수도 있습니다. 이는

결국 회사의 보안레벨에 한 타격으로 이어지게 됩니다.

필수적인 보안 요구사항을 충족시키기 위해, 기업들은 모든 직원들에 한 지속적으로 보안 이슈들 및 취약점들에 해

교육함으로써, 보안 리소스들을 그들의 현재 직원들에게 추가하거나, 보안 우선순위 설정을 기업의 중요 부분으로 고려할

수 있습니다.

이와 같은 이유들을 때문에 기업들은 경계선 네트워크 보안 기술의 관리 및 모니터링 업무를 MSSP (managed security

service provider)에 외주를 주어 경제적인 보안유지를 보장합니다. MSSP의 가치는 분명합니다: 보안 전문가들에 의한

연중무휴 체제의 실시를 통해 조직의 보안레벨을 향상 시킬 수 있으며, 수많은 장치들에 해, 기술 및 전문성을 바탕으로

기업의 관리비용을 절감하는데 도움을 줍니다.

관리형 보안 서비스는 방화벽 및 침입 감지 센서들에 한 관리 및 모니터링을 포함합니다. 이들 관리 서비스들은 하드웨

어 정비 및 유지보수, 정기적 시스템 소프트웨어 업데이트 또는 패치작업, 그리고 변화된 정책의 구현 등이 포함됩니다.

시스코 솔루션 - 관리

네트워크의 규모에 상관없이, 관리는 회사를 지원하는 모든 시스템 관리자에게 매우 중요한 부분입니다. 좋은 관리도구들

은 한 사람이 언제든지 네트워크에 한 상황파악 및 제어를 가능하게 해주어 관리요구사항에 매우 많은 도움을 줄 수 있

습니다. CiscoWorks SNMS (Small Network Management Solution)는 중소기업 네트워크들을 위해 설계되었습니다;

이것은 시스코 장비들을 위한 설정 관리 및 문제해결 도구를 포함한 강력한 라이프 사이클(life-cycle)기능성을 제공합

니다.

지점(Branch Office)

두 번째 레이어는 자체 서버 및 사용자 스테이션들을 보유하는, 더 큰 규모의 회사의 지점들을 위해 완벽히 독립적이고 자

체적인 설계에 기반을 두고 있습니다.

지점으로 설정이 되면, 소규모 네트워크 설계 아키텍처는 100인 이하의 사용자를 상으로 한 사이트를 상으로 합니

다. 소규모 네트워크 설계부분에 설명된, 모든 구성요소 및 설계 가이드 원칙들은 이 레이어에 직접적으로 적용 가능합니

다. 하지만, 본부에 한 WAN 연동을 위한 몇 가지 고려할 사항들이 설명이 필요합니다.

15

기업들은 프라이빗 WAN연결과 IPSec VPN , 이 두 가지 옵션에서 선택할 수 있습니다. Praivat WAN은 QoS (quality-

of-service)지원, 멀티캐스트(multicast) 지원, 네트워크 인프라 신뢰도 및 비IP 트래픽 지원에 한 좀 더 세분화된 레

벨을 포함하고 있습니다. 선택적으로, 공용 인터넷에 한 IPSec VPN은 모든 원거리 지역에 한 지역 인터넷 제공이 가

능하여, 프라이빗 WAN 연결에 한 상당한 비용절감뿐 아니라, 본부 레이어에서의 역폭 비용 또한 줄여줍니다.

결론

회사 네트워크와 관련된 위험 및 애로사항들이 증가함에 따라, 조직들은 보안이 유지되는 네트워크 인프라 계획 및 구현

을 위한 체계적이고, 다각적인 접근을 마련해야 합니다. 이들의 네트워크 아키텍처를 개발할 때, 중소규모 회사들은 신중

하게 각 역을 평가하고, 잠재적인 위협요소를 결정하고, 그에 따른 적절한 보안 유지 수단을 구현해야 합니다. 채널 파

트너들은 더 큰 규모의 회사들이 가진 직원의 전문성이 부족한 중소기업들에 엄청난 가치를 부여할 수 있습니다.

네트워크 보안을 위한 시스코의 SAFE 블루프린트는 진화하고 변화하는 기업의 요구사항을 충족시키는 심층적 방어와

모듈러 접근을 제공합니다. 시스코의 SAFE 블루프린트는 데스크 탑에서 WLAN, 네트워크 경계선, 원격 사용자 지역 및

그 사이의 모든 지점들과 관련된 데이터 인프라에 한 모든 분야를 포괄합니다. 시스코의 SAFE 블루프린트에 관한 보

다 상세한 정보를 위해 다음 주소를 방문하시기 바랍니다: http://www.cisco.com/go/SAFE

중소기업들은 서비스 제공업체를 활용함으로써 핵심 사업 분야에 집중할 수 있는 이점을 얻습니다. 또한, 서비스 제공업

체들은 조직 네트워크 유연성을 유지하고, 조직을 엄청난 피해로부터 완벽하게 보호해 줍니다.

업계 최고의 시스코 솔루션의 지원을 받아, 적절한 보안 정책을 개발함으로써, 회사들은 네트워크 솔루션 구현을 자신 있

게 추진할 수 있으며, 인터넷으로부터 얻을 수 있는 혜택을 누릴 수 있게 됩니다.

Appendix A: 제품 리스트

이 지침서에서 다뤄진 다음 제품들은 엔드-투-엔드 시스코 네트워크 인프라의 일부분이 될 수 있습니다.

● Cisco Aironet 1200 Series 액세스 포인트-고성능 무선 LAN으로 만들어 주는 엔터프라이즈 급의 보안성, 관리능력,

업그레이드 능력 및 신뢰도를 제공하는 듀얼 모드 802.11a- 와 802.11b-규격에 적합한 무선 액세스 포인트

● Cisco PIX 500 Firewall Series (Cisco PIX 501, 506E, 515E, 및 525)-경제적인 비용으로 용이한 구현방법을 통해,

SPI(stateful packet inspection)방화벽 구축, 표준기반의 IPSec (IP Security) VPN (virtual private networking), 침

입 방지 및 기타 다양한 기능을 포함하는 비즈니스 급의 강력한 보안 서비스를 제공하는 방화벽 플랫폼 입니다.

● Cisco SOHO 90 Series 보안형 광 역 라우터- 최 5명의 사용자를 위한 소규모 사무실용인 Cisco SOHO 90

Series는 Cisco IOS 소프트웨어의 통합 보안 기능을 통해 만족할 만한, 보안형 인터넷 연동을 제공합니다.

● DoS(Denial of service)-가장 널리 알려진 공격의 하나인, 서비스 거부(Dos)는 인터넷에서 다운로드 하는데 사용 가

능한 프로그램들을 활용하여 발생할 수 있습니다. 이 프로그램들은 자주 네트워크, 운 체제, 애플리케이션상의 리소스

를 고갈시켜, 일반적인 사용에 한 서비스가 불가능하도록 합니다.

● Cisco 800 Series 액세스 라우터- 소규모 사무실, 재택 근무자들 같이 인터넷에 연결 되어 있거나, ISDN, 직렬 연결

(Frame Relay, 임 회선, X.25 또는 비 칭 다이얼-업), DSL(ADSL[asymmetric DSL], ADSL over ISDN,

G.SHDSL)또는 듀얼 이더넷 을 통해 회사 LAN에 연결되어 있는 경우에 한 맞춤형의 설정 고정식 라우터 시리즈 입

니다.

16

● Cisco uBR 925 Series 케이블 액세스 라우터- 완전 통합형 Cisco IOS� Software 라우터와 케이블 서비스 제공업체

를 위한 DOCSIS (Data over Cable Service Interface) 1.1표준 기반의 케이블 모뎀으로서, 상용 시장에 한 다기능

광 역 케이블 액세스를 구현합니다.

● Cisco 1700 Series 액세스 라우터-중소기업 및 기업의 지점들을 위한 경제적인 비용의 통합형 E-비즈니스 플랫폼으

로서, 까다로우면서도 변화하는 E-비즈니스 요구사항들을 충족시키는 유연성 및 관리기능들을 제공합니다.

● Cisco 2600 Series 라우터-엔터프라이즈 급의 다양한 기능성, 통합성 및 능력을 보유한 모듈러 액세스 라우터 입니

다.

● Cisco 3700 Series 멀티서비스 액세스 라우터- 다이얼 액세스, 라우팅 및 LAN-to-LAn 서비스 과 하나의 장치에서

음성, 화상 멀티서비스 통합을 하나로 묶은 다기능 플랫폼 입니다.

● Cisco Catalyst 2950 Series 인텔리전트 이더넷 스위치-유선 속도의 Fast Ethernet 및 Gigabit Ethernet 연동을 제공

하는 충분한 기능의, 설정 고정식의 스태커블(stackable), 단독(standalone)장치

● Cisco Catalyst 3500 Series 스위치- 관리성, 유연성과 최고의 투자 보호 및 음성, 화상 및 데이터 통합을 위한 프리미

엄 급 성능을 제공하는 스태커블 10/100 및 Gigabit Ethernet 스위치

● Cisco Catalyst 4000 Series 스위치-LAN에서 스위치 형 10/100과 Gigabit Ethernet, 패킷 텔레포니, 컨텐츠 네트워

킹, 보안, 서비스 품질 및 통합형 WAN 액세스 기능성을 제공하는 모듈러 방식의 경제적인 비용의 고 도 스위치들 제

품 라인

● Cisco VPN 3000 Series-가장 뛰어난 암호화 및 인증 기술 활용성과 함께, 고기능성, 고성능 및 확장성을 통합한 목적

(purpose) 구축, 원격 액세스 VPN 플랫폼 및 클라이언트 소프트웨어 라인

● IDS ( Cisco Intrusion Detection System )- 역폭 및 E-비즈니스 애플리케이션 공격과 함께, 인증되지 않은 침입,

악성 인터넷 웜에 한 광범위한 포괄적 보안 솔루션

● Cisco CallManager-텔리포니 특성 및 기능을 패킷 텔리포니 네트워크 장치로 확장해주는 소프트웨어 솔루션

● Cisco 7900 Series IP 폰-Cisco CallManager 기술 또는 SIP (Session Initiation Protocol )을 활용하여, IP 텔레포니

시스템들과 상호 운 이 가능한, 표준 기반의 커뮤니케이션 기기

● ACS (Cisco Access Control Server )-웹 기반의 그래픽 인터페이스를 통한 EAP (Cisco Extensible Authentication

Protocol) 및 모든 사용자 인증, 승인 및 계정 관리를 위한 집중식 제어를 제공해 주는 확장 가능한, 집중식 사용자 액세

스 컨트롤 프레임워크 이며, 그 제어들을 네트워크의 수많은 액세스 게이트웨이로 분산하는 기능.

● SNMS (CiscoWorks Small Network Management Solution )- 시스코 및 다른 네트워크 장치들에 한 설정관리 및

문제해결 도구를 포함, 중소기업에 라이프 사이클 기능성 위한 강력한 세트를 제공하는 새로운 웹 기반의 네트워크 관

리 솔루션

www.cisco.com/kr 2004-06-16

■ Gold 파트너 �(주)데이타크레프트코리아 02-6256-7000 �(주)인네트 02-3451-5300 �한국아이비엠(주) 02-3781-7800

�(주)콤텍시스템 02-3289-0114 �쌍용정보통신(주) 02-2262-8114 �에스넷시스템(주) 02-3469-2400

�현 정보기술 02-2129-4111 �(주)링네트 02-6675-1216 �한국후지쯔(주) 02-3787-6000

�한국휴렛팩커드(주) 02-2199-0114 �케이디씨정보통신(주) 02-3459-0500 �(주)LG씨엔에스 02-6363-5000

�(주)인성정보 02-3400-7000

■ Silver 파트너 �(주)시스폴 02-6009-6009 �한국NCR 02-3279-4423 �한국유니시스(주) 02-768-1114,1432

�포스데이타주식회사 031-779-2114 �SK씨앤씨(주) 02-2196-7114/8114

■ Local SI 파트너 �이스텔시스템즈(주) 031-467-7079 � 우정보시스템(주) 02-3708-8642

■ Global 파트너 �이퀀트코리아 02-3782-2600

■ Local 디스트리뷰터 �(주)소프트뱅크커머스코리아 02-2187-0176 �(주)아이넷뱅크 02-3400-7486 �SK 네트웍스 02-3788-3673

■ IPT 전문파트너 �에스넷시스템(주) 02-3469-2900 �(주)인성정보 02-3400-7000 �크리스넷 031-706-3827

�LG기공 02-2630-5280 �청호정보통신(주) 02-3498-3005

■ IP/VC(Video Conferencing) �(주)컴웨어 02-2631-4300 �(주)텔레트론 031-340-7102

■ IPCC전문파트너 �한국IBM 02-3781-7114 �한국HP 02-2199-4272 �LG기공 02-2630-5280

�(주)인성정보 02-3400-7000 �삼성네트웍스주식회사 02-3415-6754

■ WLAN 전문 파트너 �(주)에어키 02-584-3717 �(주)텔레트론 02-6245-7600

■ VPN/Security 전문 파트너 �(주)코코넛 02-6007-0133 �(주)토탈인터넷시큐리티시스템 051-743-5940 �이노비스 02-6288-1500

■ NMS 전문 파트너 �(주)넷브레인 02-573-7799

■ CN 전문 파트너 �메버릭시스템 02-6283-7425 �(주)이직스네트웍스 02-2109-8955

■ Storage 전문 파트너 �메크로임팩트 02-3446-3508 �비에노 솔루션 02-588-7170

Appendix B: 구현 및 지원 서비스

기술 및 서비스 전문 파트너

기술 전문화를 통해 파트너가 판매 전, 기본 구현 및 판매 후 운 지원

을 담당할 수 있도록 훈련을 제공합니다. 파트너들은 특정 시스코 제품

들의 관련 기술에 해 익숙해지며, 파트너들이 특정 시스코 솔루션에

한 정의, 구현 및 지원이 필요한 최소한의 기본 기술에 초점을 맞추게

됩니다.

Cisco Direct and Partner Enabling Services

시스코의 기술 지원서비스 SMARTnet은 온라인 및 전화를 통해, 시스

템 소프트웨어 업데이트, 시스코의 풍부한 전문성 및 하드웨어 고급 교

체 옵션들에 한 액세스 제공을 통해 귀사의 운 요원들을 지원해줍

니다. Cisco SMARTnet Onsite는 모든 서비스를 제공하며, 부품 교체

할 수 있는 직원파견이 충분치 못하거나, 불가능한 곳들에 해 필요한

현장 엔지니어의 서비스를 추가함으로써 하드웨어 고급 교체 기능을 보

강합니다. Cisco SMARTnet에 한 좀 더 자세한 정보를 원하시면 다

음 주소를 방문하시기 바랍니다.

http://www.cisco.com/global/KR/products/sc/tss/smart.shtml

Advanced Services

Cisco TIS (Total Implementation Solutions)은 프로젝트 관리, 프로젝

트 엔지니어링, 설정, 스테이징(staging) 및 설치 코디네이션을 포함한

솔루션 구현의 전체 분야, 및 정확한 설치 및 구현을 보장합니다. Cisco

Total Implementation Solutions에 한 좀 더 자세한 정보를 원하시면

다음 주소를 방문하시기 바랍니다.

http://www.cisco.com/global/KR/products/sc/tss/smart.shtml

Cisco 보안 컨설팅 서비스

Cisco 보안 컨설팅 서비스를 통해 주로 Air Force Information Warfare

Center 나 CIA(Central Intelligence Agency)와 같이, 군 또는 정부기

관 출신의 컨설턴트들로 이루어진 팀을 하나로 연결합니다. Cisco 보안

컨설팅 서비스 컨설턴트들은 보안 취약사항 및 응방법에 한 전문가

이며, 동시에 회사 기 자료의 민감성을 이해하고 있습니다. Cisco 보

안 컨설팅 서비스는 2가지 유형의 서비스를 기업에 제공합니다. 하나는,

SPA(Security Posture Assessment)이고, 다른 하나는, ICR(Incident

Control and Recovery)프로그램 입니다. 자세한 정보를 원하시면 다음

주소를 방문하시기 바랍니다.

h t t p : / /www . c i s co . c om /wa rp / pub l i c / c c / s e r v /mk t /

sup/advsv/pavsup/sposass/index.shtml.