정부 규제를 만족시키거나 내부 사용에 권장되기 때문에 감사는 필요하지만 기업이 성장함에 따라 자산을 보호할 수 있는 감사 전략이 필요하다.

다양한 산업을 위한 정보 해적행위 보호를 강제하는 다양한 정부 규제, 예를 들면 HIPPA(the Health Insurance Portability and Accountability Act) 혹은 GLB(Gramm-Leach-Bliley) 법안 등이 있다면 네트워크에서 데이터를 보호하는 것은 베스트 프랙티스 이상인 바로 법률에 해당한다.

당신의 시스템은 허가받지 않은 개인의 접근을 방지하도록 설정됐다는 점을 증명해야 하며 데이터가 언제 누구에 의해 접근됐는지를 기록하는 메커니즘도 구축해야 한다.

당신의 회사가 규제에서 멀리 떨어져 있다고 해도 시스템의 보안정도와 누가 민감한 정보에 접근하는지 추적하는 것은 매우 현명한 선택이다. 회사의 크기나 예산규모에 상관없이 지속적으로 중요한 보안정보를 추적하고 보고하기 위한 보안 감사 도구가 존재한다.

중소기업과 저예산 업체를 위한 보안 감사 도구
보안 감사에서 우리는 두 가지 어려운 측면을 다루게 된다.

* 정보로의 사용자 접근 감사
* 시스템 설정 감사

당신 기업이 작다면 감사 도구를 위한 예산이 별로 없을 수도 있다. 좋은 뉴스는 중소기업이 두 가지 유형의 감사 시스템을 구축할 수 있도록 도와주는 저가 혹은 무료의 도구가 다수 존재한다는 것이다.

윈도우 감사 기능을 이용한 사용자 접근 감사
윈도우 2000, XP, 그리고/혹은 서버 2003 컴퓨터를 사용하고 있다면 P2P 네트워크나 도메인이냐에 상관없이 윈도우 이벤트 뷰어(Window Event Viewer)에 보안관련 이벤트를 기록하여 보여주기 위한 감사 정책을 설정하기 위한 내부 기능을 사용할 수 있다. 추가의 비용이나 소프트웨어 설치가 필요 없다. 다음 중 모두 혹은 일부를 기록하도록 선택할 수 있다.

* 로그온 시도와 이벤트(성공, 실패)
* 계정 관리
* 디렉토리 서비스 접근
* 객체 접근
* 정책 변경
* 특권 사용
* 프로세스 추적
* 시스템 이벤트

감사는 윈도우 2000에서 기본은 꺼져 있지만 로컬 시큐리트 폴리시 스냅-인(Local Security Policy snap-in)을 통해 손쉽게 켜진다. 특정 객체(파일, 폴더, 프린터)의 접근 감사를 시작하기 위해서는 추가의 단계가 필요하다. 윈도우 서버 2003에서 계정 로그온과 로그온 이벤트의 감사는 기본으로 켜져있지만 객체 접근은 아니다. 로컬 컴퓨터, 도메인 컨트롤러, 도메인 혹은 OU를 위한 정책 감사를 정의할 수 있다.

윈도우 서버 2003에서 보안 감사기능을 어떻게 켜는지 보려면 http://technet2.microsoft.com/WindowsServer/en/Library/74783f7a-49bc-4f16-b920-34081b890a3d1033.mspx?mfr=true를 클릭한다.

객체접근 감사기능을 켜기 전에 면밀한 계획을 세우는 것이 좋다. 많은 디스크 공간을 차지하고 정리하기 어려운 대용량 보안 로그를 만들어 내기 때문이다. 또한 서버 2003 서비스 팩 1의 보안 설정 마법사를 사용해 감사를 설정할 때 도움을 받을 수 있다.

설정 스캐너를 통한 시스템 설정 감사
시스템 설정을 감사하고 컴퓨터나 네트워크 기기가 안전하게 설정되었는지 결정하기 위해서 인기 있는 결함 스캐너 제품을 사용할 수 있다. MS는 예산이 빠듯한 중소기업이 사용할 수 있는 무료 도구인 MBSA(Microsoft Baseline Security Analyzer) 를 제공한다.

MBSA v.2는 윈도우 2000 SP3와 이후 버전, 오피스 XP와 이후 버전, 익스체인지 2000과 이후 버전, SQL 서버 2000 SP4와 이후 버전을 스캔하고 분석한다. 또한 보편적인 잘못된 설정을 탐지할 수 있으며 대상 컴퓨터가 최신 서비스 팩과 보안 업데이트를 적용했는지 결정할 수 있다.

MBSA는 MS 제품과만 연동된다. 네트워크에 다른 운영체제가 있다면 유닉스/리눅스를 지원하는 수많은 무료 혹은 저가의 결함 스캐너가 있다. 예를 들면, 오픈소스 결함 스캐너인 네서스(Nessus)는 http://nessus.org/에서 구할 수 있다.

기업용 고급 보안 감사
기업이 성장함에 따라 감사에 대한 요구가 점점 더 고급화될 것이다. 만약 규제를 받는 산업이라면 더욱 그렇다. 그렇다면 접근과 설정 모두를 감사하기 위한 상용 기업용 솔루션에 의지할 때가 됐다.

기업을 위한 접근 감사
기업용 접근 감사 도구는 다음과 같다.

바이스톰 소프트웨어의 유저 파일 액세스 트래커는 파일 접근과 변경사항을 기록하지만 성능에 영향을 주지 않고 데이터베이스를 셋업할 필요도 없다.
스크립트로직의 파일 시스템 오디터는 실시간 모니터링과 로그, 보고서를 제공하는 동시에 파일 서버 동작에 기반한 경고를 보내며 이벤트는 중앙의 SQL 데이터베이스에 저장된다.

기업수준의 결함 스캐너
대기업을 위한 설정/결함 스캐너는 중앙집중 보고서를 통한 다수 시스템의 중앙 스캔을 제공한다. 값은 싸지 않지만 네트워크 자산의 감사를 훨씬 쉽게 해줄 수 있다. 아래에 제품 예가 있다.

선벨트 소프트웨어의 SNSI(Sunbelt Network Security Inspector)는 다양한 윈도우 및 유닉스/리눅스 운영체제와 매킨토시 OS X, HP 프린터, 시스코 네트워크 장비를 지원한다. 관리자 당 라이선스이기 때문에 대규모 환경에서 비용면에서 효율적이다.

GFI의 NSS(LANguard Network Security Scanner)는 네트워크 상의 모든 기기에 대한 IP 주소 정보와 무선 액세스 포인트, USB 기기 정보를 제공한다. 리포트팩 애드온을 사용하면 IT와 경영진에서 사용할 수 있는 그래픽 보고서를 생성할 수 있다.

기업과 함께 성장할 보안 감사 솔루션 계획
기업과 함께 성장할 보안 감사 솔루션 개발의 핵심은 미리 계획하는 것이다. 법률적 상황, 사업의 본질, 데이터의 민감도, 네트워크 인프라, 위협 레벨과 노출에 따라 감사 필요성을 평가하라.

감사는 계층적 구조로 전개될 수 있다. 우선 몇 개의 로컬 컴퓨터에서 감사를 시작하며 도메인에 걸친 감사나 계층 추가를 통한 써드파티 제품에 의한 중앙 감사로의 전환이 가능하다. 그리고 필요가 없는 경우 다른 종단에서 계층을 제거한다.

좋은 감사 계획은 감사가 필요한 대상, 누가 감사될 필요가 있는지, 언제 감사할 필요가 있는지, 어디서 감사가 필요한지, 그리고 감사 정보가 어떻게 포맷되고 사용되는지 등을 고려해야 한다.@