<테마특강>침입탐지시스템 개발현황과 전망

　◇IDS의 개요=오늘날 인터넷의 폭발적인 발전은 긍정적인 측면과 함께 정보시스템에 대한 보안위협이라는 문제점을 제기했으며 이에 대응하기 위해 정보보호기술이라는 또 하나의 기술 분야가 탄생하게 됐다. 이러한 정보보호기술 중에서 방화벽·공개키기반구조(PKI)·바이러스백신 등과 함께 최근 각광을 받고 있는 기술이 바로 침입탐지시스템(IDS:Intrusion Detection System)이다. IDS는 해커의 공격 형태가 점점 다양화됨에 따라 기존의 정보보호 기술만으로는 정보시스템 또는 네트워크를 안전하게 보호할 수 없다는 인식과 함께 더욱 주목을 받고 있다.

　IDS는 정보시스템 또는 네트워크로부터 보안 관련 정보들을 수집·분석해 침입 또는 오용을 탐지할 뿐 아니라 침입에 대한 적절한 대응행동을 수행하는 기능을 포함하고 있는 시스템으로 정의된다. IDS에 관한 연구는 80년에 앤더슨이 ‘시스템의 보안위협에 대한 분류’를 미 공군 연구보고서에 발표한 것을 기점으로 현재까지 매우 빠르게 진행돼 왔다. 특히 미국의 데닝이 지난 87년 발표한 실시간 침입탐지모델인 침입탐지전문가시스템(IDES:Intrusion Detection Expert System)은 지금까지도 다른 IDS의 기반 모델로 사용되고 있다.

　80년대에는 호스트기반 IDS들이 주류를 이루고 있었으며 미국 데이비스대학에서 개발한 NSM(Network Security Monitor)부터 네트워크 환경에서의 IDS가 뿌리 내리기 시작했다. 데이비스대학은 미 공군 암호지원센터, 로렌스 리버모어 국립연구소, 헤이스택 연구소와의 공동 연구를 통해 호스트 기반 및 네트워크 기반 IDS을 통합 운용하기 위한 모델인 DIDS(Distributed Intrusion Detection System)의 개발에 참여했다.

　90년 이후 IDS에 대한 연구는 더욱 가속화되어 분석모델에 대한 연구를 기반으로 기능적인 성장을 이루게 된다. 스탠퍼드대학에서는 IDES 모델을 확장한 NIDES(Next generation IDES)의 개발에 성공했고 분산환경 IDS인 EMERALD(Event Monitoring Enabling Responses to Anomalous Live Distribution)로 모델을 확장하고 있다.

　또한 90년대 퍼듀대학에서는 Colored PetriNet 기술을 이용하여 IDIOT(Intrusion Detection In Out Time)를 개발했으며 미 샌타바버라의 UCSB(University of California)에서는 상태전이 모델을 이용하여 STAT(State Transition Analysis Tool)과 Net-STAT를 개발했다. 90년대 상용제품들로는 Intruder Alert(Axent),Real Secure(ISS), Stalker(TIS)등이 대표적이라 할 수 있다.

　국내의 IDS 개발역사는 미국과는 많은 차이를 보이고 있으나 90년대 중반부터 성균관대, 전남대, 항공대, 숭실대 등 대학연구소를 중심으로 침입탐지모델을 개발해오던 것이 보안업체들의 참여로 인해 크게 활성화되고 있다. 2000년부터 시행되는 IDS 평가제도를 계기로 보안업체들의 IDS 개발이 크게 확산되고 있으며 국내 시장규모가 200억원 이상으로 추정되는 2001년이 국내 IDS 상용화의 원년이 될 것으로 기대되고 있다.

　◇IDS의 구조 및 기능=IDS는 매우 다양한 모델이 있으나 이들의 기본기능은 ‘보안관련 정보수집, 수집된 정보의 분석 및 침입판정, 보고 및 대응행동’으로 요약할 수 있다. 이러한 기능 구현을 위한 IDS의 일반적인 구조는 그림 1에서 보는 바와 같이 감사정보수집 및 축약, 패턴생성, 사건분석 및 침입판정 그리고 사건보고 및 대응행동 모듈로 구성되어 있다.

　감사정보수집 및 축약 모듈 중 감사정보수집 기능은 감시대상시스템 또는 네트워크로부터 보안분석을 위한 감사정보를 수집하며, 정보제공원에 따라 시스템의 로그파일, 시스템 호출 함수 등으로부터 정보를 수집하는 호스트기반 IDS와 네트워크패킷으로부터 감사정보를 수집하는 네트워크기반 IDS로 분류한다.

　네트워크기반 IDS와 호스트기반 IDS는 여러가지 면에서 차이를 가진다. 이러한 이유들 때문에 네트워크 기반 IDS의 도입이 좀더 증가 추세에 있으며 최근 두 모델을 혼합한 형태의 IDS가 확산되고 있다. 표참조

　이밖에도 분산 에이전트 기반의 IDS로 분류되는 퍼듀대학의 AAFID(Autonomous Agents for Intrusion Detection) 시스템은 감사정보의 수집을 다수의 분산 에이전트들이 나누어 수행하고 수집된 정보를 모니터가 통합 분석하는 계층적 구조를 이루고 있다.

　감사축약 기능은 방대한 감사정보의 분석으로 인한 탐지효율의 저하 및 시스템 성능 저하를 미연에 방지하고 중복된 감사정보를 제거함으로써 보안분석을 위해 수행되는 기능을 말한다. 이때 축약된 감사정보는 일반적으로 IDS가 정의하고 있는 정형화된 감사 기록으로 변형되어 추후 분석을 위하여 감사 데이터베이스에 저장된다.

　이렇게 축약된 감사정보는 사건분석 및 침입판정 모듈에 의해 감사분석이 수행되며 이러한 과정이 IDS의 핵심이라고 볼 수 있다. 침입판정을 위한 분석 기술은 오용탐지(Misuse Detection) 기법과 비정상행위탐지(Anomaly Detection)기법으로 구분된다.

　오용탐지기법은 일반적으로 침입으로 알려져 있는 행위 또는 비정상적인 행위를 패턴으로 정의하고 수집된 감사사건이 미리 정의된 패턴과 일치하는 경우에 이를 침입(또는 오용)으로 판정한다. 일반적으로 오용탐지기법은 패턴비교(Pattern Matching) 기술을 사용하며 현재 많은 상용제품들이 오용탐지기법을 사용하고 있다.

　비정상행위탐지기법은 정상적인 행위에 대한 프로파일을 생성하고 실제 수집되는 감사정보를 프로파일과 비교해 정상행위로부터 벗어나는 비정상행위를 탐지하는 기법이다. 새로운 침입 또는 오용의 탐지에 효율적이라는 장점이 있는 반면, 탐지비용이 높고 악의적인 목적으로 자신의 행위패턴을 서서히 학습시키는 사용자에게는 취약하다. 또한 데이터베이스의 정확도에 따라 정상행위를 침입으로 분류하는 펄스포지티브디텍션(False Positive Detection) 오류를 범할 수도 있다.

　비정상행위탐지 모델은 데닝의 모델이 기반을 이루고 있는데 현재 많이 적용되고 있는 탐지모델로는 수량적 분석, 통계적 분석 그리고 신경망 기반 모델 등이 있다. 수량적 분석 모델은 탐지 규칙 또는 속성값에 수치적인 값을 사용하여 침입 또는 오용을 탐지하는 방식으로서 대표적인 수량적 분석 모델로는 임계값에 기반한 탐지방식이 있으며 현재 많은 IDS가 임계값을 통한 침입탐지방식을 사용하고 있다. 그러나 임계값 기반 비정상행위탐지 방식은 침입 판정을 위한 정확한 임계값 설정에 난점으로 인해 펄스포지티브디텍션이 증가한다는 문제점이 있다.

　SRI인터내셔널의 IDES/NIDES, 헤이스택 연구소의 헤이스택 모델은 통계적 분석 모델에 기반하여 비정상행위 탐지를 수행한다. 통계적 분석 모델은 사용자 또는 시스템 행위들에 대한 이전 정보들을 기반으로 정상행위로 판단되는 통계적인 프로파일을 생성하고 주기적으로 갱신한다. 프로화일과 실제 사용자 및 시스템 행위들을 산출된 통계 정보를 비교하여 임계치 이상의 차이를 보이는 행위를 비정상적인 행위로 판정한다.

　이러한 탐지 방식은 적법한 사용자로 위장한 침입자에 대한 탐지와 알려지지 않은 시스템 취약성을 이용한 침입탐지에 효과적이며 오용탐지 기법과 달리 탐지규칙에 대한 지속적인 갱신이 불필요하다는 점에서 장점을 갖는다. 그러나 프로파일 생성을 위한 비용이 높다는 단점이 있다.

　신경망 모델은 비정상 행위들을 식별하기 위한 적응학습 기술을 사용하는 탐지방식이다. 일반적으로 신경망 모델은 두단계의 과정을 거쳐 침입을 탐지하는데 첫단계는 사용자 행위 정보를 학습하는 단계고 두번째 단계는 입력된 사건 정보를 학습된 사용자 행위 정보와 비교하여 비정상적인 행위를 탐지하는 단계다. 만일 특정 이벤트가 학습을 통하여 구성된 신경망 구조에 대한 변경을 초래하는 경우 이를 비정상 행위로 판정한다. 신경망 기반 모델은 학습 자료의 양에 따라 펄스포지티브디텍션 레이트(Rate)가 감소하지만 침입자의 의도적인 학습이 가능하다는 단점이 있다.

　사건보고 및 대응행동 모듈은 침입으로 판정된 사건을 보안 관리자에게 보고하고 이에 대한 대응행동을 자동 혹은 수동적으로 수행하며 통계적 보고 기능을 수행한다. 대응행동 방식은 일반적으로 수동적 대응과 능동적 대응으로 구분된다. 사건 발생과 행동 수행 사이의 시간적인 차이가 시스템에 큰 보안위협을 초래할 수 있으므로 대응에 관한 실시간적인 요소가 고려돼야 한다.

　또한 IDS는 감시대상 시스템 또는 네트워크로부터 발생하는 침입사건들에 대한 통계적인 보고서 작성 기능을 제공하여 보안 관리자의 보안상황과 향후 분석을 지원한다.

　◇IDS의 발전 방향=현재 IDS는 보안관리 인프라 구성을 위한 표준 구성요소로서 인식되어 가고 있지만 여전히 해결해야 할 문제점들을 안고 있다. 현재 이러한 문제점들을 해결하기 위한 연구가 활발히 진행되고 있으며 그중에서 대표적인 부분이 IDS의 고속성, 확장성, 연동성 관한 것이다. 또한 향후 무선 환경에서의 침입탐지에 관한 연구도 숙제로 남아 있다.

　IDS의 고속성은 IDS의 하드웨어화, 분산처리 등을 통해 기가비트 통신망으로의 확장을 꾀하고 있으며 대규모 네트워크에서 IDS의 기능을 보장할 수 있는 확장성 역시 점차로 확산되고 있는 네트워크의 규모와 보다 심각해지는 보안 위협의 특성을 고려할 때 반드시 해결돼야 하는 문제라고 생각된다.

　대규모 네트워크에서의 IDS을 구성하기 위한 움직임은 이미 수년 전부터 여러 연구기관으로부터 나타나기 시작했다. 이러한 연구들의 전반적인 특징은 분산 구조의 감사정보 수집을 수행하며, 계층적인 분석 구조를 갖는다는 점이다. 계층적 분석 구조는 대규모의 네트워크 상에서 분산구조의 감사 정보 수집을 통해 방대한 양의 분석대상 감사정보를 생성하기 때문에 이에 대한 축약을 효과적으로 수행함으로써 분석 효율을 증가시킬 수 있다는 장점을 갖는다. 이러한 형태의 대표적인 IDS로는 앞서 소개한 EMERALD와 AAFID 이외에도 데이비스 대학의 GrIDS(Graph-Based IDS)가 있다.

　최근 발생하는 시공간적 협력을 통한 다변적인 형태의 침입을 탐지하기 위한 IDS간 연동성에 관한 연구 또한 향후 IDS의 한축을 이루고 있다. IDS간 정보와 처리 자원의 공유와 협력을 통하여 탐지효율을 극대화함으로써 IDS간의 연동성을 향상시키고자 하는 연구는 연구는 감사정보의 정형화, 프로토콜의 표준화, 시스템 구조에 대한 일반화까지 다양한 형태로 시도되고 있으며 대표적인 표준화 동향으로는 그림 2에서 보여주는 CIDF(Common Intrusion Detection Framework)와 IETF의 IDWG(Intrusion Detection Exchange Working Group)가 있다.

　또한 IDS과 방화벽과의 연동에 대한 관심이 고조되고 있으며, IDS와 방화벽과의 일체형 통합방식과 시스템간 연계형 통합 방식 등이 체크포인트사와 ISS사를 중심으로 하여 다각도로 시도되고 있다. 더 나아가 IDS이 통합보안 인프라 구성을 위한 핵심 보안 컴포넌트로 인식되어감에 따라 다양한 보안 콤포넌트들과 연계되어 동작할 수 있는 통합보안 인프라 구조가 체크포인트가 주창하는 OPSEC을 통해 시도되고 있으며 IDS는 향후 이러한 통합보안 인프라 구성을 위한 중요한 요소로 자리매김할 것으로 예상된다.

　이밖에도 무선 환경이 확산됨에 따라 단말기에 대한 침입 무선 게이트웨이 혹은 기지국에 대한 공격 탐지 등에 적용될 수 있는 ‘W-IDS’의 필요성이 서서히 대두되고 있다.

　◇결론=앞으로도 침입의 형태는 점점 다변화와 침입 도구와 기술의 보편화 및 고도화로 인해 보안위협을 날로 증가할 것이다. 이러한 상황에서 IDS는 정보시스템 보호를 위하여 핵심적인 역할을 수행을 기반 기술로 많은 응용 분야로부터 도입이 확산될 것으로 예상된다. 따라서 보안 위협을 명확히 파악하고 IDS의 기능 및 운용 방식에 대한 정확한 이해를 통하여 IDS의 탐지효율을 향상시킴과 동시에 다른 보안 컴포넌트들과의 연계를 통한 통합보안 관리 인프라의 구축을 통해 정보시스템과 네트워크의 보안강도를 극대화할 수 있을 것으로 기대한다.

◆정태명 성균관대 교수

　81년 연세대학교 전기공학과 졸업

　84년 미국 일리노이주립대학교 전자계산학과 졸업

　87년 미국 일리노이주립대학교 컴퓨터공학 석사

　95년 미국 퍼듀대학교 컴퓨터공학 박사

　95년∼현재 성균관대학교 전기및컴퓨터공학과 교수

　현 성균관대학교 정보보안기술연구소 소장, 경실련 정보통신위원장, 한국침해사고 대응협의회의원장, i-safe마크 인증위원장, 한국정보처리학회 정보통신응용연구회장, 실버넷운동본부 부위원장

　

◆<표> 호스트기반IDS와 네트워크기반 IDS의 비교

호스트기반IDS 네트워크기반IDS

운용체계와의 관계 종속적 독립적

침입탐지시기 비교적 늦음 상대적으로 이름

침입흔적 삭제 가능 불가능

서비스거부공격탐지 제한적 가능

암호화된 침입 가능 불가능

공격루트 탐지범위 시스템과 네트워크 네트워크에 제한적