Previous Next Top Detailed TOC Last Update: 20 Jun 2000

15. 운영체제 (OS) 개요

보증
- TCSEC에 대한 순응 (Orange Book) requirements
- ITSEC 필요 조건에 대한 순응
권고사항

보증

시스템이 어떤 수준의 보안을 제공한다는 것에 대한 확신을 얻고 이 수준의 보안을 보장한다는 것을 신뢰받기 위해서는 제정된 표준을 참고하는 것이 도움이 된다. 현재 표준인 TCSEC [tcsec]과 ITSEC [itsec]은 기본적으로 군사표준인데, 사업 분야에서도 점점 더 많이 채용되고 있다. ( 이들 및 TTAP 및 Common Criteria 같은 다른 신생 표준들에 대해서는 부록 C 참고). 또 다른 유용한 참고자료로는 독일의 NSA인 BSI (Bundesamt fuer Sicherheit in der Informatik) 에서 나온 IT Baseline protection manual 이 있다. 이것은 무료로 온라인으로 접근하거나 CD로 가질 수 있다.

시스템이 어떤 레벨에 대해 평가받았다고 하더라도 (e.g. TCSEC C2), 실제 생산 환경에서 "안전"한 것으로 간주되려면 여전히 신중한 구성, 감시 및 조직적 프로세스가 필요하다. C2 라는 "라벨" 그 자체에 너무 많은 의미를 부여하지 말도록 한다. 실제 취지보다도 팔기 위한 선전으로 이용되는 경우가 많다. 가령 어떤 시스템이 "C2 감사(auditing)" 을 제공할 수 있다고 하더라도, 이것은 감사로그가 쓸모있다는 것을 의미하지 않으며, 또는 이들 로그에 대한 높은 수준의 분석 도구가 시스템 안에 포함된다는 뜻도 아니고, 또는 누군가 실제로 그 로그를 읽는다는 의미도 아니다!

NSA 는 지금의 컴퓨팅 환경에 의해 야기되는 위협들은 안전한 운영체제 없이는 접근할 수 없다고 주장하는 내용의 흥미있는 논문을 제출했다 (Nov.'98). csrc.nist.gov/nissc/1998/proceedings/paperF1.pdf 참고.

TCSEC (Orange Book) 필요 조건에 대한 순응

TCSEC에 대한 보다 상세한 논의는 부록 C 또는 Trusted Product Evaluation Program 을 참고한다. C2는 대부분의 상용 운영체제에서 목표로 하는 TCSEC 레벨이다.

TCSEC에서의 핵심 개념은 TCB(Trusted Computing Base) 사상이다. TCB 는 다음을 제공해야 한다: TCB 에 대한 방해로부터의 보호, 주소 공간 분리, 신뢰된 경로, 최소권리의 원칙, 운영의 연속성.

어떤 유닉스들은 디폴트 구성이 매우 안전하지 못하다 (e.g. SunOS 4.1.3, Ultrix.. 같은 BSD 변형). 패스워드 shadowing 없는 유닉스 시스템들은 C1조차도 따르지 못한다. 그러나 대부분의 벤더들은 이제 shadowing 을 표준으로 하고 있거나(Solaris, OSF, AIX), 옵션으로 제공한다(HP-UX).
개념적으로, 지금의 유닉스 시스템들은 감사를 제외한 C2 필요조건을 만족한다. 이러한 이유로, 많은 벤더들이 C2 패키지를 포함하거나 제공하여, 감사 능력을 강화한다.
유닉스는 UNIX 기능상의 변경으로 B1을 획득할 수 있다. B2를 위해서는, 핵심 구조와 메카니즘이 바뀌어야 한다. B3는 유닉스에 대해 개념 및 구조적 변경을 필요로 한다.
DOS/윈도우/윈도우9x 시스템들은 TCB가 없으므로 평가될 수가 없다. OS가 위에 나열된 TCB 필요조건을 따르지 못한다. 사용자의 시스템에 대한 전적인 통제를 막을 수 없다.
윈도우 NT 3.5 (서비스 팩3) 는 C2 평가를 획득했느아(Aug.95), 네트웍 없는 구성에서만 그리고 WOW (Windows on Windows)이 없을 때만 적용된다. 이런 제약조건은 명백히 평가 시간을 빠르게 하기 위한 것이었다! 따라서 C2 분류가 일반적으로 기대되는 그런 것이 아니다. 그러나, NT는 또한 B2 Trusted Path 와 Trusted Facility Management 필요조건도 만족시킨다.
NT 4.0 SP3 는 ITSEC E3/F-C2 평가를 받았다 (아래 ITSEC 참조). NT 3.5 (위 참조)의 C2 평가와는 대조적으로, 이것은 서버와 워크스테이션 모두에 대해, 네트웍에 연결된 구성에서, 그리고 보다 실제적인 주변기기들을 사용하여 받은 것이다. TCSEC 순응에 대해서는, www.radium.ncsc.mil/tpep/epl/bulletin/entries/NCSC-PB-98-003.html 을 참조한다.

다음은 1996년 봄 (sorry, I don't have a newer list..) NSA에 의해 TCSEC 하에서 평가된, 잘 알려진 상용 OS들의 발췌된 목록이다. ([nsa1] 참고)

OS	레벨	인증 날짜	비고
Trusted XENIX 3.0	B2	8.4.92	Unix OS. Trusted Information Systems.
Trusted XENIX 4.0	B2	17.9.93	Unix OS. Trusted Information Systems.
Harris CX/SX 6.2.1	B1	18.9.95	Unix OS. 네트워킹 평가됨.
HP-UX BLS, 9.09+	B1	13.4.95	Unix OS. 표준 HP-UX 소프트웨어가 이 시스템 위에서 운영될 수 있음.
Trusted IRIX/B V4.0.5EPL	B1	6.2.95	Unix OS.
NT 3.5 Service Pk.3	C2	31.7.95	Proprietary OS. Microsoft. 네트워킹 및 Win16 서브시스템은 평가 안됨.
Trusted Solaris V1.1	B1	7.10.94	CMW. Sun.
OpenVMS VAX V6.1	C2	14.7.95	Proprietary OS. DEC.
Digital Unix (OSF)	C2 ?		승인안됨.
Ultrix MLS+	B1	21.4.93	Proprietary OS. DEC.
AS/400 with OS/400 V2, R3, M0	C2	5.10.95	Proprietary OS. IBM.
NetWare 4 Server Component and Network System	C2	under eval.	네트워킹 평가중. Novell.
OS 1100/2200 Release SB4R7	B1	20.4..94	Proprietary OS. Unisys.
CA-ACF2 R6.1 with MVS/ESA	C2	14.7.95	Proprietary OS. Computer Associates & IBM.
CA-ACF2 R6.1 with CA MAC and MVS/ESA	B1	14.7.95	Proprietary OS. Computer Associates & IBM.

ITSEC 필요조건에 대한 순응 (Sept.99)

ITSEC ([itsec] 과 [itsem] 참고)은 부록 C 에 자세하게 설명되어 있다. 이것은 유럽판 TCSEC으로서 보다 완전하다.

ITSEC은 기능성과 보증을 분리한다. 보증 레벨은 E1에서 E6 까지 있다. TCSEC 등급에 대응되는 예제 기능성 등급 F-C1, C2, B1, B2, B3 을 정의하고 새로운 IN, AV, DI, DC 및 DX 등급을 정의하는데 이들은 네트워킹을 포함하고 있어 흥미롭다 (TCSEC에서는 빠져있음). ITSEC과 TCSEC은 다음과 같이 대응된다:

ITSEC TCSEC
E1, F-C1 == C1
E2, F-C2 == C2
E3, F-B1 == B1
E4, F-B2 == B2
E5, F-B3 == B3
E6, F-B3 == A1

ITSEC은 TCSEC에 더하여 다음의 기능성 등급을 추가 정의한다:

IN 이 등급은 데이타 & 프로그램에 대해 높은 무결성 요구사항을 가지는 시스템을 위한 것이다.
AV 이 등급은 고 가용성 기능을 가지는 시스템을 위한 것이다.
DI 이 등급은 데이타 전송에 대해 높은 무결성 요구사항을 가지는 시스템을 위한 것이다.
DC 이 등급은 데이타 전송에 대해 높은 기밀성 요구사항을 가지는 시스템을 위한 것이다.
DX 이 등급은 데이타 전송에 대해 높은 무결성 & 기밀성 요구사항을 가지는 시스템을 위한 것이다.

ITSEC은 다음과 같은 표제 아래 필요조건들이 분석될 것을 제시한다: 책임성, 식별& 인증, 감사, 객체 재사용, 접근 통제, 정확성, 데이타 교환 및 서비스의 신뢰성, 메카니즘이나 대응책의 강도는 기본, 중간 또는 높음으로 규정된다.

OS	레벨	인증 날짜	비고
Novell Trusted Netware 4	E2 F-C2	pending
Banyan Vines	E2 F-C2	pending
Argus B1/CMW	E3 F-B1	Sept.99	Solaris2.4 용 Add-On 제품 (Argus 는 Solaris 7 과 8 에 대한 Pit Bull Plan도 가지고 있다)
Argus C2/TMW	E3 F-C2	Sept.99	Solaris2.4 용 Add-On 제품
Harris Secure UNIX	E3 F-C2 B1, B2	pending
Trusted Solaris 2.5.1	E3 F-B1	Sep.98
Solaris 2.6	E3 F-C2	Jan.99
Microsoft NT4 SP3	E3 F-C2	Mar.99	NT 워크스테이션 & NT 서버. Microsoft announcement, ITSEC Report, ITSEC Certificate 참고.
IBM Shield for AIX	E2 F-C2	pending	AIX용 Add-on 제품
IBM CMW for AIX	E3 F-B1	pending	AIX용 Add-on 제품
DEC MLS+ 3.1	E3 F-B1	Oct.96
HP-UX Version 10	E3 F-C2	Feb.99
SCO C2+	E3 F-C2	pending
SCO CMW+	E3 F-B1	Sept.99

권고사항

새로운 유닉스(e.g. SVR4, Solaris 2, AIX 4.1, OpenBSD, Suse 6.x)나 NT 같이 표준 보안 예방책을 포함하는 운영체제를 사용할 것을 권고한다. 설치되는 서로 다른 OS의 숫자를 최소화 하는 것도 바람직하다. e.g. 모든 유닉스 시스템들이 서로 다르면, 이것은 보안 관리가 더욱 복잡하고 에러가 발생하기 쉽다는 것을 의미한다. 디폴트 구성에서의 합당한 보안, 보다 나은 어플리케이션 패키징, 패치 관리 및 용이한 관리를 위해 가능하다면 SVR4 호환 유닉스만 사용하거나 (e.g. Solaris 2.x), 소스코드가 있고 지원이 잘되는 (인터넷에서) 버전(e.g. OpenBSD, Linux)을 사용한다.
보안 요구사항을 작성하거나 시스템을 평가할 때 ITSEC 과 ITSEM (또는 Common Criteria 나 TCSEC)을 활용하고 승인/인증된 시스템 사용을 고려한다.

다음은 저자의 경험을 기초로 한 것으로, 절대적인 참조는 전혀 아니다:

운영체제	디폴트 구성에서의 보안	얼마나 안전하게 만들 수 있는가?	비고
윈도우 / DOS	없음	최소	악몽! ;-}
윈도우 95	없음	최소	네트웍에 연결된 환경에서 제한적인 시스템과 사용자 정책으로 많은 hole들을 닫을 수 있지만 다는 아니다.
윈도우 NT	3.5는 좋고, 3.51은 더 좋음. 4.0 도 좋음	아주 좋음?	전도유망 하지만, 아직 새로움... 훌륭한 감사 & 로깅 기능. 패스워드는 전송되는 동안 암호화된다 (완전하지는 않지만). 최근 발견된 주요 취약점들은 버퍼 오버플로우, 서비스 거부 공격과 응용 레벨에서의 설계/구현 결함 등이 있다 (특히 IIS & 브라우저). 설치 및 주요 구성 변경시 재부팅해야 하는 것 때문에 고 가용성을 유지하기 힘들다 (아직 클러스터링을 테스트하지 못했음). GUI를 통해 관리하지만, 어떤 기능들은 명령줄에서도 가능하다 (특히 resource kit 에). 로그온 도메인 구조는 계층적이 아니고 평면적이다. 유닉스와는 잘 호환되지 않는다.
IBM AIX	좋음	아무 좋음	대부분의 관리 작업이 GUI 지만, 어려운 작업들이 많다 (AIX 는 상당히 비표준적이다). 패치는 공개적으로 구할 수 없고, 문제에 대해 공개적인 논의가 거의 없다 (나쁜점이다!). 보안 패치가 미국에서 발표된 지 2개월이 지나서야 스위스에서 구할 수 있었다!! 하지만 AIX는, 특히 V4.1 with NETSP에서, 좋은 보안 기능을 몇 개 가지고 있다 (e.g. ACLs)..
DEC Ultrix OSF/1	약함	모름	Ultrix: DEC의 옛날 유닉스 버전은 매우 개방적이다 (안전하지 못함). OSF: 저자는 거의 경험이 없지만, OSF/1.3 이 안전하지 못한 `tftp` 를 디폴트로 가지고 있었던 점을 발견했다.
Digital UNIX	좋음?	TBD	OSF의 더 최근 버전을 Digital UNIX 라고 한다. 설치되는 동안 "C2 를 따르도록" 구성할 수 있다.
HP-UX	평균/좋음	아주 좋음	C2 가 가능함. `predictiv` 와 `remwatch` 같은 유틸리티로 정기적인 보안 검사를 할 수 있다. Tcp_wrappers 가 `inetd.sec`에 완전히 통합되어 있다.
Sun Solaris 1.x	약함	꽤 좋음	BSD 기반, "대학 표준". 패치 관리가 어렵고, shadow 패스워드가 없음.
Sun Solaris 2.x	좋음	아주 좋음	SVR4 기반, "상용 표준". Solaris 1.x (SunOS) 보다 훨씬 안전. 관리가 더 쉬움. 보안 패치가 잘 배포되고, 인터넷에 지식정보가 많다. C2 와 보안 감시 소프트웨어는 표준으로 제공된다. 클러스터링 소프트웨어가 좋음. V7은 DoS 공격과 버퍼 오버플로우를 방어하기 위한 새로운 커널 파라미터가 많다. V8은 무료 로컬 방화벽까지 있다 (Sunscreen) 워크스테이션과 소규모 서버에는 무료 (Solaris 8). Solaris 는 지배적인 상용 유닉스 OS이다. 추천.
Linux (S.U.S.E 6.1)	좋음	아주 좋음	리눅스가 등장하고, 많은 이들이 이를 플랫폼으로 선택한다. 관리는 더 쉽다 (YAST tool). 설치가 더 쉽다 (하지만 더 쉬워질 수 있다!). 보안 패치가 잘 배포되고 , 인터넷에 지식정보가 많다. 저렴하다. 추천하지만, 불필요한 서비스는 disable 하고 인터넷으로 제공되는 서비스에 대해 항상 최신 패치가 적용되어 있도록 한다. (e.g. IMAP, POP3, DNS, HTTP). Tripwire 와 SSH 같은 보안도구가 Suse에 번들로 제공된다.
OpenBSD			버퍼 오버플로우 들에 대해 철저히 분석된 BSD 파생버전. 보안은 이 OS의 핵심 요소이다. 많은 보안 도구들이 번들로 제공된다 (NAT, filtering, Ipsec, OpenSSL). 캐나다에 기반을 두고 있기 때문에 암호는 국제적으로 강력하다. PC 에서 SPARC까지 여러 아키텍쳐에서 사용할 수 있다. 추천: 저자는 SPARC에서 OpenBSD를 Apache와 함께 사용했는데 잘 동작하는 것 같았다. 어떤 도구들은 잘 컴파일되지 않으려고 하지만. 다른 것들은 ports tree 에서 잘 지원된다. FreeBSD의 B1 버전을 만들려는 프로젝트가 진행중이다. www.TrustedBSD.com 을 참조. 링크: Hardening, OpenBSD Tools

Naming 시스템: NIS+ 또는 DCE 가 NIS 보다 훨씬 안전하지만, 또한 더 복잡하기도 하다. 유닉스 장과 방화벽 장을 참조.

SVR4.1 ES (Enhanced Security): 다단계 보안 (Multi Level Security, MLS). MLS 는 SVR4 UNIX 위에 올라가는 (AT&T) 부가제품이다. 몇몇 커널 모듈 및 유틸리티들이 대체되지만, 커널 데이타 구조는 최소한으로 변경된다. 강제적 접근 통제(Mandatory access control, MAC) 가 구현된다 (UID, GID를 사용하여). 감사도구도 포함된다.

NT 는 아직 비교적 새로운 것이지만, Microsoft 가 그들의 전통적인 불분명함을 통한 보안 (Security through Obscurity) 의 자세로 부터 멀어져 가는 것처럼 보인다 - 이제 정기적으로 보안 권고문도 발표한다. 이들은 아직도 가능한 한 암호 표준을 따르지 않을 것을 고집하고 있으며 (e.g. PKCS#11, IPsec) peer review를 위해 코드를 제출하지 않기때문에, NT는 (아직) 등급 이상의 시스템에는 권고하 않는다. 그러나 NT는유닉스보다 빠르게 발전하고 있고, 보안 구조가 좋다. 다가오는 몇년 후에는 이기는 OS가 될 지도 모른다......만약 Microsoft 가 인터넷 익스플로러를 통합함으로써 OS를 뒤죽박죽으로 만드는 유혹만 뿌리칠 수 있다면..

반면에 리눅스는 안정적이고 빠르며 기능이 풍부하고, Sun은 Solaris 8 을 무료로 제공하고 있어 (번들 방화벽과 함께)with a bundles Firewall), 장차 흥미로워질 것이다.

여러분들은 저자가 좋아하는 것들이 Solaris, 리눅스 & NT 라고 알아챘을 것 같다. 사실 Solaris의 가장 좋은 점은 튼튼한 SPARC 하드웨어와 지능적인 boot prom 이다.

개발자 관점에서의 NT와 유닉스 비교에 대해서는 AdNovum'의 기사를 참조한다. 이를 요약해보면:
NT 는 확실히 (더이상) "장남감 운영 체제" 가 아니다. 확장이 아주 잘 되지는 않지만 ... (4 프로세서/서버 가 넘으면 성능이 저하된다) Mission critical한 프로세스가 없는 250 사용자계정 미만의 소규모 사업장에서는 만족할만한 성능을 낸다. 기본적인 확장성 문제 이외에도, 관리성과 가용성도 심각한 문제로 남아있다.

Previous Next Top Detailed TOC IT Security Cookbook, 20 June, 2000