[월드비전]차세대 IDS·IPS의 조건

　오늘날 네트워크는 비즈니스 자체라고 말할 수 있다. 그동안 기업과 정부기관들은 비즈니스 요구에 따라 다양한 기술을 도입해서 복잡한 네트워크를 구축해왔다. 하지만 엑스트라넷, 전자상거래, 고객관계관리(CRM) 프로세스, 가상사설망(VPN) 등을 통해 외부 네트워크 접속도 가능해지면서 침입에 취약해지고 있다.

　네트워크가 점점 더 취약해지고 해커들이 파괴적인 해킹장비를 갖추면서 네트워크 공격이 증가하는 것은 당연한 일이다. 최근 미 컴퓨터보안위원회(CSI)와 미 연방수사국(FBI)이 실시한 조사에 따르면 설문자의 70%가 지난 1년 동안 ‘공격당한 경험이 있다’고 답했으며 30%가 ‘공격당했는지 알 수 없으나 공격당하지 않았다고 확신할 수도 없다’고 답했다. 또한 서비스거부공격(DoS)의 90%가 방화벽이 설치되어 있는 경우에 발생한 것으로 나타났다.

　이로 인해 침입탐지시스템(IDS)이 각광받고 있지만 날로 고도화되는 공격을 막기에는 역부족이다. 왜냐하면 IDS는 본질적으로 공격의 사후탐지용으로 개발되었기 때문에 예방이나 차단은 불가능하다. 또한 서명 기반 방식을 채택하고 있어 모든 공격의 변종을 탐지하기가 쉽지 않고 암호화된 형태의 공격을 탐지할 수 없다.

　이에 대한 해결책으로 등장한 것이 침입방지시스템(IPS)이다. IPS는 공격을 사전에 차단한다는 측면에서 한단계 진보한 IDS라고 할 수 있다. 특히 IPS는 능동적으로 공격을 예방하기 때문에 운용체계(OS)나 애플리케이션의 취약점을 보완하고 웜이나 버퍼오버플로 등의 공격을 차단하기 위한 소프트웨어 패치 설치에 소요되는 비용과 시간을 줄일 수 있다.

　최근 IPS가 보안시장의 화두로 떠오르면서 다양한 솔루션들이 발표되고 있다. 그러나 많은 IPS 솔루션들이 ‘방지’기능을 내세우고 있으나 단지 패키징만을 달리한 IDS 제품이거나 데스크톱 솔루션일 수도 있다는 점을 명심해야 한다.

　IPS가 진정한 침입방지 기능을 수행하기 위해서는 솔루션 선택시에 몇가지 고려해야 할 점들이 있다. 가장 중요한 것은 정상 트래픽과 공격 트래픽을 실시간으로 오류 없이 구별할 수 있는 정확성이다. 이 작업의 정확성을 높이기 위해서는 서명, 이상현상(anomaly), DoS에 대한 탐지를 병행함으로써 알려지거나 그렇지 않은 공격을 모두 탐지해 차단할 수 있어야 한다. 이처럼 복합적인 접근방법을 통해서만 탐지오류를 최소화하고 방지할 수 있다.

　둘째, 유연하고 세밀한 정책관리능력을 제공해야 한다. 오늘날의 복잡한 기업 네트워크에서는 하나의 보안정책을 모든 시스템에 동일하게 적용하는 것이 비효율적이다. 세밀한 정책관리를 통해 트래픽을 분류하고, 이후 특정 공격에 해당하는 대응방식을 수행할 수 있어야 한다. 이같은 세밀한 정책이 없을 경우에는 비즈니스 협력사나 직원들에게 원치않는 DoS 상황을 초래할 수 있다.

　셋째, 기업 네트워크에서 요구하는 확장성과 빠른 처리속도를 지원해야 한다. 또 신속한 대응을 위해 패킷 처리 지연시간을 1000분의 1초 이하로 최소화해 공격 대응력을 높일 수 있어야 하며 선택한 IPS가 다중 플랫폼을 지원하는지 고려해야 한다.

　넷째, 공격 패턴은 끊임없이 발전하기 때문에 차후공격에 대비한 보안강화를 위해 발생한 문제를 분석하고 관리하는 철저한 사후조사(포렌직)기능을 갖춰야 한다. 이 기능은 완전한 사후 조사정보 수집을 위해 공격 전후의 패킷까지 캡처·분석해 잠재적 위험성 및 일련의 경보와 이벤트를 연결, 상관성을 파악할 수 있어야 한다.

　마지막으로 침입방지능력을 갖추기 위해서는 제품을 끊임없이 관리·개선하는 과정이 필수적이라는 점을 잊지 말아야 한다. 이를 위해 사내 이용자뿐만 아니라 비즈니스파트너사, 고객, 재택근무자 등 기업자원을 이용하는 외부 사용자까지 고려하는 세부적인 기업보안정책을 세우고 지속적으로 적용시키는 노력이 필요하다. 　

　<앨런 벨 네트워크어소시에이츠 마케팅 이사 allan_bell@nai.com>