Cappuccino sapiens

자동차, 기계, 옷 등 일정기간 그 쓰임새의 목적과 유효기간이 지나면 언젠가는 교체가 필요합니다. IT시스템 역시 예외는 아닙니다. 레거시 시스템이란 오래된 컴퓨터 시스템 또는 응용프로그램이나 아직도 현장에서 사용하고 있는 시스템을 말합니다.

레거시 시스템을 계속 사용하는 이유는 예산 부족, 중요한 레거시 응용프로그램에 대한 유지 필요성, 임직원의 새로운 시스템 사용 거부감 등 입니다. 이러한 레거시 시스템은 인해 조직의 전반적인 보안수준을 낮출 수 있습니다.

레거시 시스템은 잠재적인 보안취약점의 패치에 대한 문제를 가지고 있으며, MFA(Multi-Factor Authentication)이나 SSO(Single-Sign On) 등과 같은 새로운 보안기능과 호환되지 않을 수 있습니다. 보안이 상대적으로 약한 곳을 찾고, 끊임없이 공격을 시도하는 공격자에게는 좋은 먹잇감일 것입니다.

레거시 시스템을 교체하는 것은 시스템 전원을 뺏다가 꼽는 것처럼 쉬운 일이 아닙니다. 하지만, 기업이 새로운 서비스를 도입하고 그와 걸맞는 보안수준을 유지하고자 한다며, 반드시 고려해야할 부분입니다. 레거시 시스템을 교체하기 위해서는 종합적인 계획을 수립하고 철저한 준비과정이 필요합니다. 다음은 레거시 시스템 교체시에 고려해야 할 7가지 사항 입니다.

1.     레거시 시스템 교체 필요성 및 시점에 대한 인지

2.     데이터 마이그레이션 계획수립

3.     모든 데이터에 대한 백업 준비

4.     레거시 시스템을 위한 보안시스템 중단계획

5.     순차적, 단계적 이전을 통한 거부감 및 반발 최소화

6.     Roll Back필요시 방법과 대책

7.     종료 및 폐기되는 레거시 시스템에 대한 보안

7가지 사항에 대한 자세한 내용은 IBM Security Intelligence 블로그의 “Legacy Systems: Seven Things to Know When Sunsetting”에서 알아보실 수 있습니다.

빠르게 변하는 인터넷 속도와 IT환경으로 인해, IT시스템 또한 빠르게 교체되어 가고 있습니다. 그렇다고 모든 시스템을 일시에 교체할 수 만은 없는 실정이다 보니, 기존 시스템과 최첨단 시스템이 공존하게 되는 경우가 종종 발생하고 있습니다.

이러한 레거시 시스템은 보안정책의 통제에서 벗어난 쉐도우 IT가 되거나,  SSO, MFA 등 새로운 보안기술을 적용하기에 적합하지 않은 H/W 또는 S/W로 인해 개선된 보안정책 적용이 곤란한 경우도 있습니다. 이로 인한 보안헛점은 해킹 및 데이터 유출 등 조직의 보안위협의 요인이 되기도 합니다. 따라서, 레거시 시스템은 교체되기 전까지 최소한의 적절한 보안대책을 통해 관리될 필요가 있습니다.

모든 레거시 서버를 위한 보안관리

  1. 보안위협 분석 및 보안대책 마련을 위한 보안취약점 분석을 실시합니다.

  2. 레거시 시스템에 대한 위치와 운영환경을 조사합니다.

  3. 레거시 시스템이 관리하고 있는 데이터의 유형에 대해 조사합니다.

  4. 조사한 결과를 기반으로 레거시 시스템을 목록화 합니다.

  5. 데이터 및 시스템의 중요도에 따라 대체 가능한 우선순위를 정합니다.

  6. 각 서버와 응용서비스에 대한 담당자를 지정하여 관리합니다.

인터넷이 연결되지 않은 레거시 서버 보안관리

  1. 가능한 적용할 수 있는 최신의 보안패치를 진행합니다.

  2. 불필요한 응용프로그램 및 서비스 제거, 접근통제 정책 적용, 운영체제 업데이트 등을 통해 운영체제에 대한 보안을 강화합니다.

  3. 접근이 필요한 인원과 접근권한 및 등급을 주기적으로 점검하여 조정합니다.  

  4. 현재 시스템을 지원할 수 있는 컴퓨터 백신을 설치하여 운영합니다.

  5. 가능하면, 파일 무결성 보호 솔루션이나 호스트 기반 F/W 또는 IPS/IDS등을 설치하여 운영합니다.

  6. 주기적으로 데이터 백업을 실시합니다.

인터넷이 연결된 레거시 서버 보안관리

  1. 즉시, 서버를 교체 합니다. 단기적인 교체가 불가능한 경우, 아래의 보안조치를 이행합니다.    

  2. 웹서버인 경우, 서비스의 특성을 반영한 적합한 웹방화벽을 설치합니다.

  3. 보관중인 데이터 및 접근경로에 대한 위험관리 평가를 실시하고, 민감한 데이터가 있는 경우 이전을 계획합니다.

  4. 주기적으로 취약점 진단을 실시하고, 취약점을 제거합니다.

5. 운영을 최소화하여, 발생할 수 있는 트래픽을 제한 합니다.   

※ 원문: Updating Legacy Systems Amid Growing Cybersecurity Concerns